La digital repatriation sta uscendo dalla dimensione teorica e sta diventando un criterio sempre più concreto nelle scelte di cybersecurity. Il tema non riguarda soltanto la collocazione geografica dei dati, ma investe controllo, compliance, trust, supply chain e capacità di governare dipendenze tecnologiche.
Questa lettura emerge con chiarezza anche da un confronto promosso da Cyberating, in cui Fabio Buccigrossi, Vice President South West Europe Sales di ESET, e Stefano Fratepietro, CEO e co-founder di Cyberating hanno messo a fuoco due aspetti complementari della questione. Da un lato il valore di garantire un presidio locale coerente con lingua, normativa e cultura della protezione del dato. Dall’altro la necessità di recuperare visibilità e controllo lungo la catena della fiducia digitale, a partire da fornitori, accessi di terze parti e supply chain.
Non è solo un tema geografico
La spinta verso la digital repatriation nasce da una consapevolezza che si sta diffondendo in modo sempre più trasversale.
“La richiesta di tecnologie centralizzate in Europa non riguarda più soltanto grandi gruppi o aziende enterprise – osserva Fratepietro – ma riguarda sempre più ogni tipo di impresa. Nei nostri clienti è un’esigenza che emerge anche da aziende con fatturati di qualche decina di milioni che iniziano a prediligere l’adozione di tecnologie radicate in Europa”.
Le ragioni risiedono nella consapevolezza che le piattaforme tecnologiche non custodiscono solo dati in senso stretto, ma accumulano anche metadati, abitudini operative, relazioni tra sistemi e priorità di processo. In altre parole, sono in grado di restituire una mappa molto dettagliata del funzionamento reale di un’organizzazione.
In base a questo presupposto il tema non si esaurisce sulla collocazione fisica dei dati ma si estende anche a chi li elabora, con quali strumenti, sotto quali regole e con quale possibilità di ricavarne valore informativo.
“I C-level iniziano a interrogarsi sugli impatti che le tecnologie adottate possono avere nella protezione delle informazioni e dei dati – prosegue Fratepietro – anche perché quei sistemi conoscono le mie abitudini, i principali servizi la mia capacità e rapidità nel risolvere i problemi”.
La digital repatriation, in questa chiave, coincide con un tentativo di recuperare governo non solo sui dati, ma sul patrimonio di conoscenza indiretta che le infrastrutture digitali generano ogni giorno.
Il punto di vista di ESET tra trust, normativa e presidio locale
La riflessione di ESET si colloca su questo stesso terreno, ma lo traduce in una logica più operativa.
“Sul piano tecnologico le differenze si riducono molto – osserva Buccigrossi – ma quando un’infrastruttura deve proteggere i dati di un cliente conta anche il contesto normativo in cui opera. Se nasce all’interno di un Paese che segue determinate regole sulla protezione del dato ed è progettata tenendone conto, allora parla già la stessa lingua del cliente”.
In questa prospettiva, la dimensione europea potrebbe addirittura essere solo un primo livello di coerenza, tanto che Buccigrossi osserva che sarebbe ancora più coerente pensare a una repatriation in Italia. Il senso del ragionamento non è nazionalistico ma riguarda, piuttosto, la possibilità di progettare e gestire la protezione del dato all’interno di un contesto che condivide non solo norme, ma anche sensibilità, prassi e criteri di responsabilità.
“Noi italiani abbiamo una nostra cultura su come i dati dovrebbero essere protetti – puntualizza Buccigrossi – ed è da qui che nasce un’idea di prossimità che non si misura solo in chilometri o in latenza, ma nella capacità di costruire un servizio coerente con quel contesto. Il valore della repatriation non sta tanto nel timore astratto di ciò che potrebbe accadere ai dati fuori dall’Italia o dall’Europa, quanto nel fatto che, se riconosciamo che il dato deve essere protetto sempre di più, allora diventa naturale farlo secondo criteri, sensibilità e normative che parlano la stessa lingua del cliente”.
La repatriation diventa così un fattore di trust prima ancora che una questione di pura architettura.
È in questo quadro che ESET ha deciso da tempo di stabilire un presidio locale per i servizi di assistenza: scelta che si è rivelata lungimirante per l’azienda in Italia
“In ESET Italia abbiamo realizzato un SOC nel nostro Paese e le persone che vi operano sono italiane – sottolinea Buccigrossi -. Il valore non è solo tecnico, cioè la capacità di monitorare e reagire H24 nei momenti di crisi e di attacco, ma anche culturale ed etico, perché chi gestisce i dati del cliente ne condivide lingua, contesto e criteri di utilizzo. In questo senso parliamo la stessa lingua del cliente e condividiamo la stessa idea di come i suoi dati debbano essere trattati. È anche una questione di trust”.
Supply chain, terze parti e controllo del perimetro reale
Se ESET collega la digital repatriation al presidio locale e alla coerenza normativa, Cyberating la riporta a un’altra evidenza: il controllo del dato non può esistere davvero se non si controlla anche la filiera di soggetti, accessi e dipendenze che ruotano attorno all’organizzazione. È qui che il tema della supply chain diventa centrale.
“Molti incidenti continuano a entrare attraverso fornitori terzi – osserva Fratepietro – perché oggi si vive di accessi esterni, di relazioni digitali che vanno dall’esterno verso l’interno e, troppo spesso, di un eccesso di fiducia. È proprio questa fiducia mal riposta che porta a sottovalutare controlli, capacità di detection e copertura del perimetro. In questa prospettiva, la digital repatriation non coincide con il semplice spostamento dei dati verso un provider europeo o nazionale, ma con la capacità di sapere chi accede a cosa, quali relazioni digitali sostengono i processi critici e quali esposizioni l’azienda eredita da partner, outsourcer e supply chain”.
In un periodo in cui diverse aziende stanno valutando un rollback dal cloud, il tema della digital repatriation non va letto come uno stimolo a tornare all’on-premise. A inibire ciò contribuiscono i costi e gli ostacoli per predisporre oggi un data center interno aderente agli standard di efficienza energetica, normativa e sicurezza richiesti
“La questione, allora, non è scegliere in astratto tra cloud e data center interni – conclude Fratepietro – ma costruire un modello che permetta di mantenere controllo, visibilità e capacità di intervento dentro un ecosistema inevitabilmente distribuito”.
È proprio qui che ESET e Cyberating si accostano in modo coerente. Non perché propongano lo stesso approccio, ma perché mettono a fuoco due lati dello stesso cambiamento.
Da un lato c’è il presidio del dato, del servizio e del contesto normativo in cui la protezione viene erogata. Dall’altro c’è la necessità di misurare il rischio esteso e di governare il perimetro reale dell’organizzazione, che oggi coincide sempre meno con i suoi confini formali. La digital repatriation prende forma esattamente in questo punto di intersezione: non come semplice ritorno geografico, ma come tentativo di riportare sotto controllo la catena della fiducia digitale.