Sai quando ti trasferisci in un nuovo ufficio?
Immagina di affittare uno spazio in un palazzo moderno. Il proprietario ti garantisce la porta blindata, l'allarme, maybe anche un vigilante notturno. Ma poi arriva il contratto di locazione e scopri una cosa divertente: se lasci documenti sensibili incustoditi sulla scrivania, non è colpa del proprietario. Se non chiudi a chiave l'armadio, se non attivi l'allarme quando vai via — il problema è tuo.
Il cloud funziona quasi allo stesso modo.
Il fornitore ti dà server, redundanza, certificazioni ISO. Ma la sicurezza dei dati che carichi, la gestione degli accessi, la risposta agli incidenti? Spesso, almeno in parte, sono responsabilità tua.
E qui iniziano i guai.
Ma cosa sta succedendo davvero?
Negli ultimi anni, l'Europa ha deciso che il "cloud è sicuro" non basta più come scusa. Il Regno Unito ha multato aziende per milioni perché i dati erano su AWS ma nessuno aveva configurato correttamente i permessi. In Italia, l'AGCM ha bacchettato fornitori che promettevano compliance "chiavi in mano" senza spiegare che il cliente doveva fare la sua parte.
I regolamenti principali che ti riguardano:
- GDPR: i tuoi dati personali, i dati dei clienti, restano sempre sotto la tua responsabilità. Il fornitore è un "elaboratore" (processor), tu sei il "titolare" (controller). Traduzione: se qualcosa va male, la multa arriva a te.
- NIS2: se operi in settori critici (energia, trasporti, sanità, digitale), hai obblighi specifici sulla sicurezza della supply chain cloud. Devi dimostrare che il tuo fornitore è conforme — e che tu controlli che lo sia davvero.
- DORA: per banche, assicurazioni e intermediari finanziari, il regolamento europeo impone requisiti rigorosi sulla resilienza ICT, inclusa la gestione dei servizi cloud. Non basta dire "usa un cloud provider certificato".
Il problema? Molte aziende pensano che basti scegliere un provider con le certificazioni giuste e il gioco sia fatto. In realtà, il modello di "shared responsibility" del cloud significa che il fornitore gestisce la sicurezza "del" cloud, ma tu devi gestire la sicurezza "nel" cloud.
Perché ti riguarda
Poniamo che hai una PMI italiana con 50 dipendenti. Usi Google Workspace o Microsoft 365 per la posta, i documenti, magari un ERP cloud per la fatturazione.
Ora, tre scenari:
- Un dipendente configura male i permessi di Drive. Un file con dati di clienti diventa pubblico. Arriva una segnalazione al Garante. La multa? Da 10.000 a 20 milioni di euro, o il 4% del fatturato.
- Il tuo fornitore cloud subisce un attacco. I suoi server vengono compromessi. I tuoi dati sono esposti. Devi dimostrare di aver fatto tutto il possibile per proteggerti — altrimenti la responsabilità ricade su di te.
- Un auditor NIS2 ti chiede di dimostrare come gestisci la sicurezza dei dati nel cloud. Non hai una mappatura aggiornata. Non sai chi ha accesso a cosa. Risultato: sanzione e perdita di reputazione.
Non parliamo di scenari fantascientifici. In Italia, nel 2025, ci sono state decine di contestazioni per mancata compliance cloud. La maggior parte delle aziende coinvolte pensava di "aver delegato tutto" al fornitore.
Cosa puoi fare (senza impazzire)
Ok, ora la parte pratica. Come ti muovi senza diventare un esperto di compliance overnight?
Primo passo: capisci cosa hai nel cloud.
Non puoi proteggere quello che non conosci. Fai una lista dei servizi cloud che usi, dei dati che ci carichi, di chi ha accesso. Non serve un software complicato — un foglio Excel aggiornato può bastare, almeno per iniziare. Il punto è avere consapevolezza.
Secondo passo: leggi i contratti.
So, lo so, i contratti sono noiosi. Ma il tuo accordo con AWS, Google, Microsoft contiene sezioni specifiche su chi fa cosa. Cerca termini come "data processing agreement", "security responsibilities", "shared responsibility". Sono documenti lunghi, ma almeno leggi il riepilogo che i fornitori allega spesso.
Terzo passo: configura gli accessi come si deve.
Il 70% dei problemi di sicurezza cloud derivano da permessi troppo ampi. Il principio è semplice: dai a ogni utente il minimo accesso necessario per fare il proprio lavoro. Se qualcuno non ha bisogno di vedere i dati finanziari, non deve vederli. Questo si chiama "principio del minimo privilegio" — non è una parola magica, è buon senso.
Quarto passo: attiva la registrazione.
I log di accesso sono come le telecamere di sorveglianza. Se non registri chi accede a cosa, quando succede un problema non hai modo di capire cosa è successo. La maggior parte dei provider cloud offre log gratuiti o a basso costo. Attivali.
Quinto passo: pianifica la risposta agli incidenti.
Non serve un piano elaborato. Bastano tre domande: chi viene avvisato se qualcosa non va? Chi decide cosa fare? Come si comunica all'esterno (clienti, autorità)? Scrivilo su un foglio. Sarà meglio di niente.
Il consiglio dell'amico
Sai qual è l'errore più grande che vedo nelle aziende? Pensare che la compliance sia un costo che non porta nulla. In realtà, è un investimento che ti salva da multe che possono mettere in ginocchio un'azienda, e ti fa dormire sonni tranquilli.
Non devi diventare un esperto. Ma devi capire almeno le basi di cosa è sotto la tua responsabilità e cosa no. Il cloud provider non è il tuo scudiero — è un partner. E come ogni partnership, devi sapere cosa ci si aspetta da entrambi.
Se hai dubbi, partire da una verifica semplice dei permessi e dei log è un ottimo inizio. Il resto viene dopo, con calma.
La sicurezza non è un punto di arrivo — è un percorso. E ogni passo che fai oggi è un passo che non dovrai fare di corsa domani, quando qualcosa va storto.