5 min di lettura

Sovranità dei dati: perché i vostri dati devono restare in Svizzera

La sovranità dei dati non è uno slogan di marketing. Per le imprese svizzere nei settori regolamentati è una necessità giuridica. Una panoramica dei fatti.

Sovranità dei datiSvizzeraCLOUD ActLPD
Sovranità dei dati: perché i vostri dati devono restare in Svizzera

«Swiss-hosted» compare su un numero sempre maggiore di siti web di software. Microsoft investe 400 milioni di dollari nell’infrastruttura cloud svizzera. Google e AWS gestiscono centri dati a Zurigo. L’hosting in Svizzera sta diventando una funzionalità standard. Ma «ospitato in Svizzera» e «sovrano in materia di dati» non sono la stessa cosa.

Questo articolo spiega la differenza, perché è rilevante per i settori regolamentati e quali domande le imprese svizzere dovrebbero porre prima di scegliere un fornitore di IA.

Cosa significa sovranità dei dati

Sovranità dei dati significa che i dati sono soggetti esclusivamente alle leggi del Paese in cui vengono elaborati. Nessuna giurisdizione straniera può imporre l’accesso.

Per i dati in Svizzera significa: si applica solo il diritto svizzero. L’IFPDT è l’autorità di vigilanza competente. Nessun servizio di intelligence straniero, nessuna autorità di perseguimento penale straniera può esigere l’accesso, se non attraverso la via dell’assistenza giudiziaria internazionale.

Questo principio viene meno quando il fornitore è soggetto a una giurisdizione straniera che dispone di poteri di accesso extraterritoriali.

Il CLOUD Act: il problema concreto

Il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) degli Stati Uniti è entrato in vigore nel 2018. Consente alle autorità statunitensi di esigere dalle aziende americane la consegna di dati, indipendentemente dal luogo in cui questi dati sono fisicamente archiviati.

In concreto: se un’impresa svizzera archivia dati presso un fornitore statunitense (Microsoft Azure, Google Cloud, Amazon AWS, Salesforce ecc.), un’autorità USA può esigere la consegna di tali dati. La localizzazione del server in Svizzera non protegge dal CLOUD Act, poiché la legge si aggancia al controllo dell’azienda, non alla localizzazione dei dati.

Le condizioni contrattuali del fornitore («Non comunichiamo dati senza il vostro consenso») non possono prevalere sul CLOUD Act. Un contratto si colloca al di sotto di una legge federale nella gerarchia delle norme. Se un tribunale statunitense ordina la consegna, il fornitore americano deve ottemperare, anche se il suo contratto con il cliente svizzero prevede diversamente.

Perché è rilevante per i settori regolamentati

Segreto professionale dell’avvocato (LLCA art. 13)

Le avvocate e gli avvocati svizzeri sono vincolati dal segreto professionale secondo l’art. 13 della legge federale sulla libera circolazione degli avvocati (LLCA, RS 935.61). La violazione è punibile ai sensi dell’art. 321 CP.

Se un’avvocata inserisce una richiesta di mandato in uno strumento di IA gestito da un’azienda americana, esiste il rischio teorico che tale richiesta venga divulgata tramite un accesso CLOUD Act. Ciò costituirebbe una potenziale violazione del segreto professionale.

Vigilanza FINMA

Gli istituti sottoposti alla vigilanza della FINMA (banche, assicurazioni, gestori patrimoniali) sono soggetti a requisiti rigorosi in materia di sicurezza dei dati e outsourcing. La circolare FINMA 2018/3 «Outsourcing» richiede un’analisi dei rischi in caso di esternalizzazione di funzioni aziendali, compresi i servizi informatici. L’esternalizzazione presso un fornitore soggetto a una giurisdizione straniera con poteri di accesso extraterritoriali è un rischio che deve essere documentato e mitigato.

Legge sulla protezione dei dati (LPD)

La LPD svizzera (RS 235.1) disciplina la comunicazione transfrontaliera di dati agli art. 16-17. I dati possono essere comunicati solo a Paesi con un livello di protezione adeguato. La Svizzera non ha emanato una decisione di adeguatezza generale per gli Stati Uniti. Le comunicazioni verso gli USA richiedono garanzie supplementari (clausole contrattuali tipo, norme aziendali vincolanti).

Il CLOUD Act mina queste garanzie aprendo un canale di accesso che nessuna clausola contrattuale può bloccare.

Le alternative

Fornitori svizzeri con infrastruttura svizzera

Aziende come Infomaniak, Exoscale e Safe Swiss Cloud gestiscono centri dati in Svizzera e sono soggette esclusivamente al diritto svizzero. Nessun CLOUD Act. Nessun accesso da parte di autorità straniere, se non attraverso la via formale dell’assistenza giudiziaria.

Per le applicazioni di IA, questi fornitori offrono sempre più capacità GPU e servizi di IA gestiti. Le prestazioni non raggiungono il livello degli hyperscaler statunitensi, ma per la maggior parte dei casi d’uso svizzeri sono sufficienti.

Modelli open source sulla propria infrastruttura

Modelli linguistici open source come Mistral Small 4 (Apache 2.0) o Qwen3.5 funzionano su hardware standard. Un Mac Studio con 96 GB di RAM può far girare un modello con 35 miliardi di parametri in locale. Nessun cloud. Nessuna chiamata API. Nessun dato che lascia l’edificio.

Sagl svizzere con hosting svizzero

I fornitori di servizi di IA organizzati come Sagl svizzere che gestiscono tutta la loro infrastruttura in Svizzera offrono la soluzione più pulita: diritto svizzero, dati svizzeri, responsabilità svizzera.

Cinque domande per ogni fornitore di IA

Prima che un’impresa svizzera in un settore regolamentato valuti un fornitore di IA, dovrebbe porre queste domande:

  1. In quale Paese è registrata la vostra azienda? Una filiale svizzera di una capogruppo statunitense è soggetta al CLOUD Act.

  2. Dove vengono fisicamente elaborati e archiviati i dati? Una «regione svizzera» presso un hyperscaler americano non equivale a un centro dati svizzero di un’azienda svizzera.

  3. La vostra azienda è soggetta al US CLOUD Act o a leggi straniere comparabili? Domanda diretta, risposta diretta. Non accettate risposte evasive.

  4. Potete garantire contrattualmente che nessun dato verrà comunicato ad autorità straniere? Se sì: su quale base giuridica? Se il fornitore è soggetto a una legge di accesso straniera, tale garanzia non è giuridicamente esecutiva.

  5. Quale tribunale svizzero è competente in caso di controversia? Il foro svizzero è il minimo. Un foro straniero in un’offerta di sovranità dei dati è una contraddizione.

Conclusione

La sovranità dei dati non è un argomento di marketing. Per gli studi legali, gli istituti sottoposti alla vigilanza FINMA e ogni impresa svizzera che tratta dati personali, è un requisito giuridico.

La buona notizia: le alternative svizzere esistono. I fornitori cloud svizzeri, i modelli open source e i fornitori svizzeri di servizi IA consentono di sfruttare i vantaggi dell’IA senza perdere il controllo sui dati.

Ulteriori informazioni: montvirtua.com

Questo articolo ha finalità informative e non costituisce una consulenza legale.

Torna al blog

Articoli correlati

22 March 2026

Sovranità dei dati e IA: perché le aziende svizzere devono mantenere il controllo sui propri dati

Sovranità dei dati svizzera nell'era dell'IA. CLOUD Act, LPD, GDPR e perché il controllo sui propri dati non è un'opzione, ma una necessità.
19 March 2026

La Sovranita dei Dati Svizzera nell'Era dell'IA: Perche Conta per il Vostro Studio

La sovranita dei dati svizzera non e una caratteristica di marketing per gli strumenti IA. E un requisito legale per studi legali, banche e professionisti della conformita. Ecco perche dove funziona la vostra IA conta.
29 March 2026

EU AI Act: cosa devono fare le imprese svizzere entro agosto 2026

Il EU AI Act entra pienamente in vigore il 2 agosto 2026. Cosa significa per le imprese svizzere, quali obblighi si applicano e come prepararsi in 18 settimane.