Nel dibattito sulla sovranità digitale, una delle convinzioni più diffuse – anche tra gli operatori del settore – è che la localizzazione dei dati coincida con il loro controllo. L’idea che “dati ospitati in Europa” equivalga automaticamente a “dati sotto controllo europeo” è però sempre meno aderente alla realtà delle infrastrutture digitali. La diffusione del cloud e dei modelli ibridi e multicloud ha infatti separato in modo definitivo due piani che un tempo coincidevano: dove risiede un’informazione e chi può effettivamente accedervi. In questo scenario, tra i punti critici non c’è più il solo data center in quanto infrastruttura fisica di residenza dei dati, ma il meccanismo che rende i dati leggibili: la crittografia e, soprattutto, la gestione delle chiavi di cifratura è uno dei mattoni fondamentali.

Il quadro normativo europeo sta accelerando questa lettura e la direttiva NIS2, recepita in Italia con il d.lgs. 138/2024, impone non a caso alle organizzazioni ritenute essenziali e importanti un rafforzamento della governance cyber, con responsabilità dirette del management e obblighi stringenti di gestione del rischio. Parallelamente, schemi come l’EUCS (European Cybersecurity Certification Scheme for Cloud Services) promossi da ENISA e le strategie europee su cloud e dati indicano una direzione chiara: la sicurezza non è più solo una questione infrastrutturale, ma di controllo operativo e giurisdizionale. Il Rapporto Draghi sulla competitività europea, inoltre, ha evidenziato un nodo strutturale, ovvero sia la dipendenza dell’Europa da infrastrutture digitali extraeuropee, una dipendenza che non riguarda solo la capacità di calcolo, ma anche i livelli più profondi di controllo del dato. Ed è su questo tema che emerge il punto spesso sottovalutato: il vero perimetro della sovranità digitale non è il luogo in cui i dati vengono archiviati, ma il punto in cui vengono resi leggibili.