Il mercato cloud italiano vale 8,1 miliardi (+20%). Ma la sovranità digitale resta spesso un tema da convegno. Il VP di Oracle Italia: “Troppa semplificazione, ogni carico di lavoro richiede una strategia diversa”. Con il Data Act in vigore e l’AI Act che avanza, il tempo delle chiacchiere è finito.

“È il momento di dire basta alla teoria.” Andrea Sinopoli, Vice President e Cloud Country Leader di Oracle Italia, non usa giri di parole. La sovranità digitale — uno dei temi più discussi nei convegni tecnologici europei degli ultimi anni — rischia di rimanere intrappolata in white paper e dibattiti definitori, mentre le organizzazioni che ne hanno davvero bisogno aspettano soluzioni concrete.

Il contesto in cui questa critica arriva è tutt’altro che accademico: il mercato cloud italiano ha raggiunto nel 2025 un valore di 8,13 miliardi di euro, con una crescita del +20% rispetto all’anno precedente. E la sovranità dei dati — insieme all’intelligenza artificiale — è uno dei principali motori di questa espansione, secondo l’Osservatorio Cloud Transformation della School of Management del Politecnico di Milano.

Il Data Act cambia le regole: sovranità come diritto e obbligo

Con l’entrata in vigore del Data Act, la sovranità digitale non è più solo una preferenza strategica: è diventata un diritto degli utenti e un obbligo per le imprese. Un cambio di paradigma che impone alle organizzazioni di ripensare dove i dati risiedono, chi li controlla e come vengono elaborati — anche quando entrano in gioco sistemi di intelligenza artificiale.

È proprio su questo punto che si concentra l’intervento di Cormac Watters, Executive Vice President e General Manager EMEA di Oracle, durante la tappa milanese dell’Oracle AI World Tour: “L’intelligenza artificiale è il fattore di cambiamento, ma le fondamenta di questa rivoluzione sono i dati dell’impresa: nei database, on premise o nel cloud. Operare su quei dati e gestirli nel rispetto dell’esigenza di sovranità — conciliando questa richiesta con l’evoluzione AI — è un tema che praticamente tutti i nostri clienti sollevano.”

I tre pilastri del cloud “sovereign-by-design”

Sinopoli introduce il concetto di “sovereign-by-design”: la sovranità non aggiunta in un secondo momento per esigenze di compliance, ma integrata direttamente nell’architettura. Un approccio che si regge su tre pilastri distinti.

Il primo è la sovranità dei dati: non solo contratti e garanzie formali, ma dati fisicamente confinati nella giurisdizione nazionale e protetti da chiavi di cifratura in mano allo stesso cliente. Il secondo è la sovranità operativa: una gestione che rispetti i quadri legali e giurisdizionali applicabili. Il terzo — e più spesso trascurato — è la sovranità tecnologica: le soluzioni sovrane devono essere competitive con quelle di public cloud. “Vale la pena verificare con attenzione se un provider soddisfa questo standard, perché oggi molti non lo fanno”, avverte Sinopoli.

Il pericolo della semplificazione eccessiva

Il punto più critico dell’analisi riguarda proprio l’approccio con cui molte organizzazioni affrontano il tema. “C’è un pericolo emergente in alcune discussioni sul cloud sovrano nell’UE: la semplificazione eccessiva”, dice Sinopoli. “Troppe voci parlano del cloud sovrano in modo generico, come se una volta implementati i controlli corretti le organizzazioni potessero sentirsi tranquille. Questo modo di pensare crea dei punti ciechi.”

La realtà è che ogni carico di lavoro ha una sensibilità diversa: i dati finanziari di un’organizzazione non sono equiparabili alle informazioni di un portale governativo. Agire in modo indiscriminato fa salire i costi di engineering e abbassa velocità e capacità di innovazione; agire in modo insufficiente espone a rischi normativi e reputazionali. La strategia, conclude Sinopoli, non deve essere perfetta — deve essere flessibile, capace di adattarsi all’evoluzione normativa.

Oracle in Italia: TIM Enterprise e il Polo Strategico Nazionale

Sul piano operativo, Oracle risponde alle esigenze europee con un EU Sovereign Cloud basato su infrastrutture fisicamente e logicamente separate dalle altre cloud region, gestite da entità giuridicamente europee, su suolo europeo, con personale europeo. In Italia, la piattaforma Alloy viene declinata in partnership con TIM Enterprise per il Polo Strategico Nazionale — un’infrastruttura cloud dedicata alle pubbliche amministrazioni italiane.

AI Act e agenti AI: il prossimo fronte

Il quadro è reso più urgente da due fattori convergenti. Da un lato, il 46% delle grandi organizzazioni italiane segnala già difficoltà nel rispetto degli obblighi di tracciabilità e documentazione previsti dall’AI Act. Dall’altro, gli agenti AI — sistemi autonomi che operano direttamente sui database aziendali — richiedono requisiti di sicurezza sempre più stringenti per gestire informazioni sensibili.

“La sovranità dell’AI riguarda ben più del ‘dove’ i dati sono archiviati”, sintetizza Sinopoli. “Impone vincoli su chi controlla l’infrastruttura di calcolo, chi possiede e governa i modelli usati per addestrare l’AI, e come avvengono gli enormi flussi di dati che l’AI comporta.” Una complessità che rende ancora più urgente passare dalle parole ai fatti.