L’ascesa dei cloud sovrani è ormai un fenomeno inevitabile, poiché le crescenti esigenze normative e le pressioni geopolitiche costringono le aziende a ripensare alla gestione della localizzazione dei dati. Gli ambienti cloud localizzati stanno diventando sempre più fondamentali, permettendo alle organizzazioni di custodire i propri dati all'interno di giurisdizioni specifiche per soddisfare i requisiti di conformità e ridurre i rischi. Tuttavia, i cloud sovrani non possono prosperare senza garantire la portabilità dei dati, ovvero la possibilità di trasferirli facilmente tra sistemi e sedi. Oggi le organizzazioni non devono aspettare che le normative le spingano a prendere decisioni, ma devono adottare un approccio proattivo e all’avanguardia.

Le aziende devono fare i conti con la realtà che il trasferimento dei dati in ambienti ibridi è tutt'altro che un processo semplice. Non si tratta solo di spostare i dati principali, ma anche di garantirne la protezione, tenendo conto dei set di dati ad essi correlati, come i backup e le informazioni utilizzate nelle applicazioni di intelligenza artificiale. Mentre alcune organizzazioni potrebbero necessitare di proteggere i dati di addestramento dei Large Language Model (LLM), molte altre si stanno orientando verso soluzioni come la Retrieval-Augmented Generation (RAG) o gli agenti di IA per arricchire i loro dati proprietari, senza dover sviluppare modelli da zero. In ogni caso, la sovranità dei dati rappresenta una risposta valida alle sfide cui le aziende sono chiamate a rispondere oggi, ma l’attenzione deve rimanere sempre focalizzata sulla resilienza dei dati, indipendentemente dalla loro collocazione.

È una storia ben nota: il cloud offrirà alle aziende maggiori opzioni e flessibilità, ma per sfruttarne appieno i benefici sarà fondamentale adottare una visione integrata.

Cosa riserva il futuro

Le autorità di regolamentazione a livello globale stanno spingendo le organizzazioni a rivedere la gestione dei loro dati, adottando misure a ritmo serrato in risposta alla crescente globalizzazione dei dati, mentre i Paesi cercano di esercitare un maggiore controllo sulle informazioni. L'Unione Europea (UE) si è dimostrata particolarmente rigorosa, introducendo il Regolamento Generale sulla Protezione dei Dati (GDPR), che stabilisce la sovranità dei dati. Secondo tale regolamento, le leggi del Paese in cui i dati sono memorizzati o elaborati si applicano ora anche ai dati, indipendentemente dal luogo in cui sono stati originariamente raccolti. Nell'UE si pone inoltre grande attenzione alla catena di custodia dei dati, con regolamenti come NIS2 e DORA che impongono una gestione del rischio solida e trasparente, soprattutto quando i dati sono detenuti o gestiti da terzi.

Poiché i dati, inclusi quelli altamente sensibili e classificati, sono sempre più gestiti da terze parti, in particolare dai fornitori di cloud, il rispetto delle leggi sulla privacy è diventato una priorità per le organizzazioni e i governi, dato che i dati viaggiano oltre i confini nazionali.

Con l’aumento del flusso di dati tra Paesi e continenti, i rischi legati all’instabilità globale sono diventati inevitabili, soprattutto per i governi. Alcuni di essi hanno già adottato cloud sovrani per proteggere i propri dati più sensibili da potenziali accessi non autorizzati. Altri sono andati oltre. Poiché i servizi cloud dipendono interamente dall’infrastruttura dei centri dati, alcuni governi hanno iniziato a ridurre gli investimenti nelle infrastrutture cloud e nei dati esteri, preferendo invece reinvestire nelle proprie. In questo modo, possono evitare di archiviare i loro dati più sensibili presso fornitori stranieri.

Ma la sovranità del cloud non è una soluzione definitiva. Per le organizzazioni che utilizzano fornitori di cloud multinazionali, è possibile determinare dove vengono archiviati i dati e in quali Paesi sono conservati, ma non c'è alcuna garanzia che queste condizioni rimangano immutabili. Il problema non si risolve semplicemente trasferendo i dati primari. Certo, questi devono essere protetti, ma cosa dire di tutti i dati correlati? I backup e i set di dati utilizzati per l'addestramento dei Large Language Model, ad esempio, devono essere gestiti con particolare attenzione per garantire la conformità alla sovranità dei dati. In alternativa, le organizzazioni possono optare per agenti RAG o soluzioni di IA per arricchire i propri dati senza dover affrontare innanzitutto la gestione di ingenti volumi di dati per l'addestramento dell'intelligenza artificiale.

Libertà di movimento

Per riuscire in questo, le organizzazioni devono assicurarsi che la portabilità dei dati sia un elemento chiave nella loro strategia di resilienza. Infatti, esiste una linea sottile tra proteggere i dati e limitarli inavvertitamente oltre il loro punto di utilizzo. Se le aziende non sono in grado di garantire la portabilità dei dati, il passaggio a un ambiente cloud ibrido, che combina cloud sovrani e localizzazione dell'archiviazione dei dati, potrebbe rivelarsi controproducente.

Esistono fornitori di SaaS (Software-as-a-Service) e DRaaS (Disaster Recovery-as-a-Service) che possono semplificare il processo, ma non si tratta di un compito che può essere completamente delegato a terzi. Le organizzazioni devono comunque adottare un approccio pratico, pianificando e gestendo con attenzione ogni fase per garantire che i dati rimangano protetti durante l’intero processo. In caso contrario, non saranno in grado di sfruttare i cloud sovrani per rispettare le numerose normative sulla residenza e sulla sovranità dei dati.

Tuttavia, ci sono delle avvertenze. Per le grandi organizzazioni multinazionali che operano su più Paesi e continenti, sarà necessario adottare diversi ambienti cloud per ospitare vari cloud sovrani. Questo, però, comporta una maggiore complessità sia nel monitoraggio che nella gestione dei dati tra le diverse giurisdizioni. Non si dovrà solo gestire più ambienti cloud, ma anche rispettare normative sui dati differenti nei vari Paesi. Inoltre, per le organizzazioni in grado di affrontare questa sfida, il vantaggio di una maggiore resilienza dei dati si accompagna al rischio di una frammentazione dei dati.

Non esistono soluzioni semplici, ma è certo che la portabilità dei dati sarà un elemento cruciale per qualsiasi soluzione adottata dalle aziende. Qualunque sia l'approccio scelto, la capacità di trasferire i dati senza ostacoli da una piattaforma all’altra e da un cloud all’altro diventerà fondamentale per le organizzazioni che devono affrontare la sfida della sovranità dei dati. Inoltre, poiché le normative continuano a evolversi, la portabilità dei dati offrirà alle aziende un vantaggio significativo in termini di conformità futura, consentendo loro di adattarsi più agilmente alle nuove normative, mentre le controparti con minore portabilità incontreranno maggiori difficoltà.

Gestire il cloud

La globalizzazione dei dati non mostra segni di rallentamento: i flussi di informazioni sono ormai una forma di commercio autonoma, che genera un valore economico a sé stante. E con l’instabilità globale come fattore sempre presente, la sovranità dei dati non potrà che diventare una delle principali priorità. Tuttavia, non si tratta di un compito che può essere delegato a un fornitore terzo.

Anche se molte aziende non ne sono ancora pienamente consapevoli, la sovranità dei dati e la chiarezza operativa sono strettamente interconnesse. Per proteggere efficacemente i propri dati, è fondamentale sapere esattamente dove sono conservati e come vengono gestiti. Solo con una comprensione completa del panorama dei dati è possibile identificare le operazioni o i processi in cui la resilienza dei dati potrebbe essere vulnerabile e affrontare la questione della portabilità. Rivedendo la resilienza dei dati fin dalle basi, le organizzazioni possono consolidare la sicurezza, la conformità e la sovranità all'interno delle proprie operazioni, gestendole attivamente attraverso una valutazione dei rischi, verifiche di conformità e strategie che considerano l’impiego di più fornitori.

Con queste premesse, le organizzazioni possono iniziare a sfruttare efficacemente gli ambienti cloud ibridi, archiviando i dati più sensibili in sede, in linea con normative precise sulla sovranità dei dati, mentre i dati meno critici possono essere trasferiti nel cloud. Tuttavia, questa strategia è applicabile solo alle aziende che hanno dato priorità alla portabilità dei dati. Invece di aspettare che siano le normative a imporla, le organizzazioni devono adottare un approccio proattivo, sfruttando la flessibilità, la durata e, soprattutto, la sicurezza offerte dal cloud.