C’è una convinzione silenziosa, ma diffusa, nel modo in cui le aziende oggi adottano il SaaS: delegare un’applicazione al cloud significhi, in qualche misura, delegare anche la responsabilità su ciò che contiene. È una semplificazione comprensibile, ma è sbagliata, e il costo di quell’errore si paga nei momenti peggiori.

Il cosiddetto modello a responsabilità condivisa nasce per chiarire esattamente questo confine. Il provider cloud garantisce disponibilità del servizio, sicurezza dell’infrastruttura, continuità operativa della piattaforma. Tutto il resto - dati, identità, configurazioni, capacità di recuperare quelle informazioni in caso di incidente - rimane a capo all’azienda cliente. Non è una clausola nascosta nel contratto, ma la premessa su cui si regge l’intero modello.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Eppure, quando si parla di sovranità del dato, anche le imprese più strutturate spesso si trovano a rispondere a domande che non si erano mai poste.

Residenza e sovranità non sono la stessa cosa

Il primo equivoco da chiarire è terminologico, ma con implicazioni molto pratiche. La residenza del dato indica dove viene archiviata o elaborata fisicamente un’informazione. La sovranità del dato è qualcosa di più ampio e riguarda chi vi ha il controllo, quale giurisdizione si applica, gli obblighi normativi che entrano in gioco e soprattutto chi può accedervi e a quali condizioni.

Questa distinzione è diventata cruciale in un contesto geopolitico sempre più frammentato. Il GDPR europeo e il Cloud Act statunitense, per citare due esempi che coesistono in tensione permanente, creano obblighi spesso difficili da conciliare. Un’azienda europea che archivia dati su una piattaforma americana, anche se i server sono fisicamente in Europa, potrebbe comunque essere soggetta a richieste di accesso da parte di autorità statunitensi. La posizione geografica dei dati è importante, ma non sufficiente.

Sapere dove sono i propri dati non basta. Bisogna sapere chi li controlla e chi può reclamarli.

La compliance non accetta compromessi

Negli ultimi anni il quadro normativo si è fatto più esigente e preciso. In Europa, DORA e NIS2 impongono alle organizzazioni di dimostrare capacità concrete di gestione del rischio operativo, inclusa la resilienza dei sistemi digitali critici. Il GDPR richiede da anni che le aziende possano dimostrare, non solo dichiarare, dove vengono trattati i dati personali e con quali garanzie.

Negli Stati Uniti, le nuove regole della SEC sulla disclosure degli incidenti di cybersecurity obbligano le aziende quotate a rendere pubblici gli impatti materiali. In California, il CCPA continua a estendersi.

In questo scenario, la risposta “il dato è in cloud, ma non sappiamo esattamente dove” non è sostenibile. Secondo i regolatori la delega operativa non esime dalla responsabilità ed è l’azienda a risponderne sempre.

Il backup non basta, se non è indipendente

C’è un’ulteriore vulnerabilità che emerge quando si ragiona in termini di resilienza, non solo di compliance.

Molte aziende credono di essere protette perché utilizzano soluzioni di backup per i propri ambienti SaaS. La domanda giusta però non è “abbiamo un backup?”, ma “il nostro backup è davvero indipendente dal sistema che stiamo proteggendo?”.

Se il backup risiede sulla stessa infrastruttura del provider principale - stesso hyperscaler, stessa catena di fornitura tecnologica - quello che si ottiene è ridondanza, non indipendenza. E in scenari di compromissione

estesa, interruzione del servizio o crisi geopolitica, la ridondanza non basta. Serve un air gap reale, un sistema di protezione che possa operare anche quando l’ambiente primario non è disponibile.

La sovranità, in questo senso, è anche una questione di resilienza operativa: avere la certezza che, in qualsiasi condizione, si possa recuperare ciò che serve, da dove si sceglie, nei tempi richiesti.

Controllo significa anche la libertà di cambiare

C’è infine una dimensione strategica spesso trascurata: la portabilità. La sovranità del dato include la capacità di spostarsi, cambiando provider, adattandosi a nuove normative, uscire da un ambiente cloud se le condizioni cambiano. Questo richiede formati di export utilizzabili, SLA di ripristino realistici e una pianificazione che non sia teorica.

Le aziende che non si pongono queste domande oggi, in condizioni di normalità, si troveranno a rispondervi in emergenza, e le risposte, in quel contesto, saranno molto più costose.

Luca Maiocchi, Country Manager Italia di Keepit

Il cloud ha trasformato il modo in cui le aziende costruiscono e gestiscono la propria infrastruttura digitale. Ha abbassato le barriere, accelerato l’innovazione, ridotto i costi operativi, ma non ha eliminato la responsabilità, l’ha redistribuita in un modo che richiede nuova consapevolezza.

La domanda che ogni CIO, CISO e responsabile della conformità dovrebbe porsi non è più solo “siamo protetti?”, ma “siamo sovrani?”. Dove vivono i nostri dati, chi li controlla, come li recuperiamo, come lo dimostriamo a un regolatore.

Nel modello a responsabilità condivisa, il provider fa la sua parte, ma la sovranità del dato è, e rimane, una responsabilità del cliente.