"Ogni dato dei tuoi clienti che transita su un server americano è soggetto al Cloud Act statunitense: le autorità USA possono richiederne l’accesso senza che tu venga informato e senza che la legge svizzera possa impedirglielo. Non è un’ipotesi teorica ma il quadro giuridico attuale. A volte non solo."
Che cosa è la sovranità digitale e perché riguarda ogni PMI ticinese
Sovranità digitale è la capacità di un’organizzazione o azienda di controllare i propri dati, i propri strumenti e la propria infrastruttura tecnologica, in modo indipendente da soggetti esterni che operano sotto giurisdizioni diverse e con interessi potenzialmente divergenti dai propri.
La definizione suona astratta ma le conseguenze pratiche non lo sono affatto.
Quando un’azienda ticinese usa Gmail per le comunicazioni interne, Google Drive per archiviare i documenti ei contratti, Zoom o Google Meet per le riunioni con i clienti e ChatGPT nella versione gratuita per produrre documenti interni, ha delegato il controllo dei propri dati operativi a quattro aziende americane, soggette alla legge americana, con datacenter che in molti casi si trovano fuori dall’Europa.
In condizioni normali questo non produce effetti visibili. Ma in condizioni non normali, una richiesta di accesso da parte delle autorità, un cambiamento nelle condizioni contrattuali del fornitore, un’acquisizione, una violazione dei dati, tutto il controllo non è nelle mani dell’azienda ticinese.
La sovranità digitale non è la scelta di rinunciare agli strumenti tecnologici migliori disponibili sul mercato.
È la scelta di usare strumenti equivalenti, e spesso superiori sotto il profilo della sicurezza e della conformità, che mantengono i dati sotto giurisdizioni compatibili con la normativa svizzera ed europea, con contratti che definiscono chiaramente responsabilità e garanzie.
Per una PMI ticinese questa scelta ha tre dimensioni che si rafforzano a vicenda. Ha una dimensione legale (la conformità alla nLPD ossia alla legge sulla privacy svizzera), una dimensione competitiva (ossia la capacità di dimostrare ai propri clienti che i loro dati sono al sicuro), e una dimensione strategica (ossia la riduzione della dipendenza da fornitori che possono cambiare prezzi, condizioni o semplicemente smettere di esistere).
Il problema reale: il Cloud Act americano e i suoi effetti sulle PMI svizzere
Il Cloud Act (Clarifying Lawful Overseas Use of Data Act), entrato in vigore negli Stati Uniti nel 2018, autorizza le autorità americane a richiedere alle aziende tecnologiche con sede negli USA l’accesso ai dati che gestiscono, indipendentemente dal paese in cui quei dati sono fisicamente conservati. Questo significa che anche se i server di Google, Microsoft o Amazon si trovano in Germania o in Irlanda, i dati che ospitano sono accessibili alle autorità americane tramite richiesta diretta all’azienda, senza che lo Stato in cui risiedono i server possa opporsi efficacemente.
La Svizzera non fa parte dell’Unione Europea e non è coperta dagli accordi che l’UE ha negoziato con gli Stati Uniti sulla protezione dei dati. Questo crea una vulnerabilità specifica per le PMI svizzere che usano servizi cloud americani. I dati dei loro clienti, dei loro dipendenti e delle loro operazioni interne sono potenzialmente accessibili a un governo straniero, senza che il titolare dei dati ne venga informato e senza possibilità di opposizione preventiva.
Questo non è un problema ipotetico solo per le multinazionali, ma è un rischio concreto per qualsiasi PMI che tratti dati considerati sensibili in determinati contesti.
Una fiduciaria che usa Gmail per comunicare con i propri clienti, uno studio medico che archivia referti su Google Drive, un’azienda manifatturiera che usa Slack per le comunicazioni interne sono tutti soggetti che hanno dati sotto giurisdizione americana.
A questo si aggiunge la dimensione commerciale, che è quella più immediata per molte PMI.
I clienti di fascia alta come gli studi legali, le fiduciarie, le aziende con certificazioni di qualità, le organizzazioni sanitarie, stanno tutte iniziando a includere nei loro requisiti di fornitura la verifica che i subfornitori non trasmettano dati sensibili su piattaforme non conformi.
Una PMI ticinese che non può dimostrare dove risiedono i dati dei propri clienti e con quali garanzie vengono trattati rischia di perdere queste opportunità di business, indipendentemente dalla qualità del proprio servizio.
"La sovranità digitale non è un principio ideologico ma la risposta pratica a una domanda concreta: quando un cliente ti chiede dove finiscono i suoi dati, sai rispondere con precisione o tentenni?"
L’errore più comune: confondere la localizzazione del server con la giurisdizione applicabile
La convinzione più diffusa e più pericolosa in questo ambito è quella sintetizzata in una frase che si sente spesso nelle PMI: "usiamo Microsoft 365, che ha server in Europa o in Svizzera, quindi siamo a posto." Questa frase contiene un errore logico preciso che vale la pena smontare con chiarezza.
La localizzazione fisica del server determina dove risiedono i dati in senso fisico. La giurisdizione applicabile determina quale legge governa chi può accedere a quei dati e a quali condizioni. Queste due cose non coincidono necessariamente. Microsoft è un’azienda americana soggetta al Cloud Act: anche se i suoi datacenter europei si trovano in Germania o nei Paesi Bassi, Microsoft potrebbe essere obbligata dalla legge americana a consegnare alle autorità USA i dati che gestisce su quei server. La sede legale del fornitore conta quanto o più di una localizzazione fisica dei server.
Il secondo errore correlato è credere che la conformità alla nLPD si esaurisca nella firma di un DPA con il fornitore. Il DPA è una condizione necessaria ma non sufficiente. Un DPA con un fornitore americano non immunizza dall’applicazione del Cloud Act, perché il Cloud Act prevale sui contratti privati in base alla legge americana. Il DPA garantisce che il fornitore tratti i dati secondo le istruzioni del titolare in condizioni ordinarie, ma non garantisce che il fornitore possa sottrarsi a una richiesta governativa americana.
Il terzo errore, meno ovvio ma altrettanto rilevante, è considerare la scelta degli strumenti digitali come una decisione puramente tecnica delegata all’IT o al consulente informatico esterno. La scelta di dove risiedono i dati aziendali è una decisione strategica che ha implicazioni legali, competitive e reputazionali. In quanto tale, appartiene al tavolo del titolare o del CEO, non solo al pannello di configurazione di un tecnico.
La soluzione corretta: un approccio a livelli per costruire la sovranità digitale in modo progressivo
Passare da una dipendenza totale da strumenti americani a un ecosistema digitale sovrano non è né rapido né necessariamente urgente in ogni sua componente. L’approccio corretto è quello della sostituzione progressiva per livelli di criticità, iniziando dai sistemi che trattano i dati più sensibili e procedendo verso quelli meno critici.
Livello critico: i dati che non possono uscire dalla giurisdizione svizzera
Il primo livello comprende i sistemi che trattano dati personali sensibili di clienti o dipendenti, dati finanziari, comunicazioni riservate e qualsiasi informazione soggetta a obblighi di riservatezza professionale. Per una fiduciaria, questo include l’e-mail, il sistema di gestione documentale e il software contabile (Banana Contabilità+ per i business locali spesso è il più adatto). Per uno studio medico, include i referti e le comunicazioni con i pazienti. Per qualsiasi azienda, include i dati dei dipendenti.
Per questi sistemi, la raccomandazione è di passare a fornitori con sede legale in Svizzera o nell’Unione Europea, con datacenter verificati sul territorio europeo e DPA conforme. Infomaniak è il punto di riferimento per il mercato ticinese e svizzero: azienda di Ginevra, datacenter certificati in Svizzera, suite completa di servizi cloud (e-mail, storage, hosting, videoconferenze) con DPA disponibile in italiano, supporto in italiano e prezzi comparabili ai fornitori americani equivalenti.
Livello importante: gli strumenti di collaborazione digitale quotidiana
Il secondo livello comprende i sistemi usati per la collaborazione digitale interna: ossa per la gestione dei progetti, della comunicazione del team, della condivisione di documenti non sensibili. Qui il trade-off tra funzionalità e sovranità è più articolato: strumenti come Microsoft Teams o Slack hanno caratteristiche e integrazioni che alcune alternative europee non hanno ancora replicato completamente.
La raccomandazione per questo livello non è la sostituzione immediata ma la verifica. È necessario assicurarsi che questi strumenti abbiano un DPA firmato, che i dati sensibili non vi transitino in alcun modo, e che esista un piano di sostituzione progressiva verso alternative europee nei tempi tecnici ragionevoli.
Nextcloud o Infomaniak kDrive coprono la maggior parte delle esigenze di collaborazione di una PMI con server europei.
Livello ottimizzazione: gli strumenti IA
Il terzo livello riguarda gli strumenti IA, che sono quelli su cui la distinzione tra consumer-grade e-business-grade è più netta e più urgente. ChatGPT nella versione gratuita non offre DPA (nemmeno nella Plus) e usa i dati inseriti per addestrare i propri modelli. Non è adatto all’uso professionale con dati di terzi e se si vuole usare per questo serve impostare tecnicamente un sistema adatto per farlo. Le versioni business-grade degli stessi strumenti, ChatGPT Enterprise (che però è accessibile solo alle aziende con oltre 100 dipendenti), Claude for Business, Microsoft Copilot for Business, offrono DPA, escludono l’uso dei dati per l’addestramento e hanno standard di sicurezza documentabili.
Per le PMI ticinesi che vogliono andare oltre le grandi piattaforme americane, esistono soluzioni IA europee in fase di maturazione accelerata: Mistral IA (francese), e le soluzioni IA sovrane erogate su infrastruttura europea tramite Infomaniak. Non hanno ancora la stessa potenza delle piattaforme americane di punta, ma la distanza si sta riducendo rapidamente con la potenza hardware e già oggi coprono la maggior parte dei casi d’uso aziendali ordinari.
Strumenti europei e svizzeri: una mappa pratica per categoria
La tabella seguente elenca le alternative europee e svizzere più mature per le categorie di strumenti più usate nelle PMI ticinesi. Non è una lista esaustiva ma è un punto di partenza operativo (anche se richiede sempre una valutazione).
| Categoria | Strumento USA comune | Alternativa EU/CH |
| E-mail aziendale | Gmail / Outlook.com | Proton Mail / Infomaniak Mail |
| Cloud storage | Google Drive / Dropbox | Proton Drive / Infomaniak kDrive |
| Videoconferenze | Zoom / Google Meet | Infomaniak Meet / Wire |
| Gestione password | LastPass / 1Password | Proton Pass / Bitwarden |
| Ricerca web | Google Search | DuckDuckGo / Ecosia |
| Strumento AI | ChatGPT Plus (no DPA) | Claude for Business / Microsoft Copilot Business |
| Hosting web | GoDaddy / SiteGround | Infomaniak / VoipTel International |
| E-mail marketing | Mailchimp | Brevo |
Una nota metodologica è che la scelta di un’alternativa europea non deve mai avvenire sacrificando la funzionalità necessaria per il lavoro quotidiano. L’obiettivo è trovare strumenti che soddisfino sia il criterio funzionale sia il criterio di sovranità digitale. Non bisogna scegliere uno a scapito dell’altro. Nella maggior parte dei casi d’uso di una PMI ticinese, le alternative europee, elencate e previa valutazione, soddisfano entrambi i criteri.
Procedura pratica: come costruire la mappa della sovranità digitale della tua PMI in cinque passi
- Passo 1: Costruisci l’inventario dei tuoi strumenti digitali con la sede legale del fornitore. Per ogni software o servizio cloud che usi annota: nome dello strumento, paese di sede legale del fornitore, paese in cui risiedono fisicamente i server. Questa informazione si trova quasi sempre nella sezione "Privacy" o "Legal" del sito del fornitore. Se non la trovi è necessario contattare il supporto e chiedere per iscritto.
- Passo 2: Classifica gli strumenti per la criticità dei dati che trattano. Distingui tre categorie: dati sensibili di clienti o dipendenti (alta criticità), dati operativi interni non sensibili (media criticità), strumenti senza accesso a dati personali (bassa criticità). La priorità di sostituzione segue questa classifica inziale.
- Passo 3: Per gli strumenti ad alta criticità con sede legale fuori dall’Europa o dalla Svizzera, identifica l’alternativa europea o svizzera più adatta. Usa la tabella comparativa come punto di partenza ma fai anche una valutazione mirata. Per ogni strumento da sostituire valuta le funzionalità, il costo e il tempo di migrazione. La migrazione non deve avvenire simultaneamente per più strumenti: un sistema alla volta, partendo da quello con i dati più critici.
- Passo 4: Per gli strumenti che non puoi o non vuoi sostituire nell’immediato, assicurati che esista un DPA firmati e che i dati trattati siano limitati al minimo necessario. Il principio di minimizzazione dei dati della nLPD e del GDPR non riguarda solo quanti dati raccogli dai tuoi clienti, riguarda anche quanti dati trasmetti ai tuoi fornitori. Se devi usare uno strumento americano, assicurati che non riceva più dati di quelli strettamente necessari al tuo scopo.
- Passo 5: Soprattutto documenta le scelte fatte e aggiorna la Privacy Policy e il Registro dei Trattamenti. Una volta completata la mappa e avviate le prime migrazioni, aggiorna i tuoi documenti di conformità con le informazioni corrette. Questa documentazione non è solo un obbligo normativo da smarcare nella to-do list ma è la prova concreta che puoi mostrare a un cliente che ti chiede dove finiscono i suoi dati.
Un esempio concreto: lo studio legale di Lugano
Uno studio legale con sede a Lugano avvia un processo di revisione degli strumenti digitali dopo che un cliente importante in Germania gli aveva chiesto di ricevere una dichiarazione scritta su dove venivano conservati i documenti condivisi con lo studio.
L’inventario iniziale rivela la situazione tipica: Gmail per le comunicazioni esterne, Google Drive per i documenti condivisi con i clienti, Zoom per le riunioni, Dropbox per l’archiviazione interna. Tutti fornitori americani, nessun DPA firmato con nessuno, nessuna risposta documentabile alla domanda del cliente tedesco.
La prioritizzazione identifica due sistemi critici da sostituire nell’immediato: l’e-mail e il sistema di condivisione documentale con i clienti, che trattavano le comunicazioni più riservate e ritenute sensibili. La scelta ricade su Infomaniak per entrambi: la migrazione e-mail richiede tre giorni lavorativi, la configurazione del sistema documentale una settimana. Costo tecnico totale: inferiore a 500 franchi di lavoro di configurazione, più un abbonamento mensile comparabile a quello precedente.
Per Zoom e Dropbox, lo studio opta per una soluzione di medio termine. DPA firmati con entrambi i fornitori, politica interna di non caricare documenti con dati sensibili dei clienti, e una pianificazione di migrazione verso Infomaniak Meet e kDrive nell’arco di sei mesi.
La risposta a una ipotetica richiesta di un cliente arriva una settimana dopo la prima domanda: una dichiarazione di due pagine che elenca i fornitori in uso, la localizzazione dei server, i DPA firmati e le politiche di minimizzazione dei dati applicate. Il cliente conferma la conformità ai propri requisiti. Il titolare dello studio può poi usare quella stessa documentazione come elemento differenziante nella proposta a nuovi clienti di rango istituzionale.
"Nessuno pensa alla sovranità digitale come a un argomento commerciale. Se ci rendiamo conto è esattamente quello che i nostri clienti più esigenti stanno cercando, e che nessun nostro concorrente è in grado di documentare."
Mini-riassunto
Questo articolo spiega cos’è la sovranità digitale, perché riguarda le PMI ticinesi in modo concreto e come costruire un ecosistema digitale basato su strumenti europei e svizzeri in modo progressivo e sostenibile. I punti chiave sono:
- La sovranità digitale è la capacità di un’organizzazione o azienda di controllare i propri dati e strumenti in modo indipendente dai soggetti che operano sotto giurisdizioni diverse. Non è una scelta ideologica ma è una risposta pratica ai rischi legali, competitivi e reputazionali derivanti dalla dipendenza da fornitori non europei.
- Il Cloud Act americano autorizza le autorità USA a richiedere l’accesso ai dati gestiti da aziende americane, indipendentemente dal paese in cui i server si trovano fisicamente. Questo vale per Google, Microsoft, Amazon, Zoom, Dropbox e qualsiasi altro fornitore con sede legale negli Stati Uniti.
- La localizzazione fisica del server non coincide con la giurisdizione applicabile. Server europei di un’azienda americana rimangono soggetti alla legge americana. La sede legale del fornitore conta più della posizione geografica dei datacenter.
- L’approccio corretto alla costruzione della sovranità digitale è progressivo e basato sulla criticità dei dati. Si inizia dai sistemi che trattano dati sensibili di clienti e/o dipendenti, e si procede verso quelli meno critici.
- Per il mercato ticinese, Infomaniak (azienda ginevrina con datacenter certificati in Svizzera) è il punto di riferimento per e-mail, storage, hosting e videoconferenze con DPA disponibile in italiano e supporto in lingua italiana.
- La capacità di documentare dove risiedono i dati dei propri clienti e con quali garanzie vengono trattati è diventata un requisito esplicito per i clienti istituzionali e per le grandi aziende, è un differenziatore competitivo concreto nel mercato ticinese.
- Patrick Pasquillo supporta le PMI ticinesi nella mappatura degli strumenti digitali in uso, nella identificazione delle alternative europee e svizzere più adatte e nella costruzione della documentazione di conformità nLPD attraverso la sua consulenza diretta.
Approfondimenti
Approfondisci i rischi specifici legati ai singoli strumenti:
- Meta AI: sei consapevole che usano le tue foto e i tuoi video pubblici?
- Apple Intelligence: davvero sappiamo a cosa stiamo dicendo sì?
- Attenzione ai software americani riguardo alla privacy
- AI, sovranità digitale, marketing e il futuro del tuo business in Ticino
Sai esattamente dove risiedono i dati dei tuoi clienti e sotto quale giurisdizione vengono trattati? Se la risposta è "non del tutto", hai già identificato un rischio legale e competitivo concreto. Contattami su mail@patrickpasquillo.net e in una sessione di lavoro costruiamo insieme la mappa dei tuoi strumenti digitali, identifichiamo le priorità di migrazione e prepariamo la documentazione che i tuoi clienti più esigenti stanno iniziando a richiedere.
"Resta agile. Continua a eccellere. Guida il cambiamento." Patrick Pasquillo - Digital Collaboration Specialist