SOV-IT definizione attiva

Sovranita' italiana

Dati, infrastruttura e operations interamente sul territorio italiano.

// Cosa significa

SOV-IT e' la forma piu' stringente di sovranita' digitale che offriamo. Hardware, storage, repliche di backup, log operativi e team di gestione restano interamente sul territorio italiano. Repliche e accessi remoti fuori confine sono esclusi dal regime ordinario; eventuali eccezioni operative (es. manutenzione straordinaria di un vendor) sono ammesse solo con clausole contrattuali stringenti, tracciate e auditate, e dichiarate esplicitamente al cliente.

L'infrastruttura puo' essere on-premise presso il cliente (per chi ha gia' un datacenter o stanza CED conforme) oppure ospitata in datacenter italiani qualificati. Va precisato che la sola certificazione AgID/ACN del datacenter non garantisce automaticamente il livello massimo di sovranita': il livello effettivo dipende dalla qualificazione specifica del provider (es. QC1-QC4 ACN), dalla classe di servizio e dal contratto sottoscritto.

Per i carichi AI, l'inferenza avviene di default su modelli open-source eseguiti in locale (Ollama, vLLM, llama.cpp) che non chiamano endpoint esterni. Su richiesta possiamo progettare setup ibridi (es. modelli locali per dati sensibili + modelli cloud per task generici) con guardrail espliciti che impediscono al dato in regime SOV-IT di lasciare il perimetro nazionale.

Questa scelta ha un costo: meno elasticita' di scaling globale, latenza piu' alta per utenti fuori Italia, nessun accesso diretto a feature managed di hyperscaler extra-UE. In cambio si ottengono garanzie giuridiche e operative che nessun cloud globale puo' replicare.

// Dove risiedono i dati

Dove risiedono fisicamente i dati

Datacenter

Provider italiani qualificati ACN/AgID · on-premise cliente

Backup

Repliche solo su territorio italiano

Operations

Team italiano · accessi via VPN locale, auditati

AI inference

Modelli locali (default) · hybrid possibile con guardrail

Telemetria

Log e metriche raccolti e processati in IT

// Quando sceglierla / quando no

✓ Sceglila quando

▸ Pubblica amministrazione e in-house pubbliche soggette a Strategia Cloud Italia
▸ Sanita' e dati clinici dove serve giurisdizione italiana esplicita
▸ Settore difesa, sicurezza nazionale, infrastrutture critiche (NIS2 essenziali)
▸ Aziende che vogliono escludere ogni esposizione a CLOUD Act US o normative extra-UE

✕ Evitala quando

▸ Workload che richiedono CDN globale o presenza multi-regione
▸ Prodotti SaaS rivolti a utenza internazionale dove la latenza locale e' critica
▸ Casi d'uso che richiedono modelli AI proprietari (GPT-4, Claude, Gemini) non disponibili on-prem

// Conformita' e standard

Riferimenti normativi e standard applicabili al livello di sovranita' SOV-IT.

AgID · PSN

Polo Strategico Nazionale, qualifiche cloud per la PA (Strategia Cloud Italia)

ACN · QC1-QC4

Agenzia per la Cybersicurezza Nazionale, classi di qualificazione cloud e PSNC

GDPR

Regolamento UE 2016/679 sul trattamento dei dati personali

NIS2

Direttiva UE 2022/2555 sui servizi essenziali e importanti

eIDAS 2

Identita' digitale europea, compatibile con SPID/CIE

// FAQ specifiche

Significa che il sistema non e' raggiungibile dall'estero?

No. L'infrastruttura e' in Italia, ma gli utenti possono accedervi da ovunque via internet. SOV-IT riguarda la residenza dei dati e la giurisdizione operativa, non la raggiungibilita'.

Posso usare modelli AI commerciali (OpenAI, Anthropic) in SOV-IT?

Non per i dati in regime SOV-IT: per mantenere la sovranita' il modello deve essere eseguito su infrastruttura italiana, e di default usiamo modelli open-source (Qwen, Llama, Mistral) su GPU locali. E' possibile progettare setup ibridi in cui i dati SOV-IT restano locali mentre task generici non sensibili usano modelli cloud, ma il confine va definito esplicitamente in fase di design e applicato con guardrail tecnici.