In un mondo sempre più digitalizzato, i dati sono diventati il fondamento di molte aziende e il loro controllo è ora un compito strategico di leadership. Sovranità dei dati significa non solo sapere dove si trovano i propri dati, ma anche decidere attivamente come utilizzarli, proteggerli e accedervi. Tutto questo è essenziale soprattutto per le PMI, al fine di garantire la certezza del diritto, la fiducia e la competitività. Chi se ne assume la responsabilità, alla fine mantiene davvero il controllo.
Da un sondaggio condotto da Swisscom tra oltre 800 PMI emerge che quasi un’azienda di piccole dimensioni su tre e una grande impresa su otto non dispone di sufficiente controllo sui propri dati.
Fonte: sondaggio Swisscom tra le PMI, primavera 2026
Sovranità dei dati – Controllo dei dati aziendali come compito dirigenziale
Videocorso: riprendete il controllo
Avete davvero il controllo sui vostri dati? Scoprite nel videocorso gratuito con i nostri esperti come creare trasparenza e ridurre le dipendenze da fornitori esterni. In moduli brevi, imparerete le basi essenziali, i rischi, gli approcci e le soluzioni per la sicurezza dei dati nelle PMI.
Gli imprenditori e i dirigenti sono responsabili di gestire il proprio personale e di assicurarsi che vi sia un numero sufficiente di ordini nei libri contabili. Al contempo, sviluppano ulteriormente l’azienda e l’offerta, reclutano nuovi membri del personale e sono chiamati a rispondere quando e dove insorgono problemi. Con così tante attività, affidare a un partner specializzato temi specialistici come l’IT aziendale e l’archiviazione dei dati diventa una scelta ovvia. Tuttavia, la responsabilità non può essere esternalizzata, soprattutto in un’epoca di crescente digitalizzazione e di sempre maggiori attacchi informatici, anche alle PMI.
La digitalizzazione può portare notevoli vantaggi alle aziende: consente di automatizzare i processi, ottimizzare le procedure e prendere decisioni basate sui dati. I dati diventano così un fattore centrale per la creazione di valore. Consentono previsioni più precise, aumentano l’efficienza e creano la base per nuove offerte o innovazioni.
Tuttavia, con l’aumento dell’utilizzo dei dati cresce anche la complessità della loro gestione. È importante mantenere la visione d’insieme e il controllo per rispettare le disposizioni legali, normative e contrattuali nonché preservare la protezione dei dati e la sicurezza informatica.
Sovranità dei dati significa gestire consapevolmente il controllo dei dati aziendali. Pertanto, la sovranità e il controllo dei dati non sono solo un compito dell’IT, ma anche una questione di business, sicurezza e cultura. Il controllo dei dati è importante, spesso anzi vitale per l’azienda. Per questo motivo, imprenditori e dirigenti devono tassativamente occuparsi di persona di questo tema e considerarlo un compito della dirigenza.
Quadro giuridico
Oggi in Svizzera la protezione e la sicurezza dei dati sono regolamentate in modo chiaro. La revisione della Legge federale sulla protezione dei dati (nLPD) prevede che le organizzazioni sappiano quali dati personali trattano, per quale scopo e dove sono conservati. Per le aziende che operano a livello internazionale si aggiungono inoltre leggi come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE o normative settoriali specifiche, come DORA per il settore finanziario o NIS2 per i gestori di infrastrutture critiche.
Anche l’utilizzo di servizi cloud è soggetto a disposizioni di legge. Chi archivia o tratta dati al di fuori della Svizzera o dell’Europa deve verificare quali condizioni si applicano ai trasferimenti di dati e se questi Paesi garantiscono un livello di protezione adeguato. Occorre prestare particolare attenzione all’US Cloud Act, che in determinate circostanze consente alle autorità di accedere ai dati presso provider statunitensi. Occorre conoscere tali rischi e ridurli mediante misure tecniche e contrattuali, ad esempio con una chiara localizzazione dei dati, fori competenti definiti e clausole di riservatezza.
La mancata consapevolezza o presupposizioni errate portano a rischi sconosciuti. Per questo la certezza del diritto è ancora più importante per le aziende che lavorano con dati nel cloud. Ottenere tale certezza può essere molto impegnativo, soprattutto se non si ha molta dimestichezza con l’IT e la digitalizzazione. È quindi opportuno rivolgersi a esperti che conoscano i rischi giuridici e siano in grado di garantire la certezza del diritto laddove la tecnologia non sia sufficiente.
Trasparenza dei dati come base
La trasparenza è sempre il fulcro della sovranità dei dati. Le aziende devono sapere quali dati possiedono, dove sono archiviati, chi vi accede e come vengono trattati. Solo conoscendo il ciclo di vita dei dati è possibile valutarne correttamente i rischi e adottare misure di protezione adeguate.
Nella prassi spesso manca questa visione d’insieme. I dati sono ripartiti su diversi sistemi applicativi, cloud, sistemi di condivisione dei file e terminali. Responsabilità diverse, strutture che si sono sviluppate nel tempo e fornitori di servizi esterni rendono difficile mantenere la visione d’insieme. La conseguenza: responsabilità non chiare, rischi non riconosciuti e perdita di controllo.
Si instaura trasparenza quando le aziende registrano e classificano sistematicamente le proprie fonti di dati e definiscono le responsabilità. Ciò comporta non solo vantaggi in termini di sicurezza, ma anche incrementi di efficienza: le risorse IT e di compliance possono essere impiegate in modo mirato.
Tipi di dati e necessità di protezione
Non tutte le informazioni presentano lo stesso livello di criticità. È possibile distinguere tra dati sensibili, critici e dati interni:
- I dati sensibili riguardano le persone, ad esempio informazioni su clienti o collaboratori, dati sullo stato di salute o buste paga. La loro protezione è prescritta dalla legge ed eventuali abusi possono mettere a repentaglio i diritti della personalità.
- I dati critici sono rilevanti per l’azienda, come documenti contrattuali, dati finanziari, proprietà intellettuale o piani di costruzione. La loro perdita o la loro divulgazione possono compromettere notevolmente l’operatività.
- I dati interni, ad esempio le direttive interne o i documenti di progetto, sono considerati propri dell’azienda, ma richiedono comunque una protezione d’accesso strutturata.
Affinché le imprese possano capire quali dati proteggere e in che modo, devono sapere se si tratta di dati sensibili, critici o interni. I dati devono quindi essere classificati in modo corretto e completo affinché la strategia di sicurezza possa dimostrare la propria efficacia. Questo rende la corretta classificazione dei dati una base importante per l’interazione di misure di protezione legali, tecniche e organizzative.
Accesso e protezione dell’accesso
Il controllo dei dati comprende anche il controllo di chi può accedervi: la protezione dell’accesso è un aspetto fondamentale della reale sovranità dei dati. Ciò include da un lato la protezione degli accessi, dall’altro anche la gestione attiva dei rispettivi diritti.
Password lunghe e complesse non garantiscono più la protezione desiderata. Soprattutto se abbinate a un obbligo di frequente sostituzione, possono divenire facilmente memorizzabili, e quindi facilmente indovinabili, essere utilizzate più volte o modificate solo lievemente. Nella darknet si possono trovare elenchi di dati di accesso che sono circolati a causa di falle di sicurezza su siti web hackerati. Con tali elenchi, i criminali informatici effettuano tentativi di accedere a un servizio fino a che una data combinazione di password e e-mail dalla lista funziona e riescono così a ottenere l’accesso.
Anche l’autenticazione a più fattori (MFA) oggi può essere scardinata con metodi appositi. I moderni attacchi di phishing utilizzano i cosiddetti attacchi man-in-the-mid per rispecchiare i processi di registrazione in tempo reale. In questo modo gli hacker possono intercettare anche il secondo fattore, nel caso in cui non venga utilizzata un’autenticazione resistente al phishing (ad es. passkey).
Un’azienda non deve chiedersi solo in che modo collaboratori e collaboratrici effettuano l’accesso, ma anche a cosa. Deve essere istituito un piano di ruoli e diritti che prescrive a tutti i membri del personale quali informazioni possono vedere e modificare. Questo costituisce il fondamento di un’architettura di sicurezza funzionante.
Una moderna protezione dell’accesso presuppone che prima o poi un account utente venga compromesso. La domanda non è quindi «se», ma «cosa succede quando succede?». Serve una combinazione di processi di autorizzazione chiaramente definiti, soluzioni di autenticazione sicure e una verifica continua di ruoli, dispositivi e informazioni di contesto. Ci si assicura così che collaboratrici, collaboratori e partner esterni abbiano accesso solo ai dati di cui hanno bisogno per il proprio lavoro.
In conclusione, il controllo è una questione di atteggiamento
Non è solo il reparto IT a decidere se un’azienda ha il controllo dei propri dati, ma anche i dirigenti. La sovranità dei dati nasce dove il management, il diritto e la tecnologia interagiscono, con chiare responsabilità, una gestione coerente del rischio e una cultura della sicurezza vissuta.
Alla fine, quindi, chi ha davvero il controllo è l’organizzazione che considera la sovranità dei dati come parte della propria governance e non come un’opzione tecnica.
Videocorso: riprendete il controllo
Avete davvero il controllo sui vostri dati? Scoprite nel videocorso gratuito con i nostri esperti come creare trasparenza e ridurre le dipendenze da fornitori esterni. In moduli brevi, imparerete le basi essenziali, i rischi, gli approcci e le soluzioni per la sicurezza dei dati nelle PMI.
