Il caso OVHCloud è diventato rapidamente un riferimento centrale nel dibattito europeo su cloud e sovranità digitale. Non tanto per il fatto in sé, quanto per ciò che ha reso evidente: nel cloud contemporaneo, la sovranità non coincide più con la localizzazione fisica dei dati. Un’assunzione che per anni ha guidato regolazione, policy e scelte infrastrutturali mostra oggi tutti i suoi limiti, mettendo in crisi categorie concettuali che apparivano consolidate.
“Questa vicenda è diventata un caso-bandiera”, osserva Stefano Mainetti, “perché sposta il dibattito da dove risiedono i server a quale giurisdizione può imporre obblighi all’entità che controlla, o è ritenuta controllare, i dati”.
È un passaggio tutt’altro che marginale, perché segna il superamento di una visione territoriale del dato a favore di una lettura fondata sulle catene di controllo, sulle persone giuridiche e sugli equilibri di potere economico.
Il caso OVHCloud non introduce un problema nuovo, ma rende evidente una frattura già presente. Nel cloud, infatti, “la localizzazione geografica, da sola, non è più una garanzia sufficiente”, soprattutto quando “il potere normativo segue le persone giuridiche e le catene di controllo, più che il territorio fisico”. È questa consapevolezza a costringere imprese e decisori a rivedere in modo più critico il modo in cui si parla di cloud, sovranità e gestione del rischio.
Dal cloud come tecnologia al cloud come infrastruttura di sistema
Il caso OVHCloud, dunque, non è stato il “pretesto” per comprendere il problema, ma ne ha semmai offerto una dimostrazione concreta. La riflessione sul cloud come infrastruttura di sistema e sulle sue implicazioni in termini di sovranità è in atto da tempo, tanto che l’Osservatorio del School of management del Politecnico di Milano aveva deciso di adottare una nuova denominazione prima che il caso esplodesse.
“Abbiamo rinominato l’Osservatorio in Cloud Ecosystem & Sovereignty”, spiega Mainetti. “Perché l’oggetto dell’analisi non è più il cloud come paradigma, ma l’insieme delle relazioni industriali, operative e di potere che si costruiscono intorno ad esso”.
Il cloud, oggi, è un’infrastruttura di sistema. “È un ecosistema industriale globale, mondiale”, continua Mainetti. “Assorbe l’intelligenza artificiale, i dati, gli algoritmi, i modelli, le telemetrie. È il luogo in cui si concentra una parte enorme del valore digitale”. Pensarlo come un oggetto indipendente – che sia un data center, un contratto o un fornitore – significa perdere di vista la complessità reale.
Questa trasformazione ha una conseguenza immediata: la sovranità non può più essere considerata una questione marginale o puramente normativa. “Il tema della sovereignty è andato oltre la nicchia dei regolatori e degli aspetti legali”, sottolinea Mainetti. “È diventato un tema di rischio geopolitico”. Il motivo è semplice: quando un’infrastruttura diventa sistemica, ogni shock si propaga. “Se tossiscono gli americani e si ferma un operatore europeo, l’effetto è immediato. Lo stesso potrebbe accadere con la Cina. Questo è quello che definiamo rischio sistemico”.
Il Caso OVHCloud: l’industrializzazione dell’AI e il nodo del controllo
Il cloud non è solo il supporto della digitalizzazione, ma anche il luogo in cui si sta giocando l’industrializzazione dell’intelligenza artificiale.
Ed è proprio il Caso OVHCloud a rendere evidente il vulnus: concentrarsi sulle tecnologie o sui singoli “oggetti”.
“È vero che bisogna realizzare chip e data center”, osserva Mainetti, “ma poi l’AI gestisce dati e algoritmi dentro l’infrastruttura cloud”. Vale a dire lì, dove si esercita il controllo effettivo.
In questa prospettiva, il tema della sovranità non riguarda solo la protezione dei dati, ma anche la capacità di governare modelli, processi decisionali automatizzati e sistemi di apprendimento. “Gli algoritmi sono gestiti dentro l’infrastruttura del cloud”, ribadisce. “Se non governi quell’infrastruttura, non governi davvero l’AI”.
È anche per questo che il cloud diventa una questione industriale e strategica, non solo tecnologica. La concentrazione di capacità computazionale, dati e modelli rende alcune piattaforme nodi critici dell’economia digitale. E quando questi nodi sono soggetti a logiche geopolitiche e a giurisdizioni extraeuropee, il problema non è più astratto.
Il limite dell’approccio europeo: la sovranità come localizzazione
Per anni, l’Europa ha affrontato il tema della sovranità digitale privilegiando una logica relativamente semplice: governare il dato attraverso la sua collocazione fisica. “Il regolatore europeo è molto sensibile a questo tema”, riconosce Mainetti, “ma ha finito spesso per limitarsi a rincorrere solo i dati”.
La logica sottostante è apparentemente chiara: se il dato risiede su un disco situato in un certo territorio, allora è soggetto alla sovranità di quel territorio. “I dati stanno su un disco. Se io normo dov’è fisicamente il dato, sono sovrano sul dato perché sono sovrano su quel disco o su quel supporto”, riassume Mainetti.
In realtà, aggiunge subito: “Nel cloud questo non è sempre vero.”.
Il cloud è progettato per la distribuzione e la replica. “I dati sono distribuiti e replicati”, spiega. “Lo stesso vale per i modelli, per le telemetrie, per i sistemi di controllo”. In questo contesto, chiedersi “dove stanno i dati” diventa una domanda fuorviante. “Non ha più senso guardare solo alla localizzazione”, insiste. “La vera questione è chi governa questa complessità”.
Il risveglio: regole solide su un’infrastruttura liquida
È alla luce di queste considerazioni che il caso OVHCloud finisce per rappresentare, secondo Mainetti, un momento di risveglio collettivo. “Ci siamo svegliati prendendo atto che tutte le regole che ci siamo dati per vivere bene insieme poggiano su un’infrastruttura che è diventata liquida”. Un’infrastruttura che sfugge ai meccanismi di controllo tradizionali.
Il problema non è la mancanza di regole, ma il loro disallineamento rispetto alla realtà tecnologica. “Le regole sui dati non sono più allineate alla realtà del cloud”, osserva Mainetti. “E questo è un limite strutturale dell’assetto globale attuale”.
Da qui nasce la necessità di cambiare metodo. “Bisogna smettere di usare il possesso fisico dell’hard disk come principio fondante”, afferma. “E iniziare a chiedersi: chi governa i dati e sotto quali regole?”. È una domanda che mette in crisi molte certezze, perché non ha risposte semplici né immediate.
Caso OVHCloud, la vera domanda: chi può decidere sui dati
“La vera domanda non è dove stanno i dati”, sintetizza Mainetti, “ma chi può decidere su di essi, in base a quali leggi e con quali limiti”. È una frase che racchiude il senso dell’intero ragionamento.
“Nel caso di OVHCloud, i dati erano in Europa”, ricorda, “eppure quando un’altra giurisdizione può imporre obblighi, quei dati diventano accessibili. Se anche l’hard disk è in Europa, questo non serve a nulla”. La sovranità, dunque, non segue il percorso dei bit, ma quello del potere.
Questo sposta radicalmente il focus del dibattito: come abbiamo già sottolineato, non più la geografia dei data center, ma la governance delle infrastrutture e delle entità che le controllano.
LEGGI ANCHE: Sovranità digitale a rischio. Un tribunale canadese ordina a OVHcloud di consegnare dati europei.
Un modello a tre livelli per leggere la sovranità nel cloud
Per dare ordine a questa complessità, Mainetti propone di scomporre il concetto di sovranità in tre livelli distinti, ciascuno associato a un tipo di rischio.
“All’interno del nostro Osservatorio abbiamo iniziato a modellare la sovereignty su tre dimensioni”, spiega. La prima è la data sovereignty, che riguarda il potere giuridico sui dati. “Chi può imporre obblighi? Quale giurisdizione prevale?”.
La seconda è la operational sovereignty. “Qui la domanda è: chi controlla davvero le operazioni dell’infrastruttura? Chi governa il control plane, chi ha accessi privilegiati, chi gestisce le chiavi e le policy?”.
La terza è la technical sovereignty, legata alle dipendenze tecnologiche. “Quali sono gli stack? Quali le dipendenze? Quanto ti costa uscire? Quanto sei in grado di migrare davvero?”.
Questo approccio evidenzia come la sovranità non sia un attributo binario, ma una combinazione di fattori giuridici, operativi e tecnici. “Pensare di regolamentare il cloud come una stanza piena di server è una semplificazione”, osserva Mainetti. “Lavoriamo su livelli di astrazione sempre più complessi”.
È proprio da questa complessità che nasce il ritorno ciclico del tema della repatriation, spesso evocata come risposta immediata ai problemi di sovranità. Se la governance dei dati è incerta e il controllo sull’infrastruttura non è pieno, l’idea di “riportare tutto indietro” sembra rappresentare una soluzione semplice.
In realtà, siamo di fronte a una ulteriore e probabilmente pericolosa semplificazione.
Repatriation: una parola semplice per un problema complesso
Negli ultimi mesi, il termine repatriation è tornato con forza nel dibattito pubblico sulla sovereignty.
Ma per Mainetti rischia di diventare una scorciatoia narrativa. “Quando si parla di repatriation, la prima domanda da porsi è: quanto costa riportare indietro tutto?”, chiede.
Va da sé che il costo non è solo economico. “È strategico, industriale”, sottolinea. “In Europa non abbiamo giganti paragonabili agli hyperscaler leader. Siamo un vaso di coccio tra vasi d’acciaio”. E soprattutto, nella maggior parte dei casi la repatriation non è stata progettata: “Se non è stata prevista l’uscita, se non è stata testata, non si tratta di un’opzione reale”.
E qui entra in gioco il tema del lock-in, di cui abbiamo parlato in modo approfondito nell’intervista a Gabriele Faggioli, CEO di Partners4Innovation. “Molti contratti cloud hanno costi di riscatto dei dati significativi”, osserva Mainetti. “L’amara verità è che spesso non esiste la retromarcia del cloud”.
Quando la forza economica sovrascrive le regole
Il punto più duro del ragionamento riguarda il rapporto tra regole e potere economico. “Anche se l’Europa fosse velocissima e perfettamente allineata”, afferma Mainetti, “non avrebbe comunque la forza negoziale per imporre certe condizioni ai giganti globali”.
E lo stesso tema sui rapporti di forza si riverbera anche all’interno dell’Europa stessa fra operatori leader e aziende. “Pensiamo al caso SAP di cui si è parlato nell’ultima parte dell’anno”, dice. “Se il fornitore impone certe condizioni, cosa si può fare? Fermare l’ERP e di conseguenza l’azienda? Semplicemente non si può fare”.
E lo stesso ragionamento vale per tutte le altre piattaforme diventate nel tempo infrastrutture di fatto.
“Siamo in una fase in cui la forza economica sovrascrive le regole”, osserva. “Un capitalismo aggressivo, che prova a aggirare le norme quando diventano un ostacolo”. In questo contesto, affidarsi solo alla tutela normativa diventa rischioso.
Dalla sovranità formale a quella sostanziale
Di fronte all’inevitabile domanda sul “Cosa possono fare le imprese?”, la conclusione di Mainetti è netta: la sovranità non può essere solo formale. “Se la si vuol fare sul serio, la sovranità ha un costo”, afferma. “Vuol dire progettare l’opzione di tornare indietro, sapere quanto costa, testarla”.
Nemmeno l’apertura di region europee è una garanzia assoluta. “Il potere segue le catene di controllo, non i muri del data center”, ribadisce. Lo stesso vale per l’uso di operatori nazionali che ospitano software globali.
La vera leva diventa la capacità di progettazione. “Scrivere contratti consapevoli, progettare architetture capaci di garantire portabilità, ridurre le dipendenze reali”. È un lavoro che richiede competenze elevate e una visione strategica.
Non tutto deve essere sovrano: scegliere cosa proteggere
Un aspetto centrale del ragionamento è evitare derive ideologiche. “Non tutto deve essere sovrano”, chiarisce Mainetti. “Ci sono ambiti in cui il rischio è accettabile”. La sovranità, in questa lettura, non è un attributo da applicare in modo uniforme, ma una scelta selettiva che dipende dal valore strategico degli asset coinvolti.
Usare piattaforme globali per la collaboration o per servizi non critici può avere perfettamente senso, anche accettando un certo grado di dipendenza. Diverso è il discorso quando si entra nel perimetro dei dati che definiscono il vantaggio competitivo di un’organizzazione. “I dati di ricerca e sviluppo, quelli che rappresentano un vantaggio competitivo, sono un’altra cosa”, sottolinea Mainetti. Ed è proprio su questi asset che, secondo lui, si pone il tema di un controllo più diretto dell’infrastruttura.
In alcuni casi, questo significa anche rimettere in discussione il perimetro del cloud pubblico. “Se parliamo di sovranità sostanziale”, osserva, “può voler dire tenere certe cose sotto il proprio controllo, anche tornando in parte on-premise o su cloud privati, usando magari le stesse tecnologie, ma governandole direttamente”. Non come ritorno nostalgico al passato, ma come scelta progettuale consapevole, legata al rischio e non all’ideologia.
Lo stesso ragionamento vale per l’intelligenza artificiale. “Gli algoritmi possono anche essere open source”, spiega Mainetti. “Ma i dati e l’addestramento, se sono strategici, devono restare sotto controllo”. In questo scenario, la sovranità non coincide con l’autarchia tecnologica, ma con la capacità di decidere dove ha senso accettare una dipendenza e dove, invece, è necessario mantenere un presidio diretto sull’infrastruttura.
Cloud, conflitti e competenze: a chi tocca governare la sovranità
È il momento di portare tutte queste riflessioni su un piano operativo. “Il cloud è nato come piattaforma globale di collaborazione”, osserva Mainetti, “ma in un mondo in cui tutti sono contro tutti rischia di diventare un terreno di scontro”. In questo scenario, la sovranità è una capacità concreta da esercitare nel tempo.
Quando le infrastrutture diventano sistemiche e i rapporti di forza si spostano rapidamente, affidarsi solo alla regolazione o alla localizzazione geografica equivale a rinunciare al controllo reale.
La domanda, a questo punto, non è più se la sovranità sia un problema, ma chi debba farsene carico. Per Mainetti non esiste un singolo attore che possa risolvere il tema da solo. La sovranità digitale è una responsabilità distribuita, che richiede competenze, governance e un lavoro di progettazione che coinvolge più livelli dell’ecosistema.
Da un lato ci sono le imprese, chiamate a sviluppare una maggiore consapevolezza interna. “Serve capire quali sono davvero i dati strategici, chi può decidere su di essi e quali rischi si è disposti ad accettare. Senza questa mappa preliminare, nessuna scelta tecnologica – cloud pubblico, privato o on-premise – può dirsi davvero intenzionale”.
Dall’altro lato ci sono i vendor, che non possono più limitarsi a fornire piattaforme o servizi standardizzati. Nel nuovo contesto, il tema della sovranità impone maggiore trasparenza su governance, catene di controllo, gestione degli accessi e risposta alle richieste delle autorità. Anche l’offerta tecnologica, in altre parole, è chiamata a confrontarsi con un livello di responsabilità più alto.
Un ruolo cruciale è poi quello degli integratori e delle società di consulenza, chiamati a fare da cerniera tra tecnologia, architettura e strategia. “Molte aziende pensano che la sovereignty sia un tema di cybersecurity”, osserva Mainetti, “ma spesso è il segno che il problema non è stato ancora compreso fino in fondo”. È qui che entrano in gioco competenze architetturali, capacità di lettura dei contratti, progettazione di scenari di uscita e valutazione delle dipendenze reali.
Non a caso, l’Osservatorio parla oggi di cloud ecosystem: la sovranità non si costruisce per decreto né acquistando una soluzione, ma attraverso un lavoro di progettazione che coinvolge domanda e offerta, competenze interne ed esterne, e una comprensione condivisa dei rischi. In questo senso, la sovranità digitale non è un attributo automatico, ma una capacità organizzativa.
[Guarda il video per capire perché il caso OVHCloud segna una svolta nella governance dei dati! Scopri come le recenti sfide legate alla sovranità digitale e alla protezione dei dati nel cloud mettono in luce l’importanza di ripensare le strategie di gestione, sicurezza e conformità nel tuo business — e quali spunti trarre per il futuro.]
