avanzati.it/FAQ/Data sovereignty
Q.15 · Dati

Dove vivono fisicamente i vostri dati?

Domanda concreta post-Schrems II. Risposta concreta: data center italiani, uscita via AS42425 PSA, replicazione solo tra siti italiani. Encryption at rest + in transit, audit trail degli accessi amministrativi.

TL;DR

I dati dei clienti vivono su hardware PSA in data center Tier III italiani. Uscita internet via AS42425 (PSA ha proprio Autonomous System, peering su TOP-IX). Replicazione per DR solo verso 2a sede italiana, mai extra-UE. Encryption AES-256 at rest, TLS 1.3 in transit. Accesso amministrativo via PAM con firma temporale qualificata, audit log immutabile. GDPR-compliant per costruzione, niente SCC / DPA internazionali da firmare.

01Perché la domanda conta (oggi, non in teoria)

Fino a qualche anno fa "dove stanno i dati" era una casella da spuntare a fine contratto. Oggi è la prima domanda che un DPO serio pone — e ha ragione. Tre pressioni convergenti l'hanno riportata al centro:

Tradotto: se il tuo provider risponde "i dati sono in Europa, credimi sulla parola", hai un problema. Serve topologia tracciabile.

02Dove stanno, in pratica

La topologia fisica è semplice e volutamente conservativa. Niente distribuzione multi-region creativa, niente edge node sparsi nel mondo — la semplicità è un requisito di compliance, non un limite.

Hardware e racking sono gestiti con il nostro partner infrastrutturale Adenda S.r.l., con cui lavoriamo da anni sul lato fisico di housing e hosting.

03Uscita internet: AS42425 su TOP-IX

PSA ha un proprio Autonomous System (AS42425). In pratica significa che siamo un soggetto di rete autonomo riconosciuto a livello BGP — non acquistiamo connettività come cliente finale da un singolo carrier, peeriamo direttamente su TOP-IX (il Torino Internet Exchange) e con altri operatori.

Perché conta, per la sovereignty:

04Encryption at rest: AES-256 con chiavi per cliente

Tutti i volumi persistenti sono cifrati a riposo con AES-256. Le chiavi non sono "una per tutto il data center" — c'è separazione crittografica per cliente, gestita tramite un key management system interno. Cliente terminato, chiavi distrutte: il dato residuo diventa non decifrabile anche se per qualche motivo sopravvive fisicamente su un disco.

La cifratura copre backup, snapshot, repliche asincrone verso la 2a sede, supporti di archiviazione a freddo. Non ci sono finestre "in chiaro" tra primary e DR.

05Encryption in transit: TLS 1.3, mTLS per backend

Il traffico esterno è servito esclusivamente su TLS 1.3 (con TLS 1.2 ancora accettato dove obbligatorio per compatibilità — segnalato e con data di dismissione). Suite moderne, HSTS, disabilitazione di cipher legacy.

Tra i componenti interni — application server, database, code, servizi di auth — usiamo mTLS: ogni chiamata è autenticata reciprocamente con certificato, non "dentro la rete privata è tutto fidato". È un'abitudine che vent'anni fa sarebbe sembrata paranoica, oggi è il minimo indispensabile: la rete interna non è più un perimetro di fiducia, è solo un percorso.

06Accesso amministrativo controllato

La parte più delicata della data sovereignty non è dove stanno i dati — è chi può leggerli amministrativamente. Qui il presidio è a tre livelli:

Se un cliente chiede "chi ha toccato il mio sistema il 12 aprile alle 15:47", la risposta è una riga di log firmata, non una ricostruzione a memoria.

07Quando l'extra-UE serve davvero

Essere onesti: ci sono casi in cui il dato deve uscire dall'UE, e fingere di no sarebbe marketing. Il più frequente oggi è l'uso di modelli di AI via API di provider non europei (OpenAI, Anthropic, Google). Il nostro approccio:

08Cosa deve firmare il cliente

La conseguenza pratica di tutto quanto sopra: il pacchetto contrattuale è volutamente leggero.

Tema Stack italiano PSA Hyperscaler tipico (anche con region EU)
Dove vivono i datiDue data center Tier III italiani, hardware PSADistribuiti globalmente, region EU dichiarata ma controllo legale USA/cloud-provider
Uscita internetAS42425 proprio, peering su TOP-IX, rotte documentabiliBackbone del provider, opaco al cliente
Trasferimenti extra-UENessuno di default; se serve (es. LLM), esplicitato nel DPAPossibili per telemetria, support ops, servizi gestiti — spesso non visibili
Contratti necessariDPA standard italianoDPA + SCC + TIA + valutazione rischio giurisdizionale
Audit degli accessi adminLog immutabile con firma temporale qualificataLog del provider, fidati del report
Chi risponde in auditLa stessa persona che gestisce il sistemaCommerciale + documenti contrattuali, zero dialogo tecnico diretto

In pratica: il cliente firma DPA standard (contratto ex art. 28 GDPR) e niente Standard Contractual Clauses, niente Transfer Impact Assessment, niente analisi della legge FISA. Non perché "non serve" — perché il trasferimento che renderebbe necessari quei documenti non avviene.

Dati italiani, spiegati in una riga.

Parliamone →