Di Alessia Valentini, Advisory Board Member dell’Osservatorio sulla Sicurezza Nazionale (OSSN) di Unipegaso
La progressiva digitalizzazione nelle organizzazioni, ovvero quel processo materiale di conversione dei singoli flussi di informazioni analogiche in bit digitali, (da un formato fisico a uno digitale), evolve spesso e necessariamente in una vera e propria trasformazione digitale che invece abbraccia l’azienda nel suo insieme, a livello profondo, si concentra sul valore per l’utente e richiede un piano strategico in chiave evolutiva per la sua attuazione.
Tuttavia, proprio la trasformazione digitale, estesa nel settore privato, nel pubblico e in quello istituzionale, ha dato origine alla necessità di avere una completa capacità di controllo sulla componente digitale ed in particolare sui dati gestiti. È nato quindi il termine di sovranità digitale che indipendentemente dall’entità che deve esercitarla (azienda grande o piccola o organizzazione pubblica), si riferisce alla capacità di poter essere autonomi e liberi sulle decisioni legate al destino della propria organizzazione, senza subire nessun potenziale condizionamento dato dalle dipendenze tecnologiche. Le leve di autonomia strategica nel contesto digitale richiedono la capacità di controllare chi elabora i dati di interesse e dove lo fa; il che significa avere consapevolezza delle partnership e delle catene di fornitura per le scelte di tecnologie abilitanti così da non rischiare una sorta di “ricattabilità digitale”.
La sovranità digitale è dunque un concetto che pesa sempre di più sulle organizzazioni di ogni ordine e grado e si inserisce nel più ampio tema della sostenibilità del business, tipicamente legata a fattori variabili come i trend di mercato, la concorrenza e le competenze/formazione della forza lavoro. Per consolidare la sostenibilità del business a lungo termine si rende quindi necessario indirizzare e realizzare una piena sovranità tecnologica, mediante scelte strategiche ponderate e tese a valutare la “convenienza” non solo in chiave economica di spesa, ma anche in ottica geopolitica.
Sovranità Digitale in pillole
Una definizione completa di Sovranità Digitale è stata fornita da Roberto Baldoni, primo Direttore Generale dell’Agenzia Nazionale per la Sicurezza Cibernetica e Professore Onorario di Informatica presso l’Università di Roma La Sapienza, nel suo libro “Charting Digital Sovereignty: A Survival Playbook” secondo cui la piena sovranità digitale di una nazione sta ne “l’esercizio dell’autorità su tutti i dati generati dai cittadini e dalle imprese; la capacità di utilizzare tecnologie sicure e affidabili per l’elaborazione di questi dati, supportata da una forza lavoro sufficiente e fidata; la creazione e mantenimento continuo di una collaborazione internazionale per affrontare in modo proattivo le minacce, unitamente ad un contesto sociale pienamente consapevole ed educata sui rischi nel cyberspazio”. Per realizzare la Sovranità Digitale è necessario agire su 4 pilastri equivalenti ad una rotta prestabilita: il controllo dei dati, le capacità tecnologiche e quelle professionali, consapevolezza delle persone, la capacità di creare alleanze internazionali.
Questi elementi sono fondanti e abilitanti per ogni soggetto che voglia raggiungere l’autonomia sui propri dati: che sia una piccola, media o grande impresa privata, un ente pubblico o uno Stato sovrano.
Per raggiungerli, qualsiasi tipo di entità, dovrebbe strutturare un piano strategico che li preveda considerandoli però ‘mobili nel tempo’ a causa di eventi scientifici, tecnologici, o geopolitici che modificano le condizioni per la sovranità digitale, rendendo necessaria una rivalutazione periodica delle vulnerabilità (tecniche, organizzative, formative, procedurali, di processo o normative) e introdurre correttivi e miglioramenti adeguativi appropriati. Cruciale anche l’introduzione di metriche e KPI per valutare i progressi e i necessari aggiustamenti. Quindi per acquisire una postura appropriata alla Sovranità Digitale è strettamente necessario organizzarsi, e in una parola, governare il processo. La governance si realizza in modo strutturato, preferibilmente non in balia di uno stato di emergenza e mai e poi mai per improvvisazione.
La sostenibilità del business trasformato digitalmente
Quando si guarda alle misure di sostenibilità del business, la sovranità digitale ne è un abilitante perché consente di realizzare il controllo strategico su dati e infrastrutture, riducendo dipendenze esterne, rischi di sicurezza (cybersecurity), legali (normative estere) e di fatto porta alla resilienza operativa. Resilienza che è condizione necessaria per una competitività a lungo termine e che, insieme alla indipendenza tecnologica, conferisce alle organizzazioni la capacità di innovare in modo autonomo e conforme a valori e leggi locali.
Poiché oggigiorno la maggior parte dei prodotti digitali afferisce alle big tech americane o ai colossi cinesi, una vera indipendenza tecnologica è complessa, a meno di ingenti investimenti, non sempre accessibili e sostenibili nel tempo. Però per troppo tempo la “convenienza economica”, la tecnologia a basso costo, la ricerca tecnologica finanziata da altri, ha guidato le scelte strategiche dei capitani di azienda. Un tempo che oggi con le tensioni geopolitiche potrebbe tornare a “chiedere il conto” al prezzo di una sudditanza digitale che suona come ‘ricattabilità’. Allora per riprendere in mano le sorti dei dati di interesse e delle tecnologie che li elaborano, la scelta di software Open Source (a patto di saperlo personalizzare e gestire secondo i criteri di Cybersecurity) può costituire una valida alternativa. In effetti l’Open Source Software (OSS) potrebbe costituire un elemento chiave o anche un prerequisito per il rafforzamento della sovranità digitale, per lavorare in modo indipendente e autonomo alle soluzioni applicative necessarie ad una organizzazione. Ciò evita effetti di lock-in e amplia il know-how tecnico dell’azienda. Una valutazione a livello europeo dell’adozione di software open source la fornisce il documento pubblicato dalla Linux foundation dal titolo “Open Source Maturity in Europe”.
Elementi di attenzione per volgere al software Open Source riguardano standard e normative di sicurezza digitale. In particolare, gli standard ISO/IEC 5230 e ISO/IEC DIS 18974 sono quelli di riferimento per il software open source. Il primo riguarda la conformità (compliance) delle licenze e guida le aziende a gestire i rischi legali, mentre il secondo riguarda la sicurezza dei componenti open source, supportando le organizzazioni nell’implementazione di programmi di qualità per identificare vulnerabilità e definire ruoli e responsabilità. A livello europeo, l’esplicita considerazione dell’OSS è contenuta nel Cyber Resilience Act (CRA) e nel Digital Operational Resilience Act (DORA). Sebbene non nominato esplicitamente nella direttiva NIS2, l’OSS rientra comunque nella serie di componenti software per le quali la Direttiva NIS2 richiede una gestione sicura e consapevole delle componenti software soprattutto per via della centralità nella supply chain IT.
La Sovranità Digitale a livello di Stato e nell’assetto Europeo
Guardando al livello di singolo Stato Sovrano, le considerazioni e i passaggi fin qui discussi restano applicabili, anche se possono essere critici, date le dimensioni delle misure i tempi di trasformazione verso una autonomia e sovranità digitale completa. Per favorire questo passaggio l’Europa da qualche tempo ha iniziato un lento ma pervasivo movimento organizzativo, di investimenti e iniziative verso l’innovazione che possano incidere positivamente sulla propria sovranità tecnologica e digitale. Per questo motivo ha alzato l’attenzione indirizzando la normazione verso una maggiore protezione dei dati. Iniziative come il GDPR, il Cyber Resilience Act (CRA), il Digital Markets Act (DMA), il Digital Services Act (DSA), il Data Act, il Chips Act, NIS2 e DORA assieme ai recenti sforzi di regolamentazione dell’intelligenza artificiale con l’AI Act, sono tesi a preparare l’Europa e suoi singoli Stati alle crisi insite nell’era digitale e alle nuove sfide correlate. L’Europa è anche ben conscia delle sue tecno dipendenze digitali e di Cybersecurity tanto da averle definite vulnerabilità strategiche ed averle elencate esplicitamente nel documento “European Software and Cyber Dependencies” fresco di pubblicazione a dicembre 2025.
Tuttavia, all’Europa sembra mancare un “ultimo miglio”. Nel paper pubblicato dall’Osservatorio Sulla Sicurezza Nazionale (OSSN) dal titolo “Sicurezza europea: evoluzione della NATO, scenari, interessi nazionali e alternative” in cui si tratta la condizione europea rispetto alla NATO dal punto di vista della sicurezza nella sua accezione più ampia (fisica e digitale, civile e militare), un intero paragrafo è dedicato alla Sovranità Digitale e Tecnologica che ha un peso significativo sull’autonomia Europea, (specie se confrontata con i servizi digitali delle BIG tech, oggi tenute a briglia dall’amministrazione Trump) e che quindi sembra di particolare urgenza a fronte degli sviluppi geopolitici e delle frammentazioni a valle della guerra dei dazi. In questo scenario, il paper sottolinea come “l’ultimo miglio che sembra mancare alla roadmap europea già tracciata è quello di ‘imboccarla’ con decisione avviando progettualità specifiche e risultati concreti. I progetti potrebbero essere il risultato di una prioritizzazione delle tecnologie di interesse, scelte da tutti i paesi UE o un sottogruppo rappresentativo, accomunato dalle stesse esigenze e requisiti. Un ulteriore auspicio abilitante potrebbe arrivare dallo sviluppo di strumenti di politiche di defiscalizzazione per gli investimenti e da politiche atte a favorire partenariati pubblico privati (PPP) per alcuni tipi di tecnologie dirompenti emergenti”.
In particolare, nelle conclusioni si esplicita come la superiorità tecnologica costituisca un vantaggio multidimensionale sia a livello civile che militare e il dominio dell’informazione e di quella digitalizzata si fa fondante. Pertanto, l’obiettivo di Sovranità Tecnologia e Digitale si conferma come un tema regolatorio ma anche materialmente operativo sia a livello di politica che di politica industriale, a livello nazionale, Europeo e sovranazionale Europeo.
