IA sovrana 2026: definizione, rischi e scelte concrete per le imprese italiane

Q: Quali iniziative italiane esistono per una IA realmente sovrana?

Tre iniziative strutturanti nel 2026. Modello Italia (iGenius, Milano): primo LLM italiano di grande scala addestrato sui supercalcolatori Cineca (Leonardo, Bologna), modello in italiano puro lanciato in versione 9B e 70B, partnership con NVIDIA. Almawave (Roma, gruppo Almaviva): editore italiano con modelli proprietari Velvet 14B, focalizzati su PA italiana e settori regolamentati, deployment in cloud sovrana italiana. iGenius e Almawave sono sostenuti dal Piano Italia per l'Intelligenza Artificiale e dagli investimenti AGID nei poli di calcolo nazionali. Mistral (Francia) è adottato massicciamente dalle imprese italiane (Eni, Enel, Intesa Sanpaolo, Generali, Leonardo) per la maturità B2B europea. La combinazione Mistral + Modello Italia/Velvet è oggi lo stack più solido per una sovranità reale con qualità produttiva sul mercato italiano.

Q: Serve una DPIA per usare Mistral o Modello Italia internamente?

Una DPIA (Valutazione d'Impatto sulla Protezione dei Dati, articolo 35 GDPR) è obbligatoria per trattamenti ad alto rischio — non per la semplice scelta dello strumento. Concretamente: se usate Mistral o Modello Italia per redigere email interne o per traduzione, nessuna DPIA obbligatoria (raccomandata comunque per la documentazione interna). Se la usate per scoring di candidati HR, valutazione di affidabilità creditizia, trattamento di dati sanitari identificativi o sorveglianza di dipendenti: DPIA obbligatoria. In Italia si aggiunge lo Statuto dei Lavoratori (legge 300/1970, articolo 4) che impone accordo sindacale o autorizzazione dell'Ispettorato del Lavoro per ogni strumento di controllo dell'attività dei dipendenti. Il criterio è l'uso e il tipo di dati, non il modello.

Q: Come verificare che un fornitore sia realmente europeo?

Quattro punti. Uno, sede legale e residenza fiscale dell'entità firmataria del contratto. Due, composizione del capitale — una filiale italiana di un gruppo statunitense rimane soggetta al Cloud Act tramite la casa madre, indipendentemente dall'iscrizione al registro imprese. Tre, localizzazione effettiva dei dati e dei server (da chiedere esplicitamente, non solo «UE»). Quattro, assenza di trasferimento di dati a una casa madre extra-UE per funzioni di supporto (amministrazione, monitoraggio, supporto tecnico di livello 2-3). Una sovranità giuridica reale esige tutti e quattro. Il Garante e l'ACN precisano questi punti nelle loro linee guida sui fornitori cloud.

Q: Qual è la differenza tra IA sovrana e IA on-premise?

IA sovrana è un termine ampio che copre ogni IA la cui catena end-to-end (modello, hosting, dati, controllo operativo) resta sotto giurisdizione europea o sotto controllo diretto dell'organizzazione. IA on-premise è una modalità di deployment specifica: l'IA gira sui server interni dell'organizzazione, nelle proprie sedi o nel proprio data center dedicato. Ogni IA on-premise è sovrana (per costruzione); non ogni IA sovrana è on-premise (Mistral Le Chat Enterprise su Scaleway o Modello Italia su Cineca/Cloud sovrana è sovrano ma non on-premise). On-premise apporta la sovranità massima; il cloud sovrano apporta un buon livello di sovranità con un costo operativo più basso.

Quick Answer: cos’è un’IA sovrana?

Un’IA sovrana è un’IA di cui mantenete il controllo end-to-end: il modello, il suo hosting, i dati che tratta. In chiaro: né i server, né il codice, né i vostri dati sono soggetti a una legge straniera che potrebbe, domani, esigerne la comunicazione — come permette negli Stati Uniti il Cloud Act, che obbliga ogni impresa statunitense a consegnare i dati che detiene, ovunque essi siano fisicamente archiviati.

Per un’organizzazione italiana nel 2026, un’IA realmente sovrana combina quattro mattoni:

Un modello europeo o aperto: Mistral (Francia), Modello Italia di iGenius (Milano, addestrato sui supercalcolatori Cineca a Bologna), Velvet di Almawave (Roma), Aleph Alpha Pharia (Germania), o un modello con parametri pubblici («open-weight») come Llama 3 o Qwen, distribuito in Europa.
Un hosting italiano o europeo: Aruba Cloud, TIM Enterprise/Noovle (joint venture TIM/Google ma con offerta sovrana certificata), Engineering, WIIT, Reevo, Cineca per la ricerca pubblica, Scaleway, OVHcloud — mai AWS, Azure o Google Cloud senza contratto blindato.
Funzionamento locale o su cloud sovrana quando i dati sono sensibili. «Locale» (on-premise) significa installato sui propri server, all’interno delle proprie sedi.
Una catena materiale documentata: sapere da dove vengono i chip (le GPU NVIDIA e la fabbricazione asiatica restano un punto duro condiviso da tutto il mercato mondiale).

La sovranità non è un’etichetta «made in Italy»: è un continuum. Si valuta ogni dimensione separatamente e si accetta che alcuni mattoni (per esempio la fabbricazione dei chip più avanzati) restino fuori dall’Europa per ragioni tecnologiche.

Perché l’IA sovrana è diventata un argomento da consiglio di amministrazione nel 2026

Per tre anni, la sovranità digitale è stata un argomento di marketing usato dagli attori europei per esistere di fronte agli hyperscaler. Nel 2026 è un tema di rischio iscritto all’ordine del giorno dei consigli di amministrazione e dei comitati rischi italiani — e la traiettoria delle ricerche lo testimonia: la query «IA sovrana» è quasi triplicata in volume su Google Italia tra gennaio 2025 e aprile 2026, spinta dai CIO del FTSE MIB, dai settori regolamentati (banche, telco, sanità) e dalla PA.

Tre rotture spiegano questa accelerazione.

Rottura 1 — Il Cloud Act statunitense non è mai stato così attivo. Il Clarifying Lawful Overseas Use of Data Act permette alle autorità statunitensi di esigere la comunicazione di dati detenuti da ogni impresa che ricade sotto il diritto USA, ovunque siano fisicamente archiviati questi dati. Tutte le filiali europee dei giganti del cloud statunitense («hyperscaler»: AWS, Azure, Google Cloud) ne sono soggette, indipendentemente dalla localizzazione dei server. Il Garante per la protezione dei dati personali e l’EDPB ricordano regolarmente che questa extraterritorialità crea un rischio di conflitto di leggi non risolto con il GDPR, ed è precisamente su questo punto che riposa la fragilità del Data Privacy Framework — l’accordo che dovrebbe inquadrare i trasferimenti UE-USA, successore del Privacy Shield invalidato nel 2020 dalla sentenza Schrems II della CGUE.

Rottura 2 — Il Regolamento europeo sull’IA è entrato in applicazione progressiva. Il Regolamento (UE) 2024/1689 impone obblighi di trasparenza, documentazione e governance che rendono inutilizzabile l’uso opaco di un modello ospitato fuori dall’UE per certi casi classificati ad alto rischio: HR, scoring, accesso al credito, biometria, infrastrutture critiche. Per questi casi d’uso, sapere chi ha addestrato il modello, su quali dati, con quali dipendenze diventa un obbligo legale, non un comfort. L’AGID e l’ACN (Agenzia per la Cybersicurezza Nazionale) hanno pubblicato nel 2025 le prime linee guida sul controllo della catena di fornitura IA per la PA italiana.

Rottura 3 — Il contesto geopolitico è basculato nel 2025. Il secondo mandato Trump e le tensioni transatlantiche hanno ricordato che l’accesso a un servizio cloud non è garantito contrattualmente contro una decisione esecutiva statunitense. Diversi CIO di grandi gruppi italiani (Eni, Enel, Intesa Sanpaolo, Generali, Leonardo, TIM, Ferrovie dello Stato, Poste Italiane) hanno dichiarato pubblicamente di accelerare la loro strategia di portabilità — la capacità di trasferire rapidamente i loro servizi da un fornitore a un altro, con un’esigenza rafforzata di soluzione di ripiego («fallback») ospitata esclusivamente in Europa. Il Piano Italia per l’Intelligenza Artificiale 2024-2026 ha rafforzato gli investimenti pubblici nelle alternative sovrane, in particolare attraverso il consorzio Cineca, AGID e i fondi del PNRR dedicati.

Risultato: la domanda non è più bisogna andare verso un’IA sovrana? ma quale dimensione della sovranità prioritarizzate per prima, vista la vostra esposizione al rischio?

Le 5 dimensioni della sovranità IA

La parola «sovrano» è abusata. Per valutare una soluzione IA, scomponiamo la sovranità in cinque assi — ognuno con il proprio livello di criticità a seconda del caso d’uso.

1. Il modello

Chi l’ha addestrato, su quali dati, con quale licenza? Un modello realmente sovrano è:

Open-weight — ovvero con parametri pubblicati, alla maniera di una ricetta di cucina resa pubblica: si conoscono tutti gli ingredienti, senza per questo garantire la libera commercializzazione (Mistral, Llama, Qwen, DeepSeek, Modello Italia di iGenius). Ciò permette l’audit, l’adattamento alle esigenze di business («fine-tuning») e l’installazione sui propri server («on-premise»);
O proprietario ma europeo con impegno contrattuale sulla giurisdizione (Mistral Enterprise, Aleph Alpha Pharia, Almawave Velvet).

Un modello commerciale chiuso ospitato esclusivamente da un fornitore soggetto al Cloud Act non è sovrano, anche se è tecnicamente eccellente.

2. L’hosting

Il server di inferenza e archiviazione deve essere:

Su un cloud europeo senza capitale extra-europeo maggioritario (Aruba Cloud, WIIT, Engineering, Reevo, TIM Enterprise/Noovle in offerta sovrana certificata, Scaleway, OVHcloud, Outscale);
O su server interni sotto controllo diretto dell’organizzazione;
O su un cloud qualificato ACN (ex AGID) per le PA italiane, QC1/QC2 per i dati classificati, o equivalente francese SecNumCloud / tedesco BSI-C5, per i settori regolamentati: sanità, operatori di servizi essenziali NIS2, dati classificati.

Attenzione alle offerte «Sovereign Cloud» degli hyperscaler (Microsoft EU Data Boundary, AWS European Sovereign Cloud, Google Sovereign Cloud): la sovranità giuridica resta fragile dal momento in cui la casa madre dipende dal diritto statunitense. Il Garante ha pubblicato nel 2024 una posizione critica sull’insufficienza dell’isolamento contrattuale di queste offerte.

3. I dati di addestramento e di fine-tuning

È il punto più spesso trascurato. Tre sotto-domande:

Dati usati per addestrare il modello iniziale: sono noti? sono leciti? un modello addestrato su dati protetti da diritto d’autore senza accordo crea un rischio giuridico per l’utilizzatore a valle (cf. i contenziosi NYT v. OpenAI, Bartz v. Anthropic; in Italia il Garante ha condotto indagini su OpenAI nel 2023 con prima sospensione temporanea, poi sanzione di 15 milioni di euro nel dicembre 2024).
Dati inviati al modello in uso: se interrogate un grande modello linguistico con dati di clienti, questi dati lasciano il vostro perimetro? Sono usati per ri-addestrare?
Dati di fine-tuning: se adattate un modello («fine-tuning» = ri-addestramento mirato sui vostri esempi di business), dove sono archiviati i dati di addestramento e il modello così specializzato?

4. Il controllo operativo

Sovranità = capacità di continuare a operare se il fornitore scompare, cambia politica tariffaria o viene tagliato dalla sua giurisdizione di origine. Concretamente:

Avete una copia locale dei pesi del modello?
Potete ridistribuire presso un altro fornitore in meno di 30 giorni?
Esiste una procedura di reversibilità contrattuale?

Senza questo controllo, la sovranità giuridica è teorica.

5. La catena materiale

Il punto più duro — e quello sul quale l’Europa è strutturalmente dipendente. Le GPU NVIDIA dominano l’addestramento ad alte prestazioni; la macchina che incide i chip più avanzati (litografia EUV) è un quasi-monopolio dell’olandese ASML; la fabbricazione dei chip più sofisticati passa principalmente da TSMC (Taiwan). Per la maggior parte dei casi d’uso, oggi non si può eliminare questa dipendenza — la si può invece documentare e privilegiare architetture alternative (chip AMD, processori ARM, o inferenza su CPU classica per i piccoli modelli) che riducono l’esposizione. L’Italia partecipa al progetto europeo EuroHPC con il supercalcolatore Leonardo (Cineca, Bologna), uno dei più potenti d’Europa, che offre una capacità di calcolo sovrana significativa, utilizzata in particolare per addestrare Modello Italia.

Tabella riassuntiva delle 5 dimensioni

Dimensione	Domanda chiave	Livello sovrano
Modello	Chi lo addestra, su cosa?	Open-weight o proprietario UE
Hosting	Dove girano i server? Sotto quale giurisdizione?	Aruba / WIIT / Cineca / on-prem / qualificato ACN
Dati	Escono dal perimetro?	Nessun addestramento, nessun trasferimento extra-UE
Controllo operativo	Reversibilità in 30 giorni?	Procedura documentata + pesi accessibili
Catena materiale	Origine dei chip?	NVIDIA maggioritaria — non eliminabile

Cartografia degli attori: chi è realmente sovrano in Italia nel 2026?

Il panorama italiano ed europeo dei grandi modelli linguistici (LLM) si è densificato. Una lettura onesta dei principali attori per il mercato italiano.

Attore	Origine	Sovranità	Maturità B2B	Caso d’uso prioritario
Mistral AI	Francia	✅ molto forte (4/5)	✅ alta	Ogni organizzazione italiana B2B
Modello Italia (iGenius)	Italia (Milano + Cineca Bologna)	✅ molto forte	🟡 emergente, in rapida crescita	Sovranità italiana stretta, PA, settori strategici
Almawave Velvet	Italia (Roma, gruppo Almaviva)	✅ molto forte	🟡 PA italiana, settori regolamentati	Pubblica amministrazione, sanità, banche italiane
Aleph Alpha Pharia	Germania	✅ forte	🟡 PA tedesca	Difesa, settore pubblico transfrontaliero
Lucie / Albert (DINUM)	Francia (consorzio + Stato)	✅ forte	🟡 PA francese	Settore pubblico francofono
Llama 3 / Qwen su Aruba/Scaleway	US/CN, deploy UE	🟡 ibrido	✅ alta	Open-weight + UE fisica
OpenAI / Anthropic / Google	USA	❌	✅ molto alta	Da evitare per uso sovrano

Mistral AI (Francia) è il campione europeo adottato massicciamente dalle imprese italiane (Eni, Enel, Intesa Sanpaolo, Generali, Leonardo, Pirelli, Luxottica). Modelli open-weight (Mistral Small 3, Codestral, Mixtral) e proprietari (Mistral Large, Le Chat Enterprise). Hosting Scaleway, possibilità di deployment on-premise per i grandi gruppi. Migliore equilibrio maturità/sovranità per la maggior parte degli usi B2B italiani. Partnership di integrazione con Almaviva, Engineering, Accenture Italia.

Modello Italia (iGenius, Milano) — primo LLM italiano di grande scala, lanciato nel 2024-2025 da iGenius (start-up milanese di Uljan Sharka) in partnership con NVIDIA, Cineca e con il sostegno del Ministero delle Imprese e del Made in Italy. Addestrato sul supercalcolatore Leonardo (Cineca, Bologna), uno dei più potenti d’Europa. Versioni 9B e 70B disponibili. Modello in italiano puro, ottimizzato per le specificità linguistiche italiane (gergo amministrativo, terminologia giuridica, dialetti). Maturità produttiva crescente; ideale per la PA, i settori strategici (Difesa, Energia, Finanza) e le organizzazioni che vogliono sovranità italiana stretta.

Almawave Velvet (Roma, gruppo Almaviva) — editore italiano storico del cloud sovrano e del software pubblico, ha lanciato la famiglia di modelli Velvet (14B principalmente) focalizzati su PA italiana, sanità, banche e telco. Velvet è disponibile in modalità API con hosting in Italia, qualificato ACN, e in deployment dedicato per PA. Forte specializzazione settoriale italiana, integrazione nativa con i sistemi della PA (SPID, PagoPA, Fascicolo Sanitario Elettronico).

Aleph Alpha Pharia (Germania) — riferimento europeo non italiano, pertinente quando un’organizzazione cerca un fornitore europeo distinto dall’asse francese Mistral o italiano iGenius/Almawave, in particolare per casi di Difesa o settore pubblico transfrontaliero.

Modelli open-weight extra-UE distribuiti su infrastruttura europea: Llama 3 (Meta), Qwen (Alibaba), DeepSeek (Cina). Open-weight = li si può distribuire presso Aruba, WIIT, Scaleway, ma il loro addestramento iniziale resta extra-europeo. Sovranità ibrida, da valutare caso per caso secondo il rischio geopolitico percepito. L’ACN ha emesso nel 2025 un avviso di prudenza sull’uso di modelli cinesi in contesti sensibili.

Attori da evitare per uso sovrano B2B europeo: OpenAI (sanzionata 15 milioni di euro dal Garante nel dicembre 2024 per violazioni multiple), Anthropic Claude e Google Gemini in modalità SaaS standard, Microsoft Copilot strutturalmente legato ad Azure e OpenAI — la «EU Data Boundary» non basta secondo il Garante.

Quanto costa realmente un’IA sovrana?

L’argomento «ChatGPT Enterprise è meno caro» è ingannevole non appena si integra il costo totale di possesso. Confronto su un caso tipico: impresa italiana di 200 collaboratori, uso IA conversazionale generalizzato + alcuni casi d’uso di business.

Voce	ChatGPT Enterprise	Mistral Le Chat Enterprise (Scaleway/Aruba)	Modello Italia (Cineca/Aruba)	Almawave Velvet	Mistral on-premise
Licenza per utente	~55 €/mese	~15-25 €/mese	Open-weight, senza licenza	Su contratto (PA tariffa convenzionata)	Costo materiale + licenza forfettaria
Hosting	Incluso (US / Azure)	Incluso (FR/IT)	~3-8 k€/mese (Aruba GPU)	Incluso (Italia, qualificato ACN)	Infrastruttura interna, ~25-60 k€ iniziali
Conformità GDPR / IA Act	Configurazione manuale, dipendenza DPF	Nativa	Nativa, controllo totale	Nativa + ACN	Nativa, controllo totale
Rischio DPF / Cloud Act	Alto	Nullo	Nullo	Nullo	Nullo
Reversibilità	Debole (lock-in)	Media (pesi accessibili via Mistral)	Totale (open-weight)	Buona (contratto italiano)	Totale
Totale a 3 anni (200 utenti)	~390 k€ + rischio giuridico	~110-170 k€	~120-200 k€	~140-220 k€	~170-280 k€ ammortizzati

Per la maggior parte degli usi B2B italiani, Mistral Le Chat Enterprise su cloud sovrana resta il miglior compromesso costo / sovranità nel 2026. Modello Italia distribuito su Cineca o Aruba è particolarmente pertinente per le PA, i settori strategici e le organizzazioni che priorizzano la sovranità italiana stretta. Almawave Velvet si impone naturalmente nelle gare PA italiane grazie all’integrazione nativa con SPID, PagoPA e Fascicolo Sanitario Elettronico. L’on-premise si giustifica per organizzazioni con esigenza regolatoria stretta (sanità con FSE, banche sotto Banca d’Italia, Difesa, infrastrutture critiche) o con un volume d’uso molto elevato.

Più ampiamente, l’argomento economico è raramente il fattore decisivo: un rischio DPF che si materializzi (Schrems III, per esempio) impone una migrazione d’urgenza il cui costo nascosto — riscrittura di prompt, ri-addestramento di fine-tuning, formazione delle squadre — supera rapidamente diversi anni di licenze cloud sovrana. Anticipazione = risparmio.

Roadmap: passare a un’IA sovrana in impresa

La transizione si fa per tappe. Una roadmap pragmatica in quattro tappe.

Tappa 1 — Cartografare gli usi IA attuali. Censire gli strumenti usati (ufficialmente e in shadow IT), i dati che trattano, la loro classificazione di sensibilità. La maggior parte delle organizzazioni italiane scopre in questa tappa che ChatGPT, Copilot e Claude girano già su dati di clienti senza inquadramento. Uno studio Anitec-Assinform 2025 stima che il 73 % delle imprese italiane ha almeno un uso di IA generativa non autorizzato, con il primo posto dei rischi citati nei comitati di Direzione.

Tappa 2 — Segmentare per criticità. Tre livelli tipici:

Livello 1 — dati non sensibili (redazione marketing, traduzione pubblica): tolleranza per gli strumenti statunitensi in modalità SaaS, ma con clausole contrattuali solide (Contratto di Trattamento art. 28 GDPR).
Livello 2 — dati di business (note interne, documenti HR non nominativi): passaggio a un modello europeo in modalità SaaS (Mistral Le Chat, Modello Italia, Velvet) raccomandato.
Livello 3 — dati personali, sanitari, segreto professionale, dati strategici: installazione locale («on-premise») o cloud qualificato ACN obbligatoria. Per i dati sanitari, conformità FSE imposta.

Tappa 3 — Scegliere una combinazione di strumenti per livello. Per il livello 2, Mistral Le Chat Enterprise o Modello Italia coprono l’80 % dei bisogni conversazionali. Per il livello 3, l’associazione di un Mistral o Modello Italia installato localmente, di uno strumento di trascrizione audio (Whisper, il modello libero di OpenAI installabile su server interno) e di un meccanismo RAG (Retrieval-Augmented Generation: tecnica che permette all’IA di andare a cercare la risposta nella propria documentazione invece di inventarla) diventa lo standard.

Tappa 4 — Governance e formazione. Una policy d’uso IA, la documentazione delle valutazioni d’impatto (DPIA) per gli usi di livello 3, e la formazione delle squadre alla redazione di istruzioni efficaci e al rilevamento delle allucinazioni. Senza questi mattoni, l’infrastruttura più sovrana resta esposta all’errore umano. L’articolo 4 del Regolamento europeo sull’IA esige da febbraio 2025 un «livello sufficiente di alfabetizzazione IA» dei dipendenti. In Italia, lo Statuto dei Lavoratori (legge 300/1970) impone inoltre l’accordo sindacale per ogni strumento di sorveglianza dell’attività dei dipendenti.

Schema della roadmap

[Tappa 1] Cartografare ──► usi reali (ufficiali + shadow IT)
       │
       ▼
[Tappa 2] Segmentare ──► Livello 1 / Livello 2 / Livello 3 secondo sensibilità
       │
       ▼
[Tappa 3] Scegliere strumenti per livello ──► matching strumento ↔ livello di rischio
       │
       ▼
[Tappa 4] Governare ──► policy + DPIA + formazione + monitoraggio continuo
       │
       ▼
[Evoluzione] revisione annuale, ampliamento dei casi d'uso

Ciò che rifiutiamo di promettere

Tre antipattern ricorrenti che evitiamo in DPLIANCE quando lavoriamo con un’organizzazione cliente italiana sul suo stack IA.

«Sovranità = made in Italy, punto.» Falso. La sovranità è un continuum su cinque dimensioni. Un’etichetta nazionale non basta: occorre verificare sede legale, capitale, hosting reale, accesso ai pesi del modello, dipendenza materiale. Inversamente, un modello open-weight statunitense (Llama 3) distribuito presso Aruba o WIIT può essere più sovrano di un modello «italiano» il cui hosting realmente operativo sia negli Stati Uniti.

«Finché il DPF tiene, ChatGPT resta utilizzabile.» Vero a breve termine. Rischioso a medio termine. I due framework precedenti (Safe Harbor, Privacy Shield) sono stati invalidati. Costruire uno stack IA scommettendo che il DPF terrà dieci anni significa accettare un rischio di migrazione d’urgenza il cui costo nascosto supera spesso quello che si è risparmiato scegliendo il fornitore statunitense.

«Passeremo al 100 % on-premise per essere 100 % sovrani.» Spesso inutile e costoso. La maggioranza delle organizzazioni italiane non ha bisogno di on-premise su tutti i loro casi d’uso. Il buon design è multi-livello: cloud sovrana (Mistral, Modello Italia, Velvet) per la maggior parte degli usi di business, on-premise per i casi sensibili, fornitore statunitense per i rari casi non sensibili dove l’ecosistema specifico apporta valore. Spingere tutto in on-premise significa pagare caro per un beneficio marginale sugli usi non sensibili.

DPLIANCE è un editore di software. Quando concepiamo una soluzione IA su misura, architettiamo sulla combinazione sovrana adattata al vostro livello di rischio — Mistral La Plateforme, Mistral on-premise, Modello Italia distribuito su Aruba o Cineca, Almawave Velvet per la PA italiana, o un altro fornitore sovrano europeo a seconda del caso. I nostri server e quelli delle soluzioni dei nostri clienti sono ospitati in Europa, su Scaleway France con opzioni di deployment Aruba/WIIT per le esigenze italiane specifiche.

FAQ

Open-weight, open-source, proprietario — cosa cambia per la sovranità?

Open-source: codice e pesi liberamente riutilizzabili, modificabili, ridistribuibili. Open-weight: pesi pubblicati ma senza garanzia completa sulle condizioni di riuso commerciale. Proprietario: scatola nera, accessibile unicamente via l’API del fornitore. Per la sovranità, l’open-weight è sufficiente fintanto che le condizioni di licenza permettono il deployment on-premise e il fine-tuning interno.

Quali iniziative italiane esistono per una IA realmente sovrana?

Tre iniziative strutturanti nel 2026: Modello Italia (iGenius, Milano + Cineca Bologna) primo LLM italiano di grande scala; Almawave Velvet (Roma, gruppo Almaviva) focalizzato su PA italiana; Mistral (Francia) adottato massicciamente. La combinazione Mistral + Modello Italia/Velvet è oggi lo stack più solido per sovranità reale con qualità produttiva.

Il Data Privacy Framework risolve il problema?

No. Il DPF (luglio 2023) rende tecnicamente leciti i trasferimenti UE-USA ma resta contestato giuridicamente. La CGUE ha già invalidato due framework simili (Safe Harbor 2015, Privacy Shield 2020). Il DPF presenta le stesse debolezze strutturali: extraterritorialità del diritto statunitense (Cloud Act, FISA sezione 702), assenza di ricorso effettivo. Il Garante ha mantenuto nel 2024-2025 una posizione critica sul DPF.

Serve una DPIA per usare Mistral o Modello Italia internamente?

Una DPIA è obbligatoria per trattamenti ad alto rischio secondo l’articolo 35 GDPR — non per la semplice scelta dello strumento. Redazione di email interne: nessuna DPIA obbligatoria. Scoring HR, valutazione creditizia, dati sanitari identificativi, sorveglianza dei dipendenti: DPIA obbligatoria. In Italia si aggiunge lo Statuto dei Lavoratori (articolo 4) che impone accordo sindacale per ogni strumento di controllo. Vedi la nostra guida DPIA per progetto IA.

AGID e qualificazione cloud sono obbligatorie?

Per la maggior parte delle organizzazioni B2B private, no. La qualificazione ACN (ex AGID) è richiesta per le PA, gli operatori di servizi essenziali NIS2 e i settori regolamentati. Per commercio, industria o servizi, una cloud europea senza qualificazione ACN è in linea generale sufficiente con un Contratto di Trattamento solido e un transfer impact assessment documentato. Per dati classificati, qualificazione QC1/QC2 ACN obbligatoria.

Come verificare che un fornitore sia realmente europeo?

Quattro punti: sede legale e residenza fiscale, composizione del capitale (una filiale italiana di un gruppo statunitense rimane soggetta al Cloud Act tramite la casa madre), localizzazione effettiva dei dati, assenza di trasferimento di dati a una casa madre extra-UE per funzioni di supporto. Una sovranità giuridica reale esige tutti e quattro.

Qual è la differenza tra IA sovrana e IA on-premise?

IA sovrana copre ogni IA la cui catena end-to-end resta sotto giurisdizione europea o sotto controllo diretto dell’organizzazione. IA on-premise è una modalità di deployment specifica: l’IA gira sui server interni. On-premise apporta sovranità massima; il cloud sovrano apporta un buon livello di sovranità con un costo operativo più basso.

Il Cloud Act può davvero toccare la mia impresa?

Sì, dal momento in cui un dato personale europeo si trova presso un fornitore soggetto al diritto statunitense. La probabilità per un’impresa italiana media è bassa nel 2026, ma non nulla. Per le PA, gli operatori di servizi essenziali NIS2, le imprese strategiche (Difesa, Energia, Finanza, Telco), i segreti industriali e le negoziazioni commerciali sensibili, il rischio diventa operativo.

Fonti: Regolamento (UE) 2024/1689 sull’Intelligenza Artificiale (AI Act); Garante per la protezione dei dati personali, provvedimenti su IA e GDPR (gpdp.it); ACN, linee guida cloud e IA 2025 (acn.gov.it); AGID, Piano triennale per l’informatica nella PA; Commissione europea, decisione di adeguatezza Data Privacy Framework, 10 luglio 2023; CGUE, sentenza Schrems II, 16 luglio 2020 (C-311/18); iGenius, documentazione Modello Italia (igenius.ai); Almawave, documentazione Velvet (almawave.com); Mistral AI, documentazione Le Chat Enterprise (mistral.ai); Piano Italia per l’Intelligenza Artificiale 2024-2026; Anitec-Assinform, studio uso IA generativa nelle imprese italiane 2025; Cineca, supercalcolatore Leonardo (cineca.it).

Per inquadrare una strategia IA sovrana nella vostra organizzazione — diagnosi d’uso, scelta di architettura multi-livello, scelta di modello, integrazione al SI, conformità — vedi il nostro confronto Mistral vs ChatGPT, la nostra guida LLM locale in impresa, la nostra guida IA e GDPR, o contattateci tramite le nostre soluzioni IA su misura.