IBM Cloud introduce Sovereignty Risk Profile, un nuovo strumento pensato per aiutare le imprese a valutare, documentare e dimostrare il livello di controllo sui propri ambienti cloud, sui dati e sui workload AI. La novità arriva in una fase in cui la sovranità digitale non è più un tema limitato alla compliance, ma diventa una condizione strutturale per gestire infrastrutture critiche, supply chain complesse e sistemi di intelligenza artificiale sempre più distribuiti.
La pressione sulle aziende è evidente. I leader devono sapere dove risiedono i dati, come si comportano i sistemi, chi ha autorità sui workload critici e quali controlli siano realmente applicati. Ma tra consapevolezza strategica e capacità operativa resta un divario ampio. Secondo un nuovo studio globale dell’IBM Institute for Business Value e della Dubai Future Foundation, il 93% dei dirigenti afferma che la sovranità deve ormai essere considerata nella strategia aziendale. Tuttavia, meno di un terzo sa dove e cosa venga eseguito dall’AI, mentre solo il 18% mantiene un inventario aggiornato dei sistemi AI.
Il punto è netto: le organizzazioni hanno capito che la sovranità digitale è rilevante, ma spesso non dispongono ancora degli strumenti per supervisionarla, misurarla e provarla. È dentro questo spazio che si inserisce IBM Cloud Sovereignty Risk Profile, progettato per offrire maggiore visibilità, evidenze operative e controllo sui requisiti di sovranità.
IBM Cloud Sovereignty Risk Profile porta evidenze sui workload AI
IBM Cloud Sovereignty Risk Profile è integrato in IBM Security and Compliance Center Workload Protection, piattaforma pensata per semplificare gli obblighi di compliance, gestire la sicurezza e ottenere insight sugli ambienti hybrid multi-cloud. L’obiettivo è consentire un monitoraggio continuo dei controlli applicati ai workload cloud, aiutando imprese e pubbliche amministrazioni a valutare in modo pratico requisiti come residenza dei dati, crittografia, resilienza, rischio di concentrazione e indipendenza operativa.
La funzione è particolarmente rilevante perché l’AI aumenta la complessità dei controlli. I workload possono essere distribuiti tra cloud pubblici, ambienti privati, sistemi on-premise e servizi di terze parti. Senza una vista aggiornata, diventa difficile dimostrare che un’organizzazione mantenga davvero il controllo richiesto da regolatori, stakeholder e policy interne.
IBM Cloud Sovereignty Risk Profile punta quindi a trasformare la sovranità da dichiarazione di principio a insieme di scenari di rischio misurabili. Per le aziende, questo significa poter associare i requisiti di sovranità a evidenze verificabili e più adatte a un confronto con audit, autorità di controllo e funzioni interne di governance.
La sovranità digitale richiede prova, non solo dichiarazioni
La prima dimensione della strategia IBM Cloud è la provability, cioè la capacità di documentare la conformità e non limitarsi a dichiararla. È un passaggio centrale, perché la sovranità digitale si basa sulla possibilità di dimostrare chi controlla i dati, dove vengono trattati, quali regole sono operative e come vengono verificati i controlli nel tempo.
In passato, molte organizzazioni hanno affrontato la compliance attraverso documentazione periodica, audit puntuali e controlli ex post. Ma l’evoluzione degli ambienti cloud e AI rende questo modello sempre meno sufficiente. I workload cambiano, le dipendenze si moltiplicano, le architetture diventano ibride e le decisioni automatizzate aumentano. La sovranità deve quindi essere osservabile in modo continuo.
Per IBM, la visibilità è la base del controllo. Senza visibilità, un’organizzazione non può dimostrare che le proprie misure operative siano allineate ai requisiti legali, contrattuali o regolatori. Sovereignty Risk Profile nasce proprio per collegare requisiti, controlli e prove in un quadro più gestibile.
Crittografia e controllo esclusivo delle chiavi
Il secondo pilastro è la prevention, fondata sul controllo dei dati attraverso la crittografia. In un modello sovrano, il cliente deve poter determinare chi può accedere ai dati e alle chiavi di cifratura. La questione non è solo tecnica, ma anche giuridica e operativa: se un provider cloud può accedere alle chiavi, un ordine governativo può obbligarlo a decifrare i dati.
IBM sostiene che la sovranità richieda un principio chiaro: nessun cloud provider, IBM inclusa, deve poter accedere ai dati dell’impresa. In questo quadro rientra la tecnologia Keep Your Own Key, erogata tramite IBM Key Protect for IBM Cloud, progettata per consentire ai clienti di mantenere il controllo esclusivo delle chiavi di cifratura.
Le chiavi sono supportate da hardware certificato FIPS 140-3 Level 4, il livello più alto di assurance per la protezione crittografica. Questo aspetto è rilevante per settori regolati, infrastrutture critiche e organizzazioni che devono soddisfare requisiti elevati di sicurezza e controllo.
La crittografia, in questa impostazione, non è un semplice strato di protezione. Diventa un meccanismo di sovranità: definisce chi può accedere al dato, chi non può farlo e quali limiti tecnici impediscono accessi non autorizzati anche da parte del provider.
Privacy e modelli di deployment flessibili
Il terzo pilastro è la privacy, intesa come possibilità per i clienti di scegliere piattaforme, localizzazioni e modelli operativi coerenti con i propri requisiti. IBM Cloud propone un insieme di opzioni pensate per rispondere a vincoli diversi, dalla scala del public cloud alla necessità di controlli più stretti.
Tra i modelli citati rientrano regioni multizona dedicate, che operano in-region e combinano scala da cloud pubblico con sicurezza da cloud privato, ambienti single-tenant per massimizzare i controlli e, in alcuni mercati, partnership con operatori locali che permettono di gestire data center attraverso personale locale per rispondere a requisiti stringenti di protezione dei dati.
La sovranità, in questa lettura, non coincide con l’isolamento. Non significa necessariamente chiudere workload e dati dentro infrastrutture separate dal resto del mondo. Significa piuttosto assicurare che le persone giuste, nella giurisdizione giusta, abbiano l’autorità corretta sui sistemi e sui dati.
È una distinzione importante. Le imprese globali non possono rinunciare alla flessibilità del cloud, ma devono poterla usare mantenendo controllo su localizzazione, accesso, governance e operatività.
Portabilità e open source contro il lock-in
Il quarto pilastro è la portability. IBM Cloud basa la propria strategia su tecnologie aperte come Red Hat OpenShift, Kubernetes e API aperte, con l’obiettivo di favorire interoperabilità e portabilità dei workload tra ambienti diversi.
La portabilità è un elemento spesso sottovalutato nella discussione sulla sovranità digitale. Un’organizzazione non è pienamente sovrana se non può spostare workload, modificare architettura o cambiare piattaforma senza attriti eccessivi. Il lock-in tecnologico riduce la libertà di scelta e può trasformarsi in un vincolo operativo, contrattuale e strategico.
L’approccio basato su open source e standard aperti punta a consentire operazioni coerenti tra cloud, ambienti on-premise e architetture hybrid multi-cloud. Per le imprese, questo significa poter mantenere continuità operativa senza dipendere da un singolo ambiente o da un’unica piattaforma proprietaria.
La sovranità, quindi, non riguarda solo dove si trovano i dati, ma anche quanto facilmente un’organizzazione possa cambiare rotta. La libertà di movimento diventa parte integrante del controllo.
IBM Sovereign Core amplia il portafoglio per la sovranità digitale
IBM Cloud Sovereignty Risk Profile si inserisce in un portafoglio più ampio di soluzioni dedicate alla sovranità digitale. Tra queste rientra IBM Sovereign Core, una piattaforma software progettata per aiutare le organizzazioni a costruire e gestire ambienti sovrani pronti per l’AI e a verificare il livello di controllo esercitato.
Il collegamento tra Sovereignty Risk Profile e Sovereign Core è significativo. Da un lato, serve la capacità di costruire ambienti sovrani. Dall’altro, occorre misurare e dimostrare che quei controlli siano effettivi. L’AI rende entrambe le esigenze più pressanti perché introduce nuovi livelli di automazione, dipendenza dai dati e complessità di governance.
In un contesto enterprise, la sovranità digitale non può essere trattata come un attributo statico dell’infrastruttura. Deve diventare una capacità operativa: monitorata, documentata, adattata nel tempo e collegata ai rischi reali dell’organizzazione.
Il nodo AI: inventari incompleti e controllo insufficiente
I dati dello studio IBM Institute for Business Value e Dubai Future Foundation mostrano quanto il problema sia concreto. Se il 93% dei dirigenti ritiene necessario integrare la sovranità nella strategia aziendale, il fatto che solo il 18% mantenga un inventario AI aggiornato rivela una distanza operativa difficile da ignorare.
La sovranità dell’AI parte da una domanda molto semplice: quali sistemi AI sono in uso, dove girano, quali dati trattano e chi ne controlla il comportamento? Se l’organizzazione non sa rispondere, non può dimostrare compliance, non può valutare i rischi e non può governare realmente i propri processi.
Il problema non riguarda soltanto i grandi modelli o le piattaforme di AI generativa. Coinvolge applicazioni integrate, automazioni, workflow decisionali, strumenti adottati dalle linee di business e componenti AI inseriti in prodotti e servizi. Senza inventario, visibilità e controllo, la sovranità resta una dichiarazione incompleta.
La sovranità parte dal controllo
IBM sintetizza il tema in un concetto essenziale: la sovranità inizia dal controllo. Man mano che le organizzazioni adottano servizi cloud e scalano l’AI, le domande su residenza dei dati, accesso, cifratura e indipendenza operativa diventano più urgenti. Le imprese devono pretendere dai propri cloud custodian strumenti per controllare dove si trovano i dati, chi può accedervi, come vengono cifrati e quali dipendenze operative esistono.
La direzione è chiara. La sovranità digitale non è più una questione marginale o solo normativa. È una componente della strategia cloud, della governance AI e della gestione del rischio aziendale. Per i settori regolati, il tema è già maturo. Per molte altre imprese, sta diventando rapidamente una condizione necessaria per adottare AI e cloud con maggiore fiducia.
IBM Cloud Sovereignty Risk Profile risponde a questa esigenza con un approccio orientato alla misurabilità. Non promette di eliminare la complessità, ma punta a renderla più visibile, verificabile e gestibile. In un mercato in cui la fiducia deve essere dimostrata, non solo dichiarata, è un passaggio rilevante.
