Glossario · Cloud sovrano UE SecNumCloud (ANSSI Cloud Computing Security Qualification)
Qualificazione per i servizi cloud dell'agenzia nazionale francese per la cybersicurezza (ANSSI). Combina una base di sicurezza ad alta garanzia con requisiti di sovranità (immunità rispetto al diritto extra-UE). Fondamento tecnico del label Cloud de Confiance.
## Che cos'è davvero SecNumCloud
SecNumCloud è la qualificazione di sicurezza per il cloud computing rilasciata dall'**ANSSI** (Agence nationale de la sécurité des systèmes d'information), l'agenzia nazionale francese per la cybersicurezza. La versione attuale, **SecNumCloud 3.2**, è stata pubblicata nel 2022 e ha rafforzato sensibilmente i precedenti criteri di sovranità.
SecNumCloud è il fondamento tecnico del più ampio label [Cloud de Confiance](/it/glossary/cloud-de-confiance/). Mentre Cloud de Confiance è il quadro politico più ampio, SecNumCloud è la qualificazione tecnica specifica.
## Che cosa richiede SecNumCloud
SecNumCloud 3.2 impone circa **300 controlli di sicurezza** su più ambiti, tra cui:
### Sicurezza tecnica
- Controlli crittografici (algoritmi conformi FIPS, gestione delle chiavi sotto controllo UE)
- Segmentazione di rete e isolamento del traffico
- Audit logging e rilevamento degli incidenti
- Gestione delle vulnerabilità e patching
- Backup e disaster recovery
### Sicurezza operativa
- Vetting del personale con accesso amministrativo (deve essere residente UE)
- Sicurezza fisica dei data center
- Procedure operative con change management formale
- Sicurezza della supply chain
### Sovranità (l'elemento distintivo)
SecNumCloud 3.2 ha introdotto requisiti espliciti di sovranità che lo distinguono dagli standard internazionali come ISO 27001:
- **Nessuna esposizione al diritto extraterritoriale**: il fornitore deve essere strutturalmente immune rispetto al diritto extra-UE, inclusi [CLOUD Act](/it/glossary/cloud-act/) e FISA 702
- **Struttura societaria sotto controllo UE**: proprietà maggioritariamente europea; nessuna capogruppo estera con controllo effettivo
- **Residenza dei dati nell'UE**: i dati dei clienti e i metadati devono restare nell'UE
- **Personale UE**: il personale con accesso amministrativo deve essere residente UE e soggetto al diritto UE
I requisiti di sovranità sono il motivo per cui la maggior parte degli hyperscaler statunitensi può raggiungere SecNumCloud solo tramite joint venture con aziende francesi (S3NS, Bleu).
## Come funzionano gli audit SecNumCloud
Il processo di qualificazione prevede:
1. **Domanda** all'ANSSI
2. **Audit da parte di un laboratorio di valutazione Common Criteria qualificato dall'ANSSI** (Centre d'évaluation de la sécurité des technologies de l'information, CESTI)
3. **Revisione tecnica** da parte dell'ANSSI
4. **Concessione della qualificazione** se i criteri sono soddisfatti
5. **Ricertificazione periodica** (di norma ogni 3 anni)
L'audit è esteso e costoso, in genere 12-18 mesi e diverse centinaia di migliaia di euro per un fornitore credibile. Questa barriera assicura che solo gli attori seri del cloud sovrano lo ottengano.
## Fornitori attualmente qualificati (selezione)
Al 2026, tra i fornitori che detengono la qualificazione SecNumCloud 3.2 rientrano:
- **OVHcloud** (offerte specifiche)
- **Outscale** (Dassault Systèmes)
- **S3NS** (tecnologia Google Cloud sotto controllo Thales)
- **Bleu** (tecnologia Microsoft Azure di Capgemini/Orange, in fase di qualificazione)
- **Numspot** (JV di Docaposte/Bouygues/Dassault/Banque des Territoires)
- **Worldline** (offerte specifiche)
- Vari fornitori specializzati di dimensioni minori
L'elenco è volutamente ristretto: SecNumCloud è posizionato come segnale di alta garanzia, non come certificazione di massa.
## Perché SecNumCloud è importante
### 1. Il riferimento per la sovranità cloud
SecNumCloud 3.2 ha fissato il riferimento tecnico e strutturale di che cosa significhi 'vera' sovranità cloud. Altri schemi nazionali europei (BSI C5, ACN italiano, ENS spagnolo) convergono sempre più verso modelli analoghi.
### 2. Porta d'accesso agli appalti del settore pubblico
La 'doctrine cloud au centre' francese (dottrina cloud-first) impone l'uso di cloud qualificato SecNumCloud per i carichi di lavoro sensibili del settore pubblico. È una pipeline di appalti del valore di diversi miliardi di euro.
### 3. Operatori di servizi essenziali (NIS2)
Gli operatori di servizi essenziali in Francia ai sensi di [NIS2](/it/glossary/nis2/) guardano sempre più a SecNumCloud come modalità canonica per dimostrare la sicurezza cloud. Le linee guida ANSSI nell'ambito NIS2 rinviano direttamente a SecNumCloud.
### 4. Il modello per EUCS High
Il livello 'High' del controverso schema [EUCS](/it/glossary/eucs/), se finalizzato con criteri di sovranità, riprodurrebbe probabilmente da vicino SecNumCloud 3.2.
### 5. Joint venture con hyperscaler
S3NS (Thales + Google Cloud) e Bleu (Capgemini/Orange + Microsoft) esistono *grazie a* SecNumCloud. Il modello di joint venture è l'unico modo per cui la tecnologia degli hyperscaler statunitensi possa servire carichi soggetti a SecNumCloud.
## SecNumCloud vs SOC 2 / ISO 27001 / BSI C5
| Aspetto | SecNumCloud | SOC 2 / ISO 27001 | BSI C5 |
|---------|-------------|---------------------|--------|
| Base di sicurezza | Completa | Completa | Completa |
| Requisiti di sovranità | **Sì (stringenti)** | Nessuno | Lievi (documenta l'esposizione) |
| Struttura societaria UE | Richiesta | Non richiesta | Non richiesta |
| Immunità rispetto al diritto estero | Richiesta | Non trattata | Non richiesta |
| Rigore dell'audit | Molto alto | Medio-alto | Alto |
| Costo tipico | Alto | Medio | Medio-alto |
| Mercato | Settori regolamentati francesi | Internazionale | Settori regolamentati tedeschi |
SecNumCloud è unico nel combinare una base di sicurezza solida con criteri di sovranità vincolanti.
## Cosa significa SecNumCloud nella pratica
### Per gli acquirenti francesi
SecNumCloud è l'aspettativa di default per i carichi sensibili. Per i settori regolamentati (banche, sanità, difesa) e per il settore pubblico è di fatto obbligatorio.
### Per i fornitori cloud europei
La qualificazione SecNumCloud è un investimento costoso ma di alto valore per servire i mercati regolamentati francesi. La certificazione crea un vantaggio competitivo difendibile.
### Per gli hyperscaler statunitensi
La qualificazione SecNumCloud diretta è strutturalmente impossibile per via dell'esposizione al CLOUD Act. La partecipazione richiede un modello di joint venture (S3NS, Bleu) in cui il partner francese detenga il controllo di maggioranza.
### Per le aziende europee in generale
I fornitori qualificati SecNumCloud sono opzioni credibili indipendentemente dall'origine nazionale. La loro qualificazione è una prova significativa di allineamento sulla sovranità.
## Cosa porterà il 2026-2027
- **SecNumCloud 4.0**: revisione attesa allineata a NIS2 e ai lavori EUCS
- **Estensioni per carichi di IA** mentre l'ANSSI sviluppa linee guida cloud per l'AI Act
- **Più qualificazioni di JV** man mano che gli hyperscaler statunitensi ampliano le partnership europee
- **Convergenza con EUCS** se lo schema paneuropeo verrà finalizzato con criteri di sovranità forti
- **Applicazione nel settore pubblico** con il completamento delle migrazioni cloud-first delle agenzie francesi
## Implicazioni pratiche
Per la maggior parte degli acquirenti tech europei:
- **Se sei nel settore pubblico francese o in un'industria regolamentata**: SecNumCloud è direttamente rilevante
- **Se servi clienti regolamentati francesi**: il cloud qualificato SecNumCloud è sempre più richiesto nella tua supply chain
- **Se valuti la sovranità cloud in senso ampio**: SecNumCloud è il quadro europeo più maturo, i suoi requisiti sono il riferimento
- **Per le decisioni SaaS quotidiane**: SecNumCloud è contesto di sfondo
Ti è stato utile?
Grazie per il tuo feedback!