Post di Alessio Branchesi, Country Manager Italia di Pure Storage

Immagine di wirestock su Freepik

Da tempo i dati sono riconosciuti come l’asset più prezioso di un’azienda, probabilmente più importante delle infrastrutture fisiche o persino del brand. Ne è prova il fatto che nel 2024 gli asset aziendali intangibili – principalmente dati, inclusi R&S e proprietà intellettuale – abbiano superato i 60.000 miliardi di dollari di valore. Se utilizzati in modo efficace, i dati consentono di ottenere un vantaggio competitivo, aprire nuovi mercati, prendere decisioni migliori e offrire esperienze per i clienti innovative.

Considerata la loro centralità nelle operazioni quotidiane delle imprese moderne, oggi più che mai i dati devono essere gestiti e protetti. In un contesto di persistente incertezza geopolitica globale, il tema della sovranità dei dati è diventato prioritario per governi, autorità di regolamentazione e aziende.

Residenza dei dati e sovranità dei dati

La sovranità dei dati è definita come il principio secondo cui i dati sono soggetti alle leggi e ai sistemi di governance del Paese in cui vengono raccolti o archiviati. Essa riguarda quindi chi ha l’autorità di stabilire come i dati vengano gestiti, consultati e utilizzati, soprattutto in un mondo sempre più interconnesso e data-driven.

Per lungo tempo, le aziende hanno ritenuto che la sovranità dei dati coincidesse semplicemente con il luogo in cui i dati risiedono. Tuttavia, alla luce dei cambiamenti geopolitici e dell’impatto dell’intelligenza artificiale, le aziende devono oggi distinguere chiaramente tra residenza dei dati – dove i dati sono fisicamente archiviati – e sovranità dei dati – chi esercita la giurisdizione legale su tali dati.

I rischi della sovranità dei dati: la tempesta perfetta

Oggi nuovi fattori di rischio stanno ridefinendo il panorama della sovranità dei dati e sollevano interrogativi inediti sull’accesso e sull’utilizzo dei dati critici per il business. Conflitti geopolitici, normative emergenti, competizione internazionale e la crescente esigenza di un più stretto controllo dei dati per alimentare l’innovazione stanno spingendo i vertici aziendali a riconsiderare dove risiedono i dati strategici, chi ne detiene l’autorità e quale impatto ciò abbia sulle operazioni.

Fino a poco tempo fa, l’idea che le operazioni digitali o i servizi di un’azienda potessero essere interrotti da un “interruttore di emergenza” di terze parti sarebbe parsa impensabile. Oggi, invece, esistono le condizioni affinché le attività fondamentali di governi o grandi imprese globali possano essere sospese o revocate senza preavviso tramite leggi o regolamenti stranieri. Analizzando tre fattori in particolare, emerge chiaramente come le interruzioni di servizio o i blackout non siano più solo ipotetici.

Tensioni geopolitiche

Con l’aumento dei conflitti tra Paesi e delle sanzioni economiche, gli Stati stanno limitando i flussi di beni, servizi e dati, così come il commercio, la collaborazione e la libera circolazione delle informazioni. Ricerche OCSE/OMC stimano che le sole interruzioni nello scambio transfrontaliero dei dati potrebbero ridurre il PIL globale del 4,5%. L’attuale scenario geopolitico incerto ha introdotto un rischio crescente di interruzione dei servizi per le aziende che dipendono da fornitori non domestici, rafforzando l’importanza di valutare dove i dati sono localizzati e gestiti e da dove provengono i servizi.

Pressione normativa

Negli ultimi anni, i legislatori hanno cercato di regolamentare i flussi di dati per rafforzare i diritti dei cittadini – ad esempio, l’Unione Europea ha potenziato la tutela della privacy individuale con il Regolamento Generale sulla Protezione dei Dati (GDPR). Normative di questo tipo hanno ridefinito i margini di manovra delle aziende in materia di archiviazione e trattamento dei dati personali. Innalzando l’asticella della compliance, queste misure stanno già influenzando le decisioni di investimento del top management in ambiti come la strategia cloud, l’adozione dell’AI e l’accesso di terze parti ai dati aziendali.

Infrastrutture critiche

I cambiamenti nelle politiche dei singoli governi stanno generando incertezza nella governance dei dati transfrontalieri, nell’accesso al cloud e nell’armonizzazione normativa internazionale. In tutte le regioni, le imprese cercano un maggiore controllo, visibilità e allineamento giurisdizionale delle proprie infrastrutture dati – non solo per la compliance, ma anche per raggiungere obiettivi di business, garantire resilienza operativa e mantenere la fiducia. Molte imprese stanno rivalutando la localizzazione della supply chain e delle infrastrutture, la giurisdizione dei fornitori e i rischi legali, soprattutto nei settori altamente regolamentati come la sanità.

I leader rivalutano il concetto di rischio

Una nuova ricerca commissionata all’University of Technology Sydney (UTS) ha analizzato il punto di vista dei leader aziendali rispetto al mutato scenario. I risultati mostrano come la sovranità dei dati sia passata da requisito di compliance “di sfondo” a priorità a livello di Consiglio di amministrazione.

Il 100% degli intervistati concorda sul fatto che le preoccupazioni legate alla sovranità, come l’interruzione dei servizi, abbiano costretto la propria azienda a rivedere la localizzazione dei dati. Oltre nove su dieci (92%) affermano che i cambiamenti geopolitici hanno aumentato il rischio che le imprese non affrontino in modo adeguato le questioni di sovranità dei dati. I vertici aziendali temono una compromissione della sovranità dei dati: il 92% teme danni reputazionali e l’85% teme di poter perdere la fiducia dei clienti.

Di fronte a rischi che vanno da potenziali interruzioni di servizio a minacce esistenziali per il business, i responsabili aziendali sono intervenuti: il 78% sta integrando la sovranità nei processi core, passando da molteplici fornitori di servizi a investimenti in data center sovrani e introducendo clausole di governance nei contratti.

Contenere i rischi legati alla sovranità dei dati

Di fronte a rischi dinamici legati alla sovranità dei dati, le imprese dispongono di tre approcci principali:

Primo, un approccio intenzionale basato sulla valutazione del rischio, definendo una strategia dei dati che affronti le priorità urgenti e stabilisca quali dati debbano essere collocati dove e come debbano essere gestiti, sulla base di metriche chiave come la sensibilità dei dati, la natura dei dati personali, gli impatti a valle e il potenziale di identificazione. Questo approccio prospettico richiede però una visione chiara e una pianificazione dettagliata.

Oppure un approccio reattivo, che prevede il distacco completo dai cloud provider pubblico non domestici. Si tratta di una scelta più rischiosa, data la probabile perdita di accesso all’innovazione e le potenziali conseguenze finanziarie che potrebbero compromettere il raggiungimento degli obiettivi strategici.

Infine, non fare nulla, sperando che i rischi non si materializzino. È l’opzione a più alto rischio, che non offre alcuna protezione dalle conseguenze finanziarie e reputazionali potenzialmente devastanti di una strategia di sovranità dei dati inefficace.

Garantire la sovranità dei dati

Alla luce della convergenza dei fattori di rischio geopolitici, normativi e operativi, i leader aziendali hanno rapidamente compreso che la sovranità dei dati non coincide più con la sola data residency. Si tratta di un principio più complesso, che include l’autorità legale sui dati, le modalità di accesso e condivisione e la giurisdizione di riferimento. La vera sovranità dei dati va oltre la localizzazione fisica e comprende il controllo operativo, la governance e la piena autorità dell’organizzazione sull’intero ecosistema digitale.

Le aziende più lungimiranti possono affrontare con successo le sfide della sovranità dei dati implementando strategie che definiscano con chiarezza quali dati debbano andare dove, gestendo al contempo tutti i rischi legati a infrastrutture, partner, supply chain e normative.