Il 15 gennaio 2026 la sovranità digitale entra definitivamente nell’agenda dei grandi player del cloud: nello stesso giorno in cui AWS annuncia la nascita della European Sovereign Cloud, IBM presenta IBM Sovereign Core, una nuova software foundation pensata per rispondere all’esigenza crescente di ambienti “sovrani” pronti per l’intelligenza artificiale. La contemporaneità dei due annunci è significativa ma non deve confondere il quadro: mentre AWS tende a rendere la sovranità una proprietà dell’infrastruttura regionale, IBM la definisce come una caratteristica intrinseca dello strato software e del modello operativo che governa ambienti, controlli e workload.
IBM parte da un assunto che, nelle organizzazioni europee, è ormai diventato operativo: la sovranità digitale non coincide con la semplice localizzazione dei dati. La sovranità, chiarisce l’azienda, riguarda innanzitutto chi controlla l’ambiente tecnologico, come avvengono accesso e governo dei dati, dove vengono eseguiti i carichi di lavoro e sotto quali giurisdizioni funzionano i modelli di AI. È un passaggio tutt’altro che teorico: l’intelligenza artificiale amplifica le fragilità di un approccio “data residency only”, perché sposta valore e rischio verso inferenza, agenti e automazione, imponendo un’attenzione nuova su controllo operativo e governance auditabile.
Priya Srinivasan, General Manager di IBM Software Products, inquadra così il contesto: “Le aziende stanno affrontando una crescente pressione per innovare, rispettando allo stesso tempo requisiti normativi sempre più stringenti e riconoscendo l’importanza di controllare come avviene l’accesso e l’utilizzo dei dati sensibili e dei carichi di lavoro di intelligenza artificiale”. E aggiunge: “Questo cambiamento sta creando un’urgente necessità di soluzioni sovrane che forniscano ambienti pronti per l’AI. Con il IBM Sovereign Core, stiamo aiutando i clienti a muoversi più velocemente e con fiducia, combinando apertura, conformità e autonomia operativa per soddisfare le esigenze dell’era dell’AI, senza sacrificare alcun requisito di sovranità”.
Sovranità “embedded”: perché IBM parla di software foundation e non di perimetri
IBM Sovereign Core viene presentato come una software foundation sovrana e AI-ready, progettata per consentire a imprese, governi e service provider di creare, distribuire e gestire workload cloud e di intelligenza artificiale sotto la propria autorità, all’interno di una singola giurisdizione. Il punto centrale, nella narrativa IBM, è l’impostazione: invece di aggiungere controlli sovrani “a posteriori” su architetture già esistenti, Sovereign Core punta a rendere la sovranità una proprietà del software stesso, con flessibilità su hardware e infrastruttura e un impianto basato su tecnologie Red Hat open source.
Questa scelta porta con sé un messaggio preciso verso CIO e responsabili della compliance: la sovranità digitale non può più essere trattata come un vincolo “di contorno”, gestito con eccezioni e stratificazioni, ma deve diventare parte delle regole strutturali con cui si governano identità, accessi, operation e – sempre più – l’esecuzione dei modelli di intelligenza artificiale.
Le cinque direttrici operative: cosa significa “sovranità” per IBM
La prima direttrice è quella che, in un ambiente cloud moderno, determina davvero chi governa la piattaforma: il control plane. IBM dichiara che Sovereign Core prevede un control plane operato dal cliente, cioè un modello in cui l’organizzazione mantiene un controllo operativo diretto su operazioni software, decisioni di rilascio e configurazioni del sistema, senza intermediazione del fornitore.
Questo passaggio è rilevante perché sposta la sovranità dal piano della “garanzia dichiarata” al piano dell’autonomia operativa. Il controllo sul control plane significa poter stabilire quando e come introdurre cambiamenti, come gestire l’evoluzione della piattaforma e, soprattutto, come affrontare gli scenari di rischio: dall’incident response fino alla gestione di patch e configurazioni che possono avere impatti immediati su sicurezza e continuità di servizio. È anche uno dei punti che differenziano più chiaramente l’impostazione IBM da una sovranità costruita primariamente tramite confinamento geografico: qui la sovranità coincide con il fatto che l’organizzazione diventa l’operatore effettivo della piattaforma, e può dimostrarlo.
Identità e chiavi: dove si decide l’autorità reale
La seconda direttrice riguarda ciò che, più di qualunque altro elemento, determina l’autorità effettiva su un ambiente digitale: identità e crittografia. IBM afferma che autenticazioni, autorizzazioni, chiavi crittografiche e gestione degli accessi rimangono entro i confini della giurisdizione e sotto controllo del cliente.
È un punto cruciale perché la localizzazione dei dati, da sola, può diventare un requisito fragile se i meccanismi che assegnano privilegi e rendono accessibile l’informazione cifrata risiedono fuori dal perimetro sovrano. In pratica, è su IAM e key management che si decide chi può entrare, chi può elevare diritti, chi può leggere e chi può intervenire, e l’AI porta questo tema ancora più in profondità: i flussi di inferenza e le pipeline di integrazione tra modelli e fonti informative dipendono da segreti applicativi, token e autorizzazioni granulari. Rendere sovrani identità e chiavi significa impedire che il livello più “potente” dell’intera architettura venga esercitato altrove, anche solo in forma indiretta.
Conformità continua: la prova permanente al posto degli audit episodici
La terza direttrice è quella che rende l’annuncio IBM particolarmente orientato ai settori regolati: assicurazione continua della conformità ed evidenze prodotte e conservate nel tempo. IBM dichiara che dati operativi completi, telemetria e tracce di audit vengono generati, memorizzati e gestiti interamente entro il confine sovrano, includendo anche le identità automatizzate.
Qui la parola chiave è “continua”. In un cloud contemporaneo le piattaforme cambiano in modo dinamico e costante: container e orchestrazione spostano workload, le pipeline CI/CD generano release frequenti, le policy vengono applicate e ricalcolate, le automazioni intervengono per correggere posture e configurazioni. Una conformità verificata a intervalli rischia di fotografare un sistema che non esiste più dopo poche ore. IBM prova invece a spostare la compliance verso un modello di prova permanente: non soltanto dimostrare che l’ambiente è conforme, ma dimostrare che lo resta mentre evolve. Il riferimento alle identità automatizzate intercetta un punto spesso trascurato: una parte crescente delle azioni non è compiuta da utenti umani, ma da servizi, pipeline e orchestratori. Se questi “attori non umani” non sono tracciati e governati come soggetti di audit e responsabilità, la sovranità diventa incompleta proprio dove oggi si produce la maggior parte dell’operatività.
Inferenza AI governata: portare l’AI in produzione senza perdere il controllo
La quarta direttrice è il cuore dell’annuncio IBM nell’era dell’intelligenza artificiale: inferenza AI governata. IBM afferma che deployment e hosting dei modelli, cluster di GPU locali, esecuzione locale dell’inferenza e operazioni degli agenti AI avvengono sotto governance locale, con tracciabilità completa e supervisione, senza esportare dati verso fornitori esterni.
È un passaggio che intercetta il punto di frizione tra sperimentazione e produzione. Finché l’AI resta un laboratorio, molte organizzazioni accettano compromessi; quando invece l’AI entra nei flussi core, la priorità diventa poter rispondere a domande molto concrete su dove avviene l’elaborazione, chi governa il modello, come si gestiscono versioni e accessi, e come si dimostra la catena di controllo che lega dati, inferenza e output. IBM prova a rendere sovrana non soltanto la posizione del dato, ma la fase che genera valore e rischio: l’inferenza, e soprattutto le operazioni degli agenti AI, cioè sistemi che non si limitano a produrre output ma possono anche agire direttamente sui processi. È qui che la sovranità diventa un requisito operativo: senza tracciabilità e supervisione locali, l’AI “scalabile” può trasformarsi rapidamente in AI “opaca”.
Implementazione e scala: la sovranità deve essere sostenibile
La quinta direttrice è meno ideologica ma decisiva: facilità di implementazione e capacità di rendere la sovranità scalabile fin dal primo giorno del control plane, con libertà di scelta su hardware e infrastruttura.
Il punto è che la sovranità digitale ha un costo di complessità. Se ogni ambiente deve essere costruito integrando componenti eterogenei, verificando controlli e producendo documentazione di audit “a mano”, i tempi diventano incompatibili con l’urgenza di portare modernizzazione e AI nella realtà operativa. IBM prova a posizionare Sovereign Core come un acceleratore: ridurre il lavoro di composizione e validazione, rendere replicabile il modello e consentire a clienti e provider di concentrarsi sulla configurazione per casi d’uso reali, invece che sulla costruzione della piattaforma. È anche il senso delle partnership citate nel rollout europeo, con Cegeka e Computacenter, che puntano a offrire servizi sovrani localmente governati con tempi più brevi rispetto agli approcci “costruiti da zero”.
Sovranità verificabile: il passaggio da “fidarsi” a “dimostrare”
Il filo che unisce le cinque direttrici è un concetto che IBM mette al centro: la sovranità deve essere verificabile. Sanjeev Mohan, analista e consulente specializzato in data architecture, analytics e AI (già vicepresidente in Gartner e oggi alla guida della società di advisory SanjMo), sottolinea che la vera sfida dell’AI sovrana non è solo dove risiedono i dati, ma chi controlla il sistema e può dimostrarlo ai regolatori: “Il dibattito sull’intelligenza artificiale sovrana si è concentrato sulla localizzazione dei dati, ma questa è solo una parte dell’equazione”. Il nodo più complesso, aggiunge, è proprio la dimostrabilità del controllo: “IBM Sovereign Core affronta la questione più difficile: chi controlla il sistema e può dimostrarlo alle autorità di regolamentazione?”. E spiega perché, con l’AI che entra nei processi reali, questo requisito diventa inevitabile: “Con l’introduzione dell’intelligenza artificiale nella produzione, questo tipo di responsabilità diventa non negoziabile”.
Erik Fish, Direttore di Geotecnologia di Eurasia Group, aggiunge la prospettiva macro: “L’intelligenza artificiale sta accelerando il passaggio delle questioni di sovranità dalla teoria alle operazioni quotidiane”. Fish evidenzia come la sovranità sia ormai un punto di incontro tra geopolitica e compliance: “Con la crescente convergenza tra geopolitica, regolamentazione e governance dei dati, governi e imprese devono muoversi dimostrando un chiaro controllo sui dati e sulle infrastrutture critiche”. E sposta l’asse del problema: “La sfida non è più trovare un compromesso tra apertura e sovranità, ma governare dati, accessi e infrastrutture in un contesto di crescenti vincoli normativi e geopolitici”.
Partner e roadmap: Europa primo banco di prova
IBM collega Sovereign Core a un modello di adozione che passa anche da service provider locali: viene indicato un primo rollout in Europa con Cegeka in Belgio e Paesi Bassi e Computacenter in Germania, con l’obiettivo di abilitare servizi sovrani differenziati per organizzazioni che stanno già gestendo o si preparano a gestire workload AI su scala. In questo contesto Cegeka sottolinea la pressione crescente sul fronte regolatorio e la domanda di soluzioni “confinabili” su base nazionale: “Mentre le organizzazioni affrontano requisiti normativi e di conformità sempre più complessi, stiamo assistendo a una forte domanda di piattaforme digitali e software che consentano ai dati sensibili di rimanere entro limiti controllati e conformi”, afferma Gaetan Willems, VP Cloud & Digital Platforms di Cegeka. “Collaborare con IBM per offrire una soluzione preconfigurata attraverso il nostro ambiente locale ci consente di fornire software pronto all’uso ai nostri clienti, permettendo loro di rispettare gli standard di conformità locali”.
Sul piano temporale, IBM indica una preview tecnica a partire da febbraio 2026, seguita da disponibilità generale prevista per la metà del 2026, con ulteriori funzionalità introdotte al momento della GA.
IBM Sovereign Core mira a trasformare la sovranità digitale da vincolo a piattaforma operativa: governance del control plane, identità e chiavi entro giurisdizione, evidenze continue di conformità, inferenza AI sotto controllo locale e scalabilità dell’implementazione diventano le leve per un’adozione dell’intelligenza artificiale compatibile con auditabilità e responsabilità. In un 2026 in cui l’AI sta smettendo di essere un laboratorio e sta diventando infrastruttura, l’obiettivo è rendere sovrana non solo la posizione dei dati, ma la capacità di governare ciò che i dati producono quando vengono trasformati in output e decisioni.
