Iniziamo dall’evidenza: attualmente, il 92% dei dati dell’Occidente risiede negli Stati Uniti e questa situazione sta spingendo individui, imprese e governi a valutare attentamente l’esposizione delle proprie informazioni e ad adottare iniziative per mantenere o acquisire il controllo dei propri asset informatici strategici.
Questa crescente attenzione alla sovranità digitale rappresenta un tema sempre più rilevante a livello nazionale ed europeo, come dimostrato dall’accordo tra i ministeri dell’Economia italiano e francese per una strategia comune sul digitale, che include la sovranità come tema chiave.
Anche l’UE sta lavorando alacremente per rafforzare la propria indipendenza digitale attraverso diverse iniziative legislative, come il Regolamento DORA, il Data Act e l’Interoperabile Europe Act. Le imprese, in particolare, sono sempre più consapevoli dell’importanza di investire nella protezione, nella privacy e nella proprietà dei dati, tanto che il 29% ritiene che questo sia da considerarsi come un obiettivo prioritario.
Ma cosa possono fare concretamente le imprese per garantire la sicurezza dei dati generati e massimizzare le opportunità offerte dalla autonomia digitale?
AAA cyber resilienza cercasi. Così le aziende possono resistere e crescere
Indice degli argomenti
Cos’è la sovranità digitale?
Attualmente, non esiste una definizione univoca di questo concetto. L’urgenza di regolamentare l’utilizzo dei dati rischia di generare un effetto “hashtag”, con ogni provider che tenta di far rientrare le proprie dinamiche sotto il cappello della sovranità digitale per stabilire la propria rilevanza (un po’ come successe a suo tempo con il termine “cloud”).
Il concetto di sovranità digitale dovrebbe essere, in realtà, semplice:
- avere il completo controllo e la piena proprietà della propria “impronta” digitale;
- evitare il lock-in;
- comprendere appieno tutte le interazioni tra sistemi interni ed esterni, in modo da poter operare con agilità sia in modalità “business as usual” sia nel caso si rendano necessari interventi a difesa del proprio patrimonio digitale.
Inoltre, le organizzazioni richiedono anche la “sovranità dei costi”, ossia un maggiore controllo sulla spesa IT grazie alla possibilità di spostare i carichi di lavoro verso le infrastrutture più idonee.
Tra l’altro, l’Unione Europea deve affrontare la sfida della sovranità digitale in un mercato IT in rapida evoluzione e caratterizzato dai massicci investimenti delle aziende tecnologiche extra-UE (si pensi ai 155 miliardi di dollari spesi dalle cinque Big Tech statunitensi nel 2021 e ai 1,4 trilioni messi a budget dalla Cina entro il 2025 rispetto ai soli 50 miliardi di euro attualmente previsti dalla Commissione Europea).
Per far fronte a questa situazione, sarà necessario un forte impegno finanziario in ricerca e sviluppo, che potrebbe richiedere tanto risorse pubbliche quanto private.
In parallelo, un’appropriata regolamentazione normativa potrebbe favorire lo sviluppo di tecnologie e soluzioni europee che eviterebbero all’Europa la perdita di un mercato di oltre 400 milioni di utenti a favore delle imprese estere e allo stesso tempo garantire l’indipendenza digitale dell’UE.
Open source: una priorità di investimento
Open source e sovranità digitale sono concetti molto vicini: al di là della definizione in sé, alcuni dei temi chiave per la sovranità digitale sono (o almeno dovrebbero essere) portabilità, reversibilità, interoperabilità e trasparenza, caratteristiche che da sempre contraddistinguono il modello di sviluppo aperto e collaborativo, guidato da processi di governance chiari e affidabili, dell’open source.
Tra le peculiarità principali delle tecnologie open source vi è quella di essere disponibili per chiunque ma di esclusiva proprietà di nessuno il che, nel contesto di riferimento, garantisce la neutralità, equità e trasparenza della strategia per l’autonomia digitale, un processo di innovazione continua e il contributo allo sviluppo di competenze vitali per la competitività, la resilienza e il controllo in Europa.
L’open source si pone quindi come abilitatore al raggiungimento della sovranità digitale come dimostrato dalla maggioranza dei governi europei che hanno già investito nel software open source su più livelli dello stack tecnologico – dall’infrastruttura alle piattaforme, fino alla gestione dei dati e alle applicazioni “business critical”.
Proprio grazie alle caratteristiche intrinseche delle piattaforme open source, queste consentono agli utenti di avere piena visibilità sulla loro evoluzione; la loro vasta adozione, l’osservanza “by design” di concetti quali cloud-native e sicurezza permettono la realizzazione, orchestrazione ed automazione di architetture eterogenee e resilienti, atte ad ospitare applicazioni che possono essere “sviluppate ovunque e fruite dovunque”.
Inoltre, l’uso degli standard aperti presenti nelle architetture open source abilita la condivisione di dati tra enti pubblici, cittadini e imprese in modo semplice e affidabile.
Questa apertura rende possibile alle organizzazioni governative di adottare tecnologie emergenti in modo più rapido, come architetture hardware sicure, informatica probabilistica e crittografia completamente omomorfa, che nel futuro consentiranno operazioni affidabili anche su sistemi non completamente affidabili.
Questo accelera la competitività delle organizzazioni. Infine, la natura globale delle comunità open source le rende resistenti alle perturbazioni geopolitiche tra giurisdizioni diverse.
Accelerare l’adozione dell’open source in ambito sovranità digitale
L’Unione Europea può sicuramente giocare un ruolo rilevante in questa evoluzione, spingendo su una maggiore formazione all’utilizzo di tecnologie open source, oltre che su normative che favoriscano all’ampliamento “regolamentato” del loro utilizzo. Infatti, mancanza di competenze e pregiudizi relativi alla sicurezza di queste tecnologie vengono in alcuni casi ancora considerati come ostacoli alla loro adozione.
C’è anche un altro aspetto che va considerato, e che emerge con sempre più forza: l’ascesa dell’hybrid cloud. Le organizzazioni si rivolgono sempre più spesso al cloud ibrido per vincere le complesse sfide legate alle funzioni aziendali principali, come il servizio clienti e la supply chain, e per promuovere crescita e innovazione.
Hybrid cloud e open source trovano il loro punto di sintesi nella portabilità delle applicazioni, ovvero nella possibilità di svilupparle e renderle disponibili in ogni scenario, su ogni piattaforma, su ogni sistema sottostante che possa rispondere al meglio alle esigenze di agilità e controllo costi dell’azienda.
È proprio questa sintesi a rappresentare la miglior risposta alle necessità delle imprese che, come evidenziato in precedenza, anche in ambito di autonomia digitale desiderano migliorare la propria agilità operativa, vuoi per adattarsi a cambiamenti di condizioni di mercato e/o a nuove policy, sfruttando al meglio le caratteristiche di un certo hyperscaler rispetto a un altro, spostando dati e carichi di lavoro a proprio piacimento, senza preoccupazioni rispetto alla loro privacy, a costi di migrazione idealmente nulli e senza tempi di inattività.
Passaggio dalla sovranità digitale alla sovranità del cloud
Oggi i più importanti big player del cloud pubblico mondiale offrono alle organizzazioni che utilizzano i loro servizi Cloud la possibilità di scegliere tra molteplici “regions”, localizzate in varie zone del mondo e con differenti peculiarità e caratteristiche, dove memorizzare i propri dati utilizzati dai servizi Cloud, dati che possono anche contenere informazioni personali. Una region va intesa come un luogo fisico nel mondo in cui sono clusterizzati i data center.
È possibile quindi far memorizzare i propri dati in una region come l’Irlanda, scelta piuttosto diffusa, per soddisfare i requisiti del Regolamento (EU) 2016/679 (o GDPR) e minimizzare quanto più possibile il rischio di trasferimenti transfrontalieri, magari proprio verso gli Stati Uniti.
L’idea del cloud sovrano riguarda anche come le organizzazioni gestiscono i dati degli utenti quando distribuiscono le applicazioni su uno dei fornitori di cloud pubblico. Non riguarda tanto questi archivi di dati quanto l’interconnessione tra di essi: un luogo in cui i dati possono fluire liberamente e legalmente in modo da consentire comunque applicazioni valide per un pubblico globale.
Le diverse normative attualmente in essere, soprattutto tra Europa, UK e Stati Uniti, sono spesso in contrasto e pongono i cloud provider e le imprese che utilizzano i loro servizi davanti alla necessità di sostenere costi rilevanti per assicurarsi una continua conformità a queste norme, senza peraltro la garanzia di non incorrere in pesanti sanzioni proprio per la diversa gestione dei dati tra i vari paesi.
Gli spazi di dati virtuali sono una delle soluzioni che sta emergendo per questo problema. Se più organizzazioni collaborano per stabilire e mantenere elevati standard di archiviazione e condivisione dei dati, è possibile abilitare una condivisione sicura nel rispetto delle normative nazionali e sovranazionali anche in termini di privacy e sovranità, creando veri e propri cloud marketplace dove a viaggiare sono i metadati e non i dati che rimangono, in modo verificabile, nelle regioni di competenza.
L’Europa che, come detto, ha sempre sofferto di una scarsa capacità di elaborazione dei dati all’interno dei suoi confini, si sta muovendo per colmare il divario accumulato nel tempo. Il progetto più rilevante in questo senso è GAIA-X, che prevede lo sviluppo di un’infrastruttura di dati federata attraverso una rete che collega tra loro molti cloud pubblici. L’obiettivo è creare un cloud pubblico europeo che rispetti la sovranità digitale dei suoi utenti sulla base dei principi di trasparenza e apertura, favorendo la competitività delle imprese europee.
