Glossario · Architettura cloud Sovranità del cloud
La proprietà architetturale e giuridica dell'infrastruttura cloud che garantisce che dati, operazioni e controllo restino sotto la giurisdizione di un paese o regione specifici, tipicamente l'UE.
## Cosa significa concretamente sovranità del cloud
La sovranità del cloud è l'applicazione dei concetti di [sovranità dei dati](/it/glossary/data-sovereignty/) e [sovranità digitale](/it/glossary/digital-sovereignty/) specificamente all'infrastruttura cloud. Un cloud è 'sovrano' rispetto a una giurisdizione quando:
1. L'infrastruttura cloud è fisicamente situata in tale giurisdizione
2. Il cloud è gestito da entità incorporate in tale giurisdizione (o in giurisdizioni con tutele giuridiche equivalenti)
3. Giurisdizioni esterne non possono legalmente imporre la divulgazione di dati, operazioni o accessi
Per la sovranità del cloud europea in particolare, la terza condizione è quella critica — ed è dove i cloud provider con sede negli USA strutturalmente vengono meno a causa del [CLOUD Act](/it/glossary/cloud-act/).
## I quattro livelli di sovranità
La sovranità del cloud europea non è binaria. Esiste su uno spettro:
### Livello 0: nessuna sovranità
Cloud pubblico standard (AWS, Azure, GCP) senza configurazione UE specifica. I dati possono essere archiviati ovunque a livello globale; piena esposizione legale agli USA.
### Livello 1: residenza dei dati nell'UE
Cloud con sede USA con configurazione esplicita per mantenere i dati nelle regioni UE. Meglio del Livello 0 ma non affronta la coercizione legale tramite CLOUD Act.
Questo è ciò che Microsoft commercializza come 'EU Data Boundary'. Utile per carichi aziendali generali ma giuridicamente insufficiente per i requisiti di sovranità più elevati.
### Livello 2: cloud con sede UE
Cloud gestito da entità con sede UE senza controllo societario USA. Il CLOUD Act non si applica (l'entità non ha sede USA). I dati sono in giurisdizione UE, controllati da entità UE, nessun percorso di coercizione esterno.
Esempi: [Hetzner](/it/alternative/hetzner-vs-aws/), [Scaleway](/it/alternative/scaleway-vs-google-cloud/), [OVHcloud](/it/alternative/ovhcloud-vs-microsoft-azure/), [Infomaniak](/it/alternative/infomaniak-vs-digitalocean/), IONOS.
Questo è il livello pratico di sovranità per la maggior parte delle aziende europee.
### Livello 3: cloud sovrano (certificato)
Cloud con sede UE con certificazioni aggiuntive che forniscono garanzie esplicite di sovranità:
- **Cloud de Confiance francese** (Cloud di Fiducia) — rigorosa certificazione del governo francese che richiede assenza di controllo legale estero
- **BSI C5 sovereign cloud tedesco** — certificazione tedesca di cybersicurezza per carichi sovrani
- **Quadri italiani e altri quadri nazionali di sovranità**
Esempi: Open Telekom Cloud (Germania), T-Systems Sovereign Cloud (Germania), Outscale (Francia, filiale di Dassault Systèmes), Bleu (joint venture Microsoft + Capgemini + Orange per il cloud sovrano francese).
Questo è il livello richiesto per i casi d'uso a più alto rischio — settore pubblico, sanità, infrastrutture critiche, difesa.
## Cosa significano davvero le rivendicazioni di 'cloud sovrano UE' dei provider USA
Microsoft, AWS e Google Cloud commercializzano tutti offerte di 'cloud sovrano' per i clienti europei. Queste variano significativamente in termini di sovranità realmente fornita:
**Microsoft EU Data Boundary** — sovranità di Livello 1. I dati sono archiviati e trattati nell'UE. Microsoft Corporation (capogruppo USA) mantiene il controllo societario. Il CLOUD Act si applica.
**AWS European Sovereign Cloud** (annunciato nel 2023, rollout limitato) — punta a Livello 2/3 con un'entità operativa separata. Tempistiche di implementazione poco chiare.
**Google Cloud Sovereign Solutions** — varia in base al partner. T-Systems Sovereign Cloud Germany è gestito da Deutsche Telekom — sovranità significativa. Altre combinazioni Google Cloud + partner UE variano.
**Bleu (Microsoft + Capgemini + Orange)** — cloud sovrano francese costruito su tecnologia Azure ma gestito come entità interamente francese. Progettato per qualificarsi come Livello 3 / Cloud de Confiance certificato.
Il modello: i provider USA possono tecnicamente raggiungere alti livelli di sovranità tramite strutture di partnership complesse che separano le entità operative dal controllo societario. Funzionano ma richiedono un'attenta valutazione di garanzie contrattuali e tecniche specifiche.
## Quando ha senso ciascun livello di sovranità
Per le aziende europee che prendono decisioni di architettura cloud:
**Livello 0 (cloud pubblico standard)** — accettabile per carichi aziendali generali senza specifici requisiti di sovranità. Esempi: hosting di siti web di marketing, asset rivolti al pubblico, produttività generale d'ufficio.
**Livello 1 (residenza dei dati nell'UE)** — accettabile per la maggior parte dei carichi aziendali con esigenze generali di conformità GDPR. Esempi: SaaS rivolti ai clienti, strumenti di collaborazione interna, hosting di applicazioni aziendali.
**Livello 2 (cloud con sede UE)** — raccomandato per dati sensibili, industrie regolamentate e aziende per cui la sovranità è una caratteristica competitiva. Esempi: applicazioni adiacenti alla sanità, servizi legali, B2B SaaS che servono enterprise europee.
**Livello 3 (cloud sovrano)** — richiesto per settore pubblico, difesa, industrie altamente regolamentate (banche sotto DORA, sanità con dati dei pazienti) e qualsiasi organizzazione con mandati di sovranità espliciti.
La maggior parte delle aziende europee opera a Livello 1 con Livello 2 selettivo per carichi sensibili. La domanda strategica è se espandere l'impronta di Livello 2 / Livello 3 nel tempo.
## Sovranità del cloud e DORA
DORA (Digital Operational Resilience Act, in vigore da gennaio 2025) crea pressioni specifiche di sovranità del cloud per le istituzioni finanziarie europee:
- **Requisiti di rischio di concentrazione** — le istituzioni finanziarie non possono avere tutta l'infrastruttura critica su un unico cloud provider, spingendo verso strategie multi-cloud che spesso includono provider residenti UE
- **Sorveglianza sui fornitori terzi critici di servizi ICT** — i principali cloud provider che servono più istituzioni finanziarie sono ora sotto vigilanza regolatoria UE diretta
- **Requisiti contrattuali specifici** — DORA impone clausole che i termini standard dei provider USA in genere necessitano di modifiche per accomodare
Per il fintech europeo specificamente, la sovranità del cloud è passata da preferenza a requisito operativo.
## Implicazioni di costo
Livelli di sovranità più elevati generalmente costano di più, ma il divario è inferiore a quanto comunemente creduto:
- **Livello 0 vs Livello 1**: differenza di costo minima (per lo più configurazione)
- **Livello 1 vs Livello 2**: i provider con sede UE (Hetzner, Scaleway) sono tipicamente *più economici* degli hyperscaler USA, spesso del 50-80%
- **Livello 2 vs Livello 3**: le certificazioni di cloud sovrano aggiungono costi, tipicamente un sovrapprezzo del 20-50% rispetto al cloud standard con sede UE
La transizione Livello 1 → Livello 2 è particolarmente favorevole economicamente — migliore sovranità + costo inferiore. La transizione Livello 2 → Livello 3 costa di più ma è richiesta per casi d'uso specifici ad alto rischio.
Per un confronto concreto dei costi, vedi il nostro [calcolatore costi AWS vs cloud UE](/it/cloud-savings-calculator/).
## Cosa porta il 2026-2027
La sovranità del cloud è un'area regolatoria e tecnica attiva. Da monitorare:
- **Schema di certificazione cloud UE (EUCS)** — certificazione paneuropea di sicurezza e sovranità del cloud, attualmente in fase di finalizzazione
- **Quadri di sovranità degli Stati membri** che continuano a evolversi (Cloud Act tedesco 2024, criteri aggiornati del Cloud de Confiance francese)
- **Applicazione di DORA** che chiarisce le aspettative per la sovranità del cloud nel settore finanziario
- **EU AI Act** che aggiunge considerazioni di sovranità del cloud specifiche per l'IA
- **IA sovrana** all'intersezione tra sovranità del cloud e obblighi dell'EU AI Act
Per le aziende europee, trattare la sovranità del cloud come postura strategica continua piuttosto che come decisione una tantum si allinea con la direzione regolatoria.
Ti è stato utile?
Grazie per il tuo feedback!