AWS ha lanciato il suo European Sovereign Cloud (ESC) a gennaio 2026, ed è una mossa significativa. A differenza delle regioni AWS standard che operano sotto un piano di controllo globale, ESC adotta un modello di "partizione indipendente". Ciò significa in pratica che ESC ha un proprio stack IAM e di fatturazione distinto e, cosa fondamentale, è gestito interamente da residenti UE. Questo livello di separazione operativa è progettato per affrontare le preoccupazioni relative alla giurisdizione non-UE sul piano di controllo, dando ai clienti una visione più chiara di chi può accedere e gestire le loro risorse.

L'approccio di Microsoft include concetti come i ruoli "Data Guardian" e le regioni Azure Local. Il "Data Guardian" è un ruolo affascinante: si tratta di personale basato in Europa che deve approvare fisicamente qualsiasi accesso remoto richiesto dagli ingegneri basati negli Stati Uniti per il supporto. Immaginate il processo: un ingegnere basato negli Stati Uniti deve risolvere un problema, ma invece dell'accesso diretto, un Data Guardian europeo agisce come un guardiano, garantendo l'adesione alle normative locali. Questo introduce un interruttore di circuito controllato dall'uomo per l'accesso transgiurisdizionale, che considero un forte passo verso la mitigazione della portata legale extraterritoriale.

Per coloro che cercano il massimo livello di isolamento, Google Distributed Cloud (GDC) nella sua modalità "Disconnected" o "Air-Gapped" rappresenta quello che considero lo standard aureo per la "Sovranità Tattica". Con GDC, è possibile distribuire un ambiente Google Cloud completo interamente on-premises, isolato dal cloud pubblico di Google. Nella sua configurazione air-gapped, questo cloud opera senza alcuna connessione a internet pubblico o al piano di controllo statunitense di Google. Ciò significa che aggiornamenti, patch e gestione devono essere gestiti localmente, spesso tramite supporti fisici. Si tratta di un significativo onere operativo, ma per ambienti con esigenze di sovranità estreme, come alcuni casi d'uso governativi o di infrastrutture critiche, taglia efficacemente il cordone ombelicale digitale dalle giurisdizioni non-UE.

Sebbene queste soluzioni hyperscaler offrano opzioni convincenti, la loro architettura sottostante li lega ancora intrinsecamente a un'entità globale. Questo mi porta a considerare alternative che siano giurisdizionalmente native fin dalle fondamenta.

OVHcloud, leader industriale con sede in Francia, ne è un esempio. La loro selezione per il progetto Digital Euro 2026 dice molto sulla fiducia che hanno costruito. Ciò che trovo particolarmente interessante di OVHcloud è il loro modello integrato: costruiscono i propri server, gestiscono i propri data center e sviluppano il proprio stack software. Questo fornisce una sovranità "dall'hardware all'hypervisor" che credo le aziende statunitensi, a causa della loro impronta operativa globale, non possano veramente eguagliare. Si tratta di possedere l'intera catena di fornitura, dal silicio all'API.

In Germania, T-Systems, una filiale di Deutsche Telekom, ha collaborato con Broadcom (VMware) per offrire uno "stack sovrano gestito". Questa iniziativa è particolarmente rivolta al Mittelstand tedesco (piccole e medie imprese) e al settore pubblico, fornendo un'esperienza di cloud privato basata su VMware che è completamente gestita e operata secondo la legge tedesca. È un interessante ibrido, che sfrutta la tecnologia di virtualizzazione matura ma la avvolge in un quadro operativo e legale sovrano.

La Francia ha visto l'emergere di entità "Trusted Cloud" come Bleu (una joint venture tra Orange e Capgemini) e S3NS (Thales). Questi fornitori operano su un modello in cui eseguono software di hyperscaler statunitensi (come Microsoft Azure o Google Cloud) ma su hardware che è di proprietà locale, gestito e fisicamente protetto all'interno della Francia, secondo la legge francese ed europea. L'idea è di eliminare la portata del "Cloud Act" delle società madri statunitensi garantendo che l'infrastruttura fisica e il controllo operativo siano interamente all'interno dell'UE. È un modo pragmatico per sfruttare le capacità degli hyperscaler affrontando al contempo le preoccupazioni sulla sovranità.

Infine, attori come IONOS e Orange Business sono contributori chiave di iniziative come GAIA-X. GAIA-X mira a costruire un'infrastruttura di dati europea federata, creando un ecosistema di servizi cloud e dati sicuri, affidabili e sovrani. Il loro focus è meno sulla sovranità di un singolo fornitore e più sulla creazione di una rete interconnessa in cui la sovranità dei dati è mantenuta attraverso standard comuni, interoperabilità e governance trasparente tra più entità europee. Si tratta di costruire la prossima generazione di infrastrutture digitali veramente europee.

Comprendere il panorama dei fornitori è una cosa, ma come facciamo, come architetti, a costruire effettivamente per questo livello di sovranità? Vediamo alcuni schemi tecnici concreti che ho trovato efficaci.

Uno dei modelli più potenti che ho implementato per la sovranità dei dati è la "cassetta di sicurezza crittografata" utilizzando la gestione delle chiavi esterne (EKM). Questo sposta il controllo finale sulle chiavi di crittografia dei dati al di fuori della diretta pertinenza del fornitore di cloud. Invece di utilizzare il Key Management System (KMS) nativo del fornitore di cloud, configuro i servizi per utilizzare una soluzione EKM in cui le chiavi sono detenute da un fornitore di Hardware Security Module (HSM) europeo di terze parti, come Thales o Entrust.

Questo modello significa che anche se il piano di controllo di un fornitore di cloud fosse compromesso, o se una giurisdizione non-UE emettesse una richiesta di dati, il fornitore di cloud avrebbe accesso solo a dati crittografati. Senza le chiavi esterne, che sono fisicamente e logicamente controllate da un'entità separata e giurisdizionalmente distinta, i dati rimangono illeggibili. Rende di fatto l'accesso del fornitore di cloud inutile per l'esfiltrazione dei dati.

Come ho menzionato in precedenza, la semplice selezione di una regione europea per i vostri dati non è sufficiente. L'isolamento del piano di controllo significa passare attivamente da distribuzioni "regionali" standard a distribuzioni di "partizione sovrana" più avanzate offerte dagli hyperscaler o, ancora meglio, ai modelli operativi completamente separati dei fornitori nativi regionali. Ciò implica garantire che le API, le console di gestione e i livelli di orchestrazione sottostanti siano tutti confinati all'interno dell'ambiente sovrano designato. Quando progetto sistemi, esamino meticolosamente i flussi di rete, gli endpoint API e i percorsi di accesso amministrativo per garantire che nessun traffico di gestione critico lasci inavvertitamente il confine sovrano.

Per la massima protezione dei dati, anche durante l'elaborazione, mi affido alla sovranità Zero-Trust abilitata dal Confidential Computing. Tecnologie come Intel SGX (Software Guard Extensions) e AMD SEV (Secure Encrypted Virtualization) consentono di crittografare i dati non solo a riposo e in transito, ma anche in memoria mentre vengono elaborati. Questo crea un "ambiente di esecuzione affidabile" (TEE) che protegge dati e codice anche dall'hypervisor o dal sistema operativo del fornitore di cloud stesso. Se lavoro con dati altamente sensibili, questo modello garantisce che né l'operatore del cloud né chiunque abbia accesso a livello di host possa "vedere" il carico di lavoro o i dati che sta elaborando. È un punto di svolta per le applicazioni critiche in cui anche un'esposizione temporanea di dati non crittografati è inaccettabile.