Dalla sovranità all’indipendenza del cloud, come assicurarsi “il controllo dei propri dati”
Uno degli asset industriali più strategici per le nostre imprese è poter contare un’infrastruttura di dati sicura, accessibile, indipendente e sostenibile. È la sfida del nostro tempo, sia in termini geopolitici ed economici, sia di cybersecurity. In un’economia fortemente digitalizzata ed interconnessa, i dati sono considerati il “nuovo petrolio” e un’infrastruttura cloud che li gestisce in modo sicuro, accessibile e autonomo è fondamentale per assicurare crescita e competitività.
Stefano Sordi, Director General di Aruba e Vice President di Aruba PEC, nel suo Special Address al Digital Innovation Forum – ComoLake 2025 in corso a Cernobbio, ha spiegato cosa significa per le aziende, ma anche per le amministrazioni pubbliche, avere “il controllo dei propri dati” rispetto ai grandi provider internazionali.
Un concetto chiave, “che fa parte della strategia dell’Europa, dei governi, delle imprese e della Pubblica Amministrazione. Significa, dal nostro punto di vista, avere il controllo dei propri dati, proteggere il proprio patrimonio informativo. Significa farlo affidandosi a servizi e a infrastrutture che siano affidabili, sicure e conformi, ovviamente, ai regolamenti europei”, ha spiegato Sordi.
Sordi: “Siamo un provider di servizi cloud sul territorio europeo e conforme alle norme europee”
In questo senso, ha proseguito Sordi, “l’Europa ha segnato già un percorso importante perché ha definito una rotta con i suoi regolamenti, come Data Act, Cyber Security Act, NIS2, DORA. Un percorso che definisce un ecosistema di servizi digitali che devono essere sicuri, affidabili e conformi. Qui, come Aruba, pensiamo di giocare il ruolo chiave di provider italiano di datacenter e di servizi cloud, che devono essere su territorio europeo e i nostri sono nel territorio italiano, che devono essere conformi secondo determinati standard e i nostri sono conformi ai massimi standard globali, talvolta li eccedono, così anche come i servizi che operiamo dentro questi datacenter. Altro elemento chiave è la capacità dell’impresa, sia dal lato cliente, sia dal lato partner tecnologico, di essersi conosciuti, di aver definito un rapporto, di aver progettato insieme un modello di servizio e di architettura”.
Poi c’è il tema caldo della sovranità, “che si fa non solo ospitando i dati in un determinato territorio”, ha chiarito Sordi, “questa è una vecchia impostazione, oggi vuol dire molto di più, vuol dire sicuramente scegliere un partner tecnologico che sia conforme alle normative europee e non ad altre, che magari sono in conflitto o addirittura prevalenti”.
Un passaggio, questo dell’intervento del direttore generale di Aruba, di massima importanza per la comprensione del concetto di sovranità del dato, che non può essere ridotta alla semplice geolocalizzazione fisica dei data center, siano essi in Italia o in Europa. Affidarsi a un provider Cloud è solo il primo passo; il fattore determinante è la supremazia normativa.
È fondamentale che il fornitore sia soggetto esclusivamente alle leggi e alle normative europee (come il GDPR), senza essere vincolato da legislazioni extra-UE prioritarie.
Questo principio è cruciale per evitare che società controllate da potenze straniere, come quelle americane o cinesi, debbano rispondere a normative come il Cloud Act statunitense. Tale legge, infatti, consente alle autorità USA di accedere, senza necessità di autorizzazione o notifica, ai dati di cittadini italiani ed europei ospitati sui server di quelle società, anche se i data center si trovano fisicamente nel territorio dell’Unione europea.
Scegliere un fornitore con radici e governance saldamente europee è l’unica vera garanzia per assicurare che la tutela dei dati sia determinata da norme europee e solo da esse.
Questo è un elemento importante, perché, ha precisato il direttore generale di Aruba, “significa scegliere servizi che vengano ideati e sviluppati sul nostro territorio, mantenuti da personale che sta nel nostro territorio, non semplicemente forniti, ma il core del servizio deve essere qua nel nostro territorio, per averne il controllo”. Altro punto chiave è la disponibilità di una “pluralità di tecnologie”, ha detto Sordi, “tecnologie enterprise grade, aperte, di livello open source e quando ne abbiamo bisogno dobbiamo già averle disponibili, per poterle utilizzare subito”.
Infrastrutture e piattaforme “as a Service” e cybersecurity come valore
Il data center deve avere un livello di sicurezza e affidabilità (Tier) adeguato al livello di criticità e strategicità dei dati che vi sono conservati. Come ha spiegato Sordi: “La nostra è un’offerta cloud IaaS e PaaS, rispettivamente Infrastructure-as-a-Service e Platform-as-a-Service, quindi servizi a livello di infrastruttura e a livello di piattaforma. Si tratta di mettere a disposizione dei nostri clienti una pluralità di servizi che siano conformi agli standard richiesti e i nostri lo sono, perché sono qualificati secondo i criteri ACN, l’Agenzia di Cyber Sicurezza Nazionale, fino a livello 3. Quindi abbiamo una Qualificazione dei Servizi Cloud di livello QC1, QC2, ma anche QC3, così anche come l’infrastruttura che li ospita, che è un’infrastruttura di livello 3.
Quindi siamo in grado di ospitare fino a livello del dato strategico, coprendo quasi la totalità delle esigenze anche in tema di pubblica amministrazione, visto che questo tipo di qualifica riguarda la PA.
È disponibile alla pubblica amministrazione attraverso lo strumento della convenzione CONSIP, il cosiddetto accordo quadro IaaS e PaaS. È la prima volta che un player italiano mette a disposizione i propri servizi attraverso questo strumento, insieme ai lotti degli altri fornitori americani. Quindi c’è anche un fornitore italiano, Aruba, che mette a disposizione questi servizi aderendo a questa convenzione con un’offerta che risulta completa in termini di tipologia di servizi, e qualificata agli standard europei e nazionali”.
Data center campus “aperti alle imprese e alle università” per creare fiducia, progettati “green by design”
In termini di rapporto tra infrastrutture e i luoghi in cui sorgono, Sordi ha descritto i data center di Aruba come “campus”: “oltre al data center esistono altre strutture, quindi auditorium, uffici, spazi di co-working che permettono alle aziende, ma anche al mondo accademico e alle università, di entrare dentro questi campus, di visitarli e poi di svolgervi la loro attività.
Si tratta di un altro elemento molto importante secondo me per il tema della sovranità, perché ci vuole fiducia nei servizi e nelle infrastrutture. Per me fiducia significa poterle toccare con mano, visitarle, conoscerle direttamente. Tante infrastrutture su cui sono posizionati i vostri dati, non sapete dove sono. Le nostre sono visibili, sono aperte, è possibile toccarle, è possibile capire il livello di innovazione e sicurezza”.
E poi c’è il tema della sostenibilità ambientale, che è sempre più centrale in ogni strategia aziendale. Si tratta, infatti, di “infrastrutture compatibili con il contesto ambientale in cui sorgono – ha detto Sordi – perché i nostri data center sono progettati green by design, è un principio fondante della nostra strategia. Oltre quello delle prestazioni, dell’affidabilità, della sovranità digitale, c’è il tema dell’impatto ambientale e questo per la comunità residente è molto importante. Sono strutture silenziose, sono strutture, quelle di Aruba, che fanno uso di energie provenienti da fonti rinnovabili e alcune addirittura autoprodotte. Noi gestiamo un network di centrali idroelettriche, di impianti fotovoltaici che alimentano i nostri data center”.
La videointervista di Key4Biz a Stefano Sordi, Direttore Generale, Aruba e Vice President, Aruba PEC
