Glossario · Sovranità del Cloud UE EU Data Boundary (Microsoft EU Data Boundary (e offerte analoghe degli hyperscaler USA))
Offerta commerciale di Microsoft che si impegna ad archiviare ed elaborare i dati dei clienti UE all'interno di data center UE. Accordi simili sono offerti da AWS (European Sovereign Cloud) e Google (Sovereign Controls). Importante da comprendere: la residenza dei dati in data center UE NON cambia la giurisdizione aziendale sottostante del fornitore di servizi domiciliato negli USA.
## Cos'è realmente l'EU Data Boundary
Microsoft EU Data Boundary è un'offerta commerciale — lanciata nel 2023 e progressivamente ampliata da allora — con cui Microsoft si impegna ad archiviare ed elaborare i dati dei clienti per Microsoft 365, Dynamics 365, Power Platform e Azure all'interno di data center UE/EFTA. Accordi simili sono stati lanciati da AWS (European Sovereign Cloud) e Google Cloud (Sovereign Controls).
Il Boundary è un *impegno tecnico e commerciale* su *dove* i dati dei clienti vengono elaborati e archiviati. Non è **una riassegnazione giurisdizionale** — il fornitore rimane un'entità legale domiciliata negli USA soggetta al processo legale statunitense indipendentemente da dove i dati dei clienti risiedano fisicamente.
Questa distinzione è operativamente critica. È anche ampiamente fraintesa nelle conversazioni di approvvigionamento.
## Cosa fa realmente l'EU Data Boundary
Per l'EU Data Boundary di Microsoft specificamente (la più matura di queste offerte), gli impegni includono:
### Residenza dei dati
- **Customer Data** (i principali dati aziendali) archiviati in data center UE/EFTA
- **Dati personali pseudonimizzati** elaborati all'interno del boundary UE/EFTA
- **Log di sistema e dati diagnostici** progressivamente portati all'interno del boundary (questa è stata la parte più complicata — richiedendo più tempo di quanto suggerito dagli impegni iniziali)
- **Contenuti generati** (output AI ecc.) per i servizi inclusi nell'ambito del boundary
### Esposizione del servizio
Il Boundary copre (a partire dal 2026):
- **Microsoft 365** servizi core (Exchange Online, SharePoint, OneDrive, Teams)
- **Dynamics 365** servizi core
- **Power Platform** servizi core
- **Azure** servizi core di compute, storage, networking (esclusi alcuni servizi regionali specializzati)
Alcuni servizi rimangono fuori dal Boundary — in particolare alcuni servizi AI, certe analisi avanzate e servizi in cui il routing globale è strutturalmente richiesto (alcuni CDN, edge, identità).
### Cambiamenti operativi
Microsoft ha investito in modo significativo in:
- Personale operativo basato nell'UE per i servizi rientranti nel Boundary
- Ingegneri di supporto residenti nell'UE che gestiscono le interazioni con i clienti rientranti nel Boundary
- Modifiche dell'architettura tecnica che instradano i dati in ambito esclusivamente attraverso infrastrutture UE
## Cosa l'EU Data Boundary NON fa
Questa è la parte operativamente critica — e la fonte della maggior parte della confusione negli approvvigionamenti.
### Non cambia la giurisdizione aziendale
Microsoft Corporation rimane un'azienda statunitense domiciliata nello Stato di Washington. Microsoft Ireland Operations Limited rimane una controllata irlandese di Microsoft Corporation. Gli impegni del Data Boundary sono operativi; la giurisdizione aziendale è invariata.
### Non elimina l'esposizione al CLOUD Act
Il CLOUD Act statunitense consente alle autorità USA di obbligare le aziende domiciliate negli USA a divulgare dati indipendentemente da dove i dati siano fisicamente archiviati. Questo si applica a Microsoft Corporation (e alle sue controllate) indipendentemente dallo status di EU Data Boundary. Il Boundary riguarda la posizione fisica dei dati; il CLOUD Act riguarda quale entità aziendale detiene le chiavi.
### Non elimina l'esposizione a FISA 702
La Sezione 702 di FISA consente alle agenzie di intelligence USA di obbligare i fornitori domiciliati negli USA a divulgare comunicazioni e dati di non-cittadini USA. Lo status di Microsoft come fornitore domiciliato negli USA significa che questa esposizione persiste indipendentemente dagli impegni dell'EU Data Boundary.
### Non fornisce protezione strutturale contro la cessazione del servizio guidata da sanzioni
L'[incidente ICC / Microsoft del 2025](/it/blog/icc-microsoft-sanctions-cloud-sovereignty-lesson/) è la dimostrazione operativa. L'EU Data Boundary di Microsoft non ha (e strutturalmente non poteva) prevenire l'interruzione dell'email del procuratore sotto sanzioni USA. Le decisioni del ramo esecutivo statunitense su quali utenti europei un fornitore domiciliato negli USA può servire non sono vincolate dagli impegni di residenza dei dati.
## Come il Data Boundary interagisce con la regolamentazione europea
Lo stato operativo del Boundary nei quadri normativi europei è sfumato:
### GDPR
La residenza dei dati all'interno dell'UE è uno dei diversi fattori che il GDPR considera per i trasferimenti e l'elaborazione internazionali. Gli impegni dell'EU Data Boundary aiutano a soddisfare le aspettative di residenza dei dati del GDPR ma non soddisfano la più ampia questione della valutazione del trasferimento in stile Schrems II per i dati soggetti al processo legale USA.
### Schrems II e Clausole Contrattuali Standard
La sentenza Schrems II della Corte di Giustizia dell'Unione Europea affronta specificamente l'esposizione strutturale che crea rischio per i trasferimenti a fornitori domiciliati negli USA. L'EU Data Boundary non affronta l'esposizione strutturale — affronta la posizione fisica dei dati.
### NIS2 e DORA
I quadri settoriali di cybersecurity e resilienza operativa valutano "dove risiedono i dati" insieme a "chi può obbligare alla divulgazione". L'EU Data Boundary affronta la prima parte; la questione della giurisdizione aziendale richiede un'analisi separata.
### SecNumCloud / EUCS High
Gli schemi nazionali e UE di cloud sovrano ([SecNumCloud](/it/glossary/secnumcloud/), il contestato livello High di [EUCS](/it/glossary/eucs/)) richiedono *sia* la residenza dei dati UE *sia* l'immunità dal processo legale extra-UE. L'EU Data Boundary da solo non soddisfa questi criteri — motivo per cui gli hyperscaler USA hanno costruito strutture di joint venture (S3NS, Bleu) per queste categorie di approvvigionamento.
## A cosa il Data Boundary È utile
Nonostante le limitazioni strutturali, l'EU Data Boundary ha un vero valore operativo:
- **Conformità della residenza dei dati** per requisiti settoriali o contrattuali che si concentrano sulla posizione fisica
- **Riduzione della latenza** per i servizi rivolti ai clienti europei
- **Riduzione dell'onere di documentazione** dei trasferimenti transfrontalieri ai sensi del GDPR
- **Posizionamento pubblico sulla sovranità** che soddisfa le conversazioni di approvvigionamento meno sofisticate
- **Integrazione operativa** con la più ampia presenza UE di Microsoft
Per le organizzazioni i cui requisiti di sovranità sono limitati alla residenza dei dati (piuttosto che alla giurisdizione aziendale), l'EU Data Boundary è genuinamente utile e significativamente migliore della residenza dei dati USA di default.
## Quando il Data Boundary NON è sufficiente
Per le organizzazioni i cui requisiti di sovranità includono la protezione della giurisdizione aziendale:
- **Acquirenti del settore pubblico** soggetti a SecNumCloud, Cloud de Confiance o quadri nazionali equivalenti
- **Industrie regolamentate** (servizi finanziari sotto DORA, sanità sotto EHDS) con rigorosi requisiti di immunità
- **Carichi di lavoro sensibili** comprese operazioni legali, politiche o competitivamente sensibili
- **Approvvigionamenti di cloud sovrano degli Stati membri** con requisiti espliciti di immunità
Per queste categorie, l'EU Data Boundary non risolve la questione strutturale della sovranità. Sono richiesti fornitori europei di cloud sovrano (OVHcloud, Scaleway, Infomaniak, altri) o strutture di joint venture con hyperscaler USA (S3NS, Bleu).
## EU Data Boundary vs Cloud Sovrano Europeo
Diversi hyperscaler USA hanno lanciato o annunciato offerte di "Cloud Sovrano Europeo" oltre agli impegni di base del Data Boundary:
| Offerta | Tipo | Profondità della sovranità |
|----------|------|-------------------|
| **Microsoft EU Data Boundary** | Impegno di residenza dei dati | Limitata (l'esposizione al CLOUD Act persiste) |
| **AWS European Sovereign Cloud** | Regione AWS separata solo UE gestita da controllata UE | Migliorata ma comunque controllata dal parent |
| **Google Sovereign Controls** | Crittografia controllata dal cliente + residenza dei dati UE | Meglio della baseline ma il parent USA persiste |
| **S3NS (Thales + Google)** | JV controllata da Thales con tecnologia Google | Vera giurisdizione francese (SecNumCloud) |
| **Bleu (Capgemini/Orange + Microsoft)** | JV francese con tecnologia Microsoft | Vera giurisdizione francese (in processo di qualifica) |
Il pattern: le offerte di sola residenza dei dati sono più facili da costruire ma meno sovrane; le strutture di joint venture con controllo operativo UE offrono una sovranità più forte a maggiore complessità operativa.
## Implicazioni pratiche
- **Per i team di approvvigionamento**: chiarire se i requisiti di sovranità riguardano la residenza dei dati o la giurisdizione aziendale; le risposte determinano l'idoneità del fornitore
- **Per i DPO e la compliance**: l'EU Data Boundary aiuta la residenza dei dati GDPR ma non soddisfa le questioni strutturali di Schrems II
- **Per gli acquirenti dell'industria regolamentata**: l'EU Data Boundary da solo non soddisfa SecNumCloud o i requisiti settoriali di cloud sovrano
- **Per i carichi di lavoro sensibili** (legali, politici, competitivamente sensibili): l'EU Data Boundary è insufficiente — considerare fornitori europei di cloud sovrano o strutture JV
- **Per i carichi di lavoro commerciali ordinari**: l'EU Data Boundary è genuinamente utile e migliore della residenza USA di default
L'EU Data Boundary è un impegno operativo significativo che affronta una dimensione della sovranità del cloud (la residenza dei dati) senza affrontare la dimensione strutturale più profonda (la giurisdizione aziendale). Comprendere la distinzione è operativamente essenziale per gli approvvigionamenti cloud europei nel 2026.
Ti è stato utile?
Grazie per il tuo feedback!