Cloud Italia 2021: provider e sovranita dei dati

Cloud Italia provider: nel 2021 il dibattito sulla sovranita dei dati ha raggiunto il suo apice. Tra l’annuncio del Polo Strategico Nazionale, la sentenza Schrems II e la spinta verso GAIA-X, le PMI e la PA italiane si trovano davanti a una scelta strategica: affidarsi agli hyperscaler americani o puntare su un cloud sovrano italiano. In questa guida analizziamo i principali provider cloud italiani, i vantaggi della sovranita digitale, i limiti rispetto ad AWS, Azure e Google Cloud, e quando ha senso scegliere un fornitore nazionale.

Per i CIO, CISO, IT manager di PMI e dirigenti della Pubblica Amministrazione, comprendere il panorama dei cloud provider italiani non e piu un esercizio teorico ma un imperativo di compliance, sicurezza nazionale e continuita operativa.

1. Cloud Italia 2021: il dibattito sulla sovranita dei dati

Il 2021 segna un punto di svolta nella discussione pubblica sul cloud. Per anni le aziende italiane hanno migrato carichi di lavoro su Amazon Web Services, Microsoft Azure e Google Cloud Platform senza porsi troppe domande su dove venissero fisicamente custoditi i dati. Oggi la situazione e cambiata radicalmente.

La sovranita digitale e diventata una priorita strategica europea. La Commissione Europea, attraverso iniziative come GAIA-X e il Digital Compass 2030, ha posto al centro dell’agenda politica la riduzione della dipendenza tecnologica dagli Stati Uniti e dalla Cina. In Italia, il governo Draghi ha rilanciato il progetto del Polo Strategico Nazionale (PSN) come infrastruttura cloud dedicata alla Pubblica Amministrazione.

Per le PMI italiane, la sovranita dei dati significa tre cose concrete:

• Giurisdizione italiana ed europea: i dati restano sotto il GDPR e non sono soggetti a leggi extraterritoriali come il CLOUD Act statunitense.
• Resilienza geopolitica: in caso di tensioni internazionali, l’accesso al cloud non puo essere interrotto da decisioni di governi stranieri.
• Vicinanza fisica: latenze minori, supporto in italiano, contratti governati dal diritto italiano.

Non si tratta di chiudersi al mercato globale, ma di diversificare il rischio e proteggere i dati piu sensibili. Le soluzioni cloud aziendali moderne possono adottare strategie ibride o multi-cloud che combinano provider italiani per i dati critici e hyperscaler per i carichi di lavoro non sensibili.

2. Schrems II: perche ha cambiato lo scenario

Per capire perche nel 2021 il cloud italiano e tornato al centro dell’attenzione, occorre partire dalla sentenza Schrems II della Corte di Giustizia dell’Unione Europea, emessa il 16 luglio 2020. Quella sentenza ha invalidato il Privacy Shield, l’accordo che regolava il trasferimento di dati personali tra UE e Stati Uniti.

La conseguenza pratica: trasferire dati personali a fornitori cloud americani non e piu automaticamente conforme al GDPR. Ogni titolare del trattamento deve effettuare un Transfer Impact Assessment (TIA) per verificare se le leggi del Paese terzo offrono un livello di protezione equivalente a quello europeo. In moltissimi casi, la risposta e no: il FISA section 702 e l’Executive Order 12333 consentono alle autorita statunitensi accessi che il GDPR non tollererebbe.

Questo ha generato un’onda d’urto su tutto il mercato cloud:

• I Garanti privacy europei (incluso il Garante italiano) hanno emesso provvedimenti contro l’uso di Google Analytics e altri servizi USA senza misure aggiuntive.
• Le aziende che gestiscono dati sanitari, giudiziari o di minori hanno iniziato a riconsiderare la scelta degli hyperscaler.
• I provider cloud europei e italiani hanno visto crescere domanda e attenzione mediatica.

Schrems II non vieta il cloud americano, ma alza l’asticella: servono misure tecniche e organizzative supplementari (cifratura end-to-end con chiavi gestite in UE, pseudonimizzazione, contratti rafforzati). Per molte PMI il calcolo costi/benefici porta a preferire un provider con dati interamente in Italia o in Europa, dove la compliance GDPR e nativa anziche aggiunta a posteriori.

3. Polo Strategico Nazionale (PSN): la risposta italiana

Il Polo Strategico Nazionale e il progetto piu ambizioso del governo italiano in tema di cloud. Annunciato nel 2020 e formalizzato nel 2021 attraverso il Dipartimento per la Trasformazione Digitale, il PSN nasce per ospitare i dati e i servizi critici delle Pubbliche Amministrazioni centrali e di tutti gli enti che gestiscono dati strategici per il Paese.

Le caratteristiche chiave del PSN secondo i documenti pubblicati nel 2021:

• Localizzazione esclusiva in Italia: data center sul territorio nazionale, gestione e personale italiani.
• Architettura ibrida: combinazione di cloud privato sovrano (per dati strategici e critici) e cloud pubblico qualificato (per dati ordinari).
• Classificazione dei dati: ordinari, critici, strategici. A ogni livello corrisponde un’infrastruttura con requisiti di sicurezza crescenti.
• Migrazione obbligatoria: 280 amministrazioni centrali e oltre 200 enti di rilevanza nazionale dovranno migrare entro il 2026.

Nel corso del 2021 si svolge la gara per l’aggiudicazione del PSN, con una cordata composta da TIM, Leonardo, Cassa Depositi e Prestiti e Sogei in vantaggio rispetto al raggruppamento concorrente (Almaviva, Aruba, Engineering, Italtel). Il deploy effettivo dei primi servizi e previsto per il 2022-2023.

Per le PMI il PSN non e direttamente accessibile, ma il suo impatto e indiretto e profondo: detta lo standard di riferimento per cosa significhi cloud sovrano in Italia, traina la crescita dei provider nazionali e ridisegna gli appalti pubblici verso fornitori qualificati.

4. AGID Cloud Marketplace: qualificazione e CSP

Prima del PSN, l’Agenzia per l’Italia Digitale (AGID) ha creato il Cloud Marketplace, un catalogo di servizi cloud qualificati per la Pubblica Amministrazione. Il marketplace classifica fornitori e servizi secondo standard di sicurezza, continuita, conformita normativa e qualita.

Le qualificazioni AGID si articolano in:

• Cloud Service Provider (CSP) qualificati: fornitori che dimostrano di rispettare i requisiti minimi (gestione dati in Italia/UE, certificazioni ISO 27001, ISO 27017, ISO 27018, conformita GDPR).
• Servizi SaaS qualificati: software-as-a-service verificati su sicurezza, interoperabilita e portabilita.
• Servizi IaaS e PaaS qualificati: infrastrutture e piattaforme con livelli di servizio (SLA) certificati.

Il marketplace AGID ha avuto due effetti strutturanti sul mercato:

1. Ha creato uno standard de facto che ha spinto i provider italiani ad adeguarsi (ISO, audit, trasparenza contrattuale).
2. Ha reso piu semplice per le PA scegliere fornitori conformi al CAD (Codice dell’Amministrazione Digitale) e alle linee guida.

Per chi vuole approfondire l’elenco aggiornato dei provider qualificati, la fonte ufficiale e il portale AGID Cloud PA.

5. I principali cloud provider italiani 2021

Il panorama dei provider cloud italiani nel 2021 e piu variegato di quanto si pensi. Pur senza la scala degli hyperscaler, esistono operatori con offerte mature, datacenter sul territorio nazionale e portafogli di servizi competitivi per PMI e PA.

Una panoramica sintetica dei sei principali:

• Aruba Cloud: leader italiano con datacenter Tier IV ad Arezzo (DC-IT3, Global Cloud Data Center) e Bergamo. Offerta IaaS, PaaS, oggetti, backup, PEC, domini.
• IrideOS: nato dal rebrand di TIWS (TI Sparkle Wholesale Services) nel 2018, fornisce cloud, datacenter, connettivita e servizi managed per enterprise e PA.
• Seeweb: storico provider italiano (gruppo DHH), datacenter a Milano, Sesto San Giovanni e Frosinone, focus su Kubernetes, GPU cloud e green hosting.
• Register.it (gruppo Dada, poi Dada-Pro): cloud server, hosting, domini, certificati SSL, soluzioni per PMI con datacenter italiani.
• Engineering D.HUB: divisione cloud di Engineering Ingegneria Informatica, focus su servizi managed per banche, assicurazioni e PA.
• Cubbit: startup italiana fondata nel 2016, propone object storage geo-distribuito su rete peer-to-peer cifrata, alternativa innovativa all’S3 tradizionale.

A questi si aggiungono operatori europei con datacenter italiani come OVHcloud (Francia, datacenter a Milano dal 2019) e Hetzner (Germania, presenza italiana commerciale). Pur non essendo italiani in senso stretto, garantiscono giurisdizione UE e prossimita geografica.

6. Aruba Cloud: il leader italiano

Aruba e il provider italiano con la base utenti piu ampia, conosciuta sin dagli anni ’90 per hosting e domini. La divisione Aruba Cloud, lanciata nel 2011, ha trasformato l’azienda in un operatore IaaS/PaaS competitivo a livello nazionale.

I punti di forza di Aruba Cloud nel 2021:

• Global Cloud Data Center (DC-IT3) ad Arezzo: certificato Tier IV (il livello massimo secondo Uptime Institute), 200 mila metri quadri, alimentazione 100% rinnovabile.
• Cloud Servers Pro: macchine virtuali con CPU dedicate, hyperscale storage, SLA 99,95%.
• Cloud Object Storage: compatibile S3, prezzo competitivo, ideale per backup e archivi.
• Servizi PEC e firma digitale: integrazione nativa per workflow regolamentati.
• Qualificazione AGID: presente nel marketplace come CSP qualificato.

I limiti rispetto agli hyperscaler:

• Catalogo servizi piu ristretto: mancano servizi managed avanzati come database NoSQL serverless, machine learning piattaforme integrate, code distribuite tipo Kinesis.
• Ecosistema di terze parti meno ricco: Terraform provider, integrazioni CI/CD, marketplace di soluzioni.
• Region globali limitate: per chi serve clienti internazionali su piu continenti, Aruba non basta.

Per molte PMI italiane, tuttavia, queste limitazioni non sono bloccanti. Un’applicazione gestionale o e-commerce con utenti italiani puo girare benissimo su Aruba Cloud, magari combinando integrazione API verso servizi specialistici esterni.

7. IrideOS: l’alternativa enterprise

IrideOS e meno noto al grande pubblico ma molto presente nel segmento enterprise e nella PA. Nato nel 2018 dal rebrand di TI Sparkle Wholesale Services, la societa fa parte del gruppo Telecom Italia e gestisce alcuni dei principali datacenter italiani.

Caratteristiche principali:

• Datacenter di proprieta a Milano (Caldera Park), Pomezia (Roma), Settimo Milanese, certificati ISO 27001 e Tier III/IV.
• Connettivita carrier-grade: ereditata dall’esperienza Sparkle, IrideOS offre interconnessioni dirette con i principali peering point europei.
• Cloud privato e ibrido: focus sul cloud privato gestito per banche, assicurazioni, sanita pubblica e privata.
• Servizi managed: gestione completa di infrastrutture VMware, Kubernetes, backup, disaster recovery.

IrideOS si posiziona come alternativa per organizzazioni che hanno requisiti specifici di compliance (banche, assicurazioni, sanita) e preferiscono un fornitore italiano con SLA enterprise e contratti su misura, anziche standardizzati come quelli degli hyperscaler.

8. Vantaggi del cloud italiano per PMI

Riassumiamo i benefici concreti per una PMI che sceglie un cloud provider italiano nel 2021:

• Compliance GDPR semplificata: nessun trasferimento extra-UE, niente Transfer Impact Assessment, contratti standard pienamente conformi.
• Latenza minima: datacenter in Italia significa tempi di risposta sotto i 10 ms da molte aree del Paese, vantaggio competitivo per applicazioni interattive.
• Supporto in italiano: ticket, documentazione, account manager parlano italiano, non e un dettaglio per i team IT delle PMI.
• Contratti governati dal diritto italiano: in caso di controversia, il foro competente e italiano (con Aruba: Bergamo o Arezzo). Molto piu agevole rispetto al diritto irlandese o californiano.
• Politica dei prezzi prevedibile: meno servizi managed significa anche bollette piu lineari, senza sorprese da egress o traffic data.
• Filiera italiana: scegliere un provider nazionale significa sostenere l’ecosistema digitale italiano e creare posti di lavoro qualificati.

Per chi sviluppa gestionali personalizzati destinati a PMI italiane, il cloud nazionale offre un argomento di vendita aggiuntivo: la garanzia che i dati dei clienti finali restino sotto giurisdizione italiana.

9. Svantaggi e limiti rispetto agli hyperscaler

Sarebbe ingenuo presentare il cloud italiano come una panacea. Esistono limiti reali rispetto ad AWS, Azure e Google Cloud che vanno valutati con onesta intellettuale:

• Catalogo servizi piu ristretto: gli hyperscaler offrono centinaia di servizi managed (Lambda, S3, DynamoDB, Athena, SageMaker, BigQuery, Bigtable, Cosmos DB, ecc.). I provider italiani offrono il core IaaS/PaaS ma raramente vanno oltre.
• Innovazione e roadmap: AWS lancia centinaia di nuovi servizi all’anno, i provider italiani molti meno. Per progetti che richiedono tecnologie emergenti (machine learning su larga scala, analytics avanzati), la differenza si sente.
• Scala globale: se il vostro prodotto serve clienti in Asia, Sud America o Stati Uniti, gli hyperscaler hanno region ovunque. Aruba e IrideOS no.
• Ecosistema developer: tooling, certificazioni, community, librerie ufficiali. Su AWS un team trova migliaia di tutorial e ingegneri certificati. Sui provider italiani il bacino e piu piccolo.
• Costi a regime: a parita di workload, gli hyperscaler possono essere piu o meno economici a seconda dei carichi e delle region. Su scale ridotte i provider italiani sono spesso competitivi, su scale enormi gli hyperscaler vincono per economia di scala.
• Lock-in tecnologico: scegliere servizi managed proprietari (di un hyperscaler o di un provider italiano) crea lock-in. La portabilita richiede architetture cloud-agnostic.

La risposta razionale a questi limiti, per la maggior parte delle PMI, e una strategia ibrida o multi-cloud: dati sensibili e applicazioni core su provider italiano, servizi specifici (machine learning, analytics avanzati, CDN globale) su hyperscaler.

10. GAIA-X: il progetto cloud europeo

Sopra ai singoli provider nazionali si colloca GAIA-X, l’iniziativa europea annunciata nel 2020 da Germania e Francia, a cui l’Italia ha aderito nel 2021 con il proprio hub nazionale.

GAIA-X non e un cloud provider, ma un’infrastruttura federata di dati e servizi: un insieme di standard, regole, protocolli e una piattaforma di trust che dovrebbero consentire a operatori cloud diversi (italiani, francesi, tedeschi, olandesi) di interoperare in modo trasparente per gli utenti, garantendo sovranita e portabilita.

I principi cardine di GAIA-X:

• Sovranita digitale: dati gestiti secondo norme europee, indipendenti da pressioni extra-UE.
• Interoperabilita: API e formati standard che permettano di spostare workload tra provider diversi.
• Trasparenza: un sistema di etichette (Self-Description) che descrive caratteristiche di servizi, fornitori, datacenter, garantendo verifiche indipendenti.
• Open source: framework e specifiche pubbliche, sviluppate da consorzio aperto.

Nel 2021 GAIA-X e ancora in fase iniziale: l’Associazione GAIA-X AISBL e stata costituita nel 2020 a Bruxelles, l’hub italiano e operativo da inizio 2021, ma i primi servizi conformi e le prime Self-Description verranno pubblicate solo nei mesi successivi. Per le PMI, GAIA-X e una promessa per il medio termine: una volta a regime, potrebbe semplificare drasticamente la scelta di un cloud sovrano e ridurre il vendor lock-in.

Per approfondire, il portale ufficiale e gaia-x.eu.

11. Quando scegliere cloud italiano vs hyperscaler

Ecco un framework decisionale concreto. Scegliete un cloud provider italiano quando:

• Trattate dati sensibili (sanitari, giudiziari, di minori, biometrici) con rischio reale di Schrems II.
• Servite la PA o operate in settori regolamentati (banche, assicurazioni, energia, telecomunicazioni) con vincoli di sovranita.
• I vostri utenti finali sono prevalentemente italiani o europei e la latenza locale conta.
• Il workload e prevedibile e basato su tecnologie mature (web app, gestionali, e-commerce, backup).
• Volete un fornitore con cui parlare in italiano e contratti governati dal diritto nazionale.
• La vostra scala e da PMI (decine o centinaia di server, non migliaia).

Scegliete un hyperscaler (AWS, Azure, GCP) quando:

• Avete carichi di lavoro variabili e serverless dove la scala e i servizi managed avanzati sono critici.
• Operate su scala globale con utenti distribuiti su piu continenti.
• Sviluppate prodotti basati su machine learning, analytics big data, IoT su larga scala.
• Il vostro team ha gia competenze certificate AWS/Azure/GCP e migrare costerebbe troppo.
• I dati che trattate non sono soggetti a vincoli di sovranita o avete gia messo in atto misure tecniche supplementari (cifratura con chiavi UE, pseudonimizzazione).

L’opzione spesso ottimale per PMI strutturate e una strategia ibrida: un provider italiano come backbone (dati core, applicazioni gestionali, backup) e un hyperscaler per servizi specifici (CDN globale, ML, analytics avanzati). Cosi si combinano sovranita, costi, prestazioni e innovazione.

12. Domande frequenti sul cloud italiano

Cloud italiano e cloud sovrano sono sinonimi?

Non esattamente. Cloud italiano e un termine commerciale che indica provider con sede o datacenter in Italia. Cloud sovrano e un concetto piu rigoroso: indica un’infrastruttura immune da giurisdizioni extra-UE, con personale italiano e sistemi di gestione totalmente nazionali. Aruba Cloud e cloud italiano; il PSN sara cloud sovrano in senso stretto.

I dati su Aruba Cloud sono al sicuro da CLOUD Act?

Si, perche Aruba e una societa italiana con datacenter in Italia e nessuna controllata negli Stati Uniti. Il CLOUD Act statunitense si applica solo a societa soggette alla giurisdizione USA. Aruba non lo e.

Il PSN e accessibile alle PMI?

No, il Polo Strategico Nazionale e riservato alla Pubblica Amministrazione. Le PMI possono pero scegliere fornitori qualificati AGID che applicano standard simili.

Quanto costa il cloud italiano rispetto ad AWS?

Dipende dal workload. Per macchine virtuali standard e storage, Aruba Cloud e spesso piu economico di AWS. Per servizi managed avanzati AWS puo risultare piu economico grazie all’economia di scala. Confrontate sempre TCO triennale, non solo prezzo orario.

Posso migrare facilmente da un hyperscaler a un cloud italiano?

Dipende dal grado di lock-in. Se usate solo servizi standard (VM, storage S3-compatibile, container) la migrazione e fattibile in settimane. Se usate servizi proprietari (Lambda, DynamoDB, BigQuery) serve refactoring. Per progetti nuovi, valutate fin dall’inizio architetture cloud-agnostic.

Cosa significa qualificazione AGID?

E un riconoscimento ufficiale che un servizio cloud rispetta requisiti minimi per essere usato dalla PA italiana: certificazioni ISO, conformita GDPR, datacenter in UE, trasparenza contrattuale. La presenza nel marketplace AGID e un indicatore affidabile di qualita per qualsiasi cliente, non solo PA.

Cloud Italia e silos topic

Questo articolo fa parte del cluster Trasformazione Digitale. Per approfondire la roadmap completa di trasformazione digitale per PMI, consultate il pillar Trasformazione Digitale PMI: Roadmap 2021. Per una guida dedicata al cloud aziendale per PMI, leggete Cloud aziendale PMI: guida 2021.