Affidare la conservazione e la protezione dei dati ad aziende europee sta diventando una necessità dettata da un quadro geopolitico internazionale che diventa ogni giorno più difficile da ignorare: la dipendenza tecnologica da soggetti extraeuropei rischia di esporre le organizzazioni a rischi che vanno ben oltre la superficie tecnica. In gergo questa esigenza si definisce digital repatriation e non è una novità: fino a poco tempo fa era prerogativa delle grandi aziende e della PA, oggi arriva a bussare alla porta delle PMI, comincia a pesare sulle scelte dei C-level e risuona nella domanda sempre più insistente: di chi sono, davvero, i miei dati?

È da questa consapevolezza che ESET Italia ha allestito un evento dedicato al tema, riunendo al tavolo vendor, partner e clienti per un confronto che ambiva a essere una riflessione condivisa sulla direzione che sta imboccando la sovranità del dato in Italia.

Un'idea nata dal mercato

A spiegare il perché dell'evento è Stefano Fratepietro, CEO e co-founder di Cyberating, che del tema ha fatto il cuore della sua azienda fin dalla nascita: "quella di richiedere tecnologie centralizzate in Europa è sempre più una richiesta che colgo nel mercato. Di recente, il concetto di digital repatriation è stato spinto proprio dalla consapevolezza sempre più presente che nel territorio italiano, ma anche in tutta Europa, adottiamo sempre tecnologie di soggetti extraeuropei con i propri interessi geopolitici, e questo inizia ad essere motivo di preoccupazione che fa riflettere sull’eventualità di fare una scelta di campo".

Fabio Buccigrossi, VP South West Europe Sales di ESET

Fratepietro identifica con chiarezza che i C-level si stanno ponendo questo problema: “se un domani i rapporti con uno di questi soggetti dovessero deteriorarsi, o se uno di loro decidesse di usare in modo ostile le informazioni in suo possesso, quali sarebbero gli impatti che avrebbero le tecnologie a cui ci appoggiamo per la protezione delle nostre informazioni?”, tenuto conto che tali soggetti, in virtù dei dati condivisi, sarebbero a conoscenza delle nostre abitudini, del nostro modus operandi e di dettagli operativi, dati e metadati che potrebbero impattare direttamente sulle proprie scelte strategiche.

Il ragionamento non è nuovo per chi si occupa di sicurezza e Fratepietro lo sintetizza spiegando che quello che è passato alla storia come Decreto Kaspersky ha tracciato un precedente forte: una tecnologia di sicurezza sviluppata da un soggetto legato a una determinata giurisdizione può, in ipotesi, non rilevare le minacce create da quello stesso soggetto o da uno della stessa giurisdizione. Lo stesso principio si potrebbe applicare specularmente a qualunque vendor, indipendentemente dalla bandiera. Samuele Zaniboni, Manager of Sales Engineering di ESET, aggiunge che il tema è esclusivamente di fiducia strutturale, "non è scritto nero su bianco, non è una disamina sul valore di una soluzione tecnologica piuttosto che un’altra. La questione è: io devo scegliere dove stare" perché tecnicamente un vendor può scegliere se rilevare o meno un certo indicatore di compromissione. “Non è una teoria del complotto, è semplicemente architettura del software. E quella scelta, in un contesto geopolitico instabile, diventa una variabile di rischio da mettere in conto”.

La dimensione culturale e normativa

Fabio Buccigrossi, VP South West Europe Sales di ESET, porta il ragionamento su un piano meno sensibile al sensazionalismo e accende i riflettori sul fatto che non serve demonizzare il cloud americano, serve capire che infrastruttura e normativa devono parlare la stessa lingua. “Sotto l’aspetto tecnologico siamo tutti uguali, avere i dati archiviati su server in America non fa di un americano un cattivo tecnologista. Ma quando hai un'infrastruttura che deve proteggere i dati di un tuo cliente, che è costruita in una country extraeuropea, segue normative extraeuropee che non sono necessariamente condivisibili”. Detto in altri termini, la repatriation non è una filippica anti-americana, è una questione di condivisione culturale e normativa: un italiano costruisce l'infrastruttura in Italia già con in testa le aspettative di un cliente italiano e in maniera conforme alla normativa italiana. E il personale italiano che lavora in questa infrastruttura aggiunge una dimensione etica oltre alla competenza tecnica.

Stefano Fratepietro, CEO e co-founder di Cyberating

Il concetto si concretizza quando si scende al livello operativo. Un SOC italiano non è solo un centro operativo di sicurezza con persone che parlano italiano, è un presidio costruito secondo una logica culturale specifica, che incorpora le aspettative etiche di un cliente italiano sulla gestione dei propri dati. Il ragionamento di Buccigrossi è volto a valorizzare il proprio: "le persone nel nostro SOC sono italiane: non devono solo avere le competenze per proteggere e monitorare H24, devono essere anche formate secondo l'etica italiana. Perché l’etica non è uguale dappertutto. Ecco che questo diventa un valore aggiunto rispetto al tecnicismo".

Il nodo irrisolto: il cloud senza alternativa

Considerando solo la security, le alternative europee ai vendor americani esistono e sono valide. Invece la questione si complica quando si parla di cloud, dato che secondo i dati Gartner sul mercato IaaS globale, nel 2024 AWS, Microsoft Azure e Google Cloud insieme controllavano circa il 71% del mercato. E non si cambia da un giorno all'altro. Come proteggere i dati affidati agli hyperscaler? Zaniboni offre il workaround tecnico, ossia con la cifratura forte, perché se il dato è cifrato correttamente, non è leggibile nemmeno dall'hyperscaler che lo ospita. È l'unico strumento disponibile nell'immediato.

Buccigrossi è più esplicito sulla dimensione temporale del problema: "Ad oggi non esiste un vendor europeo che permetta di dissociare l’archiviazione cloud dei dati dall'America. Il percorso di transizione sarà lunghissimo, considerato che fino a ieri abbiamo creduto che il cloud americano fosse il migliore, anzi l'unico, e per ottimizzare i costi era l’unica opzione. Ma la strategia, a lungo termine, è quella di fare la repatriation".

Samuele Zaniboni, Manager of Sales Engineering di ESET

C'è anche un tema normativo che raramente circola nei dibattiti di settore e che Fratepietro mette sul tavolo: una normativa statunitense autorizza il Governo americano a requisire la potenza computazionale degli hyperscaler per finalità strategiche nazionali. In pratica, i contratti con i grandi cloud provider contengono clausole che permettono, in determinate circostanze, di reindirizzare le risorse di calcolo verso esigenze governative. È un dettaglio del tutto ignorato dalle medie imprese che sono prive di uffici legali. Il rischio che comporta è che "qualcuno ci spenga la corrente non per un'esigenza o una crisi tangibile, ma per una decisione di un soggetto terzo che decide per noi. È vero che è un'ipotesi molto lontana, però è prevista" sottolinea Fratepietro.

Il datacenter europeo: l'anticipazione di ESET

Alla luce di quanto emerso, ESET sta valutando la costruzione di datacenter propri in Europa. Buccigrossi anticipa che “alcuni servizi girano già su infrastrutture proprie dell'azienda; la direzione strategica punta a espandere questa componente, riducendo la dipendenza da infrastrutture di terzi”. Non esiste ancora un piano operativo con date e location definite, ma è una posizione strategica dichiarata. La riflessione di Buccigrossi è che in un settore dove la credibilità del discorso sulla sovranità del dato dipende anche dalla coerenza delle scelte infrastrutturali, costruire o affittare capacità in datacenter europei (di proprietà non americana) è il passaggio che trasforma la repatriation da narrazione di marketing a impegno verificabile.

Buccigrossi inquadra bene l'orizzonte realistico: il modello del futuro sarà ibrido. Alcune organizzazioni, in particolare quelle che operano in settori critici o nella pubblica amministrazione, potrebbero dotarsi di datacenter propri o dedicati. Per tutti gli altri, la via è quella dell'infrastruttura europea condivisa, con la cifratura come livello di protezione aggiuntivo sui dati che transitano comunque verso cloud americani, perché è innegabile che alcune informazioni saranno comunque da condividere Oltreoceano per un’ampia gamma di servizi.