La repatriation, nel lessico dell’IT enterprise, indica il trasferimento di dati, applicazioni o workload dal public cloud verso ambienti più controllati: data center aziendali, private cloud, cloud sovrani, infrastrutture colocation o architetture ibride gestite con maggiore presidio diretto. Non significa necessariamente uscire dal cloud e tornare al vecchio on-premise. Significa, piuttosto, rimettere in discussione l’assunto secondo cui ogni carico di lavoro debba stare per definizione nel public cloud, valutando caso per caso dove sia più opportuno collocare dati, applicazioni, modelli AI, sistemi core e servizi digitali.
Il punto centrale è che la repatriation non va interpretata come una marcia indietro, ma come un segnale di maturazione. Dopo anni di strategie cloud-first spesso adottate in modo estensivo, molte organizzazioni stanno passando a un approccio workload-first: ogni applicazione viene valutata in base a latenza, costo, vincoli normativi, rischio operativo, sicurezza, dipendenza dal fornitore, necessità di scalabilità e criticità del dato trattato. È in questo spazio che il ritorno di alcuni dati “a casa” diventa una scelta razionale.
Un tema che riguarda da vicino le imprese italiane
Per le aziende italiane il tema è particolarmente rilevante e combina almeno quattro fattori: crescita della spesa cloud, maggiore attenzione ai costi ricorrenti, peso crescente della regolazione europea, sensibilità verso la localizzazione dei dati.
Non c’è una fuga dal cloud, perché tutti i dati indicano che la spesa continua ad aumentare, anche in Italia. C’è però una ricomposizione interna: le aziende continuano a usare hyperscaler e servizi cloud pubblici per innovazione, scalabilità, analytics, sviluppo applicativo e AI, ma iniziano a chiedersi se tutti i workload debbano restare su quelle piattaforme.
Secondo una ricerca dell’Osservatorio Cloud Transformation 2025, condotta su oltre 200 grandi imprese italiane e 1000 aziende in otto Paesi europei, nel 2025 il 35% delle grandi aziende italiane valuta progetti di repatriation, contro il 20% del 2024; inoltre, nei nuovi progetti digitali, il 46% sceglie strategie ibride tra on-premise e cloud, mentre il modello cloud-first scende al 32%.
La repatriation, dunque, convive con il cloud, non lo sostituisce. Il mercato entra in una fase di selezione più fine, in cui la domanda non è più “cloud sì o no”, ma “quale cloud, per quale workload, con quali garanzie e con quale livello di reversibilità”.
Il ruolo degli hyperscaler, l’impatto dell’AI e della cyber resilienza
La repatriation nasce anche dalla crescente concentrazione del mercato cloud. Amazon Web Services, Microsoft Azure e Google Cloud secondo Synergy Research Group, nel quarto trimestre 2025 hanno concentrato il 68% della spesa enterprise mondiale in servizi di cloud infrastructure.
Molte aziende italiane manifestano la volontà di ridurre la dipendenza esclusiva da un unico fornitore e riportare sotto controllo i workload più sensibili. L’AI sta accelerando il dibattito perché i modelli generativi, gli agenti AI, i sistemi di machine learning e le piattaforme di analytics avanzata richiedono grandi quantità di dati, capacità computazionale elevata e integrazione profonda con processi aziendali. Il cloud pubblico resta un abilitatore fondamentale, perché concentra GPU, servizi AI-as-a-Service, ambienti di sviluppo, modelli fondazionali e tool di orchestrazione. Ma proprio l’AI rende più delicata la domanda su dove risiedano i dati, chi li possa trattare, con quali garanzie e con quale controllo operativo.
Il tema riguarda soprattutto i dati proprietari, i dataset industriali, i dati sanitari, le informazioni finanziarie, la proprietà intellettuale, i log di sicurezza, i dati di produzione e i contenuti usati per addestrare, arricchire o interrogare modelli AI. Se il valore competitivo dell’azienda risiede nel dato, la domanda sulla sua collocazione infrastrutturale diventa una questione di governance. Occorre capire chi amministra l’infrastruttura, quali soggetti possono accedervi, quali normative extraterritoriali possono incidere e quanto sia realistico spostare workload e dati in tempi compatibili con le esigenze del business.
La cyber resilienza introduce un ulteriore elemento. La domanda non è solo dove il dato sia più sicuro, ma dove l’organizzazione sia in grado di garantire continuità, isolamento, ripristino e controllo durante una crisi. La repatriation ha senso quando migliora la postura complessiva. Per esempio, può essere utile riportare in ambienti private o sovrani i repository più sensibili, le piattaforme di backup, i sistemi di identity, le basi dati critiche, i workload industriali a bassa latenza o i dati necessari per garantire continuità in caso di indisponibilità di un servizio cloud. Può invece essere controproducente se viene affrontata come una reazione emotiva ai costi del public cloud, senza una valutazione architetturale e finanziaria accurata. Il tema è ulteriormente rafforzato dalla NIS2 che, ha reso più stringente la valutazione dei fornitori critici, compresi cloud provider, data center, piattaforme SaaS e servizi gestiti.
La spinta geopolitica
Il tema geopolitico è oggi uno dei principali acceleratori. La sovranità digitale non riguarda più soltanto la protezione dei dati personali, ma l’autonomia tecnologica, la continuità dei servizi essenziali e la capacità di evitare dipendenze non governabili, proteggendo l’accesso extraterritoriale ai dati. Negli Stati Uniti il Cloud Act del 2018 ha chiarito che, in determinate condizioni giuridiche, le autorità statunitensi possono richiedere dati a provider soggetti alla giurisdizione USA anche quando tali dati sono conservati fuori dagli Stati Uniti.
Che, per alcune categorie di dati, la questione non sia solo tecnica ma giuridica e strategica lo si vede anche nelle scelte istituzionali. Nell’aprile 2026 la Commissione europea ha assegnato un contratto cloud da 180 milioni di euro in sei anni a quattro provider europei (Post Telecom, StackIT, Scaleway, Proximus) proprio con l’obiettivo di rafforzare la sovranità digitale e ridurre la dipendenza da fornitori non europei. La Francia ha deciso di trasferire l’Health Data Hub da Microsoft Azure a Scaleway, provider francese del gruppo Iliad, dopo anni di discussioni sui rischi di accesso ai dati sanitari da parte di autorità straniere e sulla necessità di infrastrutture sovrane per dati sensibili.
Repatriation e sovranità dei dati non sono la stessa cosa
Repatriation e sovranità dei dati sono concetti collegati, ma non coincidenti. La repatriation è un movimento: un dato, un’applicazione o un workload viene spostato da un ambiente a un altro, tipicamente dal public cloud verso un’infrastruttura più controllata. La sovranità dei dati è invece una condizione di governance: riguarda la capacità di stabilire dove risiedono i dati, quale legge si applica, chi può accedervi, come vengono protetti, come vengono trasferiti e quale autonomia mantiene l’organizzazione rispetto a fornitori e giurisdizioni esterne.
Si può fare repatriation senza ottenere piena sovranità, per esempio riportando workload in un data center privato ma continuando a dipendere da software proprietario, supporto estero o servizi gestiti non controllati. Allo stesso modo, si può aumentare la sovranità senza riportare tutto on-premise, utilizzando cloud provider europei, cloud qualificati, region sovrane, architetture cifrate, confidential computing, controllo delle chiavi, segregazione operativa e clausole contrattuali più rigorose.
Per questo motivo la repatriation è uno strumento, non un obiettivo in sé. L’obiettivo è la combinazione tra controllo, efficienza, compliance, sicurezza, reversibilità e capacità di innovazione.
Le alternative alla repatriation pura: dal sovereign cloud al managed private cloud
Va osservato che la repatriation non è l’unica risposta. In molti casi la soluzione più efficace è un’architettura ibrida, in cui i dati più sensibili restano in ambienti controllati mentre il public cloud viene usato per elasticità, front-end digitali, sviluppo, analytics non sensibili o servizi AI selezionati. Un’altra opzione è il sovereign cloud, offerto sia da provider europei sia dagli stessi hyperscaler attraverso region, partnership o ambienti segregati. AWS, per esempio, ha annunciato un European Sovereign Cloud operato da personale europeo e progettato per rispondere ai requisiti di sovranità e data residency dell’Unione europea.
Ci sono poi colocation e managed private cloud, che consentono di mantenere maggiore controllo fisico e operativo senza tornare alla gestione completa del data center aziendale. Per i dati sensibili, tecnologie come cifratura con chiavi controllate dal cliente, confidential computing, tokenizzazione e data clean room possono ridurre il rischio anche quando il workload resta in cloud pubblico.
Il punto è evitare una lettura ideologica. Public cloud, private cloud, sovereign cloud e on-premise sono strumenti e la scelta corretta dipende dal rapporto tra valore del dato, rischio, costo, scalabilità, compliance e velocità di innovazione.
L’evoluzione del fenomeno nel breve periodo
Nel breve periodo la repatriation crescerà, ma non come ritorno generalizzato al data center tradizionale. Crescerà come disciplina di governo del cloud.
Tre tendenze sembrano destinate a rafforzarsi. La prima è la classificazione dei dati anche nel privato, sul modello già adottato nella PA: dati ordinari, dati critici, dati strategici, con policy diverse per ciascuna classe. La seconda è la richiesta di reversibilità contrattuale e tecnica, spinta anche dal Data Act e dal tema del cloud switching. La terza è la convergenza tra cyber resilienza, sovranità e AI: i dati che alimentano modelli, agenti e processi decisionali non saranno trattati come semplici asset informativi, ma come infrastruttura competitiva.
Il risultato sarà un mercato più ibrido, più frammentato e più governato. Gli hyperscaler resteranno centrali, soprattutto per AI, scalabilità e servizi avanzati. Ma accanto a loro cresceranno private cloud moderni, provider europei, infrastrutture sovrane, ambienti segregati, colocation evolute e architetture multicloud progettate per evitare dipendenze irreversibili.
Per le aziende italiane la domanda non sarà più se “tornare a casa”, ma quali dati debbano restare davvero vicini al business, alla giurisdizione, alla governance e alla capacità di ripartire quando qualcosa si ferma.

