SOV-EU definizione attiva

Sovranita' europea

Dati e infrastruttura nell'Unione Europea, conformita' GDPR garantita.

// Cosa significa

SOV-EU significa che ogni componente del sistema, dai database ai backup fino ai log applicativi, risiede in regioni cloud localizzate nell'Unione Europea. La giurisdizione applicabile e' quella di uno Stato membro UE e il trattamento dei dati personali e' soggetto direttamente al GDPR. Va pero' precisato: quando ci si appoggia a hyperscaler con casa madre extra-UE (AWS, Azure, GCP), post-Schrems II e' prassi prudente integrare comunque SCC e un Transfer Impact Assessment, perche' il fornitore resta tecnicamente soggetto a CLOUD Act US anche se i dati sono in regione UE. Lo dichiariamo esplicitamente in fase contrattuale.

A differenza di SOV-IT, qui accettiamo provider cloud paneuropei sovrani (Hetzner, OVH, Scaleway, Supabase EU) e regioni EU dei grandi hyperscaler. Questo apre l'accesso a servizi managed, scalabilita' multi-AZ e CDN europei, mantenendo la residenza dei dati all'interno del perimetro UE. La differenza pratica tra provider sovrani UE e hyperscaler US in regione UE va valutata caso per caso e documentata.

E' la scelta tipicamente piu' equilibrata per aziende italiane ed europee che operano sul mercato comune: copre GDPR, NIS2 e DORA senza i vincoli rigidi di SOV-IT, riducendo significativamente i rischi di trasferimento extra-UE (ma non eliminandoli del tutto quando il provider e' di matrice non europea).

// Dove risiedono i dati

Dove risiedono fisicamente i dati

Datacenter

Regioni UE di Hetzner, OVH, Scaleway, AWS Frankfurt, Azure NL

Backup

Repliche su regioni UE diverse dal primario

Operations

Accessi contrattualmente vincolati a personale UE · tracciati e auditati (livello effettivo dipende dal provider)

CDN

Edge nodes solo in PoP europei

Telemetria

Log e metriche raccolti in UE

// Quando sceglierla / quando no

✓ Sceglila quando

▸ Aziende UE che servono clientela europea e devono garantire GDPR strict
▸ Settori regolati: fintech (DORA), telco, energia, sanita' privata
▸ Prodotti SaaS B2B europei con clienti enterprise che richiedono data residency UE
▸ PMI italiane che vogliono cloud moderno ma senza esposizione extra-UE

✕ Evitala quando

▸ Quando il committente richiede esplicitamente giurisdizione italiana (vedi SOV-IT)
▸ Workload globali con utenti prevalentemente fuori UE: la latenza UE-only diventa svantaggio
▸ Servizi AI che richiedono modelli proprietari hostati fuori UE

// Conformita' e standard

Riferimenti normativi e standard applicabili al livello di sovranita' SOV-EU.

GDPR

Regolamento UE 2016/679 — base normativa primaria

NIS2

Sicurezza cibernetica per soggetti essenziali e importanti

DORA

Resilienza operativa digitale per il settore finanziario UE

EU Data Act

Regolamento sull'accesso e portabilita' dei dati

EUCS

European Cybersecurity Certification Scheme for Cloud Services (framework in fase di finalizzazione · non tutti i provider sono certificati ai livelli top)

// FAQ specifiche

Hyperscaler americani con regioni UE bastano per essere SOV-EU?

I dati risiedono fisicamente in UE, ma la societa' madre resta soggetta a CLOUD Act US e ad ordini extraterritoriali: per questo, anche in SOV-EU su hyperscaler US in regione UE, post-Schrems II e' prassi affiancare SCC e Transfer Impact Assessment. SOV-EU accetta queste configurazioni con disclosure esplicita al cliente; chi vuole escludere ogni esposizione extra-UE deve scegliere provider sovrani europei (OVH, Scaleway, Hetzner, Aruba) oppure SOV-IT.

Differenza pratica tra SOV-EU e SOV-IT?

SOV-EU consente cloud paneuropei e managed services di hyperscaler in regioni UE. SOV-IT vieta tutto cio' che non sia su territorio italiano e tipicamente esclude hyperscaler globali.