Sovranità digitale: perché ogni azienda deve scegliere da chi dipendere

L’8 aprile 2026 la Francia ha segnato un passaggio simbolico e operativo insieme: l’organo del governo francese responsabile della strategia digitale dello Stato, la Direction Interministérielle du Numérique (DINUM), ha avviato la transizione da Windows a Linux per i terminali della pubblica amministrazione, con l’obiettivo di ridurre la dipendenza da fornitori extraeuropei in aree critiche come sistemi operativi, strumenti collaborativi e infrastrutture di rete. Il ministro David Amiel ha sintetizzato il punto con chiarezza: non è più accettabile che dati e scelte strategiche restino affidati a soluzioni di cui non si controllano regole, prezzi e rischi.

Non si tratta di una mossa isolata. È un segnale per chiunque gestisca tecnologia in azienda: quante delle soluzioni usate ogni giorno dipendono da policy che non avete scritto voi? La sovranità digitale non riguarda solo la pubblica amministrazione. È una questione di controllo reale sui processi, sui dati e sulle infrastrutture.

Il contesto europeo: una traiettoria condivisa

La decisione francese ha una data precisa, ma radici più profonde. Il 10 giugno 2025, davanti al Senato francese, Microsoft ha dovuto rispondere a una domanda diretta: può garantire che i dati conservati in Francia non vengano mai trasmessi al governo americano? La risposta è stata no. Non per evasività, ma per impossibilità giuridica: il CLOUD Act del 2018 impone a qualsiasi azienda americana di rispondere alle richieste di accesso delle autorità federali, indipendentemente da dove quei dati siano fisicamente archiviati. Nessun contratto con clienti europei può derogare a una legge federale.

Per il governo francese quella risposta ha chiuso un dibattito. La DINUM ha dato mandato a ogni ministero di presentare entro l’autunno una roadmap per ridurre la dipendenza dagli strumenti americani su sette assi: sistema operativo, strumenti collaborativi, antivirus, intelligenza artificiale, database, virtualizzazione e infrastrutture di rete. Non è un salto nel vuoto: la Gendarmerie nationale usa Linux dal 2008, con risultati documentati. Oggi la Caisse nationale d’assurance maladie sta migrando 80.000 agenti verso strumenti sovrani ospitati su server certificati dall’agenzia nazionale di cybersicurezza francese.

La Francia non si muove da sola. La Danimarca sta valutando la sostituzione di Microsoft Office con LibreOffice negli uffici pubblici. La Germania lavora a infrastrutture cloud sovrane basate su OpenStack. Parigi spinge per un consorzio europeo dedicato agli strumenti digitali sovrani, perché la partita, giocata da un paese solo contro piattaforme da centinaia di miliardi, è già persa in partenza.

Quello che sta emergendo non è una reazione emotiva alle tensioni geopolitiche. È il riconoscimento collettivo che una vulnerabilità rimasta a lungo sottotraccia, l’accesso extragiurisdizionale ai dati, il lock-in su infrastrutture critiche, l’assenza di portabilità reale, è diventata troppo concreta per continuare a ignorarla. NIS2 e DORA stanno ora traducendo quella consapevolezza in obblighi normativi. Anche per le imprese private.

Dipendenza tecnologica: i rischi concreti per le PMI italiane

Quello che ha spinto la Francia a cambiare rotta non riguarda solo le istituzioni pubbliche. Quando la dipendenza da un singolo fornitore diventa strutturale, le conseguenze non sono astratte: si misurano in ore di fermo, dati inaccessibili, conformità impossibile da dimostrare.

Il costo che non appare nei preventivi

L’80% della spesa cloud europea finisce a fornitori americani, e chi vuole proteggere i propri dati con garanzie giurisdizionali europee deve pagare un premium per farlo. I servizi cloud “sovrani” degli hyperscaler, Azure Government, AWS European Sovereign Cloud, esistono, ma costano significativamente di più rispetto alle offerte standard. La protezione del dato si è trasformata in una voce aggiuntiva a catalogo. Il risultato è un mercato a due livelli: le grandi multinazionali, con budget IT e strutture legali proporzionate, lo assorbono senza difficoltà. Le PMI manifatturiere che gestiscono dati sensibili di processo restano le più esposte, perché le regole pensate per proteggere tutti finiscono per tutelare meglio chi è già attrezzato.

Il controllo si misura nel momento della verità

Come già emerso con il CLOUD Act, quando i dati sensibili risiedono su piattaforme che l’azienda non governa, la dipendenza resta invisibile, finché non diventa un problema. Per un produttore manifatturiero, quel momento può arrivare sotto forma di parametri di qualità inaccessibili, tracciabilità lotto bloccata, log di macchine fermi. Non serve un’emergenza geopolitica a innescarlo: basta un cambio di policy unilaterale, un aggiornamento contrattuale silenzioso, un’interruzione non pianificata del servizio.

Il caso CrowdStrike del 2024 – un aggiornamento di routine che ha mandato in crash 8,5 milioni di dispositivi Windows, paralizzando aeroporti, ospedali e linee produttive in tutto il mondo - ha dimostrato che l’effetto domino non è uno scenario teorico. Un singolo provider può fermare contemporaneamente centinaia di organizzazioni, senza alcun attacco e senza alcun preavviso.

I rischi identificati per chi si trova in questa posizione sono precisi:

Blocco operativo per interruzioni del servizio o decisioni unilaterali del fornitore.
Lock-in tecnologico: ogni mese che passa, migrare diventa più costoso e più rischioso.
Effetto domino: la compromissione di un provider si propaga istantaneamente su tutti i clienti.
Compliance a rischio: senza visibilità reale su dove e come i dati vengono trattati, GDPR, NIS2 e DORA diventano obblighi impossibili da dimostrare.

NIS2 e DORA: da requisiti astratti a obblighi operativi

NIS2, recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di cybersecurity a settori che fino a ieri si consideravano fuori perimetro: manifattura, alimentare, chimica, gestione dei rifiuti. La soglia è dimensionale, PMI sopra i 250 dipendenti o €50 milioni di fatturato rientrano tra i soggetti importanti, ma il principio è più largo: non basta avere sistemi sicuri, serve dimostrarne la governance effettiva, catena di fornitura compresa. DORA, attiva dal gennaio 2025 per il settore finanziario, fissa lo standard che il mercato si aspetta anche altrove: test periodici di resilienza, gestione documentata dei rischi ICT di terze parti, notifica degli incidenti.

Chi dipende da cloud extraeuropei senza clausole di portabilità, continuità e trasparenza si trova in una posizione difficile da sostenere davanti agli organi di vigilanza. La compliance ha smesso di essere una questione di documenti. È diventata una questione di controllo reale su ciò che fa girare l’azienda.

Il salto che le imprese italiane devono ancora fare

Il tessuto manifatturiero italiano, i distretti di Lombardia, Piemonte, Veneto, Emilia-Romagna, è tra i più industrializzati d’Europa. Ma la digitalizzazione di quei distretti è avvenuta spesso per urgenza, non per disegno: strumenti cloud adottati rapidamente, senza una valutazione delle dipendenze create nel tempo. Molte aziende hanno modernizzato i processi senza acquisire il controllo delle infrastrutture su cui quei processi girano. Il collo di bottiglia, in questi casi, non è mai tecnico. È la mancanza di visibilità su chi controlla cosa, su dove risiedono i dati che fanno girare la produzione, su cosa succederebbe se un fornitore cambiasse le condizioni domani mattina.

IBM definisce la sovranità digitale come il livello di controllo di un’organizzazione sui propri asset digitali, dati, software, processi e infrastrutture. Non è una questione geografica. È una condizione operativa: chi governa i sistemi, chi può accedervi, e come quella responsabilità può essere dimostrata in modo continuo e verificabile.

La domanda rilevante, quindi, non è “uso un software americano o europeo?”. È più scomoda: se il fornitore alzasse i prezzi domani, potrei uscire senza perdere mesi di dati? Se chiudesse il servizio, cosa resterebbe nelle mie mani? Se un’ispezione chiedesse visibilità sui flussi di dati, saprei rispondere?

Chi non ha ancora risposto a queste domande non ha un problema tecnologico. Ha un problema di conoscenza della propria esposizione.

Sovranità operativa: una scelta di architettura, prima che di compliance

IBM distingue tra due approcci che in apparenza sembrano equivalenti ma producono risultati molto diversi nel tempo. Il primo aggiunge la sovranità come layer sopra un’infrastruttura esistente, una garanzia contrattuale, una certificazione, un prefisso “sovereign” nel nome del servizio. Il secondo la costruisce by design: il controllo non è una funzione opzionale attivata su richiesta, ma una caratteristica strutturale del sistema. Per un’azienda manifatturiera, la differenza è concreta. Nel primo caso, la dipendenza rimane, è solo più costosa da mantenere. Nel secondo, i dati restano dove l’azienda decide, la logica di funzionamento è trasparente e modificabile, il controllo operativo non migra silenziosamente verso il fornitore.

Automatizzare un processo significa affidare a un sistema decisioni che prima richiedevano intervento umano. È utile, spesso necessario. Ma se quel sistema non si può ispezionare, modificare o spostare, con l’automazione si cede anche il controllo. La domanda da fare a qualsiasi fornitore - di software, di cloud, di AI - non è solo “funziona?”, è “questa architettura, tra tre anni, sarà ancora mia?”.

Un segnale da leggere prima che diventi obbligo

La mossa della Francia non è un caso isolato. Anticipa una pressione che le organizzazioni italiane sentiranno crescere su più fronti simultaneamente, normativo, competitivo, reputazionale. NIS2 e DORA sono già in vigore. I requisiti di supply chain security si estenderanno progressivamente a settori che oggi si considerano fuori perimetro. Chi aspetta che la dipendenza diventi un problema formale, parte già in ritardo.

Il primo passo non è un progetto di migrazione. È una mappa: chi fornisce cosa, dove risiedono i dati critici, quali dipendenze non si possono interrompere senza fermare la produzione. Non per azzerare ogni fornitore esterno, sarebbe irrealistico e controproducente, ma per conoscere la propria esposizione reale. La differenza tra chi gestisce la dipendenza e chi la subisce non è tecnica. È la differenza tra chi ha fatto quelle domande in anticipo e chi le affronta sotto pressione.

Fonti: