La sovranità digitale è entrata stabilmente nell’agenda delle aziende italiane, spinta dalle normative europee e da un quadro geopolitico instabile. Resta però un termine senza una definizione condivisa, e proprio da questa assenza è partito il Vertice sulla sovranità e l’intelligenza artificiale di Microsoft ospitato a Roma, presso la sede dell’Elide a Villa Tassini. Ad aprire i lavori è stato Vincenzo Espositoamministratore delegato di MicrosoftItaliache ha collocato la giornata in una cornice più estesa: la sovranità è uno dei tasselli della strategia con cui Microsoft accompagna le imprese nell’adozione dell’IA, quella che l’azienda chiama Trasformazione della frontiera. Il presupposto, ha osservato Esposito, è che la tecnologia non sia più il punto critico: “la tecnologia c’è, è pronta, ne abbiamo tanta, ma c’è una grande distanza tra le aziende che guardano l’innovazione e quelle che poi la implementano concretamente”. A descrivere invece il concetto di sovranità è stata Irene SardellittiNational Technology Officer di Microsoft Italia, che parte da una domanda rivolta alle organizzazioni: “noi chiediamo ai clienti o alle organizzazioni quello che è per loro la sovranità, perché siamo i service provider, quelli che forniscono le soluzioni opportune per indirizzare la loro necessità”.
Su questa base Microsoft ha formulato la propria definizione, che esclude due derivate opposte. “La nostra definizione non prevede né isolamento né autarchia, ma è permettere a tutte le organizzazioni di vivere l’economia digitale in maniera sicura e indipendente, con un certo grado di controllo”ha spiegato Sardellitti. Il punto qualificante è che la sovranità non coincide con un prodotto: “non è una soluzione, ma è il risultante di leve tecnologiche, contrattuali e di processo”. La conseguenza operativa è che il percorso comincia da un’analisi del rischio, dalla constatazione che dati diversi hanno sensibilità diverse e vanno trattati di conseguenza. Un dato ordinario, un dato critico e un dato strategico non richiedono le stesse garanzie, e la mappatura di questa critica precede qualsiasi scelta tecnologica.
Tecnologia e know-how, dove nasce il valore
Se Sardellitti delimita il perimetro del concetto, è nella lettura strategica di Esposito che la sovranità trova la propria ragione economica, ed è qui che si chiude il cerchio aperto all’inizio della giornata. La sua tesi è che i modelli di IA, ormai accessibili a chiunque, non rappresenta più un fattore di differenziazione: il vantaggio competitivo nasce dall’incontro tra la tecnologia e il patrimonio di conoscenza e di dati di ciascuna organizzazione. È un punto che lega direttamente la sovranità al valore, perché ciò che rende un’azienda davvero distinguibile non è il modello ma il modo in cui lo applica ai propri dati. La differenza, ha rimarcato Esposito a Edge9 a margine dell’evento, non sta nella tecnologia disponibile ma nella capacità di portarla in produzione.
Da qui la coppia di concetti su cui Esposito ha insistito, intelligenza e fiducia. “Affido alla tecnologia i miei dati, per cui è fondamentale avere un livello di integrazione tra tecnologia e fiducia”ha osservato, richiamando la necessità di controllare cosa fanno gli agenti software, a quali dati accedono e con quali criteri di conformità comunitari. Su questo terreno Microsoft porta in dote anche le certificazioni: Copilotalo strumento con cui l’azienda apre l’accesso all’IA generativa, ha ottenuto la conformità allo standard ISO/IEC 42001, il riferimento dedicato alla gestione responsabile dei sistemi di intelligenza artificiale.
Il terzo elemento, accanto a infrastruttura e fiducia, è la cultura. “La cultura e la tecnologia sono le due facce della stessa medaglia sovrana”ha sintetizzato Sardellitti, perché senza competenze diffuse gli strumenti non si traducono in competitività. È l’ambito del programma Microsoft Elevatearrivato in Italia a settembre 2025 con l’obiettivo di formare oltre 400.000 persone in due annisu livelli diversi a seconda delle esigenze. Lo stesso Esposito, raccontando l’esperienza del Microsoft AI L.AB.acceleratore che conta ormai oltre 400 aziende italiane, ha indicato nel coinvolgimento delle persone il vero discriminante: “quello che separa le aziende che hanno successo nell’implementazione dell’intelligenza artificiale da quelle che non lo hanno è il coinvolgimento delle persone”.
La sicurezza resta il presupposto trasversale a tutto l’impianto. Microsoft la colloca all’interno della Secure Future Initiative, l’iniziativa con cui ha ridisegnato i propri servizi secondo i criteri di sicurezza già in fase di progettazione, in modalità predefinita e nelle operazioni, appoggiandosi a un organico di 34.000 ingegneri dedicati alla cybersecurity e all’impiego di modelli di IA per migliorare la qualità del codice e individuare le funzionalità.
Un continuum di opzioni architetturali
Gli strumenti con cui Microsoft traduce in pratica questa idea di sovranità composta quella che Sardellitti descrive non come un interruttore tra alternative ma come un ventaglio continuo. “Microsoft mette a disposizione diversi approcci architetturali, che includono il public cloud, l’offerta sovrana di public cloud, il private cloud con una soluzione on-premise e soluzioni ibride con i partner”ha elencato, definendoli “un continuum di opzioni che indirizzano esigenze diverse”. Il primo livello resta il cloud pubblico, costruito su Azzurroche secondo l’azienda copre la maggior parte delle necessità di sovranità grazie a controlli aggiuntivi su dati e operazioni. Sul versante dei dati intervengono la cifratura a riposo, in transito e in uso, quest’ultima affidata all’Azure Confidential Computing. Sul versante operativo funziona l’Confini dei dati dell’UEche vincola archiviazione ed elaborazione dei dati all’interno dell’Europa, e il Data Guardian, che monitora l’accesso del personale Microsoft ai sistemi gestiti nel continente.
A questi livelli tecnologici si affiancano garanzie contrattuali. Il Addendum sulla protezione dei dati di Microsoft avviso che l’azienda non concedere a nessun governo l’accesso ai dati dei clientiche ogni richiesta viene valutata da un team legale e che le richieste ricevute sono resecontate periodicamente. Per le organizzazioni preoccupate dalle implicazioni del Cloud Act statunitense, Microsoft aggiunge un argomento tecnico: se il cliente cifra i propri dati con chiavi che l’azienda non controlla, quei dati restano inaccessibili anche al fornitore. Un’ulteriore appendice contrattuale impegna inoltre Microsoft ad opporsi in sede giudiziaria a un eventuale ordine di sospensione dei servizi in Europa.
Quando il cloud pubblico non basta, il secondo livello è il private cloud on-premise basato su Locale di Azureche funziona sia in modalità connessa sia disconnessa e ripropone l’esperienza d’uso di Microsoft 365 attraverso una versione locale della suite, con la possibilità di eseguire modelli di IA in sede. Il terzo livello è il cloud ibrido costruito con i partner, tra cui in Italia Retelit e Arubache ospitano i dati nei propri data center affiancandoli ai servizi di Azure. A rendere concreto tutto questo c’è la presenza infrastrutturale diretta: con la regione Italia Nordfrutto di un investimento da 4,3 miliardi di euro annunciato nel 2024, le aziende possono mantenere dati ed elaborazioni non solo in Europa ma sul territorio nazionale. “Possiamo localizzare il dato in Italia e usufruire dei servizi direttamente da Italy North”ha confermato Sardellitti.
La cornice in cui tutto questo si colloca è quella degli impegni europei assunti da Microsoft nell’aprile 2025, quando il presidente Brad Smith ha presentato a Bruxelles cinque impegni per la stabilità digitale del continente, dall’espansione delle infrastrutture cloud alla promessa di continuità operativa in caso di pressioni geopolitiche. Letti insieme, l’impianto architetturale di Sardellitti e la lettura strategica di Esposito restituiscono un posizionamento preciso: Microsoft non presenta la sovranità come un’alternativa all’innovazione o alla sicurezza, ma come una variabile da bilanciare con entrambe. Per le imprese italiane, soprattutto quelle dei settori regolamentati, la questione si sposta dalla scelta di un prodotto alla capacità di mappare la criticità dei propri dati e di associarvi il livello architettonico adeguato. È una lettura che porta la discussione dal piano del dibattito europeo sui modelli sovrani a quello, più concreto, di come organizzazione ciascuna mette in sicurezza e a frutto il proprio patrimonio informativo.
