C’è una frase, tra quelle proiettate durante l’evento all’H-Farm di Roncade, che vale più di un convegno intero: “Non è più solo tecnologia. È governo.” La pronuncia idealmente Massimiliano Anziutti, CTO e Board Member di beanTech, nella sua introduzione, e non la lancia come uno slogan ma come una diagnosi. Perché il problema delle aziende italiane — e non solo — non è quasi mai la mancanza di strumenti. È l’assenza di un disegno coerenteche faccia parlare quegli strumenti tra di loro, che trasformi una serie di tecnologie acquistate nel tempo in una politica effettiva di gestione del dato.
L’evento, intitolato “Data Protection, Governance, Sovereignty e Compliance NIS2”, ha portato insieme beanTech — system integrator con sede nel Nord-Est, 250 persone di cui 210 tecnici, fatturato da 30 milioni e oltre 700 certificazioni all’attivo — e Commvault, uno dei principali player mondiali nella protezione e resilienza dei dati. La cornice era quella di H-Farm, che già di per sé dice qualcosa: un luogo pensato per l’innovazione, non per il ritoconvegnistico. E il format ha provato a fare lo stesso: niente monologhi accademici, ma una struttura che ha messo al centro un caso reale, quello del più importante polo enogastronomico italiano, raccontato dal suo Group CIO.
Prima di arrivare al caso concreto, però, bisognava fare ordine nel panorama normativo e tecnologico, e Anziutti lo ha fatto con precisione. Tre direttrici convergenti stanno ridisegnando il modo in cui le imprese devono pensare ai propri dati. La prima è la ISO/IEC 27001, che porta la sicurezza informatica fuori dalla stanza del reparto IT e la trasforma in un sistema di gestione aziendale, con ruoli chiari, rischi mappati e un meccanismo di miglioramentocontinuo. La seconda è la NIS2, la direttiva europea sulla sicurezza delle reti e dei sistemi informativi nella sua versione aggiornata, che non si limita a chiedere misure tecniche ma assegna esplicitamente al management la responsabilità della cybersecurity: governance, gestione del rischio, obblighi di reporting. La terza è il Cyber Resilience Act, che porta la sicurezza dentro il ciclo di vita dei prodotti digitali fin dalla fase di progettazione — non come requisito aggiunto in corsa, ma come condizione strutturale.
Tre adempimenti che, visti dall’esterno, sembrerebbero tre cose diverse con tre scadenze diverse e tre uffici responsabili diversi. Il punto di Anziutti, invece, è che si tratta di tre vettori che puntano nella stessa direzione: il governodel dato come competenza aziendale, non come funzione tecnica delegata.
A complicare ulteriormente il quadro — e qui Anziutti ha citato qualcosa che ha fatto drizzare le orecchie a chi segue l’evoluzione dell’intelligenza artificiale — c’è quella che ha definito una “seconda onda”. I modelli linguistici di grandi dimensioni non sono più soltanto assistenti che rispondono a domande: stanno diventando sistemi capaci di leggere contesti complessi, generare codice, usare strumenti esterni e orchestrare azioni autonome. La frontierasi sposta rapidamente, e questo cambia radicalmente la domanda che ogni CTO dovrebbe porsi oggi: non solo come proteggere i dati dall’intelligenza artificiale, ma in che modo governare l’intelligenza artificiale che ha accesso ai propri dati. Sono due problemi diversi, e confonderli è un errore che può costare caro.
Dalla protezione dei dati alla resilienza operativa
In questo scenario entra in gioco il contributo di Commvault, illustrato da Marco Zennaro, Commercial Account Executive dell’azienda. La resilienza, ha spiegato Zennaro, è sempre stata un lavoro impegnativo — ma il lavoro è cambiato. Dieci anni fa il problema principale era gestire backup distribuiti on-premise e recovery su nastro. Cinque anni fa è arrivata la trasformazione digitale con le sue identità macchina, i SaaS per i dati critici, le infrastrutturecloud. Due anni fa il ransomware è diventato mainstream, i dati strutturati e non strutturati hanno raggiunto scale prima impensabili, e il movimento del pendolo tra cloud e on-premise ha reso ogni architettura più complessa. Secondo le proiezioni IDC, i volumi di dati raddoppiano ogni quattro anni, e lo storage nei data center crescerà da 10,1 a 21 zettabyte entro il 2027.
La risposta di Commvault a questa complessità ha un nome: ResOps, ovvero Resilience Operations. Non un prodotto, ma un modello operativo che unisce team di operations, sicurezza e infrastruttura in una disciplina condivisae continua. Il ciclo si compone di cinque fasi — scoperta dei dati sensibili e degli accessi privilegiati, protezione dei sistemi critici in ambienti ibridi, rilevazione in tempo reale delle anomalie, recupero dei dati in stato certificatocome pulito, ripristino della produzione — e si muove da una postura passiva verso una attiva. Non aspettare che succeda qualcosa, ma essere già pronti quando succede. La piattaforma Cloud Unity di Commvault traduce questo modello in un’architettura unificata che copre workload cloud nativi, applicazioni SaaS, repository DevOps, directory services, data center e location periferiche, con un layer trasversale di cyber resilience e identityresilience.
Il momento più concreto dell’evento è stato quello con il polo italiano, che ha portato sul palco la storia di un’azienda riconosciuta a livello internazionale come pregio nostrano. Dietro alle sue esperienze gastronomiche sinasconde una complessità IT di tutto rispetto: 70 negozi in 16 paesi su 4 continenti, 50 milioni di visitatori l’anno, 5.000 collaboratori, 23.000 prodotti da 2.500 produttori selezionati. Un perimetro digitale vastissimo, distribuitogeograficamente, con regolamentazioni diverse per ogni mercato e una crescita che non si è mai fermata dal 2007, anno di apertura del primo store a Torino Lingotto e nuovi formati negli Stati Uniti.
Gestire la sicurezza e la compliance in un contesto del genere non è un esercizio teorico. È una necessità operativa quotidiana, e il CIO ha illustrato come il percorso della società abbia richiesto non solo la scelta delle tecnologiegiuste, ma la costruzione di un’architettura di governance capace di tenere insieme le esigenze di continuità operativa, le normative locali di ogni paese, e la tutela di un patrimonio di dati che racconta ogni transazione, ogni visita, ogni rapporto con i produttori.
Ciò che è emerso, sia dalla presentazione di beanTech che dalla tavola rotonda conclusiva, è che il tema della data governance non si risolve comprando un software. Si affronta seriamente quando un’organizzazione smette di trattare la sicurezza come un reparto e comincia a identificarla come una politica aziendale. Quando le policy non vengono scritte per soddisfare un audit ma per guidare le decisioni quotidiane. Quando il management sarispondere alla domanda “dove stanno i nostri dati critici e chi ci ha accesso” senza dover aspettare tre giorni e due riunioni. È una transizione che molte aziende dichiarano di aver già compiuto. I fatti, spesso, raccontano un’altrastoria: ottime tecnologie, nessun disegno coerente.
