La gestione dei dati digitali è diventata un nodo centrale per imprese e amministrazioni pubbliche. Ogni decisione sull’infrastruttura cloud comporta una responsabilità diretta sulla protezione, la localizzazione e la sicurezza dei dati, con conseguenze legali e operative concrete. In Europa, il quadro normativo impone nuovi standard, e la scelta del fornitore è ormai parte integrante della governance aziendale.
Il GDPR (Regolamento UE 2016/679) , la direttiva NIS2 e il Cyber Resilience Act definiscono in modo sempre più preciso le responsabilità dei titolari del trattamento, dei fornitori IT e dei soggetti pubblici. In questo scenario, la “sovranità digitale” non è uno slogan, ma una condizione operativa: riguarda il controllo su dove risiedono i dati, come sono protetti, chi ha accesso e chi può intervenire in caso di emergenze o incidenti.
Il valore dei dati e la necessità di controllo
La Commissione Europea stima che l’economia dei dati raggiungerà 829 miliardi di euro entro il 2025. Ma il valore dei dati non è solo economico: riguarda la proprietà intellettuale, la continuità operativa e la capacità di innovare. Le aziende si affidano a infrastrutture cloud per gestire operazioni fondamentali — dalle comunicazioni interne alla gestione delle identità digitali — ma delegare non significa perdere il controllo.
Il GDPR stabilisce che il titolare dei dati resta pienamente responsabile anche quando affida la gestione a un fornitore terzo. Questo implica la necessità di sapere dove sono fisicamente conservati i dati, sotto quale giurisdizione legale ricadono e con quali strumenti vengono protetti. Ogni accesso non autorizzato, incidente di sicurezza o trasferimento illecito può comportare sanzioni fino al 4% del fatturato annuo globale.
Allo stesso tempo, la direttiva NIS2 estende l’obbligo di sicurezza informatica a nuovi settori e prevede sanzioni anche per chi non garantisce la resilienza della propria infrastruttura. Il Cyber Resilience Act introduce invece requisiti per i prodotti digitali immessi sul mercato europeo: anche in questo caso, le imprese devono garantire sicurezza by design e by default, sia nei software che nelle infrastrutture che li ospitano.
Sovranità digitale: controllo, indipendenza, interoperabilità
Il concetto di sovranità digitale si articola in due componenti fondamentali:
- Sovranità del dato: riguarda la localizzazione fisica delle informazioni, la giurisdizione legale applicabile, la trasparenza nei trattamenti e la portabilità. L’obiettivo è evitare che dati sensibili escano dalla sfera normativa europea o siano soggetti ad accessi da parte di enti terzi.
- Sovranità operativa: riguarda invece la gestione autonoma delle infrastrutture. Un fornitore cloud deve poter garantire continuità del servizio anche in scenari critici, senza dipendere da operatori o tecnologie esterne.
A questo si aggiunge una terza dimensione: l’interoperabilità. La Strategia Europea per i Dati e iniziative come Gaia-X e SECApi puntano a costruire un mercato digitale unificato, basato su standard aperti, trasparenza contrattuale e capacità di spostare dati e servizi da un fornitore all’altro senza vincoli tecnici.
In questo contesto, Aruba Cloud è una delle realtà che ha strutturato la propria offerta tenendo conto di questi requisiti, prima ancora che diventassero obblighi normativi. La società è italiana, soggetta esclusivamente alla giurisdizione UE, e gestisce un network di data center in Italia, Francia, Germania, Polonia e Repubblica Ceca.
Aruba Cloud: una risposta concreta ai requisiti europei
I data center principali di Aruba — tra cui il Global Cloud Data Center di Ponte San Pietro — sono progettati secondo lo standard ANSI/TIA-942 Rating 4, il più alto in termini di resilienza. Questo garantisce ridondanza completa di tutti i sistemi, tolleranza ai guasti e manutenzione concorrente. La continuità operativa è un aspetto cruciale, soprattutto per chi eroga servizi pubblici o gestisce dati sanitari e finanziari.
Dal punto di vista della sicurezza, Aruba ha ottenuto tutte le principali certificazioni internazionali:
- ISO/IEC 27001, 27017, 27018, 27035: copertura completa di gestione della sicurezza, protezione dei dati personali, controlli cloud e gestione degli incidenti.
- Adesione al codice di condotta CISPE.
I servizi Aruba Cloud sono anche qualificati QC3 da ACN secondo le linee guida dell’Agenzia per la Cybersicurezza Nazionale e AgID, il livello più alto per chi vuole operare con la Pubblica Amministrazione italiana nel trattamento di dati strategici.
Un altro aspetto centrale è la portabilità. L’adozione di tecnologie standard, come OpenStack, e la compatibilità con ambienti VMware, consente ai clienti di migrare dati e applicazioni senza dover riscrivere codice o riconfigurare i sistemi. Questo riduce ogni forma di lock-in e garantisce autonomia operativa.
Il valore strategico di una scelta consapevole
Le imprese che operano in settori regolamentati — sanità, energia, finanza, pubblica amministrazione — devono poter dimostrare in ogni momento di essere conformi alla normativa e di aver scelto fornitori affidabili, resilienti e sotto giurisdizione UE. La mancanza di controllo diretto sull’infrastruttura può generare responsabilità giuridiche, interruzioni dei servizi e danni reputazionali.
Anche per le PMI, la scelta di un partner cloud non è più solo una questione di costo. Aruba Cloud, ad esempio, propone un modello tariffario trasparente, basato su risorse predefinite, che consente una pianificazione stabile della spesa IT e un controllo puntuale sul TCO. Un aspetto distintivo dell’offerta è l’assenza di tariffazione sul traffico in uscita: una scelta che elimina una delle principali voci di spesa variabile tipiche degli hyperscaler e che garantisce maggiore prevedibilità dei costi nel medio-lungo periodo.
Oltre all’infrastruttura, va considerato anche il ruolo dell’azienda nell’ecosistema europeo. Aruba è membro fondatore di Gaia-X, partecipa al progetto SECApi per la definizione di API comuni tra fornitori cloud europei ed è attiva nell’European Alliance for Industrial Data, Edge and Cloud.
Queste partecipazioni non sono secondarie: indicano l’impegno nel contribuire a costruire una rete digitale europea sovrana, interoperabile e indipendente.
Una nuova definizione di affidabilità
Un cloud affidabile oggi deve garantire controllo giuridico e operativo, sicurezza dimostrabile, conformità integrata e autonomia nella gestione dei dati. Solo così è possibile costruire progetti digitali sostenibili, senza dover rivedere continuamente le proprie scelte a causa di obblighi normativi sopraggiunti o vincoli tecnici imprevisti.
Scegliere un’infrastruttura progettata per aderire fin dall’inizio ai criteri della sovranità digitale — come quella di Aruba Cloud — significa ridurre il rischio, aumentare il controllo e supportare la trasformazione digitale nel lungo periodo. È una decisione tecnica, ma anche una scelta di responsabilità e lungimiranza.