IAM europeo e sovranità del dato: perché conta dove risiedono le identità

Quando un'azienda sceglie una piattaforma di Identity and Access Management decide, di fatto, dove vivranno le identità dei propri utenti e chi potrà tecnicamente accedervi. È una scelta di sovranità del dato, non solo di funzionalità.

Cosa significa sovranità del dato nell'IAM

La sovranità del dato è il principio per cui i dati personali restano soggetti alla giurisdizione del Paese in cui sono raccolti e non sono accessibili da autorità o fornitori extra-UE. Applicata all'Identity and Access Management, riguarda l'informazione più sensibile che un'organizzazione gestisce: le credenziali e gli attributi di identità dei suoi utenti.

La maggior parte delle piattaforme IAM leader è statunitense. Anche quando offrono data center europei, la società madre resta soggetta a normative come il CLOUD Act, che possono obbligare il fornitore a fornire dati indipendentemente da dove siano archiviati. Per chi tratta dati di cittadini europei, è un rischio normativo concreto.

Il problema dei modelli SaaS tradizionali

Nei modelli IAM SaaS classici le credenziali degli utenti finali sono archiviate nei sistemi del fornitore. Questo crea due criticità:

• Il fornitore ha accesso tecnico ai dati di identità dei tuoi utenti, anche se contrattualmente si impegna a non usarli.
• Un trasferimento di dati verso un Paese terzo richiede garanzie aggiuntive (clausole contrattuali standard, valutazioni di impatto) che ricadono sul cliente.

Il risultato è che la responsabilità della conformità si sposta sul cliente, mentre il controllo effettivo del dato resta al fornitore.

L'approccio Tenant-Cloud: i dati non lasciano il Tenant

Un IAM europeo progettato per la sovranità del dato ribalta il modello. Con l'architettura Tenant-Cloud di LoginMaster, i dati personali e le credenziali restano nel Tenant del cliente; il Cloud opera esclusivamente su dati cifrati e pseudonimizzati. In pratica:

• Le identità degli utenti non vengono mai copiate nei sistemi del fornitore.
• Il Cloud coordina l'autenticazione lavorando su riferimenti cifrati, senza poter leggere i dati in chiaro.
• Nemmeno il fornitore può accedere alle informazioni degli utenti del cliente.

Perché è un vantaggio competitivo europeo

La sovranità del dato è un terreno su cui i fornitori europei hanno un vantaggio strutturale: non sono soggetti a normative extra-UE che confliggono con il GDPR. Per System Integrator e MSP che servono enti pubblici, sanità, finanza o infrastrutture critiche soggette a NIS2, poter garantire che le identità non lasciano l'Europa è spesso un requisito di gara, non un optional.

Domande da porre a un fornitore IAM

• Dove sono archiviate fisicamente le credenziali degli utenti finali?
• Il fornitore ha accesso tecnico ai dati in chiaro?
• La società madre è soggetta a normative extra-UE di accesso ai dati?
• L'architettura prevede cifratura tale da rendere i dati illeggibili al fornitore?

Se cerchi un'alternativa europea alle piattaforme statunitensi, abbiamo approfondito il confronto nella pagina alternativa ad Auth0 e Okta.