Dove sono davvero i tuoi dati?
Ogni giorno la tua azienda genera e tratta dati sensibili: fatture, contratti, dati dei dipendenti, informazioni bancarie, corrispondenza con clienti e fornitori. Ma sai esattamente dove sono archiviati questi dati? Su quale server, in quale paese, sotto quale giurisdizione?
Con l'entrata in vigore della nuova Legge sulla protezione dei dati (nLPD) il 1° settembre 2023, la Svizzera ha introdotto obblighi stringenti per il trattamento e la localizzazione dei dati personali. Per le PMI e le fiduciarie, la scelta del provider cloud non è più una decisione puramente tecnica: è una questione di conformità legale, reputazione e responsabilità civile.
Questa guida analizza perché il cloud svizzero rappresenta la scelta più sicura per i dati aziendali, confrontando le giurisdizioni CH, EU e USA, esaminando le certificazioni necessarie e fornendo criteri concreti per valutare un provider cloud in modo informato.
nLPD e obblighi di hosting
La nuova Legge federale sulla protezione dei dati (nLPD) e la relativa Ordinanza (OLPD) impongono requisiti specifici per l'hosting e il trattamento dei dati personali:
Localizzazione dei dati (art. 16 nLPD)
Il trasferimento di dati personali all'estero è consentito solo verso paesi con un livello di protezione adeguato riconosciuto dal Consiglio federale. In assenza di tale riconoscimento, servono garanzie contrattuali specifiche (SCC) o il consenso esplicito dell'interessato.
Responsabilità del titolare (art. 5 nLPD)
Il titolare del trattamento rimane responsabile anche quando affida i dati a un provider cloud esterno. Deve verificare che il fornitore garantisca sicurezza adeguata e rispetti le istruzioni contrattuali sul trattamento.
Sicurezza tecnica e organizzativa (art. 8 nLPD)
Il titolare e il responsabile del trattamento devono adottare misure tecniche e organizzative adeguate al rischio: crittografia, controllo degli accessi, backup, logging e piani di continuità operativa.
Registro delle attività di trattamento (art. 12 nLPD)
Le aziende con più di 250 dipendenti (o che trattano dati sensibili su larga scala) devono tenere un registro delle attività di trattamento che include le categorie di dati, le finalità, i destinatari e le misure di sicurezza adottate.
Notifica di violazioni (art. 24 nLPD)
In caso di violazione della sicurezza dei dati, il titolare deve notificare tempestivamente l'IFPDT (Incaricato federale della protezione dei dati). Un hosting in giurisdizioni estere può complicare tempi e modalità di notifica.
Differenze giuridiche: CH vs EU vs USA
La giurisdizione in cui risiedono i dati determina quali leggi si applicano, chi può accedervi e con quali garanzie. Ecco un confronto diretto tra le tre principali giurisdizioni:
| Criterio | Svizzera (nLPD) | UE (GDPR) | USA (CLOUD Act) |
|---|---|---|---|
| Legge applicabile | nLPD + OLPD (dal 1.9.2023) | GDPR (dal 25.5.2018) | CLOUD Act + ECPA + settoriali |
| Accesso governativo ai dati | Solo con ordine del tribunale svizzero; no accesso massivo | Possibile con ordine giudiziario; variabile per Stato membro | CLOUD Act: accesso extraterritoriale anche a dati archiviati all'estero |
| Trasferimento dati all'estero | Consentito solo verso paesi adeguati (lista IFPDT) o con SCC | Consentito con decisione di adeguatezza o SCC | Nessuna restrizione in uscita; forte pressione in entrata (FISA 702) |
| Sanzioni massime | CHF 250'000 (responsabilità personale del dirigente) | € 20 milioni o 4% del fatturato globale | Variabili; sanzioni FTC, class action |
| Diritto alla cancellazione | Sì, art. 32 nLPD | Sì, art. 17 GDPR | Limitato, solo in alcuni Stati (CCPA in California) |
| Adeguatezza reciproca | CH riconosce UE; UE riconosce CH | UE riconosce CH come adeguata | EU-US Data Privacy Framework (instabile, già invalidato due volte) |
Attenzione: il CLOUD Act statunitense permette alle autorità USA di richiedere l'accesso ai dati gestiti da aziende americane indipendentemente da dove i dati siano fisicamente archiviati. Questo include provider come AWS, Azure e Google Cloud, anche se i server si trovano in Europa o in Svizzera.
Requisiti per il cloud aziendale
Un provider cloud destinato a ospitare dati aziendali sensibili deve soddisfare una serie di requisiti tecnici e organizzativi fondamentali:
- Data center situati fisicamente in Svizzera, con infrastruttura ridondante e classificazione Tier III o superiore per garantire disponibilità ≥ 99,982%
- Crittografia end-to-end dei dati a riposo (AES-256) e in transito (TLS 1.3), con gestione delle chiavi separata dal provider (BYOK — Bring Your Own Key)
- Controllo degli accessi granulare basato su ruoli (RBAC) con autenticazione multi-fattore (MFA) obbligatoria per tutti gli utenti amministrativi
- Backup automatici giornalieri con replica geografica su almeno due siti svizzeri distinti, e test di ripristino documentati almeno una volta all'anno
- SLA (Service Level Agreement) con uptime garantito ≥ 99,9%, tempi di risposta definiti per incidenti critici e penali contrattuali in caso di mancato rispetto
- Piano di continuità operativa (BCP) e disaster recovery (DRP) documentati, testati annualmente, con RTO (Recovery Time Objective) ≤ 4 ore e RPO (Recovery Point Objective) ≤ 1 ora
Certificazioni e standard di sicurezza
Le certificazioni attestano che il provider cloud aderisce a standard riconosciuti a livello internazionale per la sicurezza delle informazioni. Ecco le più rilevanti per il contesto svizzero:
ISO/IEC 27001
Lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Copre la gestione dei rischi, le politiche di sicurezza, il controllo degli accessi e la gestione degli incidenti. È il requisito minimo per qualsiasi provider cloud serio.
SOC 2 Type II
Audit indipendente condotto secondo i criteri AICPA (Trust Services Criteria): sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy. Il Type II verifica l'efficacia dei controlli nel tempo (tipicamente 6-12 mesi).
Circolari FINMA (per il settore finanziario)
Le circolari FINMA 2018/03 (outsourcing) e 2023/01 (rischi operativi) definiscono requisiti specifici per l'outsourcing IT nel settore finanziario svizzero. Rilevante per fiduciarie con mandati regolamentati e istituti finanziari.
ISO/IEC 27017 e 27018
Estensioni dello standard 27001 specifiche per il cloud: la 27017 copre i controlli di sicurezza per i servizi cloud, la 27018 si concentra sulla protezione dei dati personali (PII) nel cloud pubblico.
C5 / ISAE 3402
Il Cloud Computing Compliance Criteria Catalogue (C5) del BSI tedesco e l'ISAE 3402 sono standard di audit per i controlli interni dei service provider. Sempre più richiesti da aziende svizzere con operazioni internazionali.
Come valutare un provider cloud
Scegliere un provider cloud è una decisione strategica. Ecco i sei criteri fondamentali da analizzare prima di affidare i dati aziendali a un fornitore esterno:
Giurisdizione e sede legale
Verifica che il provider abbia sede legale in Svizzera e che i data center siano fisicamente sul territorio svizzero. Un provider con sede negli USA è soggetto al CLOUD Act, anche se i server sono in Svizzera. Privilegia aziende svizzere al 100%.
Certificazioni e audit
Richiedi le certificazioni ISO 27001, SOC 2 Type II e, se operi nel settore finanziario, la conformità alle circolari FINMA. Verifica che gli audit siano recenti (ultimi 12 mesi) e condotti da enti indipendenti riconosciuti.
Contratto e SLA
Analizza il contratto di servizio: uptime garantito, tempi di risposta per incidenti, penali, clausole di uscita e portabilità dei dati. Un buon provider offre SLA con uptime ≥ 99,9% e tempi di risposta ≤ 15 minuti per incidenti critici.
Crittografia e gestione chiavi
Verifica che i dati siano crittografati a riposo e in transito con standard attuali (AES-256, TLS 1.3). Idealmente, il provider dovrebbe supportare BYOK o HYOK (Hold Your Own Key) per garantirti il controllo esclusivo sulle chiavi di crittografia.
Backup e disaster recovery
Chiedi dettagli su frequenza dei backup, replica geografica, tempi di ripristino (RTO/RPO), test di recovery documentati e procedura di notifica in caso di incidente. Un provider affidabile testa il ripristino almeno trimestralmente.
Supporto e trasparenza
Valuta la qualità del supporto tecnico: disponibilità 24/7, canali di contatto, tempi di escalation, lingua. Verifica la trasparenza sugli incidenti passati (status page pubblica, post-mortem pubblicati) e la disponibilità a condividere i risultati degli audit.
Vantaggi del cloud svizzero
Scegliere un provider cloud svizzero offre vantaggi concreti che vanno oltre la semplice conformità normativa:
Sovranità giuridica
I dati restano sotto la giurisdizione svizzera, protetti dalla nLPD e non soggetti al CLOUD Act USA né a richieste di accesso extraterritoriali. In caso di controversia, si applica il diritto svizzero davanti a tribunali svizzeri.
Stabilità politica e normativa
La Svizzera è riconosciuta a livello internazionale per la stabilità del quadro giuridico e la certezza del diritto. Le norme sulla protezione dei dati non cambiano con decreti d'urgenza o executive orders.
Latenza e performance
Data center in Svizzera significano latenze minime per gli utenti locali (tipicamente < 5 ms). Per applicazioni contabili e gestionali in tempo reale, la prossimità fisica del server fa una differenza tangibile.
Fiducia di clienti e partner
Comunicare ai propri clienti che i dati sono archiviati in Svizzera è un vantaggio competitivo concreto, specialmente per fiduciarie, studi legali e aziende che trattano dati finanziari sensibili.
Conformità automatica nLPD
Con un provider svizzero, non è necessario ricorrere a clausole contrattuali tipo (SCC) né verificare le decisioni di adeguatezza del Consiglio federale. Il trasferimento transfrontaliero semplicemente non esiste.
Supporto locale e lingua
Un provider svizzero offre supporto nelle lingue nazionali (IT, DE, FR), conosce il contesto normativo locale e può rispondere a esigenze specifiche di PMI e fiduciarie svizzere senza barriere culturali o di fuso orario.
Consigli pratici
- Mappa tutti i servizi cloud attualmente in uso nella tua azienda (e-mail, storage, contabilità, CRM) e verifica per ciascuno dove risiedono fisicamente i dati e sotto quale giurisdizione cade il provider
- Per i dati più sensibili (contabilità, dati dei dipendenti, informazioni bancarie), privilegia sempre un provider cloud con sede legale e data center esclusivamente in Svizzera
- Inserisci nel contratto con il provider una clausola che vieti esplicitamente il trasferimento dei dati al di fuori della Svizzera senza il tuo consenso scritto
- Richiedi al provider le certificazioni ISO 27001 e SOC 2 Type II aggiornate e verifica che gli audit siano condotti da enti accreditati e indipendenti
- Definisci un piano di uscita (exit strategy) prima di firmare il contratto: come esporti i tuoi dati, in quale formato, con quali tempi e a quale costo
- Attiva la crittografia lato client (client-side encryption) per i documenti più critici, in modo che neppure il provider possa accedere al contenuto in chiaro
- Usa AccountEX per archiviare i dati contabili della tua azienda su infrastruttura cloud svizzera, con crittografia, conformità nLPD e backup automatici — senza compromessi sulla sicurezza
Semplifica la tua contabilità svizzera
AccountEX gestisce IVA, QR-fatture e registrazioni con l'AI. Inizia gratis.
Inizia Gratis