Executive Summary: sovranità digitale a rischio nel settore pubblico

Le agenzie governative e le istituzioni scolastiche e accademiche si trovano ad affrontare una svolta cruciale nel digitale, chiamate come sono a navigare in un panorama IT in continua e rapida evoluzione popolato da una miriade di vendor di tecnologie, numerose soluzioni cloud, e nuove frontiere in ambito AI. Il report Nutanix Enterprise Cloud Index 2025 per il settore pubblico mostra progressi significativi nell'uso dell'AI e dei container, ma rivela anche timori per le vulnerabilità critiche che minacciano le operazioni IT del comparto e la capacità di adempiere alla missione del settore pubblico.

Frammentazione e lock‑in

Lo stato attuale dell'IT nel settore pubblico è caratterizzato da frammentazione interna e dipendenza da un ventaglio sempre più ampio di vendor esterni. I silos che già esistevano prima all'interno di agenzie governative e istituzioni scolastiche non sono scomparsi, e anzi i team di sistema, i team applicativi e le divisioni aziendali operano ancora in isolamento gli uni dagli altri. 

Mentre si punta alla modernizzazione con servizi cloud e soluzioni SaaS e IA si assiste a un paradosso: queste tecnologie, concepite per migliorare l'efficienza e l'esperienza dei cittadini/utenti, finiscono per erodere le capacità interne, causando dipendenze e lock‑in con i vendor e accrescendo le vulnerabilità sul fronte della sicurezza. 

Nel complesso, questa compartimentazione ha dato vita a criteri di governance incoerenti e ad archivi di dati isolati che minano alla base la capacità di estrarre insight significativi dai carichi di lavoro AI, anziché invece contribuire a migliorare le decisioni strategiche e consentire di allocare meglio risorse già scarse.

Adozione della GenAI e sicurezza nel settore pubblico

La rivoluzione dell'AI generativa (GenAI) è arrivata anche nella pubblica amministrazione: il report ECI per il settore pubblico ha anzi rilevato che il 94% delle organizzazioni sta già utilizzando applicazioni di intelligenza artificiale generativa. 

Tuttavia, l'adozione della GenAI ha portato alla luce una serie di preoccupazioni concernenti le vulnerabilità in materia di sicurezza e privacy. Addirittura il 92% del campione intervistato del settore pubblico riconosce che potrebbe fare di più per proteggere i propri modelli e applicazioni AI, mentre il 67% ammette che la privacy dei dati è difficile da garantire – nonostante il 98% concordi sul fatto che sia invece una priorità nell'implementazione della GenAI. 

Questa contraddizione evidenzia una discrepanza di base tra intenti e capacità che può mettere a rischio i dati sensibili dei cittadini e delle amministrazioni.

Divario di competenze, lacune infrastrutturali e priorità di investimento

La minaccia più critica alla sovranità digitale nel settore pubblico è forse il divario di competenze informatiche. Dal report è emerso che solo il 51% delle organizzazioni del settore ritiene di possedere le competenze necessarie per supportare le iniziative di GenAI. 

Alla domanda su quali siano le maggiori criticità legate alla GenAI, il campione intervistato per il settore pubblico ha inequivocabilmente indicato al primo posto i timori relativi alla privacy e alla sicurezza legati all'utilizzo di dati organizzativi sensibili con i modelli linguistici di grandi dimensioni, citati dal 38% del campione (tanto per fare un confronto, la seconda preoccupazione più citata si ferma al 26%). 

Più che di divario di competenze, sarebbe più corretto parlare di una forbice sempre più ampia tra le esigenze organizzative e le capacità interne.

Queste criticità sono aggravate dall'inadeguatezza delle infrastrutture: l'81% delle organizzazioni del settore pubblico dichiara infatti che la propria infrastruttura IT attuale richiede un miglioramento quantomeno moderato per poter supportare pienamente la sicurezza dei dati. 

Il fatto che l'infrastruttura IT insieme alla formazione e alla sicurezza informatica siano citate come prime tre priorità di investimento per supportare la GenAI indica che i sistemi di base non sembrano preparati per le opportunità attuali, né tanto meno per le esigenze future.

Complessità e Kubernetes 

Come rivela il report, il carico della complessità continua ad aumentare dato che l'83% delle organizzazioni del settore pubblico ora gestisce più ambienti Kubernetes®. Se a questo aggiungiamo le applicazioni esternalizzate (ciascuna delle quali porta con sé i propri protocolli di sicurezza, requisiti di conformità, problemi di integrazione, modelli di prezzo e necessità di gestire le relazioni con i vendor), quella che all'inizio doveva essere una soluzione per ridurre la complessità rischia di diventare un incubo a livello gestionale che moltiplica le vulnerabilità di sicurezza. 

I team IT si ritrovano a essere non più volani di sviluppo e innovazione, ma addetti al coordinamento dei vendor e alla gestione dei contratti. E i costi aumentano, a causa di modelli di prezzo saldamente controllati dai vendor e pensati per massimizzare i loro profitti, anziché il valore per il pubblico.

Questa erosione delle capacità interne rappresenta una minaccia fondamentale alla sovranità digitale – sovranità digitale che non può esistere senza indipendenza dell'infrastruttura, controllo dei dati, autorità normativa, controllo economico e autonomia in materia di sicurezza. Per le organizzazioni del settore pubblico, sovranità digitale significa: 

• Mantenere la continuità della missione senza dipendere da vendor esterni 
• Preservare la fiducia del pubblico attraverso la protezione dei dati 
• Garantire la sicurezza nazionale impedendo l'accesso non autorizzato ai sistemi critici 
• Mantenere la capacità di innovazione per soddisfare le esigenze specifiche del settore pubblico 
• Controllare i costi affrancandosi dai lock‑in con i vendor

Una strategia ibrida per la sovranità digitale – e un case study dal Regno Unito

Il percorso da seguire richiede una rivalutazione strategica dell'architettura IT che dia priorità alla sovranità e allo stesso tempo spiani la strada alla modernizzazione. Lavorando con i nostri clienti nei settori della pubblica amministrazione e dell'istruzione, abbiamo capito che l'approccio più efficace alla sovranità digitale non sono tanto la completa autosufficienza o l'esternalizzazione totale, quanto un'ibridazione strategica che mantenga le capacità di base all'interno dell'organizzazione e che allo stesso tempo sfrutti adeguatamente le competenze esterne. Ciò significa creare internamente solide capacità di gestione, governance e supervisione dell'IT che non vanno mai esternalizzate, curando l'architettura tecnica e le competenze di integrazione per prevenire i lock‑in e garantire l'interoperabilità del sistema. 

Il Department for Work and Pensions del Regno Unito (il ministero del lavoro e della previdenza sociale britannico, abbreviato in DWP) è un ottimo esempio di questo approccio, e ha invertito una rotta ormai ventennale in fatto di esternalizzazione che aveva frammentato l'infrastruttura IT. Sfruttando la piattaforma cloud unificata di Nutanix, il DWP ha riportato sotto la sua gestione diretta le applicazioni precedentemente esternalizzate, ottenuto una scalabilità analoga a quella del cloud grazie a soluzioni on‑premise sicure, e dato più potere al personale grazie a funzionalità self‑service assistite dall'intelligenza artificiale, mantenendo contemporaneamente il controllo completo sul proprio destino digitale.

Questo dimostra che nella vita reale le agenzie governative con solide basi interne riescono a sfruttare efficacemente i partner esterni, garantendo contemporaneamente la continuità del servizio e adattandosi al variare e all'evolversi delle esigenze. Al contrario, fare eccessivo affidamento sull'esternalizzazione crea vulnerabilità costose che possono in ultima analisi minare la fiducia del pubblico e l'erogazione dei servizi.  

Come riprendersi la sovranità digitale

Innanzitutto, non c'è tempo da perdere. Le nostre raccomandazioni sono: 

• Verificare sotto quali aspetti l'organizzazione dipende attualmente dai vendor esterni 
• Individuare le applicazioni critiche per le quali un guasto lato vendor comprometterebbe l'erogazione dei servizi 
• Valutare quali competenze mancano all'interno dell'organizzazione
• Implementare piattaforme cloud ibride che riportino il controllo nelle mani dell'organizzazione 

La strategia a medio termine dovrebbe concentrarsi su programmi aggressivi di aggiornamento delle competenze e sull'internalizzazione selettiva delle applicazioni ad alto rischio, mentre a lungo termine il consiglio è di puntare sullo sviluppo di reparti interni dedicati alle applicazioni e di centri di eccellenza che rendano le organizzazioni del settore più appetibili per i migliori talenti IT.

La posta in gioco non potrebbe essere più alta. La sovranità digitale non è solo questione di infrastruttura tecnologica: per il settore pubblico è l'occasione di preservare la capacità di servire i cittadini in modo efficace, proteggere i dati sensibili, tutelare la sicurezza nazionale e innovare in risposta alle esigenze specifiche di ciascuna comunità. 

© 2025 Nutanix, Inc. Tutti i diritti riservati. Nutanix, il logo di Nutanix e tutti i nomi di prodotti e servizi Nutanix menzionati sono marchi registrati o marchi commerciali di proprietà di Nutanix, Inc. negli Stati Uniti e in altri paesi. Kubernetes è un marchio registrato di proprietà della Linux Foundation negli Stati Uniti e in altri paesi. Tutti gli altri nomi di marchi menzionati sono solo a scopo identificativo e potrebbero essere marchi commerciali di proprietà dei rispettivi titolari. Alcune informazioni pubblicate all'interno di questo documento possono indirizzare a, o riguardare, o essere basate su studi, pubblicazioni, sondaggi e altri dati ottenuti da fonti terze e dalle nostre stime e ricerche interne. Sebbene al momento della pubblicazione di questo documento riteniamo che questi studi, pubblicazioni, sondaggi e altri dati di terze parti siano affidabili, essi non sono stati verificati in modo indipendente (salvo quando espressamente indicato), e non garantiamo l'adeguatezza, la correttezza, l'accuratezza e la completezza delle informazioni ottenute da fonti terze. La nostra decisione di pubblicare dati di terze parti o di indirizzarvi o di farvi riferimento non deve essere considerata un'approvazione di tali contenuti. Le dichiarazioni della clientela su risultati, vantaggi, risparmi o altri esiti dipendono da vari fattori, tra cui lo specifico caso d'uso, i requisiti individuali e gli ambienti operativi, e non devono essere interpretate come un impegno o un obbligo ad assicurare determinati risultati.