C’è un numero, sepolto tra le slide dell’ultimo rapporto del Politecnico di Milano, che racconta una storia diversa da quella che ci viene somministrata ogni giorno dai guru della Silicon Valley. È il 37%. Rappresenta la quota di aziende che ha smesso di guardare al Cloud americano come a un paradiso di efficienza infinita e ha iniziato a pianificare la ritirata. O meglio, la riscossa: la georepatriation.
Non chiamatelo solo “ritorno dei dati”. È qualcosa di più profondo. È la presa di coscienza che affidare il patrimonio informativo di un’impresa a un’infrastruttura extra europea non è un accordo commerciale, ma una cessione di sovranità. Mentre in Francia si parla apertamente di Cloud Français e in Germania di infrastrutture teutoniche, l’Italia inizia finalmente a capire che il “Cloud Europeo” è spesso un paravento diplomatico per non dire qualcosa di più, ovvero che abbiamo bisogno di un luogo sicuro, fisicamente e legalmente, dove i conti tornino e dove si possa tornare a respirare liberi.
Dario Denni “Georepatriation non significa solo riportare i dati in un cloud italiano (mi da noia pure dire cloud europeo, perché non vedo in Francia dire cloud europeo ma francese, e in Germania cloud tedesco anche se fanno entrare Amazon/Google/Microsoft in modo pervasivo). Dunque gerorepatriation, significa far entrare il patrimonio aziendale in un luogo sicuro da ogni compromesso. Non è un pledge, un accordo contrattuale che vale finché vale. E’ una messa in protezione dell’azienda, i conti tornano, respiri libero, non subisci l’innovazione degli altri. Il primo 37% l’ha capito”.
Sommario
Trappola del “Pledge” nei contratti cloud
Per anni ci hanno venduto l’idea che un contratto ben scritto potesse proteggerci. Ci hanno parlato di pledge, di accordi sulla privacy, di scudi normativi che avrebbero garantito la sicurezza dei nostri dati anche se residenti su server di proprietà di colossi americani. La realtà, però, è che un accordo contrattuale vale finché vale la forza di chi lo impone. Se una legge straniera, si chiami US Cloud Act o in qualunque altro modo, impone a un fornitore di consegnare le chiavi dei dati, quel pezzo di carta firmato in Europa diventa carta straccia. La georepatriation nasce dal rifiuto di questa vulnerabilità. Mettere in protezione l’azienda significa uscire dalla logica della “promessa” per entrare in quella della “certezza fisica”. Se i dati sono in un perimetro nazionale, sotto la giurisdizione reale del Paese, non c’è compromesso che tenga. La sicurezza diventa un fatto, non un’opinione legale.
C’è poi un tema di libertà strategica che il dato del 54% di “insoddisfazione” della slide sfiora appena. Quando un’azienda italiana sposta tutto il suo sapere digitale sui server di un “Hyperscaler” (Amazon, Microsoft o Google che sia), smette di essere padrona del proprio destino tecnologico. Inizia a subire l’innovazione degli altri. Se il fornitore decide di cambiare un algoritmo, di alzare i prezzi del 20% o di imporre una nuova versione di un software che richiede mesi di lavoro per essere integrata, l’azienda italiana non può fare altro che obbedire. È una forma di colonialismo digitale in cui le regole del gioco vengono scritte a Seattle o Mountain View, e noi siamo solo spettatori paganti.
La #georepatriation rompe questa catena. Riprendersi i carichi di lavoro critici significa tornare a decidere il proprio ritmo. Significa che l’innovazione torna a essere un vantaggio competitivo costruito in casa, e non un aggiornamento forzato calato dall’alto. È la differenza che passa tra guidare la propria auto e sedersi sul sedile posteriore di un taxi di cui non conosciamo né la destinazione né il costo finale della corsa.
I conti che tornano in un perimetro di compliace. Il Valore dell’autonomia strategica del cloud italiano
Spesso si sente dire che il Cloud globale dei GAFAM conviene perché porta tanta innovazione “costa meno”. È un’illusione ottica. Se nel bilancio aziendale inseriamo il costo del rischio, il costo del lock-in (l’impossibilità di andarsene senza dissanguarsi) e la perdita di valore della proprietà intellettuale esposta a giurisdizioni terze, il conto cambia radicalmente. Le aziende che oggi scelgono di “rimpatriare” i dati hanno fatto un calcolo pragmatico. Hanno capito che la protezione del patrimonio aziendale è l’unico modo per garantire che i conti tornino davvero nel lungo periodo. Respirare liberi non è un lusso romantico, è una necessità operativa. Un’azienda che non controlla la propria infrastruttura è un’azienda che vive in affitto: può essere sfrattata o vedere il canone raddoppiato in qualsiasi momento.
Oggi sappiamo che il 37% delle aziende che ha avviato questa riflessione non sta facendo un passo indietro verso il passato, ma un balzo in avanti verso la maturità digitale. Hanno capito che il Cloud non è una commodity come l’energia elettrica, perché l’energia è neutra, mentre i dati sono l’essenza stessa della competizione.
La georepatriation è il manifesto di una nuova classe dirigente che non si accontenta di “stare nel Cloud”, ma vuole sapere in quale Cloud e a quali condizioni di libertà. È la scelta di chi vuole competere nel mondo senza dover chiedere il permesso a nessuno. In un’epoca di tensioni geopolitiche e guerre commerciali mascherate da innovazione, l’unico luogo davvero sicuro per il patrimonio di un’azienda è quello dove la sovranità non è un contratto, ma una realtà fisica. Nell’ultimo decennio, il Cloud Computing è stato trattato dalle aziende come una “utility”, alla stregua dell’energia elettrica o dell’acqua: un servizio da acquistare al minor prezzo possibile per far girare i propri software. Tuttavia, i dati recenti presentati dall’Osservatorio Cloud Ecosystem & Sovereignty del Politecnico di Milano segnano un punto di svolta storico. Il Cloud non è più una semplice commodity, ma è diventato una infrastruttura strategica nazionale.
Il giganti americani assorbono dal mercato europeo 112 Miliardi
Il dato più dirompente della ricerca riguarda il dominio dei cosiddetti “Hyperscaler” (Amazon AWS, Microsoft Azure e Google Cloud). Oltre l’80% del mercato europeo, un valore che supera i 112 miliardi di euro, è oggi in mano a fornitori statunitensi. Questa concentrazione di potere tecnologico non è solo una questione economica, ma di controllo. Se i dati di un’azienda strategica italiana o di un ministero risiedono su server gestiti da leggi straniere (come il US Cloud Act), la sovranità su quei dati diventa fragile. La slide parla chiaro: la dipendenza strutturale sta spingendo le imprese a rivedere le proprie strategie, passando da una logica di pura efficienza a una di controllo e resilienza.
Il Paradosso dell’Innovazione Europea che compra servizi statunitensi
Perché l’Europa fatica a competere? La risposta risiede in un preoccupante 54%. Più della metà delle grandi aziende europee ritiene che i fornitori locali di Cloud siano troppo lenti nell’innovare e nel fornire servizi avanzati. Si tralascia di dire che spesso non ci servono certe funzioni avanzate. Le nostre aziende non hanno bisogno necessariamente di tutti i pacchetti venduti come necessari quando a volte nemmeno li usano. Mentre i colossi americani sfornano quotidianamente nuovi strumenti di AI generativa e analisi dati integrata, i provider europei sono spesso percepiti come inseguitori ma questo è un dato angolato e va spiegato meglio. Questa percezione avrà certamente basi analitiche, non è una suggestione, ma potenzialmente crea un circolo vizioso che gli economisti chiamano effetto rete e spinta delle economie di scala quando invece il problema vero è tutto interno ovvero le aziende che scelgono i fornitori USA per restare competitive, stanno indebolendo ulteriormente il mercato dei provider europei, che hanno così meno capitali per investire in ricerca e sviluppo. E’ questo il circolo vizioso da interrompere.
Dunque cosa significa “rimpatriare” i dati? Non si tratta di un ritorno al passato o di un abbandono totale del Cloud pubblico. Si tratta di una strategia di ibridazione. Le aziende stanno imparando a distinguere tra:
Workload standard: Email, gestionali semplici o archiviazione di dati non sensibili, che possono restare sui grandi Cloud globali.
Workload critici: Proprietà intellettuale, algoritmi core, dati personali sensibili o infrastrutture vitali. Questi vengono progressivamente spostati verso Cloud che garantiscano la sovranità legale e tecnica, ovvero server situati fisicamente in Europa e gestiti da aziende soggette esclusivamente al diritto comunitario.
Alcuni chiarimenti terminologici sulla “repatriation”
A questo punto dobbiamo essere chiari e onesti fino in fondo. Il termine “repatriation” è una forzatura semantica. In economia e strategia militare, il rimpatrio riguarda persone o capitali; applicarlo ai dati è probabilmente un’operazione di mirroring pubblicitario. Si prendono esigenze reali, sicurezza, costi, sovranità, e si cerca di convincere le aziende che l’unico modo per ottenerle sia “tornare a casa” (on-premise, cosa che in parte è necessaria, in parte no). Ma, come suggerisce la professoressa Scott Morton in alcuni dei suoi interventi pubblici, mescolare queste esigenze in un unico contenitore “ideologico” rischia di far perdere di vista la vera ricetta della competitività. Dunque credo si sia capito che non sono un fan del termine repatriation o geo-repatriation ma nessuno ha la forza di cambiare questa etichetta e forse non ha nemmeno senso farlo. Vanno specificate però alcune cose importanti.
Il controllo dei costi, la mitigazione del lock-in e la cybersicurezza non sono proprietà esclusive dei server locali. Sono pilastri di una buona gestione aziendale, validi tanto nel cloud pubblico quanto in quello privato.
Se un’azienda sposta i dati on-premise ma non ha una strategia di patch management, è vulnerabile.
Se monitora i costi ma non ottimizza le istanze nel cloud, spreca denaro.Vendere la “repatriation” come la panacea significa nascondere che il valore non sta nel “dove” sono i dati, ma nel “come” vengono gestiti.
Il vero spartiacque non è tra “Cloud First” e “Repatriation”, ma tra filiere qualificate e soggetti isolati. La normativa NIS2 e l’azione dell’ACN (Agenzia per la Cybersicurezza Nazionale) introducono un concetto di “igiene digitale di filiera”. In questo scenario, la piccola media impresa (PMI) non deve preoccuparsi di “rimpatriare” i dati per sentirsi al sicuro, ma di qualificare la propria presenza nella catena del valore. Se sei fornitore di un player strategico, la tua sicurezza è un requisito importante:
Non è più una scelta filosofica tra cloud americano o server in cantina.
È la necessità di offrire (e pretendere dai propri sub-fornitori) standard certificati.
Il Walled Garden e il Lock-in: ecco perchè è anche una questione di controllo dei costi
L’avversione verso gli hyperscaler nasce spesso dai cosiddetti “giardini recintati” (walled gardens) in cui chiudono gli utenti, le startup, le aziende, la Pubblica Amministrazione. Si scopre quando è già tardi Uscirne è costoso e tecnicamente complesso. Ma la soluzione non è necessariamente il rifiuto del cloud; è la capacità di governare i servizi evitando di diventarne ostaggi. Il controllo dei costi in un regime iperinflattivo è un dovere fiduciario verso l’azienda, che si faccia in cloud o on-premise.
Dalla “Repatriation” alla “Governance della Filiera”
Dunque sono ancora convinto che il termine “repatriation” o “georepatriation” sia un concetto antiscientifico perché tenta di dare una risposta geografica a problemi che sono invece di processo e di governance.
Il vero tema che emerge è che il mercato sta andando verso una classificazione del rischio. Le aziende non devono cercare rifugio in un passato idealizzato (l’on-premise), ma devono costruire una strategia di migrazione consapevole che garantisca:
Trasparenza dei costi (evitando le trappole degli hyperscaler).
Certificazione della sicurezza (per restare nelle filiere che contano).
Interoperabilità (per abbattere i muri dei giardini recintati).
E questo si può fare solo con un cloud provider europeo. Nativo. Europeo veramente. Non sovranizzato. Perchè servono tutte queste specificazioni? Perchè invece di chiederci “dove” mettere i dati, dovremmo prima chiederci: “Il mio fornitore (di cloud o di hardware) mi permette di restare competitivo e sicuro all’interno della mia filiera produttiva salvaguardando il patrimonio informativo dell’azienda da ingerenze esterne?”. Se la risposta è no, anche in considerazione dell’attuale rischio geopolitico, la risposta è semplice: scegliere subito un cloud provider italiano.
