Sovranità dei dati, per Keepit gli MSP ripensano il recovery SaaS

La sovranità dei dati non è più soltanto un tema giuridico o una voce da inserire nelle checklist di compliance. Con l’entrata in vigore di DORA e NIS2, il concetto si sta spostando sul terreno operativo della resilienza, della capacità di ripristino e del controllo reale sulle informazioni aziendali. È un passaggio che riguarda da vicino i Managed Service Provider, chiamati oggi a garantire non solo disponibilità dei servizi, ma anche recuperabilità effettiva dei dati in ambienti SaaS sempre più distribuiti e critici.

Secondo Cyril VanAgt, VP Channel South Europe di Keepit, il punto è chiaro: “La sovranità dei dati non può più essere considerata una semplice astrazione normativa. Per gli MSP sta diventando una responsabilità pratica, misurabile e direttamente collegata alla continuità operativa dei clienti”.

Dalla compliance alla responsabilità operativa

Per anni la sovranità dei dati è stata associata soprattutto al luogo fisico o giuridico in cui le informazioni venivano archiviate. Oggi questa lettura non basta più. Le aziende chiedono dove sono conservati i dati, ma anche chi li controlla, in quanto tempo possono essere recuperati e se le procedure di ripristino sono solide abbastanza da superare audit e verifiche regolamentari.

“Le domande dei clienti sono cambiate“, osserva VanAgt. “Non si limitano più alla localizzazione dei dati, ma riguardano il controllo, l’accesso e la capacità di recovery in condizioni reali”.

Questo cambiamento investe direttamente i service provider che gestiscono ambienti SaaS, backup e applicazioni business critical. La sovranità, quindi, non è più una funzione accessoria della data protection, ma diventa parte integrante del servizio che gli MSP devono progettare, erogare e dimostrare.

Gli MSP diventano custodi del controllo dei dati

Il ruolo degli MSP si è progressivamente ampliato. Non si tratta più soltanto di gestire infrastrutture, garantire uptime o presidiare la disponibilità dei sistemi. Per molte imprese, soprattutto in ambito SaaS, il Managed Service Provider è ormai il soggetto che presidia la protezione dei dati, la continuità operativa e la capacità di recuperare informazioni in caso di errore, attacco o interruzione del servizio.

“Il passaggio è da gestori dell’infrastruttura a custodi del controllo dei dati“, sottolinea VanAgt. “La vera sovranità dipende dalla possibilità di accedere ai dati, governarli e ripristinarli anche quando l’ambiente primario non è disponibile”.

È qui che emerge il nuovo valore competitivo degli MSP. La capacità di assicurare recovery indipendente, ridurre la dipendenza da singole piattaforme e offrire visibilità concreta ai clienti diventa un elemento distintivo in un mercato dove prestazioni e capacità non sono più sufficienti.

La resilienza deve essere dimostrabile

La protezione dei dati non può più essere comunicata solo come promessa. Le imprese, spinte anche da normative più stringenti, chiedono evidenze operative. Vogliono sapere se i dati possono essere recuperati entro tempi definiti, con quali dipendenze tecnologiche e in quali scenari di crisi.

Il Keepit Annual Data Report 2026 mostra quanto il ripristino sia ormai una pratica quotidiana: il 90% delle azioni di recovery riguarda singoli file, segno che la perdita di dati non è un evento raro o eccezionale, ma una situazione ricorrente nella normale operatività aziendale. Inoltre, la maggior parte dei ripristini avviene durante l’orario di lavoro, quando l’impatto sui processi è immediato.

“La resilienza non è un concetto teorico”, evidenzia VanAgt. “Viene testata ogni giorno, spesso su incidenti circoscritti ma critici. Gli MSP devono essere pronti a sostenere questa realtà con processi verificabili”.

Il rischio nascosto della dipendenza dal SaaS

L’adozione del SaaS ha semplificato molte attività aziendali, ma ha anche reso più complessa la governance del dato. Molte imprese utilizzano piattaforme cloud per processi essenziali e spesso danno per scontato che il provider SaaS garantisca una protezione completa delle informazioni. In realtà, il modello resta basato su una responsabilità condivisa.

I fornitori SaaS assicurano la disponibilità del servizio, ma la protezione a lungo termine dei dati e la loro recoverability restano spesso in capo al cliente.

Per gli MSP questo apre un fronte delicato: se l’accesso alla piattaforma viene compromesso da un cyberattacco, da una configurazione errata o da un’interruzione, anche il ripristino può risultare limitato dalla piattaforma stessa.

“Il vero gap di sovranità nasce quando l’azienda scopre di avere i dati archiviati, ma non di poterli controllare davvero nel momento in cui servono”, afferma VanAgt.

PMI e grandi aziende, maturità ancora distante

Il livello di preparazione non è uniforme. Le grandi aziende tendono a testare più spesso i ripristini, anche grazie a team IT dedicati e processi più strutturati. Le PMI, invece, intervengono spesso solo quando si presenta un problema concreto. Il documento di Keepit evidenzia una distanza significativa: il 28% delle PMI effettua ripristini regolarmente, contro il 91% delle medie imprese e il 95% delle grandi aziende.

Questo divario non dipende solo dalla consapevolezza, ma anche dalle risorse disponibili. Persino eventi di blackout rilevanti non sempre generano un aumento sistematico dei test di ripristino. La percezione del rischio, da sola, non basta a costruire prontezza operativa.

“MSP e vendor possono colmare questo divario con controlli di recovery più leggeri, guidati e ripetibili”, spiega VanAgt. “L’obiettivo è aumentare progressivamente la fiducia dei clienti e accompagnare la crescita della loro maturità tecnologica”.

Servizi disegnati per la sovranità

Per rispondere a questo scenario, gli MSP devono ripensare la progettazione dei servizi. La sovranità non può essere delegata soltanto alle policy o alla documentazione contrattuale. Deve essere incorporata nell’architettura del servizio, nei processi di recovery e nella capacità di dimostrare al cliente cosa accade in caso di perdita di accesso alla piattaforma primaria.

Questo significa garantire il ripristino dei dati indipendentemente dall’ambiente SaaS originario, ridurre la dipendenza da un singolo vendor, testare regolarmente le procedure e offrire una visione chiara delle capacità di recovery.

“Le aziende vogliono risposte precise: cosa succede se perdo l’accesso a una piattaforma SaaS? Quanto tempo serve per recuperare i dati? Quali dipendenze esistono nella catena di ripristino?”, commenta VanAgt. “Sono domande che stanno entrando nella due diligence standard, soprattutto nei settori regolamentati“.

Dal servizio alla garanzia di sicurezza

Il mercato sta quindi ridefinendo il valore degli MSP. I clienti non acquistano più soltanto servizi gestiti, capacità di storage o livelli di disponibilità. Acquistano la garanzia che i dati possano essere recuperati, che le attività possano continuare e che gli obblighi regolamentari possano essere rispettati anche in condizioni critiche.

Per i Managed Service Provider, questa trasformazione rappresenta una sfida ma anche un’opportunità. Chi saprà costruire una strategia credibile di sovranità, resilienza e recoverability potrà differenziarsi in un mercato sempre più maturo e regolamentato.

“La capacità di dimostrare controllo, resilienza e recovery sta diventando un vantaggio competitivo chiave per gli MSP”, conclude VanAgt. “La sovranità dei dati non è più definita solo da dove risiedono le informazioni, ma dalla possibilità di controllarle e ripristinarle davvero quando necessario”.

In questa prospettiva, la sovranità non è più una questione di geografia del dato, ma di governo effettivo. Per gli MSP il cambio di paradigma è netto: andare oltre uptime e capacità, progettando servizi orientati a indipendenza, resilienza e ripristino verificabile.