Post di Julio Guijarro, CTO EMEA Red Hat –

Negli ultimi anni, la sovranità digitale è diventata un tema ricorrente nelle conversazioni con i nostri partner e clienti nell’area EMEA. Non esiste un’unica ragione per questo crescente interesse; piuttosto, una serie di fattori convergenti ne stanno accelerando l’urgenza.

Il più evidente è l’instabilità geopolitica. Sanzioni economiche e tensioni commerciali continuano a perturbare gli scambi a livello globale, tanto che una coalizione di quasi 100 organizzazioni ha esortato i leader della Commissione Europea a istituire un fondo dedicato alla costruzione dell’indipendenza tecnologica. In una lettera congiunta indirizzata alla Presidente Ursula von der Leyen e alla Commissaria Digitale Henna Virkkunen, il gruppo ha sottolineato l’esigenza di investimenti strategici in infrastrutture sviluppate nel perimetro dell’UE per ridurre la dipendenza dai giganti tecnologici non europei.

Ragioni geopolitiche e pressione normativa

In parallelo, c’è la preoccupazione che affidarsi a fornitori di cloud apparentemente neutrali possa generare dei rischi. Un esempio è la decisione di un importante hyperscaler di interrompere l’accesso alla posta elettronica della Corte Internazionale di Giustizia a seguito di pressioni politiche, evidenziando come gli obblighi a cui è sottoposto il fornitore possano talvolta prevalere sulle esigenze del cliente.

Oltre alle preoccupazioni geopolitiche, cresce anche la pressione normativa, con regolamenti come DORA (Digital Operational Resilience Act) e NIS2 che impongono alle istituzioni finanziarie e ai fornitori di infrastrutture critiche europei di operare per garantire la resilienza operativa.

Se è vero che le dinamiche geopolitiche hanno portato alla ribalta il tema della sovranità digitale, sarebbe un errore considerarla una sfida nuova. In fondo, la sovranità digitale è intrinsecamente legata ai concetti di resilienza e autonomia. Le organizzazioni devono dimostrare di poter operare in modo indipendente. Anche quando i cambiamenti politici globali o le decisioni dei fornitori ne interrompono le operazioni.

Prepararsi alle conseguenze impreviste

Nell’aprile 2022, la Amsterdam Trade Bank (ATB), istituzione olandese che godeva di una relativa stabilità finanziaria, fu costretta al fallimento. Questo non accadde per cattiva gestione o insolvenza, ma a causa delle sanzioni imposte alla sua società madre russa, Alfa Bank.

Quando Stati Uniti, UE e Regno Unito imposero sanzioni contro entità russe nella primavera del 2022, le ripercussioni furono catastrofiche per la ATB. Nonostante fosse pienamente conforme alle leggi olandesi ed europee, per i fornitori di servizi, nel rispetto delle medesime leggi e sanzioni, scattò l’obbligo di interrompere bruscamente la fornitura di servizi cloud critici. Inclusi quelli di posta elettronica e per le principali operazioni bancarie. Senza accesso a spazi di lavoro basati su cloud e suite software aziendali, ATB perse la capacità di comunicare sia internamente che con i clienti, cosa che portò al suo improvviso collasso.

Sebbene le sanzioni contro Alfa Bank siano state implementate in un contesto differente, si tratta di un caso che sottolinea una distinzione cruciale in tema di sovranità: la conformità di un’impresa non ne garantisce l’autonomia. Anche organizzazioni legalmente sovrane possono fallire se mancano di resilienza operativa. La totale dipendenza di ATB dai suoi fornitori la lasciò indifesa quando questi ritirarono il supporto, un chiaro esempio di quando il “vendor lock-in” possa essere catastrofico.

Il riconoscimento tardivo del Governo olandese

Mentre la “sovranità digitale” si riferisce al controllo imposto dal governo, come il GDPR o le leggi sulla localizzazione dei dati, l’”autonomia digitale” riguarda la capacità di un’organizzazione di operare in modo indipendente, sia che le interruzioni siano causate da dinamiche geopolitiche o dal fornitore. Una distinzione ufficialmente riconosciuta solo più di due anni dopo dal governo olandese.

ATB era sovrana (regolamentata dalla legge olandese) ma non autonoma; quindi, quando i suoi fornitori di cloud staccarono la spina, si trovò di colpo impossibilitata a operare e senza un piano di riserva. Naturalmente, quello di ATB non è un caso isolato: in Australia un altro importante hyperscaler ha accidentalmente cancellato l’account online del fondo pensione UniSuper. Fortunatamente per UniSuper e il suo mezzo milione di iscritti, in questo caso si era saggiamente optato per un backup di terze parti.

Costruire la vera autonomia richiede un approccio strategico

Per evitare il destino di ATB, le organizzazioni devono adottare misure proattive per la resilienza tecnologica e dei sistemi. In primo luogo, dovrebbero eliminare i singoli punti di fallimento adottando strategie multi-cloud o ibride, incluse soluzioni on-premise, riducendo la dipendenza da un singolo fornitore.

Le soluzioni open source offrono portabilità tra ambienti, aiutando le aziende a evitare il lock-in nell’ecosistema di un singolo fornitore e fornendo ai clienti la flessibilità, la privacy e la portabilità necessarie per adattarsi a future normative e requisiti di sovranità.

Inoltre, tecnologie specifiche come il Confidential Computing possono aiutare a continuare a utilizzare gli investimenti attuali nelle tecnologie cloud proteggendo i dati da operazioni di terze parti. Essendo un modo distribuito di sviluppare, per natura il software open source offre accesso e trasparenza senza dipendere da un singolo fornitore, appoggiandosi invece alla comunità come vero e proprio backup.

Il controllo della exit strategy

In secondo luogo, le organizzazioni devono controllare la loro exit strategy, per una migrazione fluida di dati e applicazioni nel caso in cui i fornitori cambino politiche o affrontino restrizioni geopolitiche. Infine, dovrebbero investire nella resilienza guidata dalla community, che può fornire una rete di sicurezza aggiuntiva.

La geopolitica incontra il cloud: come le tensioni globali stanno ridefinendo il concetto di sovranità digitale in Europa e nel mondo (immagine da Freepik)

La grave crisi del database CVE, pietra angolare della cybersecurity globale, in seguito ai tagli ai finanziamenti negli Stati Uniti, e il successivo salvataggio, grazie alla collaborazione internazionale, dimostra l’urgenza di soluzioni decentralizzate e anche la necessità di poter continuare a innovare proteggendo la collaborazione e i contributi globali. Innovare è costoso e i consumatori potrebbero perdere progressi importanti e sicurezza.

Sovranità digitale come imperativo strategico 

Se l’autonomia digitale è necessaria, dobbiamo anche proteggere la collaborazione e l’innovazione globali mettendo le comunità open source al centro. L’open source offre trasparenza e controllo del codice, accelerando al contempo l’innovazione, rendendolo un investimento strategico chiave per lo sviluppo di talenti locali/sovrani.

Le organizzazioni non possono permettersi di adottare un approccio di attesa rispetto al loro futuro digitale. A fronte di leggi sulla sovranità che continueranno a evolversi, la resilienza rimane un tema permanente. La sovranità digitale non è solo un obbligo normativo, è un imperativo strategico per la sopravvivenza. I casi ATB e UniSuper dimostrano che la sola conformità legale è insufficiente a garantirla. E che la vera autonomia richiede resilienza tecnica e indipendenza da ogni forma di vendor lock-in.