Cloud sovrano in azienda: guida pratica Italia 2026

Q: Cos'è la Qualifica ACN e come si relaziona alla sovranità?

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha definito quattro livelli di qualificazione cloud (QC1, QC2, QC3, QC4) per i servizi cloud destinati alla pubblica amministrazione e ai dati ordinari, critici e strategici. QC1 corrisponde a dati ordinari, QC4 a dati strategici. La qualifica ACN integra requisiti di sicurezza tecnica e sovranità giuridica — è il riferimento italiano più vicino a SecNumCloud francese.

Q: Il cloud sovrano è davvero più caro?

Non quanto si crede. Aruba, WIIT, Engineering e OVHcloud Milano propongono tariffe spesso comparabili o inferiori agli hyperscaler sui servizi standard (compute, storage, rete). Per servizi gestiti molto specifici (ML/IA proprietari, database esotici), AWS/Azure restano più ricchi. Le offerte qualificate QC3-QC4 costano 1,5x a 3x un cloud pubblico standard.

Q: Quale cloud sovrano scegliere per una PMI italiana?

Aruba Cloud per ampiezza catalogo (VPS, Cloud Pro, GPU, datacenter Arezzo + Bergamo + Roma), connettività e dimensione storica italiana. WIIT per workload bancari e regolamentati (qualifica ACN, datacenter Milano e Roma). Engineering per servizi gestiti ad alta complessità e PA. Seeweb per cloud-native PMI. Per Pubblica Amministrazione e dati strategici: Polo Strategico Nazionale (PSN).

Q: Un cloud sovrano può ospitare IA generativa?

Sì. Aruba e OVHcloud Milano offrono nel 2026 istanze GPU H100/H200 e AI Endpoints con Mistral e altri modelli open-weight. WIIT propone IA managed per banche e PA. Per casi sensibili, il deployment di Mistral via vLLM su infrastruttura GPU sovrana resta l'opzione più controllata. Vedere la nostra guida LLM locale in azienda.

Q: Quanto tempo per migrare da AWS/Azure a un cloud sovrano?

Variabile secondo complessità. Per servizi standard (compute, storage, database SQL): 3 a 9 mesi per un'organizzazione media, di cui 2 a 4 mesi di analisi e 3 a 6 mesi di migrazione progressiva. Per architetture fortemente dipendenti da servizi gestiti proprietari (DynamoDB, Lambda, Cosmos DB), la migrazione richiede riscrittura — calcolare 6 a 18 mesi.

Risposta rapida: cos’è un cloud sovrano in Italia nel 2026?

Un cloud sovrano è un fornitore di infrastruttura cloud:

Di diritto europeo o italiano (sede legale, residenza fiscale, capitale a maggioranza europea o italiana).
Non assoggettato a leggi extraterritoriali: né il Cloud Act statunitense (che obbliga ogni impresa US a consegnare i propri dati, anche se memorizzati fuori dagli Stati Uniti), né la FISA Section 702 (la base legale che permette ai servizi di intelligence statunitensi di accedere ai dati detenuti dalle imprese US).
Hosting fisico in Italia o nell’UE con personale operativo europeo o italiano.
Compatibile nativamente con il GDPR e il Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018), allineato con la Qualifica ACN e le linee guida AgID — senza necessità di costruire schemi contrattuali per trasferimenti extra-UE.

In Italia nel 2026, gli attori principali sono:

Aruba — leader italiano storico (Arezzo, Bergamo, Roma), datacenter Tier IV, catalogo ampio inclusi VPS, Cloud Pro, PEC e firma digitale.
WIIT — gruppo italiano quotato a Milano, focus banking, energy, manifatturiero, qualifica ACN, datacenter Milano e Roma.
Engineering Group — integratore e operatore cloud, forte presenza in PA e regolamentati, qualifica ACN in corso.
Polo Strategico Nazionale (PSN) — joint venture TIM/Leonardo/Cassa Depositi e Prestiti/Sogei, cloud strategico nazionale per dati critici e strategici della PA italiana.
OVHcloud Milano — leader europeo francese con datacenter a Milano, catalogo più ampio inclusi GPU e AI.
Seeweb — operatore italiano cloud-native (Frosinone, Milano), focus PMI e green cloud.

Differenza con gli ‘hyperscaler’ (giganti statunitensi: AWS / Azure / GCP):

Questi hyperscaler hanno region a Milano, ma le loro case madri sono di diritto statunitense — quindi soggette al Cloud Act. Avere server in Italia non basta a essere sovrani in senso giuridico. Le offerte Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud (region Brandenburg, possibile estensione futura) e Google Cloud Sovereign Solutions tentano di creare entità giuridiche europee dedicate — la qualifica ACN non è stata emessa nel 2026 per queste offerte, e il Garante per la protezione dei dati personali mantiene riserve sulla solidità delle garanzie.

Per chi il cloud sovrano?

Ogni organizzazione italiana che tratti dati sensibili — pubblica amministrazione sotto Codice dell’Amministrazione Digitale, sanità sotto le linee guida del Ministero della Salute e delle Regioni, banche sotto la vigilanza Banca d’Italia/Consob, settori critici NIS2, infrastrutture strategiche — può migrare a un cloud sovrano nel 2026 senza sacrificio funzionale rilevante. Le organizzazioni che restano sugli hyperscaler lo fanno per lock-in tecnico (servizi gestiti proprietari) più che per vincoli di costo o qualità.

Il contesto 2026: perché il cloud sovrano diventa strategico in Italia

Tre svolte cumulate rendono la sovranità cloud ineludibile per le organizzazioni italiane nel 2026.

Svolta 1 — Cloud Act attivamente utilizzato. Le autorità statunitensi hanno fatto ricorso al Cloud Act in più occasioni su dati europei, talvolta tramite ingiunzioni segrete. Per le organizzazioni italiane, questo rischio, a lungo teorico, si è materializzato. Il Garante per la protezione dei dati personali ha pubblicato dal 2024 più provvedimenti e indicazioni che richiamano l’esposizione al Cloud Act come rischio materiale ai sensi degli articoli 44 e 48 del GDPR. La Strategia Italiana per la Cybersicurezza 2022-2026 ha rafforzato gli orientamenti sulla sovranità cloud per la PA.

Svolta 2 — Trump 2.0 e tensioni transatlantiche. Il contesto geopolitico 2025-2026 ha portato numerosi CIO di società FTSE MIB e l’amministrazione pubblica (tramite Dipartimento per la trasformazione digitale e ACN) verso strategie di portabilità multicloud con esigenza rafforzata di fallback solo-UE. L’Italia ha investito 1,9 miliardi PNRR nel Polo Strategico Nazionale, segnale forte di scelta sovrana. Vedere anche la nostra guida sovranità digitale.

Svolta 3 — Maturità tecnica degli attori europei. Aruba, WIIT, Engineering, OVHcloud hanno investito massivamente tra 2023 e 2026 e propongono ora cataloghi largamente comparabili agli hyperscaler sui servizi standard. La frizione tecnica della migrazione si è ridotta significativamente. ACN ha aggiornato i requisiti di qualifica QC1-QC4 chiarendo le aspettative.

Concretamente: scegliere un cloud sovrano nel 2026 non è più una “scelta per convinzione al prezzo di un sacrificio funzionale” — è diventato un arbitraggio razionale costo / rischio / funzionalità.

Le 4 dimensioni di un cloud realmente sovrano

Per valutare un’offerta cloud, non accontentarsi della menzione “europeo” o “Made in Italy”. Quattro dimensioni da verificare indipendentemente.

1. Sovranità giuridica

Criterio più importante. Un cloud sovrano deve essere:

Società di diritto europeo o italiano (sede legale UE/IT, iscrizione al registro imprese)
Capitale a maggioranza europeo o italiano (le filiali 100 % italiane di gruppi US non bastano)
Impegno contrattuale di immunità a ingiunzioni extraterritoriali

È esattamente ciò che distingue Aruba / WIIT / Engineering / PSN (sovrani) da AWS Milano / Azure Italia (non sovrani malgrado l’hosting in Italia).

2. Sovranità fisica

L’infrastruttura (datacenter, server, rete) deve essere installata in Italia o nell’UE. Gli operatori (tecnici, amministratori) devono essere sotto giurisdizione europea. Per workload qualificati QC3-QC4 (dati critici e strategici), devono essere cittadini UE con nulla osta di sicurezza (NOS).

3. Sovranità software

L’organizzazione deve potere reversibilizzare: recuperare i dati, le configurazioni, gli snapshot, e ridistribuire altrove in meno di 30 giorni. Senza questa capacità, la sovranità giuridica resta teorica. AGCM e ACN seguono attivamente dal 2024 le pratiche di egress fees e lock-in cloud — un punto a favore dei fornitori con reversibilità trasparente.

4. Sovranità economica

Il fornitore non deve dipendere da un capitale o sostegno finanziario extra-europeo maggioritario. Una startup cloud italiana acquistata da un fondo americano perde parzialmente il proprio carattere sovrano. Seguire la stabilità azionaria via Camera di Commercio e comunicazioni Consob.

Mappatura dei fornitori cloud sovrani italiani nel 2026

Aruba Cloud

Tipo: leader italiano storico, fondato 1994, datacenter Tier IV
Capitale: 100 % italiano (famiglia Cecchetto)
Catalogo: VPS, Cloud Pro, Cloud Hosting, Object Storage, Backup, GPU, PEC, firma digitale, registrazione domini
Datacenter: Arezzo (DC-IT3, Tier IV ANSI/TIA-942), Bergamo, Roma, oltre presenze in CZ, FR, DE, UK, PL
Certificazioni: ISO 27001/27017/27018, ANSI/TIA-942 Tier IV, qualifica AgID/ACN per PA, ENISA EUCS in preparazione
Forza: copertura più ampia del mercato italiano sovrano, datacenter italiani Tier IV proprietari, verticale PA molto sviluppato
Limite: catalogo IA/GPU in espansione ma ancora più limitato rispetto a OVHcloud o hyperscaler

WIIT

Tipo: gruppo italiano quotato MTA (Borsa Italiana), focus enterprise e regolamentati
Capitale: italiano (Bochicchio, Fondo Italiano d’Investimento, capitale flottante MTA)
Catalogo: cloud privato, hybrid cloud, SAP-on-cloud, disaster recovery, security services
Datacenter: Milano, Roma, oltre estensioni in DE (Boreus) e CH
Certificazioni: ISO 27001/27017/27018, qualifica ACN, ISAE 3402, PCI DSS
Forza: forte presenza banking (UniCredit, Mediobanca, Banca Sella), energy, automotive
Limite: focus enterprise — meno adatto a PMI cloud-native

Engineering Group

Tipo: integratore e operatore cloud italiano, forte presenza in PA centrale e locale
Capitale: italiano (Bain Capital + NB Renaissance Partners + management)
Catalogo: cloud sovrano, servizi gestiti, IA verticale (Engineering D HUB), SCC managed services
Datacenter: in Italia tramite partnership con Aruba, WIIT, Sogei
Certificazioni: ISO 27001, qualifica ACN per PA, ENS-equivalent in EU progetti
Forza: integratore con catalogo software ampio, tradizione PA italiana
Limite: ha capitale parzialmente extraeuropeo (Bain) — punto di vigilanza per puristi

Polo Strategico Nazionale (PSN)

Tipo: cloud strategico nazionale per la Pubblica Amministrazione italiana, dati critici e strategici
Capitale: TIM (45 %), Leonardo (25 %), Cassa Depositi e Prestiti (20 %), Sogei (10 %) — 100 % italiano
Catalogo: cloud privato sovrano per PA, IaaS, PaaS, in joint venture con i big tech (Oracle, Google, Microsoft) ma con software stack controllato dai partner italiani per il PSN — modello discusso ma assunto come “sovrano operativo”
Datacenter: Roma, Pomezia, Acilia, Frascati — datacenter del Ministero dell’Interno e di Sogei
Qualifica: livello strategico (QC4) per dati critici e strategici della PA
Forza: capitale 100 % italiano, partnership strategica con i big tech ma stack controllato, copertura completa del fabbisogno PA italiano
Limite: storicamente riservato alla PA — apertura graduale ai privati strategici (banche, energia, telco, sanità)

OVHcloud Milano

Tipo: leader europeo francese con datacenter a Milano (BIT-1)
Capitale: a maggioranza francese (famiglia Klaba), Euronext Parigi
Catalogo: Bare Metal, Public Cloud, Hosted Private Cloud, storage, database, GPU (H100, MI300), AI Endpoints, HDS per sanità
Certificazioni: ISO 27001/27017/27018, HDS, SecNumCloud (region FR), qualifica ACN in preparazione per region IT
Forza: ampiezza catalogo IA/GPU, prezzi competitivi
Limite: matrice francese (per puristi italiani un punto — resta diritto UE e immune al Cloud Act, ma non puramente italiano)

Seeweb

Tipo: operatore italiano cloud-native, focus green cloud (DPA powered by 100 % renewable energy)
Capitale: italiano
Catalogo: cloud server, Kubernetes, GPU H100/L4, storage, datacenter Frosinone e Milano
Certificazioni: ISO 27001, ISO 14001 (ambientale), qualifica ACN in corso
Forza: rapporto qualità-prezzo, sostenibilità, supporto in italiano
Limite: dimensione minore rispetto ad Aruba, catalogo enterprise meno completo

Iniziative “sovereign” degli hyperscaler nel 2026

Microsoft Cloud for Sovereignty: tentativi di entità europee dedicate. Il Garante e ACN restano cauti — il software stack resta Microsoft, il che mette in dubbio la sovranità stretta sotto analisi GDPR Art. 44-48.

AWS European Sovereign Cloud: annunciato per regioni europee dedicate. Qualifica ACN non emessa nel 2026.

Google Cloud Sovereign Solutions con partner: stack partner-mediato. Sovranità contestata dagli attori sovrani puri italiani.

Per dati ultra-sensibili italiani — sistemi PA QC3-QC4, sanità sotto regime ministeriale e regionale, banche sotto vigilanza Banca d’Italia/Consob, infrastrutture critiche e operatori di servizi essenziali NIS2 — Aruba, WIIT, Engineering, PSN e OVHcloud Milano restano le opzioni senza ambiguità.

Certificazioni e conformità specifiche italiane

Il panorama regolamentare italiano combina più strati che vanno valutati insieme.

Qualifica ACN (Agenzia per la Cybersicurezza Nazionale): il riferimento italiano. Quattro livelli:

QC1: dati ordinari della PA
QC2: dati ordinari con maggiori esigenze
QC3: dati critici (impatto significativo se compromessi)
QC4: dati strategici (impatto rilevante per la sicurezza nazionale)

QC3 e QC4 corrispondono al perimetro di sicurezza nazionale cibernetica. Riferimento più vicino al SecNumCloud francese.

AgID (Agenzia per l’Italia Digitale): linee guida e qualificazioni storiche per servizi cloud destinati alla PA. Confluite in parte nella qualifica ACN.

Codice dell’Amministrazione Digitale (CAD) — D.Lgs. 82/2005: framework di riferimento per la digitalizzazione PA, include obblighi di sicurezza e sovranità.

GDPR + Codice Privacy — D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018: framework europeo + adattamento italiano. Il Garante è l’autorità di controllo. I provvedimenti del Garante sul cloud sono aumentati dal 2024.

Direttiva NIS2 (D.Lgs. 138/2024): rafforza gli obblighi di cybersicurezza per operatori di servizi essenziali e importanti. Soggetti tenuti dal 2024-2026.

Perimetro di Sicurezza Nazionale Cibernetica — DL 105/2019: obblighi specifici per soggetti pubblici e privati che svolgono funzioni essenziali per lo Stato.

Settoriali: Banca d’Italia (Disposizioni di vigilanza prudenziale + comunicazioni outsourcing cloud), Consob (regolamento intermediari), Ministero della Salute (linee guida cloud sanità).

L’Italia ha un riferimento cloud sovrano forte: la qualifica ACN QC3-QC4 combina sovranità giuridica e sicurezza in modo simile a SecNumCloud francese. Il Polo Strategico Nazionale ne è il braccio operativo principale per la PA.

Cloud sovrano e IA: la sfida 2026

Con l’esplosione dell’IA in azienda, la domanda “si può fare IA seria su cloud sovrano?” è diventata centrale nel 2026.

Risposta: sì, senza compromesso funzionale rilevante:

Aruba GPU + AI: istanze GPU H100 e servizi IA managed in datacenter Arezzo e Bergamo.
OVHcloud Milano AI Endpoints: servizi IA managed inclusi Mistral, Llama e altri modelli open-weight, ospitati in datacenter europei incluso Milano.
WIIT IA per regolamentati: offerte IA managed per banche e PA, framework normativo rinforzato.
Mistral on-premise su Aruba / OVHcloud / Seeweb: deployare il proprio Mistral via vLLM su istanze GPU sovrane. Massimo controllo. Vedere la nostra guida LLM locale in azienda.

L’argomento “ci vuole assolutamente AWS / Azure per fare IA nel 2026” non regge più. È un argomento di inerzia, non di capacità.

Per banche italiane, ospedali o pubblica amministrazione, la guida IA conforme GDPR ripercorre le aspettative DPIA e le indicazioni del Garante.

Migrare a un cloud sovrano: roadmap pragmatica

Fase 1 — Mappare l’esistente (2-4 settimane). Inventario dei carichi di lavoro, dei servizi gestiti utilizzati, delle dipendenze specifiche (DynamoDB, Lambda, Cosmos DB, ecc.). Senza questo inventario, impossibile dimensionare la migrazione.

Fase 2 — Segmentare per criticità e complessità (2 settimane). Tre lotti tipici:

Lotto 1: compute / storage / rete standard → migrazione diretta possibile
Lotto 2: servizi gestiti con equivalente sovrano → adattamento moderato
Lotto 3: servizi proprietari senza equivalente → riscrittura necessaria

Fase 3 — Migrare il lotto 1 (3-6 mesi). Approccio per ambiente (test → collaudo → produzione), con coesistenza hyperscaler + cloud sovrano durante la transizione.

Fase 4 — Adattare il lotto 2 (3-9 mesi secondo complessità). Migrazione dei database gestiti verso equivalenti sovrani. Adattamento degli strumenti di monitoring, di CI/CD.

Fase 5 — Riscrivere il lotto 3 (secondo priorità di business). Componenti che dipendono fortemente da servizi proprietari. Spesso, l’opportunità di un refactor architetturale più ampio.

Fase 6 — Disattivare le risorse hyperscaler residue. Verificare che nessuna dipendenza nascosta sussista prima di chiudere gli account (pianificare egress fees e termini contrattuali di preavviso).

Per un’organizzazione che vuole accelerare questa transizione senza expertise interna, DPLIANCE accompagna tramite le nostre soluzioni IA su misura sui livelli IA e dati.

Cosa rifiutiamo di promettere

Tre antipattern ricorrenti che evitiamo in DPLIANCE quando inquadriamo una strategia cloud sovrana.

“Spostiamo tutto su Aruba, fatto.” Falso per la maggior parte delle organizzazioni italiane. Le architetture fortemente dipendenti da servizi gestiti AWS proprietari (DynamoDB, Lambda, EventBridge) richiedono riscrittura, non una semplice migrazione. La buona segmentazione: lotto 1 (compute/storage standard) in migrazione diretta, lotto 2 (servizi gestiti con equivalente) in adattamento, lotto 3 (servizi proprietari) in riscrittura progressiva. Calcolare 12-24 mesi per un grande conto.

“Microsoft Cloud for Sovereignty è sovrano quanto Aruba o WIIT.” Discutibile. Microsoft Cloud for Sovereignty e AWS European Sovereign Cloud sono entità giuridiche europee che operano stack software statunitense. La sovranità giuridica stretta in senso GDPR Art. 44-48 e qualifica ACN QC3-QC4 resta contestata nel 2026. Per dati ultra-sensibili, Aruba, WIIT, Engineering, PSN o OVHcloud Milano restano le opzioni senza ambiguità.

“Il cloud sovrano costa 3 volte di più.” Falso per i servizi standard. Aruba, WIIT, OVHcloud Milano e Seeweb sono spesso competitivi o più economici degli hyperscaler su compute / storage / rete / GPU H100. Il sovrapprezzo si vede sui servizi gestiti esotici (DynamoDB, Cosmos DB, servizi ML molto specifici). La qualifica ACN QC3-QC4 costa di più (1,5x a 3x un cloud pubblico standard) — ma è un altro livello di esigenza.

DPLIANCE è editor di software. Quando progettiamo una soluzione IA su misura per un’organizzazione che migra al cloud sovrano, ci occupiamo dell’architettura IA (Mistral, on-premise o tramite partner certificato per sanità), dell’integrazione al sistema informativo target, della documentazione per la conformità.

FAQ

Cosa si intende per cloud sovrano nel contesto italiano?

Un cloud sovrano è un fornitore di infrastruttura cloud la cui giurisdizione legale, proprietà e operatività restano sotto controllo europeo o italiano, senza assoggettamento a leggi extraterritoriali. In Italia nel 2026: Aruba, WIIT, Engineering, Polo Strategico Nazionale, OVHcloud Milano, Seeweb.

Cos’è la Qualifica ACN e come si relaziona alla sovranità?

L’ACN ha definito quattro livelli di qualificazione cloud (QC1-QC4) per servizi destinati alla PA. QC3-QC4 coprono dati critici e strategici. La qualifica ACN integra requisiti di sicurezza e sovranità — è il riferimento italiano più vicino a SecNumCloud francese.

AWS Milano, Azure Italia o Google Cloud Milano possono essere sovrani?

Non strettamente. Avere una region a Milano non cambia la giurisdizione della casa madre statunitense. Le offerte sovereign degli hyperscaler tentano di aggirare il punto via entità europee dedicate — il Garante e ACN restano cauti.

Il cloud sovrano è davvero più caro?

Non quanto si crede. Aruba, WIIT, OVHcloud Milano e Seeweb propongono tariffe spesso comparabili o inferiori agli hyperscaler sui servizi standard.

Quale cloud sovrano scegliere per una PMI italiana?

Aruba per ampiezza, WIIT per banking e regolamentati, Engineering per servizi gestiti complessi, Seeweb per cloud-native PMI. Per PA: Polo Strategico Nazionale.

Un cloud sovrano può ospitare IA generativa?

Sì. Aruba e OVHcloud Milano offrono istanze GPU H100/H200 e AI Endpoints. Per casi sensibili, Mistral via vLLM su infrastruttura sovrana resta l’opzione più controllata. Vedere la nostra guida LLM locale in azienda.

Quanto tempo per migrare da AWS / Azure a un cloud sovrano?

Variabile. Per servizi standard: 3 a 9 mesi. Per architetture fortemente dipendenti da servizi gestiti proprietari: 6 a 18 mesi inclusa riscrittura.

Fonti: ACN qualifica cloud (acn.gov.it); Garante per la protezione dei dati personali — provvedimenti cloud (garanteprivacy.it); D.Lgs. 82/2005 (CAD); D.Lgs. 196/2003 e D.Lgs. 101/2018 (Codice Privacy); D.Lgs. 138/2024 (NIS2); DL 105/2019 (Perimetro di Sicurezza Nazionale Cibernetica); documentazione Aruba, WIIT, Engineering, PSN, OVHcloud, Seeweb; regolamento (UE) 2016/679 (GDPR); Cloud Act statunitense (Pub.L. 115-141); FISA Section 702; Strategia Italiana per la Cybersicurezza 2022-2026; PNRR Polo Strategico Nazionale.

Per inquadrare una migrazione a un cloud sovrano — scelta del fornitore, piano di migrazione, integrazione IA — vedere la nostra guida hosting dati in Europa, la nostra guida LLM locale in azienda, o contattateci tramite le nostre soluzioni IA su misura.