L’adozione del Software as a Service (SaaS) è diventata una pratica comune tra le aziende, ma c’è una convinzione diffusa che delegare un’applicazione al cloud significhi anche trasferire la responsabilità dei dati. Questa percezione è errata e può avere conseguenze significative.
Il modello a responsabilità condivisa chiarisce che il provider cloud garantisce solo la disponibilità del servizio e la sicurezza dell’infrastruttura. Tutto il resto, dai dati alle configurazioni, rimane di competenza dell’azienda cliente. Questo modello non è una clausola nascosta, ma la base su cui si fonda l’intero sistema.
Residenza vs. sovranità del dato: una distinzione cruciale
Un primo equivoco riguarda la differenza tra residenza e sovranità del dato. La residenza indica dove i dati sono fisicamente archiviati, mentre la sovranità riguarda chi li controlla e quale giurisdizione si applica. Questa distinzione è fondamentale in un contesto geopolitico sempre più complesso.
Ad esempio, il GDPR europeo e il Cloud Act statunitense creano obblighi spesso difficili da conciliare. Un’azienda europea che utilizza una piattaforma americana potrebbe essere soggetta a richieste di accesso da parte delle autorità statunitensi, anche se i server sono fisicamente in Europa. La posizione geografica dei dati è importante, ma non sufficiente.
Compliance e resilienza: due pilastri della sovranità del dato
Negli ultimi anni, il quadro normativo è diventato più esigente. In Europa, regolamenti come DORA e NIS2 impongono alle organizzazioni di dimostrare capacità concrete di gestione del rischio operativo. Il GDPR richiede da anni che le aziende possano dimostrare dove vengono trattati i dati personali e con quali garanzie.
Negli Stati Uniti, le nuove regole della SEC sulla disclosure degli incidenti di cybersecurity obbligano le aziende quotate a rendere pubblici gli impatti materiali. In California, il CCPA continua a estendersi. In questo scenario, la risposta ‘il dato è in cloud, ma non sappiamo esattamente dove’ non è sostenibile. La delega operativa non esime dalla responsabilità, che rimane sempre a carico dell’azienda.
Un’ulteriore vulnerabilità emerge quando si parla di resilienza. Molte aziende credono di essere protette perché utilizzano soluzioni di backup per i propri ambienti SaaS. Tuttavia, la domanda giusta non è ‘abbiamo un backup?’, ma ‘il nostro backup è davvero indipendente dal sistema che stiamo proteggendo?’. Se il backup risiede sulla stessa infrastruttura del provider principale, quello che si ottiene è ridondanza, non indipendenza.
In scenari di compromissione estesa, interruzione del servizio o crisi geopolitica, la ridondanza non basta. Serve un air gap reale, un sistema di protezione che possa operare anche quando l’ambiente primario non è disponibile. La sovranità, in questo senso, è anche una questione di resilienza operativa: avere la certezza che, in qualsiasi condizione, si possa recuperare ciò che serve, da dove si sceglie, nei tempi richiesti.
Portabilità e controllo: la libertà di cambiare
Un altro aspetto strategico spesso trascurato è la portabilità. La sovranità del dato include la capacità di spostarsi, cambiando provider, adattandosi a nuove normative, uscire da un ambiente cloud se le condizioni cambiano. Questo richiede formati di export utilizzabili, SLA di ripristino realistici e una pianificazione che non sia teorica.
Le aziende che non si pongono queste domande oggi, in condizioni di normalità, si troveranno a rispondervi in emergenza, e le risposte, in quel contesto, saranno molto più costose. La sovranità del dato è una responsabilità che non può essere rimandata.
Il cloud ha trasformato il modo in cui le aziende costruiscono e gestiscono la propria infrastruttura digitale. Ha abbassato le barriere, accelerato l’innovazione, ridotto i costi operativi, ma non ha eliminato la responsabilità, l’ha redistribuita in un modo che richiede nuova consapevolezza.
La domanda che ogni CIO, CISO e responsabile della conformità dovrebbe porsi non è più solo ‘siamo protetti?’, ma ‘siamo sovrani?’. Dove vivono i nostri dati, chi li controlla, come li recuperiamo, come lo dimostriamo a un regolatore. Nel modello a responsabilità condivisa, il provider fa la sua parte, ma la sovranità del dato è, e rimane, una responsabilità del cliente.
