Strategia · 10 min di lettura · 29 Mag 2026

La tua AI in cloud è già fuori norma?

Per dieci anni mettere i dati nel cloud è stato il default sicuro. Nel 2026 quel default è diventato una scommessa: un appello pendente sul trasferimento dati UE-USA, oltre sessanta paesi che impongono la localizzazione, le regole ACN sui dati strategici. Questa è la mappa che un consiglio di amministrazione dovrebbe avere prima di firmare il prossimo progetto AI.

Mappa del mondo con flussi di dati transfrontalieri e un lucchetto, a rappresentare il rischio di sovranità dei dati per l'AI in cloud

C'è una domanda che fino a poco tempo fa non avresti nemmeno posto in un consiglio di amministrazione: "dove vivono, fisicamente, i dati che diamo in pasto all'intelligenza artificiale?". Era una questione da reparto IT. Nel 2026 è diventata una questione da CdA, alla stessa stregua del rischio valutario o della continuità del fornitore strategico. Spieghiamo perché — con i fatti, non con gli allarmismi.

1. Le fondamenta legali del cloud transatlantico stanno scricchiolando

La maggior parte dei servizi AI che un'azienda italiana usa ogni giorno — i grandi modelli generativi, le suite di produttività con AI integrata — elabora i dati su infrastrutture americane. Perché questo sia lecito sotto il GDPR serve una base giuridica per il trasferimento dei dati fuori dall'Unione. Oggi quella base è il Data Privacy Framework UE-USA, in vigore dal 2023.

Il punto delicato: è già la terza versione di quel ponte. Le prime due — Safe Harbor e Privacy Shield — sono state entrambe annullate dalla Corte di Giustizia UE (le sentenze Schrems I e II). Il Data Privacy Framework ha superato una prima sfida davanti al Tribunale UE nel settembre 2025, ma è stato impugnato in appello: il caso pende ora davanti alla Corte di Giustizia e, a metà 2026, non ha ancora una data d'udienza. Se la Corte dovesse seguire il proprio precedente, sarebbe la terza bocciatura di fila.

Il rischio in termini di business Non stiamo dicendo che il cloud americano sia illegale oggi. Stiamo dicendo che fondare un'architettura AI critica sul Data Privacy Framework significa appoggiare la continuità di un processo aziendale su un meccanismo giuridico che è già caduto due volte e che è di nuovo sotto giudizio. È un rischio che va messo a verbale, non ignorato.

2. Il mondo si sta frammentando: la localizzazione è la nuova normalità

Mentre il ponte transatlantico oscilla, la tendenza globale va in direzione opposta al cloud senza confini. I numeri raccontano un cambio d'epoca: dieci anni fa i paesi con qualche forma di obbligo di localizzazione dei dati erano meno di venti; oggi sono oltre sessanta, e secondo alcune rilevazioni più di cento se si contano tutte le leggi di sovranità digitale. Gartner ha inserito la "geopatriation" — il rimpatrio dei dati e dei carichi entro i confini nazionali — tra i dieci trend tecnologici strategici del 2026.

Non è solo teoria regolatoria. Le aziende si stanno muovendo: rilevazioni di mercato del 2026 indicano che circa una su cinque sta aumentando il proprio on-premise e una su due sta rafforzando strategie ibride proprio in risposta all'inasprimento normativo. Il pendolo, dopo un decennio di "tutto in cloud", sta tornando indietro — non per nostalgia, ma per gestione del rischio.

3. In Italia la direzione è già scritta: la lezione della PA

Per capire dove sta andando la regolamentazione italiana, basta guardare cosa è già obbligatorio per chi tratta dati pubblici. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha costruito un sistema di qualificazione dei servizi cloud che classifica i dati in tre categorie — ordinari, critici, strategici — e ammette i dati più sensibili solo su infrastrutture qualificate ai livelli più alti (QI3-QI4, QC3-QC4), con requisiti stringenti di localizzazione e controllo.

L'obiettivo dichiarato è ospitare entro il 2026 i dati e i servizi critici e strategici del 75% delle amministrazioni centrali e delle ASL su cloud qualificato. Questo riguarda direttamente la sanità, gli enti locali, la PA. Ma se sei un'azienda privata, ti riguarda comunque per una ragione semplice: i tuoi clienti pubblici e regolati erediteranno questi requisiti e te li gireranno nei capitolati. Chi fornisce software, AI o servizi alla sanità, alla finanza o alla PA sta già ricevendo domande sulla residenza dei dati che due anni fa nessuno poneva.

La PA è il canarino nella miniera della sovranità digitale: quello che oggi è obbligo per gli enti pubblici, domani è requisito di gara per i loro fornitori privati.

4. Perché l'AI rende il problema molto più grande

Si potrebbe obiettare: "ma i dati nel cloud li mettiamo da anni, qual è la novità?". La novità è la natura di ciò che l'AI consuma. Un gestionale in SaaS tratta un perimetro di dati definito e prevedibile. Un assistente AI aziendale — un RAG che risponde alle domande del personale, un copilota che riassume documenti — per funzionare ingerisce tutto: contratti, email, dati dei clienti, procedure interne, a volte codice sorgente.

Ogni interrogazione a un modello in cloud è potenzialmente un trasferimento transfrontaliero di un frammento di quel patrimonio informativo. La superficie di esposizione non è più una singola applicazione: è l'intera conoscenza dell'azienda, interrogata in tempo reale, una query alla volta. È questa moltiplicazione che trasforma un rischio gestibile in un rischio sistemico — ed è il motivo per cui ne abbiamo già parlato a proposito di cosa dice il GDPR quando i dati AI escono dall'Unione.

5. Le domande che un CdA dovrebbe mettere a verbale

Non serve una laurea in diritto per governare questo rischio. Servono cinque domande, poste a chi guida l'IT, e cinque risposte messe nero su bianco.

  • Dove vengono elaborati i dati che alimentano i nostri sistemi AI? In quale paese, sotto quale giurisdizione?
  • Su quale base giuridica si reggono i trasferimenti fuori dall'UE, e cosa succede al nostro processo se quella base venisse a mancare?
  • Quali categorie di dati stiamo dando in pasto ai modelli — e quante di queste classificheremmo come critiche o strategiche con il metro dell'ACN?
  • I nostri clienti regolati (PA, sanità, finanza) hanno già, o avranno, requisiti di residenza dei dati che ricadranno su di noi?
  • Esiste un piano B tecnicamente pronto, o un cambio di scenario normativo ci coglierebbe a riprogettare tutto sotto pressione?

La risposta strutturale: spostare la domanda, non rincorrere ogni norma

C'è un modo per smettere di rincorrere ogni evoluzione normativa, paese per paese, sentenza per sentenza: fare in modo che i dati non escano mai dal perimetro che controlli. Quando l'intelligenza artificiale gira su infrastruttura sovrana — in Italia, su hardware tuo o su un cloud qualificato — le cinque domande del CdA hanno tutte la stessa risposta, ed è una risposta che non cambia se a settembre la Corte di Giustizia decide diversamente.

Non è una posizione ideologica contro il cloud. Per molti carichi di lavoro il cloud resta la scelta giusta, e lo abbiamo scritto chiaramente in quando conviene l'on-premise e quando no. Ma per il cuore informativo dell'azienda — i dati che l'AI legge per diventare davvero utile — la sovranità non è più un lusso da grandi gruppi: è la forma più economica di gestione del rischio normativo che conosciamo. E nel 2026 il rischio normativo, sui dati, ha smesso di essere un'ipotesi remota.

Scritto dal team TuxWeb ← Torna al blog