Sovranità digitale in Svizzera: perché il 2026 riscrive le regole del cloud per la PA e le imprese
“Sovrano è chi conosce le proprie dipendenze.” Era il motto degli Swiss Cyber Security Days di febbraio 2026, e riassume bene il momento che sta vivendo l’IT svizzero. La sovranità digitale in Svizzera è passata da parola d’ordine a priorità operativa. Per anni “metterlo nel cloud” è stato sinonimo di “metterlo al sicuro”. Nel 2026 questa equazione smette di reggere, e non per una moda: per decisioni concrete di regolatori, Confederazione e legislatore.
Cosa è successo
Tre fatti, ravvicinati, ridisegnano lo scenario.
Novembre 2025 — Privatim mette un paletto. La Conferenza svizzera degli incaricati della protezione dei dati ha adottato una risoluzione che di fatto impedisce agli enti pubblici di affidare dati particolarmente sensibili ai servizi SaaS dei grandi cloud provider. Non un suggerimento: un’indicazione che pesa su gare d’appalto e architetture.
2026 — Parte la Swiss Government Cloud. Le prime funzionalità della SGC entrano in esercizio quest’anno. Il principio è chiaro: archiviazione ed elaborazione dei dati su suolo svizzero, nei centri di calcolo della Confederazione, per garantire sovranità del dato e continuità operativa. Dal 2027 il volume dei servizi dovrà essere sufficiente ad avviare la migrazione delle applicazioni specialistiche. Il progetto si estende fino al 2032.
Autunno 2026 — Arriva la legge sulla cyber-resilienza. Il Consiglio federale ha incaricato BACS, BAKOM e SECO di preparare una bozza di legge che recepisce la logica del Cyber Resilience Act (CRA) e della direttiva NIS-2 europei. Tradotto: requisiti di sicurezza per i prodotti digitali e nuovi obblighi lungo la catena di fornitura.
Perché la sovranità digitale conta in Svizzera
Il contesto di minaccia non è teorico. Nel 2025 l’Ufficio federale della cibersicurezza (BACS) ha analizzato circa 2,3 milioni di segnalazioni di dispositivi infetti da malware in Svizzera e ha bloccato oltre 17.000 sistemi di comando e controllo degli attaccanti.
Il punto per chi decide non è più solo il prezzo del fornitore. È la resilienza della dipendenza: se domani un provider cambia condizioni contrattuali, viene assoggettato a una legislazione estera o subisce un’interruzione, cosa succede ai dati e ai servizi che ci abbiamo costruito sopra?
La sovranità digitale, intesa correttamente, non è chiusura o autarchia tecnologica. È conoscere le proprie dipendenze e averne il controllo: sapere dove risiede il dato, sotto quale giurisdizione ricade, e avere un’alternativa pronta prima del momento in cui serve. È la stessa logica che attraversa le più ampie sfide della sicurezza nel cloud che ogni azienda oggi affronta.
Cosa possono fare i decision-maker IT, adesso
- Mappare le dipendenze critiche. Per ogni servizio rilevante: fornitore, luogo di storage e processing, giurisdizione effettiva, clausole di uscita.
- Classificare i dati per sensibilità. Senza una classificazione, la regola di Privatim è impossibile da applicare. Con una classificazione, diventa una checklist.
- Valutare opzioni svizzere ed europee. Dalla Swiss Government Cloud per il settore pubblico alle offerte di cloud sovrano per le imprese (storage geo-distribuito, controllo delle chiavi, dati in territorio elvetico).
- Prepararsi a CRA e NIS-2 ora. Inventario dei prodotti digitali, gestione delle vulnerabilità e requisiti verso i fornitori non si costruiscono in una notte.
La domanda da portare al prossimo comitato
Non “quale cloud costa meno”, ma: le nostre dipendenze le conosciamo davvero? Il 2026 è l’anno in cui in Svizzera questa domanda smette di essere strategica e diventa operativa.
Fonti
- Swiss Government Cloud — Ufficio federale dell’informatica e della telecomunicazione (BIT): bit.admin.ch
- Strategia “Svizzera digitale 2026” — Consiglio federale: news.admin.ch
- Review Swiss Cyber Security Days 2026: m-q.ch
- Key cybersecurity trends in Switzerland for 2026: vincimind.ch
