La tua dipendenza dal cloud è ora un rischio regolamentato. La maggior parte delle aziende non riesce nemmeno a vedere la propria.

Cosa è cambiato davvero?

Per anni la questione del cloud è stata pratica: quale fornitore, a quale prezzo. Il European Technological Sovereignty Package del 2026, e il Cloud and AI Development Act al suo interno, cambia la questione. Introduce un quadro di sovranità a quattro livelli che valuta quanto la tua infrastruttura sia indipendente da un singolo fornitore straniero. Dove girano i tuoi sistemi, e chi in ultima istanza li controlla, è ora una materia regolamentata, non solo una scelta di architettura.

Non arriva da sola. Si sovrappone a DORA, NIS2, il Data Act e l'AI Act, ciascuno con i propri obblighi in materia di continuità, sicurezza e responsabilità. Per un'azienda che opera in Europa, il risultato è un contesto di conformità in cui la concentrazione su un solo hyperscaler non è più soltanto comoda. È un'esposizione documentata.

Perché la maggior parte delle aziende non riesce a vedere la propria esposizione?

Perché la dipendenza è sepolta. Poche organizzazioni dipendono da un singolo cloud in un modo che possono vedere su una sola pagina. La dipendenza reale corre attraverso servizi gestiti, strumenti di conformità, i sistemi di IA che hanno adottato, piattaforme di analisi, infrastruttura di identità e pipeline di sviluppo, molti dei quali riconducono silenziosamente agli stessi uno o due fornitori.

Così, quando un consiglio di amministrazione chiede se l'azienda potrebbe continuare a operare nel caso in cui il suo fornitore principale venisse meno o fosse dichiarato non conforme, la risposta onesta è di solito che nessuno l'ha mappato. È questa la lacuna che le nuove norme stanno per portare alla luce, e quella che DORA impone già alle aziende regolamentate di colmare.

Cosa dovrebbe fare ora un'azienda seria?

Mappa la catena di dipendenza prima che lo faccia per te un regolatore o un'interruzione. Individua quali funzioni critiche riconducono a un singolo fornitore, dove non hai un failover testato e dove un livello di sovranità ti metterebbe fuori regola. Non è un invito ad abbandonare gli hyperscaler. È un invito a sapere esattamente cosa faresti senza di loro, e a essere in grado di dimostrarlo.

La resilienza è sempre stata una questione di dipendenza che non puoi sostituire. Le nuove norme rendono semplicemente quella dipendenza qualcosa che ora devi vedere, documentare e difendere. Le aziende che la mappano per tempo tratteranno le scadenze come routine. Quelle che aspettano scopriranno la forma della propria dipendenza nel momento peggiore possibile.

Da leggere ora: Perché l'AI sta alzando il prezzo di hardware che non hai mai comprato?  ·  Perché il costo più grande dell'IA è ora una bolletta mensile di affitto?