Research

Digital Sovereignty

La sovranità digitale completa non è un traguardo raggiungibile oggi, ma un percorso che inizia con la comprensione dei rischi reali, la valutazione di ciò che il mercato europeo offre e la definizione di interventi prioritari. Il nostro ruolo è rendere questo percorso realizzabile e misurabile.

La sovranità digitale non riguarda soltanto la localizzazione dell'infrastruttura, ma soprattutto chi controlla le decisioni, gestisce i rischi e mantiene la capacità di cambiare nel tempo. È da questa distinzione che emerge il rischio reale: non dove si trovano i dati, ma chi li controlla e a quali condizioni.

Contesto

Sovranità digitale: dal dibattito politico al rischio operativo

Per anni, la conversazione sulla sovranità digitale si è fermata alla localizzazione dei dati: i server sono in Europa, quindi i dati sono al sicuro. Una risposta considerata già parziale nel 2018. Il contesto normativo e geopolitico di oggi la rende insufficiente

La verità è che uno stack digitale interamente europeo, completamente indipendente e privo di dipendenze extra-UE, oggi non è realistico per la maggior parte delle organizzazioni. Ma ignorare questa realtà non riduce il rischio, lo rende solo invisibile. 

Tre forze convergenti stanno cambiando natura e portata dei rischi per le organizzazioni europee: 

  • La pressione normativa dell'UE (GDPR, NIS2, DORA, AI Act) si scontra con le leggi extraterritoriali americane come il CLOUD Act e FISA 702, che permettono alle autorità statunitensi di accedere ai dati gestiti da provider soggetti alla giurisdizione USA, indipendentemente da dove si trovano fisicamente i server. 

  • Il lock-in tecnologico si è stratificato sempre di più, fino a diventare invisibile. 

  • Il cloud è ormai infrastruttura critica: un'interruzione di servizio non è più solo un problema tecnico, ma un evento con impatto sul business. 

Il nodo fondamentale è che la residenza e il controllo sul dato sono due cose distinte. Archiviare dati in un datacenter europeo non garantisce sovranità se il provider è soggetto ad una giurisdizione non-UE. Il control plane, le chiavi crittografiche, le policy di accesso: è lì che si misura il controllo effettivo. 

DEFINIZIONE

Tre domini, tre livelli di maturità 

La sovranità digitale non è uno stato assoluto. È la capacità di un'organizzazione di mantenere il controllo effettivo su dati, operazioni e tecnologie, anche quando pressioni legali, commerciali o geopolitiche ne limitano la libertà di scelta. Nella pratica, questi tre domini non hanno lo stesso livello di maturità nelle organizzazioni europee. 

La Data Sovereignty è il dominio più consolidato, mentre Operations e Technology Sovereignty restano in fase di sviluppo per la maggior parte delle organizzazioni europee. È in questi due domini che si concentra l'esposizione maggiore e il margine più significativo di intervento. 

RISCHI

Quattro categorie di rischio già materializzate

Ogni categoria di rischio ha almeno un caso documentato negli ultimi anni. È importante notare che questi rischi non sono indipendenti: si amplificano reciprocamente, trasformando un'esposizione inizialmente circoscritta in un problema strutturale.

Rischio legale e di accesso ai dati 

Autorità non-UE possono accedere ai dati senza notifica, anche se i server si trovano in Europa. La legge applicabile in caso di controversia potrebbe non essere europea. 

Microsoft-Ireland (2013–2018): gli USA hanno emesso un mandato per email ospitate a Dublino. Il Congresso rispose con il CLOUD Act del 2018: la giurisdizione USA segue la proprietà societaria, non la localizzazione dei server. 

Rischio economico e di costo 

Aumenti di prezzo non negoziabili una volta raggiunta la dipendenza critica. I costi reali di uscita – egress, refactoring API, ricertificazioni – raramente vengono stimati in anticipo. 

Broadcom-VMware (2023): dopo l'acquisizione i costi di rinnovo licenza sono cresciuti tra il 300% e il 500%. Migrare verso alternative ha richiesto tra 18 e 36 mesi, senza alternative immediate disponibili. 

Rischio operativo e di continuità 

Un'interruzione cloud è un evento di business. Architetture che dipendono da componenti 'invisibili' impediscono la riallocazione rapida dei workload in caso di crisi. 

Cloudflare outage (2025): un'anomalia durante una finestra di manutenzione ha reso inaccessibili migliaia di applicazioni per circa tre ore. Una dipendenza critica che molte organizzazioni non avevano mappato. 

Rischio strategico e di governance 

Il provider cambia la propria roadmap o depreca servizi: l'architettura va riscritta. La 'sovranità' diventa requisito nei bandi pubblici: chi non è pronto perde contratti. 

French Health Data Hub (2021): costruito su Azure, ha subito pressioni crescenti dopo Schrems II. Il risultato: un processo di migrazione verso soluzioni sovrane con costi e tempi significativi.

RISPOSTA UE

Il framework europeo: da standard a requisito contrattuale

L'UE ha costruito una risposta normativa su più livelli: dagli indirizzi strategici come EuroStack e il Piano per il Decennio Digitale 2030, ai framework operativi come NIS2, DORA, Data Act e l'EU 

Cloud Sovereignty Framework (EU-CSF), fino agli strumenti di governance come Gaia-X e il Data Governance Act. 

Non tutti hanno lo stesso ruolo. L'EU-CSF – nella versione v1.2.1 (ottobre 2025), è lo strumento che ha trasformato la sovranità da concetto politico in criterio oggettivo di valutazione, applicabile nei processi di gara e verificabile dai regolatori. 

L'esempio più concreto è recente: a ottobre 2025 la Commissione Europea ha lanciato un bando sovrano da 180 milioni di euro nell'ambito del Cloud III DPS. Ad aprile 2026, i contratti sono stati assegnati interamente a provider europei che soddisfacevano i requisiti di sovranità richiesti, escludendo di fatto tutti gli hyperscaler americani.

l framework EU-CSF v1.2.1 è oggi il linguaggio contrattuale degli appalti cloud per le istituzioni e le agenzie UE. Per i settori regolamentati, financial services, healthcare, infrastrutture critiche, la conformità alla sovranità sta diventando un requisito contrattuale, non solo normativo. 

EU-CSF 

Un sistema oggettivo di misurazione della sovranità

L'EU-CSF introduce uno strumento di valutazione basato su otto Sovereignty Objectives (SOV) e cinque livelli di assurance (SEAL), che permettono di misurare e confrontare provider e architetture in modo oggettivo e verificabile

Nei processi di gara europei, i punteggi SOV/SEAL non sono elementi di valutazione opzionali: i provider che non raggiungono i livelli minimi richiesti vengono esclusi automaticamente, indipendentemente da prezzo e capacità tecniche offerte. 

IL NOSTRO APPROCCIO 

Un percorso strutturato, con output verificabili

Liquid Reply propone due framework complementari, Advisory e Technology Enablement, che insieme traducono la sovranità digitale da obiettivo strategico in percorso strutturato e verificabile. Il punto di partenza non è la tecnologia, ma l'esposizione: quali rischi sono già presenti, quali requisiti normativi o contrattuali sono attivi, quali scadenze esterne, audit NIS2/DORA, requisiti nei bandi, richieste di accesso ai dati, definiscono le priorità di intervento. 

Advisory Framework

through our accelerator 

L'obiettivo è trasformare un'esposizione non misurata in un piano di intervento concreto e governabile. Attraverso tre fasi – misurazione dell'esposizione per workload, analisi dei gap rispetto agli obiettivi target e definizione della roadmap – il framework produce una visione chiara della postura attuale, dove è necessario arrivare e quali interventi sono prioritari.

Il fattore differenziante è la granularità dell'analisi: non è una valutazione dell'organizzazione nel suo insieme, ma una misurazione workload per workload, con responsabilità chiare tra IT, Risk, Legal e Procurement.

Technology Enablement 

through our accelerator 

L'obiettivo è fornire alle organizzazioni evidenza tecnica concreta sulla reale praticabilità delle alternative sovrane disponibili sul mercato europeo. Il percorso parte dall'identificazione dei workload con la maggiore esposizione, prosegue con una valutazione comparativa delle alternative rispetto a funzionalità, gap operativi e postura SEAL, e si conclude con una PoC in ambiente controllato.

L'output finale è un decision brief utilizzabile direttamente nei processi decisionali di board, regolatori e procurement. Il fattore differenziante è che le decisioni si basano su evidenza tecnica verificabile e non su valutazioni teoriche.

Alternative europee

La sovranità non dipende solo da cosa si implementa, ma anche da come si effettua il deployment. La stessa tecnologia può essere completamente sovrana on-premises, parzialmente sovrana su un provider europeo con chiavi gestite dal cliente, o minimamente sovrana come servizio gestito da un hyperscaler non-UE.

Per tutti i livelli dello stack tecnologico (infrastruttura, piattaforma, applicazioni, workplace) esistono oggi alternative europee mature: per la gestione delle identità, per lo storage, per la collaboration, per l'AI, per la virtualizzazione. In molti casi offrono funzionalità equivalenti a quelle dei servizi gestiti degli hyperscaler, con un profilo di sovranità significativamente più alto.

Le alternative esistono, ma la vera sfida risiede nella capacità di valutarle con rigore: confrontare le funzionalità, identificare i gap operativi, misurare la postura di sovranità effettiva per ciascuna opzione. Liquid Reply sta costruendo una base di valutazione tecnica su queste tecnologie per fornire alle organizzazioni evidenza concreta su cui basare le proprie decisioni.

Il layer workplace rimane il più complesso: la dipendenza non risiede solo nella tecnologia, ma nelle abitudini, nei formati e nei processi radicati nell'intera organizzazione. Alternative sovrane esistono anche a questo livello. La domanda non è se il passaggio sia possibile, ma se la dipendenza attuale sia stata scelta consapevolmente.

Quattro azioni concrete per avviare il percorso

Sovereignty Objectives Workshop

Interviste strutturate con i principali stakeholder (CIO, CISO, CFO, Legal, Procurement) per mappare l'esposizione attuale, le priorità di business e la tolleranza al rischio. 

Workload Identification Workshop

Sessione di mappatura del portfolio applicativo, identificazione dei workload con la maggiore esposizione e definizione delle priorità di analisi.

Pilot:
un workload

Risk Assessment, Sovereignty Score e Gap Analysis. Output: SEAL target, Sovereignty Score e piano di azioni classificate per priorità. 

Technology Enablement: PoC su un workload target 

Per una tecnologia già in valutazione o prossima al rinnovo contrattuale: assessment comparativo rispetto alle alternative sovrane, PoC in ambiente controllato e decision brief. Nessun committment richiesto in questa fase. 

La sovranità digitale non è un traguardo, ma un percorso che si costruisce una decisione alla volta. Senza una mappatura concreta dell'esposizione ai rischi e una valutazione della postura attuale, il controllo su dati e infrastrutture resta un'assunzione - che se non verificata rappresenta già una vulnerabilità.