La sovranità digitale nel settore bancario

2 marzo 2026Héctor Arias, Armin Warda8 minuti (tempo di lettura)
Digital sovereignty

Dieci anni fa, né le nazioni né gli istituti finanziari consideravano la sovranità digitale una priorità assoluta e, nella maggior parte dei casi, non era nemmeno un argomento abbastanza rilevante da affrontare durante una pausa caffè. La globalizzazione della supply chain era la tendenza principale per la maggior parte delle categorie di approvvigionamento, mentre l'esternalizzazione era semplicemente una questione di acquisto del miglior prodotto o servizio possibile al miglior prezzo, in base unicamente a sanzioni, normative e altri rischi operativi esistenti, come la necessità di avere un fornitore di backup pronto per i materiali di consumo di importanza critica. 

Ecco alcuni esempi di una supply chain globale con un elevatissimo grado di specializzazione:

  • banche europee che utilizzano hyperscaler statunitensi;
  • hyperscaler statunitensi che utilizzano chip per computer prodotti a Taiwan;
  • produttori di chip taiwanesi che utilizzano litografie provenienti dai Paesi Bassi;
  • processi litografici dei Paesi Bassi che sfruttano l'ottica avanzata di un'azienda tedesca.

Tuttavia, il mondo è cambiato con l'interruzione della supply chain durante il COVID e le nuove dinamiche sullo scenario geopolitico. Oggi, molte banche, compagnie assicurative e istituti finanziari desiderano sviluppare un controllo più autonomo, se non del tutto, della propria tecnologia e delle proprie operazioni. Talvolta questo aspetto è determinato dalla strategia aziendale, ma in altri casi è imposto dalle autorità di regolamentazione, poiché il ruolo delle banche nell'economia e nella società aumenta la loro importanza critica al di là del rendimento delle singole aziende.

Di conseguenza, la mentalità del settore si è spostata dalla "globalizzazione predefinita" alla "regionalizzazione o localizzazione, ove possibile". Si tratta di un cambiamento epocale per il settore bancario, la cui attuazione richiederà probabilmente anni, poiché i fornitori di tecnologie sono presenti ovunque lungo la catena del valore delle banche e nell'intero ecosistema finanziario, con connettività e interdipendenza tecnologica tra fornitori, partner e clienti.

Cos'è la sovranità digitale?

Secondo il World Economic Forum, la sovranità digitale di un paese si riferisce alla sua capacità di controllare il proprio futuro digitale, ovvero i dati, l'hardware e il software su cui si basa e che crea. Per esclusione, significa anche che nessun soggetto esterno alla governance del paese può avere il controllo su dati, hardware e software, né può accedere alla sua tecnologia o arrestare uno qualsiasi dei suoi sistemi senza consenso, e nessuno può eludere le sue normative. Ciò significa che il Paese non dipende dalla volontà di terzi di seguire le sue regole, poiché non è tecnicamente possibile per nessuno rilevare (o bloccare) alcun componente critico della sua tecnologia, delle sue operazioni o dei suoi dati. 

Applicando questo concetto agli istituti bancari, è importante sottolineare che la sovranità non riguarda solo la residenza dei dati, aspetto già noto da anni. Essa comprende anche l'hardware, il software e le operazioni su cui le banche fanno affidamento, nonché la governance dei fornitori di importanza critica per l'attività bancaria. L'obiettivo finale è mitigare, o quantomeno comprendere meglio, i rischi potenzialmente provocati da decisioni altrui, ad esempio da un fornitore con sede centrale o che svolge operazioni in un paese con normative diverse, oppure da interruzioni sistemiche o ripetute originate in altri paesi. Ad esempio, un'entità di outsourcing offshore che gestisce un sistema bancario centrale o un'infrastruttura fornita da una filiale nazionale di una società straniera verrà probabilmente segnalata come area che richiede attenzione in termini di sovranità.

Esistono quattro livelli di sovranità digitale.

digital sovering
  • Sovranità dei dati: data center situati nel paese o nella regione (ad esempio, nell'UE).
  • Sovranità tecnica: utilizzo di standard aperti e open source.
  • Sovranità operativa: il servizio Red Hat Confirmed Sovereign Support per l'Unione Europea per i clienti UE e per chiunque preferisca questa opzione.
  • Sovranità della sicurezza: software open source verificabile, software bill of materials (SBOM) e build riproducibili.

Il ruolo dell'open source a supporto della sovranità digitale 

Il software proprietario è controllato dalle aziende che lo sviluppano e lo distribuiscono, mentre i clienti hanno un controllo molto limitato sui prodotti software che utilizzano. Ad esempio, gli utenti di software proprietario potrebbero essere in grado di influenzarne il comportamento tramite le opzioni di configurazione, ma non possono modificarne la funzionalità agendo sul codice. Inoltre, non potranno comprenderne le funzionalità (e i potenziali bug o altri problemi) leggendo il codice sorgente.

Anche se molte aziende produttrici di software proprietario operano a livello internazionale e nel pieno rispetto delle normative locali tramite filiali, la loro governance interna spesso impone loro di aderire alla regolamentazione e alla governance della loro società madre. Un ottimo esempio delle implicazioni di questa struttura sono gli Stati Uniti. Il Cloud Act (Clarifying Lawful Overseas Use of Data Act), approvato nel 2018, ha implicazioni significative sulla residenza e sul transito dei dati delle banche. Questa legge federale statunitense consente alle forze dell'ordine degli Stati Uniti di obbligare le società tecnologiche con sede negli Stati Uniti a divulgare i dati elettronici, anche se questi sono archiviati al di fuori degli Stati Uniti. Di conseguenza, molte banche hanno dovuto rivedere le strategie di archiviazione e transito dei dati dei clienti in conformità con le normative specifiche sulla protezione dei dati, ad esempio il Regolamento generale sulla protezione dei dati (GDPR) dell'UE o il Digital Personal Data Protection Act (DPDP Act) dell'India.

Al contrario, il software open source è creato da community globali e sviluppato da persone fisiche e aziende che possono avere sede in qualsiasi parte del mondo. 

Ecco le quattro libertà dell'open source.

  • Utilizzo: nessuna restrizione su chi può utilizzarlo, dove e per quale scopo.
  • Studio: lettura e comprensione del codice sorgente.
  • Modifica: possibilità di modificare del codice sorgente e creare fork del progetto.
  • Condivisione: ridistribuzione del codice sorgente (non modificato o modificato) e degli artefatti binari.

Nessun governo o normativa può obbligare queste community a inserire backdoor, kill switch, geofence o altri meccanismi indesiderati in grado di aggirare i controlli dell'utente o di influenzare o limitare in alcun modo l'uso del codice, perché il codice sorgente è disponibile per essere esaminato da chiunque e in qualsiasi momento. 

Esistono due caratteristiche intrinseche del software open source particolarmente adatte alla sovranità digitale:

  • Autonomia: il software open source è creato da sviluppatori che possono trovarsi ovunque nel mondo e che contribuiscono a progetti collaborativi della community. Inoltre, non esiste un Paese o un'organizzazione autorizzata a rivendicare la proprietà intellettuale o la governance dell'open source, né a chiudere le applicazioni che utilizzano software open source.
  • Trasparenza: l'open source offre la trasparenza che manca alle soluzioni proprietarie. Ogni riga di codice open source può essere ispezionata e verificata, non solo dall'organizzazione che utilizza il software, ma anche dalle community di sviluppatori. I sistemi di gestione del codice sorgente distribuito più comunemente utilizzati nei progetti open source, come Git (e GitHub, GitLab e così via) forniscono un registro delle modifiche e tutte le modifiche sono firmate digitalmente. La trasparenza e la tracciabilità intrinseche promuovono procedure di sicurezza solide, facilitano la conformità alle normative, promuovono la fiducia e semplificano i processi di audit. 

Multicloud ibrido per flessibilità e resilienza 

Una delle principali preoccupazioni relative alla sovranità digitale è la dipendenza da una limitata lista di fornitori di infrastrutture, molti dei quali hanno sede in un unico paese. Ciò è particolarmente vero nel panorama dei provider di servizi cloud, dove 3 vendor controllano quasi il 65% della quota di mercato globale. Ancor prima dell'ascesa della sovranità digitale, questa concentrazione del rischio era già al centro dell'attenzione per alcune normative, come il Digital Operational Resilience Act (DORA) dell'UE e la politica di resilienza operativa SS1/21 della Prudential Regulation Authority (PRA) del Regno Unito.

Molte banche hanno optato per una piattaforma multicloud ibrida, che consente controllo e libertà di scelta con un approccio flessibile e aperto. Questo consente loro di mantenere aperte le opzioni sui servizi cloud da utilizzare e di sfruttare i vantaggi di innovazione, velocità e flessibilità offerti dai servizi cloud native. 

Red Hat: tuo il cloud, tue le regole

Con le tecnologie Red Hat enterprise open source, i clienti possono continuare a utilizzare il software anche se il loro rapporto legale e commerciale con Red Hat termina. Red Hat sta aumentando il supporto alle banche che cercano opzioni in ambito di sovranità digitale, contribuendo a mitigare i rischi e a eliminare l'onere di passare da un fornitore all’altro. Red Hat ha pubblicato una dichiarazione di impegno per il cloud sovrano e introdotto il Red Hat Confirmed Sovereign Support per l’Unione Europea, con personale UE che opera in conformità con le normative dell'UE e amplia l'ecosistema locale.

Inoltre, Red Hat offre una supply chain del software affidabile e chiaramente documentata, utilizza procedure di sviluppo sicure e presenta processi di sviluppo solidi, packaging affidabile e una distribuzione trasparente, oltre a offrire monitoraggio e verifica continui. Tutto ciò contribuisce a impedire l'introduzione di componenti non adeguati per la sovranità digitale e la potenziale interruzione dei servizi.

Le piattaforme Red Hat sono inoltre progettate per i deployment multicloud, al fine di soddisfare i fondamentali requisiti operativi e di residenza dei dati. La nostra piattaforma hybrid cloud open source offre la portabilità dei carichi di lavoro, consentendo alle organizzazioni di trasferirli tra diversi provider cloud o verso i propri ambienti on premise. Questo consente loro di reagire rapidamente all'evoluzione dei requisiti della sovranità digitale e contribuisce a migliorare la resilienza operativa.

Cogli le opportunità del futuro con l'IA sovrana

Nel panorama dell'IA sono già disponibili numerosi modelli tra cui scegliere, dai modelli predittivi utilizzati da anni ai dinamici modelli linguistici di grandi dimensioni (LLM) di IA generativa, comparsi più recentemente, e quasi ogni settimana vengono annunciate nuove innovazioni o miglioramenti. 

I modelli di IA generativa (gen AI) presentano una varietà di dimensioni, opzioni di hosting, gradi di apertura e altre caratteristiche, ciascuna con vantaggi e svantaggi a seconda dello scenario di utilizzo. Questo è particolarmente importante per il settore bancario, poiché i dati dei clienti devono essere protetti ed esistono normative che regolano l'uso delle tecnologie disponibili. Ci sono tre aspetti che determinano se una IA è adatta allo scopo. 

  • Trasparenza: per gli scenari di utilizzo del settore bancario che prevedono l'assunzione di decisioni o l'interazione con i clienti in fase di inferenza, è fondamentale capire come funziona il modello e quali dati sono stati utilizzati per l’addestramento dello stesso. Questo è essenziale perché le allucinazioni dell'IA possono avere implicazioni significative a livello normativo, aziendale e di reputazione.
  • Sovranità tecnologica e operativa: nessun soggetto esterno alla banca o alla governance delle autorità di vigilanza dovrebbe essere in grado di interrompere i servizi di importanza critica in fase di inferenza. Questo requisito implica che i modelli non possano essere ospitati al di fuori del controllo tecnologico delle banche.
  • Dati dei clienti: i regolamenti rendono le banche pienamente responsabili della riservatezza dei dati dei clienti, pertanto devono essere in grado di garantire che tali dati siano protetti e mantenuti privati. Anche se alcuni modelli di IA dichiarano per contratto di non utilizzare o visualizzare i dati dei clienti, la possibilità di una potenziale violazione implica che, per alcuni scenari di utilizzo, sia preferibile utilizzare modelli più vicini ai dati dei clienti.  

Secondo Red Hat, le banche si avvarranno di diversi modelli di IA, infrastrutture e acceleratori hardware per diversi scenari di utilizzo. Riteniamo inoltre che questa piattaforma di IA sarà strettamente integrata con le loro piattaforme applicative, sarà live sul cloud ibrido e condividerà processi e strumenti per eseguire in modo più efficiente i servizi e le operazioni tecnologiche delle banche. Questa architettura cloud ibrida integrata aiuterà le banche ad avere maggiore libertà di scelta e ad essere pronte per il futuro, considerata l’evoluzione dei requisiti di sovranità digitale.

Scopri di più sui prodotti di Red Hat per il settore dei servizi bancari.

Risorsa

L'adattabilità enterprise: predisporsi all'IA per essere pronti a un'innovazione radicale

Questo ebook, redatto da Michael Ferris, COO e CSO di Red Hat, illustra il ritmo del cambiamento e dell'innovazione tecnologica radicale con l'IA che i leader IT devono affrontare nella realtà odierna.
Ottieni la risorsa

Sugli autori

2

Héctor Arias

Global Lead for Retail Banking

Héctor Arias is the Global Lead for Retail Banking at Red Hat since March 2022. He has over 20 years of experience within the banking sector leading business strategy, open banking, digital transformation, and new digital businesses initiatives for BBVA in several countries spanning the Spain, USA, and LATAM. He works with banks and partners globally strategizing and planning next generation technology platforms.

Read full bio
Armin Warda

Armin Warda

EMEA FSI Technology Lead, Red Hat

Mr. Armin Warda supports Red Hat’s Financial Services customers and partners in the adoption of Red Hat technology, particularly in regards to operational efficiency, security & compliance and their journey to hybrid cloud. He is currently exploring the impact of proposed European regulations and initiatives on the financial services industry and their IT providers, such as the Digital Operational Resiliency Act (EU-DORA) and the Artificial Intelligence Act (EU-AIA).

Armin joined Red Hat in 2021. Previously he worked for 22 years at Postbank Systems as a Senior IT Architect for Postbank and Deutsche Bank. Armin holds a master degree in Computer Science from the TU Dortmund and also studied at the University College Dublin.

Read full bio
UI_Icon-Red_Hat-Close-A-Black-RGB

Altri risultati simili a questo

Blog post

Strengthening Spain's digital sovereignty: Red Hat Enterprise Linux achieves top-tier ENS security certification

Blog post

AI in telco – the catalyst for scaling digital business

Ricerca per canale

Esplora tutti i canali
automation icon

Automazione

Novità sull'automazione IT di tecnologie, team e ambienti
AI icon

Intelligenza artificiale

Aggiornamenti sulle piattaforme che consentono alle aziende di eseguire carichi di lavoro IA ovunque
open hybrid cloud icon

Hybrid cloud open source

Scopri come affrontare il futuro in modo più agile grazie al cloud ibrido
security icon

Sicurezza

Le ultime novità sulle nostre soluzioni per ridurre i rischi nelle tecnologie e negli ambienti
edge icon

Edge computing

Aggiornamenti sulle piattaforme che semplificano l'operatività edge
Infrastructure icon

Infrastruttura

Le ultime novità sulla piattaforma Linux aziendale leader a livello mondiale
application development icon

Applicazioni

Approfondimenti sulle nostre soluzioni alle sfide applicative più difficili
Virtualization icon

Virtualizzazione

Il futuro della virtualizzazione negli ambienti aziendali per i carichi di lavoro on premise o nel cloud