Cos'è la sovranità digitale?

Pubblicato 6 aprile 202611 minuti (tempo di lettura)
Copia URL

Cos'è la sovranità digitale?

Con sovranità digitale si intende il pieno controllo di un'azienda sulle proprie risorse digitali, ovvero la capacità di decidere in autonomia dove risiedono i dati, come vengono eseguiti i sistemi e chi può accedervi. 

Le aziende agiscono da "sovrane" sui propri dati e sulle proprie tecnologie, anziché affidarne il controllo a un fornitore di servizi esterno. 

La sovranità digitale vale per l'infrastruttura, le operazioni, i carichi di lavoro di IA e altri ambiti e componenti.

Scopri le soluzioni Red Hat per la sovranità digitale di Red Hat

 

Non è quindi un obiettivo esclusivo delle autorità, ma anche delle aziende. Alcuni paesi hanno introdotto normative che definiscono e applicano controlli digitali sui propri territori, ad esempio il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea o la legge Clarifying Lawful Overseas Use of Data (CLOUD) degli Stati Uniti. Queste normative intendono proteggere i consumatori e la proprietà intellettuale, mantenere l'indipendenza tecnologica e la resilienza, riducendo i rischi correlati. 

In questo articolo analizzeremo la sovranità digitale per le aziende. 

Scopri le strategie di sovranità digitale per i provider di servizi

Perché scegliere la sovranità digitale?

Possiamo pensare alla sovranità digitale come all'acquisto di un'automobile rispetto al noleggio o al leasing. Essere proprietari dell'automobile garantisce più libertà, privacy, flessibilità e indipendenza, ma bisogna essere patentati e occorre pensare anche all'investimento iniziale e alla manutenzione. 

Come per la proprietà di un'automobile, la sovranità digitale è una responsabilità notevole e richiede dedizione. Tuttavia, è un valido investimento per le organizzazioni che vogliono ottenere: 

  • Continuità operativa. In caso di imprevisti, la sovranità digitale ti permette di mantenere il controllo sugli eventi, evitando di doverti rivolgere a un provider di terze parti. 

    Se puoi controllare i sistemi, puoi renderli portabili e interoperabili, e quindi eseguire una migrazione in caso di un'interruzione imprevista o, nel peggiore dei casi, accedere immediatamente al software, al supporto e ai modelli proprietari. Congiuntamente, questi fattori ti aiutano a gestire la continuità operativa alle tue condizioni.

  • Compatibilità con i diversi fornitori. La sovranità digitale garantisce libera scelta tra i tanti strumenti e servizi offerti dai vari fornitori. 

    Il pieno controllo sull'infrastruttura riduce i rischi di interruzione, elimina i vincoli con i fornitori e concede più opzioni di scelta.

  • Gestione del rischio. La sovranità digitale protegge l'infrastruttura critica dagli imprevisti che non puoi controllare e riduce l'esposizione ai rischi prima che si verifichino.

    Affidarsi a fornitori esterni, che si occupano anche di altre priorità, può generare vulnerabilità di difficile gestione. Diversamente, se sei tu a mantenere il controllo sulla tua infrastruttura, i tuoi dati e i tuoi fornitori, puoi evitare le dipendenze, che sono potenziali cause di rischi geopolitici o di sicurezza e conformità. 

Per riprendere l'analogia iniziale, la sovranità digitale è una strategia efficace per le organizzazioni che scelgono di avere il controllo diretto sulla propria auto, rinunciando alla comodità del noleggio in cambio di maggiore autonomia.

Partecipa alla valutazione Red Hat Digital Sovereignty Readiness Assessment

Sovranità digitale

Su quali principi cardine poggia la sovranità digitale?

Esaminiamo i quattro principi cardine della sovranità digitale che supportano la strategia complessiva per il controllo delle risorse digitali.

  1. La sovranità dei dati riguarda l'applicazione delle legislazioni locali in materia di creazione, archiviazione e utilizzo dei dati. I dati sono generalmente soggetti alle leggi del paese in cui vengono acquisiti o trattati, sebbene si applichino a volte anche normative internazionali. Ciò vale anche per i modelli e i dati di addestramento dell'IA. Le legislazioni variano in base al paese. 

    I dati acquisiti in Germania, ad esempio, devono essere conformi al regolamento GDPR. 

  2. La sovranità tecnologica riguarda il controllo sul modo in cui vengono progettati i sistemi. Se una tecnologia è progettata per essere portabile e interoperabile, potrà essere trasferita da un ambiente all'altro e operare con altre tecnologie. L'utilizzo di standard e tecnologie open source può contribuire a ridurre le dipendenze dal software o dall'infrastruttura proprietaria di un singolo fornitore, favorendo l'adozione di nuovi strumenti, il passaggio ad ambienti diversi e la trasformazione dell'architettura senza che sia necessario ripartire da zero.

    Ad esempio, un'azienda non sarà vincolata dai limiti dell'architettura di un fornitore quando decide quali carichi di lavoro eseguire in sede e quali nel cloud. 

  3. La sovranità operativa riguarda il controllo sull'esecuzione, l'accesso e la gestione quotidiana dei sistemi aziendali. Decidere in autonomia come far funzionare, gestire e monitorare la propria infrastruttura permette anche di verificare chi accede ai sistemi, rendendoli più affidabili. 

    Se, ad esempio,è il team interno a controllare chi accede ai sistemi, risponde agli incidenti e apporta immediatamente le modifiche, non sarà necessario attendere l'intervento del fornitore. 

  4. La sovranità della sicurezza riguarda le modalità che mettono in sicurezza la tecnologia, rendendola affidabile e conforme, alle tue condizioni. Ciò implica testare regolarmente i sistemi, verificare che soddisfino i requisiti legislativi locali ed eseguire regolarmente le verifiche necessarie a garantire l'aggiornamento delle policy. Le verifiche dovranno includere l'infrastruttura IT, il software e le operazioni.

    Un fornitore di servizi sanitari statunitense, ad esempio, dovrà verificare che i sistemi proteggano i dati riservati dei pazienti e siano conformi ai requisiti dell’Health Insurance Portability and Accountability Act (HIPAA)

Scopri perché sovranità digitale non significa solo conformità

Sovranità digitale e sovranità dei dati

La sovranità digitale riguarda il mantenimento del controllo della tecnologia all'interno dell'organizzazione, anche se si collabora con fornitori terzi. 

La sovranità dei dati (uno dei quattro principi cardine della sovranità digitale) riguarda le modalità di regolamentazione dei dati, anche quelli relativi ai modelli e all'addestramento dell'IA in base alle leggi del paese in cui tali dati vengono raccolti, archiviati o trattati. È il punto di intersezione tra conformità legislativa e strategia aziendale. 

I dati sono soggetti alle legislazioni locali anche se la società capogruppo o i datacenter hanno sede in un altro paese. Ciò diventa ancora più complesso quando i dati vengono raccolti su scala globale. 

Prendiamo l'esempio di una società con sede centrale negli Stati Uniti che ha una succursale a Parigi e acquisisce i dati dei clienti in Francia. I dati devono rispettare le leggi dell'Unione europea, come il GDPR, anche se la sede centrale si trova negli Stati Uniti.

È importante distinguere la sovranità digitale da quella dei dati e non confonderle con un ulteriore concetto: la sovranità del ciberspazio, che riguarda la pretesa di alcuni governi di controllare Internet tramite leggi e censure applicate nelle proprie giurisdizioni. 

Alcuni paesi, ad esempio, limitano l'accesso a contenuti che circolano liberamente in altri. 

Altri due concetti da considerare in tema di sovranità digitale e governance sono:

  • Residenza dei dati, che indica il luogo dove i dati sono fisicamente archiviati. Nel nostro esempio, la residenza dei dati è in Francia.
  • Localizzazione dei dati, che indica le leggi che impongono l'archiviazione e il trattamento di determinati dati entro la giurisdizione di un paese. Nel nostro esempio, la società con sede negli Stati Uniti potrebbe dover conservare i dati raccolti in Francia e all'interno dell'Unione europea, o adottare procedure di trasferimento approvate e conformi. 

Per riepilogare, la sovranità digitale garantisce il controllo sulla tecnologia aziendale e sulle decisioni relative all'infrastruttura, mentre la sovranità dei dati applica leggi specifiche ai dati locali. Nel complesso, queste procedure permettono alle aziende di operare all'estero evitando sanzioni.

Qualunque azienda che conservi, trasferisca o si occupi del trattamento dei dati deve riconoscere il ruolo che la sovranità dei dati riveste in termini legali, di privacy e di sicurezza nelle strategie aziendali.

I vantaggi della sovranità digitale

Poiché offre controllo e garanzie, la sovranità digitale interessa molte organizzazioni. La possibilità di vigilare sull'intero ambiente digitale permette di decidere come gestire l'infrastruttura, i dati e la sicurezza, ottenendo un livello di autonomia che contribuisce a migliorare:

  • Conformità normativa. È possibile garantire l'aderenza alle legislazioni locali in materia di dati e controllare i trasferimenti globali dei dati dall'interno, migliorando così la sicurezza complessiva e la continuità operativa.
  • Resilienza operativa. La responsabilità dei propri piani di ripristino di emergenza permette di trasferire e modificare i carichi di lavoro secondo i propri tempi, senza attendere l'approvazione del fornitore.
  • Gestione del rischio. Una minore dipendenza dalle piattaforme esterne riduce l'esposizione ai disservizi dei fornitori e rende trasparenti le responsabilità sulla sicurezza.
  • Visibilità dei costi. Benché non riduca automaticamente i costi, la sovranità ne aumenta la trasparenza, favorendo la modifica di risorse e costi in base alle esigenze.
  • Governance dell'IA e controllo dei modelli. Anziché esternalizzare completamente l'IA, puoi mantenere il controllo sui dati di addestramento, sull'aggiornamento dei modelli e sulla distribuzione dell'IA, in modo da ottimizzare e personalizzare i sistemi di IA assecondando le esigenze aziendali. Governance e controllo forniscono inoltre un ulteriore livello di sicurezza, fondamentale in settori altamente regolamentati come la sanità e la finanza. 

Un maggior controllo garantisce più flessibilità, una governance trasparente e strategie tecnologiche più sostenibili nel lungo periodo.

Occorre però ricordare che un livello di controllo estremamente elevato su ogni aspetto tecnologico non è necessariamente vantaggioso per tutti. Alcune piattaforme funzionano meglio nel cloud pubblico. È al livello dei carichi di lavoro che vanno mantenuti potere decisionale e sovranità digitale.

Le sfide della sovranità digitale

Alcune organizzazioni non colgono l'opportunità di gestire in autonomia la propria tecnologia perché si tratta di un'attività complessa. 

La sovranità digitale implica infatti la responsabilità di gestire la conformità, la catena di distribuzione, la residenza dei dati, l'IA e molti altri aspetti. Controllarli tutti simultaneamente può comportare alcune difficoltà: 

  • Costi: la sovranità digitale impone costi di investimento iniziali e di gestione dell'infrastruttura, del software e delle piattaforme di governance dei dati. Le architetture ibride o multicloud possono essere costose, ma favoriscono l'adattabilità all'evoluzione delle tecnologie. 

    Occorre però ricordare che sovranità non significa ripartire da zero. È necessario considerare i requisiti della sovranità quando si progetta e realizza l'infrastruttura. 

  • Competenze: organizzare e finanziare il team con le competenze e conoscenze settoriali richieste può essere complicato. Per raggiungere la sovranità digitale servono esperti locali, come ingegneri della piattaforma e della sicurezza, che comprendano gli scenari di utilizzo specifici.
  • Conformità normativa: spesso i dati provengono da più paesi, ognuno con legislazioni proprie che possono sovrapporsi o essere incongruenti. Inoltre, le leggi sono oggetto di frequenti modifiche e devono quindi essere monitorate con precisione per evitare ritardi operativi e rischi di sicurezza.
  • Vendor lock in: eliminare i vincoli delle risorse digitali con i fornitori proprietari senza causare interruzioni operative può rivelarsi complesso. Per non introdurre nuovi rischi, le migrazioni richiedono un'attenta pianificazione e architetture ben progettate.
  • Complessità organizzativa: tutti i team - esecutivo, IT, sicurezza, finanza e legale - devono adottare un approccio collaborativo. Affinché la strategia mantenga la direzione scelta, i team devono condividere le stesse priorità in merito alla sovranità. 

Poiché le strategie per la sovranità digitale presentano diversi livelli di controllo e complessità, le sfide variano in base agli scenari di utilizzo. 

  • L'infrastruttura autogestita garantisce il maggior controllo ma richiede anche investimenti importanti e attività di manutenzione complesse.
  • Anche le soluzioni di cloud sovrano hanno costi di avvio iniziali e una serie di limiti imposti dai fornitori.
  • Le architetture ibride o multicloud offrono la maggiore flessibilità, associata però a complessità operative e a requisiti di governance per i diversi ambienti.

È utile tornare di nuovo all'analogia dell'automobile. La scelta della soluzione di sovranità digitale scelta comporterà un compromesso: da un lato maggiori controllo e indipendenza e dall'altro meno complessità e investimenti iniziali inferiori.

Cos'è il cloud sovrano?

Un cloud sovrano è un ambiente cloud progettato per garantire tre livelli di controllo: sulla residenza dei dati, sulle leggi applicate e su chi gestisce l'infrastruttura. 

  • La sovranità dei dati, insieme alla residenza e alla localizzazione dei dati, definiscono la posizione di archiviazione dei dati e le modalità di trasferimento in conformità ai requisiti legislativi locali.
  • La giurisdizione legale stabilisce la normativa applicata ai dati e chi può accedervi, limitando l'accesso da parte di autorità straniere e terze parti, ad esempio il personale che gestisce i sistemi alla base.
  • Il controllo operativo stabilisce chi gestisce l'infrastruttura e spesso prevede un'infrastruttura gestita a livello locale, con team di supporto regionali e rigidi controlli di gestione delle identità e degli accessi. 

La sovranità ha vari livelli: alcuni cloud sovrani si concentrano principalmente sulla residenza dei dati, mentre altri offrono livelli aggiuntivi che prevedono controlli operativi e di accesso più rigidi.

Spesso confuso con altri concetti, come il multicloud o il cloud ibrido, il cloud sovrano non si limita alla flessibilità, alla conformità o alla crittografia dei dati. 

Un'infrastruttura di cloud sovrano contribuisce a garantire il controllo su dati, operazioni e giurisdizione, oltre a offrire i vantaggi di un ambiente di cloud computing flessibile e scalabile. Il cloud sovrano favorisce la protezione dei dati e la conformità, ma lascia alle organizzazioni la responsabilità della governance, della configurazione e delle procedure di sicurezza interna. 

Tuo il cloud, tue le regole: scopri l'impegno di Red Hat per il cloud sovrano

Cos'è la resilienza informatica?

Con resilienza informatica (detta anche ciberresilienza) ci si riferisce alla capacità di prevenzione, difesa e ripristino di un'organizzazione da attacchi malevoli, guasti dei sistemi e interruzioni della catena di distribuzione. È un aspetto chiave a supporto della sovranità digitale: se non si è in grado di controllare la tecnologia, non è possibile proteggerla. 

La gestione della resilienza informatica prevede tre passaggi fondamentali:

  • Prevenzione: è cruciale per identificare le vulnerabilità prima che i criminali informatici le sfruttino a proprio vantaggio. Per identificare i comportamenti anomali, una strategia di sicurezza proattiva si avvale di rigidi controlli di accesso, architetture Zero Trust e del monitoraggio continuo, oltre a considerare come rischi sia le violazioni dei dati dall'esterno che le minacce interne.
  • Difesa: in caso di attacco informatico, l'obiettivo principale è il contenimento, ovvero chiudere le falle che hanno consentito l'accesso alla tecnologia e isolare i sistemi oggetto dell’attacco. Occorre inoltre mantenere le funzionalità critiche nelle aree non interessate.
  • Ripristino: il piano per il ripristino in seguito a un attacco deve prevedere il ripristino dei sistemi a partire da backup attendibili, l'eliminazione delle vulnerabilità esistenti, il ripristino degli elementi compromessi e la pianificazione della copertura della superficie oggetto dell’attacco. Anche recuperare il rapporto di fiducia con i clienti è parte integrante del processo. 

Un'infrastruttura sovrana concede più autorità sulle modalità di protezione, monitoraggio e ripristino dei sistemi, evitando di affidare queste attività a terze parti.

Leggi l'articolo su Red Hat e il Regolamento sulla ciberresilienza (CRA) dell'UE

Cos'è l'IA sovrana?

L'IA sovrana applica i principi della sovranità digitale ai sistemi di IA come piattaforme, modelli, carichi di lavoro e dati. Garantisce il controllo sulle modalità di sviluppo, distribuzione e gestione dei tuoi sistemi di IA, in linea con i valori della tua organizzazione e conformemente ai requisiti legali.

Con l’IA sovrana si passa dal noleggio alla proprietà dell'IA. 

Anziché utilizzare i sistemi di IA a pagamento delle grandi aziende tecnologiche come OpenAI o Google, l'IA sovrana ti permette di realizzare e gestire l'IA alle tue condizioni, diventandone il proprietario. 

Avere un'IA sovrana non significa necessariamente disporre di modelli proprietari. È infatti possibile gestire modelli open source all'interno dell'organizzazione, eseguire l'IA in un'infrastruttura conforme ai requisiti legali regionali o distribuirla in un cloud sovrano. 

Un'IA proprietaria è l'opzione più costosa, ma, se gestita correttamente, è anche quella che garantisce il maggior controllo su privacy, governance e proprietà intellettuale. 

L’inarrestabile evoluzione dell'IA crea nuove sfide per la sovranità digitale, incrementando l'esigenza di governance e modificando le priorità assegnate all'infrastruttura e al controllo dei dati.

Scopri di più sull'IA sovrana 

Il ruolo di Red Hat

Le soluzioni open source di Red Hat supportano la sovranità digitale lasciando a te il controllo. Le nostre piattaforme e servizi ti offrono gli strumenti per gestire i dati e le tecnologie proprietarie. 

Contatta un esperto di Red Hat

Di seguito gli elementi chiave su cui si impegna Red Hat:

  • Trasparenza. Prodotti come Red Hat® AI, Red Hat Enterprise Linux® e Red Hat OpenShift® forniscono la visibilità necessaria sul software, aiutando a comprendere come funzionano i tuoi sistemi.
  • Architettura di cloud ibrido. Un'unica piattaforma coerente che permette l'esecuzione delle applicazioni ovunque: in sede, sui cloud del fornitore locale o all'edge.
  • Interoperabilità. Evita i vincoli con il fornitore. Red Hat si fonda su standard open source che ti permettono di utilizzare in concomitanza strumenti di fornitori diversi in base alle tue esigenze.
  • Innovazione open source. Le community di sviluppatori globali collaborano costantemente all’evoluzione dei progetti open source, contribuendo a migliorare i prodotti Red Hat e ampliando gli orizzonti rispetto ai piani di azione delle singole aziende.
  • Controllo. Il controllo sui deployment ti garantisce maggiore sovranità operativa. Ottieni il miglior risultato per ogni scenario di utilizzo specifico personalizzando i deployment e i carichi di lavoro in base alle esigenze. 

Il software open source rafforza la tua sovranità digitale, ovunque si trovi la tua azienda. Red Hat offre soluzioni di sovranità digitale ai clienti di tutto il mondo. 

Scopri come Red Hat supporta la sovranità dei dati nell'Unione europea

A che punto è la tua strategia di sovranità digitale? Introduzione al Red Hat Sovereignty Readiness Assessment Tool

Il Red Hat Sovereignty Readiness Assessment Tool è uno strumento per l’autovalutazione accessibile dal web, che fornisce una base di riferimento chiara e obiettiva del controllo digitale della tua organizzazione in sette ambiti fondamentali.
Leggi l'articolo del blog

Continua a leggere

The journey from observability to AIOps automation

Scopri in che modo le organizzazioni possono accelerare l'erogazione di servizi e applicazioni affidabili coniugando osservabilità, AIOps e automazione dell'IT.

What is sovereign AI?

Per "IA sovrana" si intende il possesso della tecnologia di IA, il mantenimento dei dati all’interno della giurisdizione nazionale e la garanzia che i sistemi riflettano valori specifici e requisiti legali.

What is llm-d?

llm-d è un framework open source nativo di Kubernetes che accelera l'inferenza LLM distribuita in modo scalabile.

Digital sovereignty: risorse consigliate

Contenuti correlati