Il concetto di sovranità digitale ha smesso di essere un semplice slogan per trasformarsi in un punto politico essenziale che definisce la traiettoria di sviluppo di un intero Paese.
Durante un recente dibattito organizzato da Nextwork360, editore di ZeroUno, in occasione del convegno “Sovranità digitale: Italia ed Europa a prova di futuro“, è emerso chiaramente come la sicurezza dei dati rappresenti la condizione concreta per garantire affidabilità e autonomia.
Si tratta di una necessità che richiede scelte verificabili su chi governa l’infrastruttura, dove risiedono fisicamente le informazioni e quali garanzie siano effettivamente esigibili dai fornitori di servizi. Il punto di partenza, come sottolineato in apertura dei lavori, è squisitamente normativo e si poggia su requisiti, certificazioni e conformità che rendano la sovranità misurabile e difendibile.
Indice degli argomenti
La governance delle infrastrutture come pilastro della sicurezza dei dati
La protezione del patrimonio informativo nazionale non può prescindere dal controllo fisico e logico delle strutture che lo ospitano. Giancarlo Giacomello, Head of Data Center and Colocation Services di Aruba, ha evidenziato come l’Europa debba affrontare un gap tecnologico enorme rispetto a colossi come Stati Uniti e Cina. Secondo Giacomello, per colmare questo divario è necessario creare un ecosistema continentale che parta dall’infrastruttura fisica: «Ci devono essere i data center dove girano questi workload e devono essere sotto il controllo delle entità europee”. La sicurezza dei dati si intreccia quindi indissolubilmente con la sovranità energetica. L’energia è infatti definita come l’asset più critico, al punto che la dipendenza energetica oggi rappresenta il tema strategicamente più sensibile per la continuità dei servizi digitali.
Aruba ha risposto a questa sfida attraverso una strategia di controllo diretto della filiera, acquisendo otto centrali idroelettriche e implementando impianti fotovoltaici sui propri data center, come quelli dei campus di Ponte San Pietro e Roma. Questo modello permette di gestire non solo il dato, ma anche la “macchina” e l’energia che la alimenta, riducendo le incertezze geopolitiche che caratterizzano l’attuale fase storica.
Le tre dimensioni della sovranità secondo TIM Enterprise
Per definire concretamente la protezione degli asset digitali, Antonio Morabito, VP Business Development and Marketing di TIM Enterprise, propone una scomposizione del tema in tre pilastri complementari. La sicurezza dei dati si articola innanzitutto nella capacità di gestire le informazioni in modo localizzato, garantendone l’integrità attraverso la gestione diretta delle chiavi di crittografia.
A questa si affianca la sovranità delle operation, ovvero la garanzia di continuità operativa anche in caso di interruzioni della filiera produttiva o scenari internazionali complessi.
Infine, la sovranità tecnologica deve permettere la gestione trasparente di partner e tecnologie per evitare logiche di lock-in. TIM mette a disposizione del sistema Paese un’infrastruttura composta da 16 data center nazionali, otto dei quali vantano il massimo livello di certificazione (Rating 4), interconnessi da oltre 3.000 POP regionali. Secondo Morabito, «la sovranità digitale è diventata un requisito ormai indispensabile per la competitività economica, probabilmente anche per la resilienza del Paese e delle nostre aziende».
Il rischio del “Killer Switch” e la resilienza fisica
Un tema di particolare gravità sollevato durante il confronto riguarda la possibilità di interruzione dei servizi critici da parte di soggetti esterni. Paolo Zani, Director Innovation Hub di Retelit, ha introdotto il concetto di “killer switch”, ovvero il rischio che un fornitore extra-europeo possa spegnere i processi di business di un’azienda.
«La sovranità logica non è più sufficiente, è necessario tornare a una sovranità fisica, controllando dove il dato nasce e cresce, specialmente con l’avvento dell’intelligenza artificiale che richiede elaborazioni vicine all’edge». Retelit punta su una rete di 50.000 km di fibra e 40 data center per assicurare che le infrastrutture siano governate entro i confini nazionali, poiché un’alta percentuale dei gestionali delle grandi aziende europee risiede attualmente su sistemi soggetti a giurisdizioni d’oltreoceano.
Innovazione e conformità: la prospettiva degli Hyperscaler
Nel dibattito sulla sicurezza dei dati, il ruolo dei grandi provider globali è centrale. Paolo La Scola, Public Policy Manager di AWS, ha ricordato come il 65% del mercato cloud europeo sia controllato dai tre principali hyperscaler. Tuttavia, La Scola respinge l’idea che questa dipendenza sia necessariamente una vulnerabilità, avvertendo che l’autarchia digitale potrebbe rivelarsi un’illusione in un mondo dove i chip e i modelli fondazionali sono prodotti quasi esclusivamente fuori dall’UE.
«Il rischio reale – afferma il manager – non è utilizzare tecnologie straniere, ma non utilizzarle affatto o farlo in modo inefficiente, perdendo in innovazione». Per rispondere alle esigenze di governance, AWS ha lanciato l’European Sovereign Cloud, un’infrastruttura totalmente indipendente, gestita da personale residente nell’Unione Europea e soggetta a una società di diritto tedesco. Questo modello punta a offrire garanzie verificabili: «I dati restano dove decide il cliente, non ci sono spostamenti non autorizzati, tutto è tracciato». In Italia, tale approccio ha già permesso ad AWS di ottenere le qualificazioni QC2 dell’Agenzia per la Cybersicurezza Nazionale (ACN) per la gestione dei dati critici della Pubblica Amministrazione.
Modelli industriali e sostenibilità ambientale
Denis Nalon, Marketing and Communication Director di OVHcloud, propone una visione basata sull’integrazione verticale per potenziare la capacità di reagire alle disruption geopolitiche. Per Nalon, la sicurezza dei dati è legata alla nazionalità del provider: «In termini di sovranità, una scelta è sicuramente quella di capire qual è la nazionalità del player che vi eroga il servizio. Quindi non è solamente dove sta il dato, ma anche e soprattutto qual è la residenza».
L’approccio di OVHcloud si distingue per alcune scelte tecnologiche e industriali specifiche:
- L’utilizzo di data center di “seconda vita”, riqualificando edifici preesistenti come l’ex data center Eni in Italia per ridurre l’impatto ambientale.
- L’implementazione della tecnologia di water cooling (raffreddamento a liquido) brevettata e condivisa con la comunità open source per massimizzare l’efficienza energetica.
- La garanzia di reversibilità, che permette alle imprese di non restare prigioniere di un singolo fornitore, favorendo l’interoperabilità dei sistemi.
Ritornando al tema energetico, Nalon ha inoltre sottolineato l’importanza di strumenti come l’Environmental Impact Tracker, che permette alle aziende enterprise di monitorare l’impronta di carbonio delle proprie soluzioni digitali, unendo la sfida della sovranità a quella della transizione green.
Verso un framework regolamentare comune
Il nodo finale per garantire la sicurezza dei dati su scala continentale resta quello normativo. Come ricordato da Scola, attualmente i costi di conformità per le aziende europee rappresentano il 42% del budget, una cifra doppia rispetto a quella delle aziende giapponesi. Questa frammentarietà spinge quattro startup su dieci a valutare l’abbandono dell’Europa, con una conseguente perdita di talento e innovazione.
Morabito ha rimarcato la necessità di regole chiare e “risk-based”: bisogna alzare l’asticella della sicurezza quando i dati sono critici, ma semplificare i processi dove possibile per non frenare la velocità del business.
L’obiettivo condiviso dai partecipanti è il superamento della frammentazione tra gli Stati membri, poiché nessuno può vincere la partita della sovranità digitale da solo. Serve una piattaforma abilitante che integri infrastrutture resilienti, competenze umane e standard europei certi, affinché la fiducia nelle nuove tecnologie possa accelerare l’adozione di servizi avanzati come l’intelligenza artificiale, riducendo al contempo l’incertezza geopolitica che grava sul futuro del continente.
La sicurezza dei dati non è un obiettivo statico, ma un processo dinamico che richiede una visione strategica d’insieme, capace di coniugare la protezione fisica dei data center con modelli cloud trasparenti e una sovranità energetica che ne garantisca l’indipendenza nel lungo periodo.
FAQ: Cybersecurity
Che cos’è la cybersecurity e quali sono i suoi principali elementi?
La cybersecurity, o sicurezza informatica, è un campo in continua evoluzione che si occupa di proteggere sistemi, reti, dati e informazioni digitali da accessi non autorizzati, uso improprio, divulgazione e distruzione di informazioni. Si basa su una combinazione di tecnologie, processi e best practice per proteggere i sistemi informatici. La cybersecurity è più di un insieme di strumenti: è un ecosistema complesso che integra tecnologia, processi e responsabilità umana, rappresentando una vera e propria strategia complessiva, un equilibrio tra innovazione tecnologica e responsabilità umana.
Quali sono le principali minacce alla cybersecurity?
Le minacce alla cybersecurity sono in continua evoluzione e diventano sempre più sofisticate. Tra le principali minacce troviamo gli attacchi digitali intenzionali che crescono significativamente in termini sia di diffusione sia di sofisticazione, con conseguenti difficoltà di individuazione e contrasto. Particolarmente rilevanti sono le APT (Advanced Persistent Threats), minacce tenaci che possono celarsi in una rete per diverso tempo prima di ottenere l’accesso e prelevare le informazioni desiderate. Altri attacchi comuni includono il ransomware, particolarmente pericoloso per le piccole realtà, che può causare non solo danni diretti legati alla perdita dei dati, ma anche ingenti danni di immagine e blocco totale dell’operatività per settimane o addirittura mesi.
Quali sono i ruoli chiave nella gestione della cybersecurity aziendale?
Nella gestione della cybersecurity aziendale, due ruoli fondamentali sono il CIO (Chief Information Officer) e il CISO (Chief Information Security Officer). Il CIO ha visione e responsabilità più ampie, a 360 gradi, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT. Il CISO, invece, ha una responsabilità e specializzazione verticale sulla sicurezza informatica. Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. La collaborazione efficace tra CIO e CISO è essenziale per rendere sicuro, affidabile e resiliente il sistema informativo aziendale.
Quali metriche dovrebbe monitorare un CISO per valutare l’efficacia della cybersecurity?
Un CISO dovrebbe monitorare KPI specifici suddivisi in tre aree principali: inventario degli asset, gestione delle vulnerabilità e quantificazione del rischio informatico. È fondamentale legare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il business. I CISO dovrebbero concentrarsi su metriche che parlino di costi e rischi in termini economici, focalizzandosi sui risultati per comunicare chiaramente come gli investimenti in sicurezza portino a riduzioni misurabili del rischio. Non si tratta di scegliere tra metriche operative e aziendali, ma di identificare metriche che colleghino i risultati operativi della sicurezza alla mission aziendale.
Come possono le aziende affrontare la carenza di competenze specialistiche in cybersecurity?
Per affrontare la carenza di competenze specialistiche in cybersecurity, le aziende possono adottare diverse strategie. Una soluzione è il ricorso al “temporary management” per i ruoli di CIO e CISO, portando valore aggiunto grazie all’esperienza maturata in diverse organizzazioni. Un’altra opzione è l’utilizzo di MSS (Managed Security Services) per la terziarizzazione della gestione operativa della sicurezza digitale, erogata da consulenti o aziende specializzate, e i CSaaS (CyberSecurity as a Service), erogati in cloud. Queste soluzioni sono particolarmente efficaci per le piccole e micro-organizzazioni dove mancano competenze interne specifiche. È importante anche investire nella formazione continua delle persone, trasformando la sicurezza da costo percepito a leva di resilienza.
Quali sono le opzioni formative disponibili per chi vuole specializzarsi in cybersecurity?
Per chi vuole specializzarsi in cybersecurity, esistono numerosi corsi online sia gratuiti che a pagamento, adatti a diversi livelli di competenza: neofiti, profili intermedi e avanzati. Questi corsi sono raccomandati da esperti del settore e possono essere utili per studenti di informatica, imprenditori e professionisti della sicurezza che puntano a perfezionare le competenze e ad arricchire il proprio percorso di carriera. Oltre alla formazione, è importante considerare anche le certificazioni individuali con validità internazionale, come quelle relative al framework e-CF (European Competence Framework), che possono qualificare le competenze necessarie per ruoli come CIO e CISO, in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali.
Quali sono le tendenze emergenti nel campo della cybersecurity?
La cybersecurity è un campo in continua evoluzione, con nuove tecnologie e minacce emergenti che pongono sfide sempre maggiori. Tra le tendenze emergenti si nota una crescente attenzione verso un approccio di cybersecurity end-to-end che comprende protezione dei dati, gestione delle identità digitali, sicurezza infrastrutturale, DevSecOps e formazione continua delle persone. Si osserva anche un aumento dell’utilizzo di servizi gestiti come MSS (Managed Security Services) e CSaaS (CyberSecurity as a Service), particolarmente utili per le organizzazioni che non dispongono di competenze interne specifiche. La gestione delle vulnerabilità si è inoltre estesa oltre le tradizionali vulnerabilità software (CVE) per includere problemi di accesso e configurazioni errate, con particolare attenzione alle configurazioni errate del cloud, aspetto critico per molte organizzazioni nel loro percorso di migrazione alla nuvola.
Come si può sviluppare una strategia di sicurezza informatica efficace a livello aziendale?
Per sviluppare una strategia di sicurezza informatica efficace a livello aziendale, è fondamentale adottare un approccio integrato che unisca tecnologie, normative e valorizzazione delle persone. È essenziale la collaborazione efficace tra CIO e CISO, con una chiara definizione dei ruoli e delle responsabilità. La strategia dovrebbe includere la definizione e l’applicazione di normative di sicurezza, la prevenzione e individuazione di debolezze, la capacità di reagire prontamente agli incidenti e la formazione continua dell’organizzazione. È importante anche collegare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il management aziendale. La cybersecurity dovrebbe essere vista non come un mero costo, ma come un investimento per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche in continua evoluzione.
