I giuristi di TIM alla prova della sovranità digitale
Nuzzolo e Del Genio raccontano in esclusiva a MAG come cambia il lavoro dei dipartimenti legali tra cloud, regolazione europea e rischio geopolitico
QUESTO ARTICOLO COMPARE NEL NUOVO NUMERO DI MAG. CLICCA QUI PER SCARICARE LA TUA COPIA GRATUITA
La sovranità digitale ha smesso di essere una formula da policy paper europeo ed è entrata nel lessico operativo delle imprese. Non più soltanto una questione di cybersecurity, né un capitolo della protezione dei dati personali. Oggi riguarda la continuità dei servizi essenziali, la localizzazione delle infrastrutture, la scelta dei fornitori, la resilienza delle filiere tecnologiche e, sempre più, la capacità di un Paese di non dipendere integralmente da decisioni assunte altrove.
Il tema si colloca al punto di incrocio tra diritto, industria e geopolitica. La pandemia, le tensioni commerciali e sociali, il confronto tra Stati Uniti, Cina e Unione europea e, più di recente, la nuova stagione dei dazi hanno reso evidente una fragilità che per anni era rimasta sullo sfondo: l’economia digitale europea poggia in larga misura su infrastrutture, software e piattaforme controllate da soggetti extraeuropei. Finché le catene globali del valore apparivano stabili, questa dipendenza poteva essere letta come un normale effetto dell’efficienza di mercato. Nel nuovo scenario internazionale, invece, diventa un fattore di rischio.
In TIM ci stanno lavorando da qualche anno. L’obiettivo è trasformare il gruppo in attore centrale della sovranità digitale italiana. Una traiettoria che non riguarda solo l’offerta tecnologica, ma anche la funzione legale, chiamata a presidiare scelte che incidono direttamente sulla governance dei dati, sulla contrattualistica con i provider, sulla compliance europea e sulla selezione dei partner industriali.
A presidiare il tema, oltre ad Agostino Nuzzolo, general counsel e legal, regulatory, European affairs and tax Executive vice president, nonché DPO e segretario del consiglio di amministrazione, è in particolare Bianca Del Genio, che in TIM segue il legal su enterprise market, cloud & IoT. La redazione di MAG li ha incontrati entrambi per raccogliere due prospettive complementari. Una più strategica, l’altra più operativa.
Cosa significa sovranità digitale
Del Genio la definisce come «la capacità di governare i dati, le infrastrutture e i processi critici di un Paese», con l’obiettivo di limitare il più possibile le dipendenze esterne. Anche se, precisa, «non tutti i dati richiedono lo stesso livello di controllo».
TIM lavora su un principio di gradualità. Alla valutazione di un rischio molto alto corrisponde una richiesta più alta di sovranità. I livelli vanno dalla semplice localizzazione dei dati in Europa (dove risiedono fisicamente, chi li gestisce, in quali circostanze possono essere accessibili) fino al massimo grado, che Del Genio descrive così: «Avere la possibilità di accedere ai dati in ogni momento, controllare dove si trovano, chi ha accesso, difenderli dall’accesso da parte di terzi, incluse le autorità giudiziarie straniere, e riservare la gestione a personale ben identificato, qualificato e residente nel nostro Paese». Quel livello massimo, aggiunge, deve essere garantito per le informazioni più critiche.
Questo approccio per livelli è diventato nel frattempo anche un’impostazione regolatoria europea. Il Cloud Sovereignty Framework della Commissione, pubblicato nell’ottobre 2025, individua otto dimensioni della sovranità cloud (strategica, giuridico-giurisdizionale, dei dati e dell’intelligenza artificiale, operativa, della supply chain, tecnologica, di sicurezza e compliance, ambientale) e introduce livelli di garanzia progressivi fino alla piena sovranità, intesa come controllo europeo completo su tecnologia e operazioni.
Per i dipartimenti legali, questo significa entrare molto prima nel ciclo decisionale. Non a valle, quando il contratto è già stato negoziato nelle sue linee essenziali, ma a monte, quando si decide se un certo provider sia compatibile con il rischio del progetto. La sovranità può, di fatto, diventare un criterio di esclusione in una gara, un elemento di scoring nel procurement, una clausola contrattuale.
Il mondo è cambiato
Nuzzolo inserisce il tema dentro una trasformazione più ampia del gruppo. TIM, spiega, si sta progressivamente spostando dai servizi tradizionali di telecomunicazione verso servizi digitali innovativi, tra cui il cloud rappresenta uno degli asset principali. Il mercato della connettività è maturo, con margini di crescita contenuti e redditività ridotta; i servizi digitali sono invece la piattaforma su cui costruire nuova capacità industriale. La sovranità digitale diventa quindi anche una risposta strategica alla trasformazione del settore telco.
«Il mondo è cambiato. Quelle che una volta erano catene logistiche sicure – per esempio con gli Stati Uniti – oggi non lo sono più. La storia dei dazi ha dimostrato che ci sono rischi di continuità anche verso paesi dove questi rischi una volta non c’erano». La reazione, spiega, è insieme emotiva e strategica: rendersi più indipendenti.
Resta però un limite: «Il divario tra Europa e Stati Uniti su software e servizi avanzati è ampio». Le cause sono strutturali, riconosce Nuzzolo: scala dei mercati, investimenti (anche militari) negli Usa, integrazione pubblico-privato in Cina. L’Europa ha invece scontato un approccio che ha privilegiato la frammentazione, penalizzando scala e innovazione. «Oggi però l’attenzione agli investimenti sembra tornare al centro», aggiunge.
L’Europa, comunque, non è priva di leve. È uno dei principali mercati di sbocco per le software house americane e per i grandi cloud provider. Da quella posizione, osserva Nuzzolo, si può provare a cambiare il rapporto di forza: «Quello che una volta veniva comprato in una situazione di quasi sudditanza rispetto a questi grandi operatori, oggi si fa alle condizioni che pone l’Europa. Gli americani hanno capito che se non accettano certi cambiamenti d’attitudine rischiano di perdere progressivamente il mercato europeo».
Del Genio conferma che la negoziazione con i grandi player americani è effettivamente cambiata. Anni fa certi temi non si potevano nemmeno sollevare. Oggi la localizzazione dei dati è un punto fermo, e la conversazione si è spostata su questioni più sofisticate: «Il tema non è più tanto dove risiedono i dati, ma come sono organizzati i gruppi societari dei nostri fornitori per permetterci di essere sicuri che non ci siano interferenze da parte di altri paesi sui dati di nostra proprietà».
Il legal che entra prima
È qui che la trasformazione del dipartimento legale di TIM diventa un caso di studio interessante. Secondo Del Genio, «mentre tipicamente il team legale veniva chiamato per rivedere il contratto, oggi veniamo coinvolti per fare una valutazione proprio sul provider». Il tavolo include i team tecnici, la cybersecurity, la privacy, gli acquisti, il business. Le domande non riguardano le clausole, ma la struttura societaria del fornitore, la legge applicabile, i diritti di audit, le dipendenze tecnologiche, la conformità al Data Act, alla NIS2. «La nostra opinione non è più neutrale, non è più un nice to have, ma è decisiva», aggiunge. Tanto che, in alcuni casi, quella valutazione porta all’esclusione di un provider per un certo tipo di progetto.
È il passaggio da una compliance tradizionale a ciò che Del Genio chiama “compliance by design”: «Si disegna il progetto sulla base dei requisiti regolatori, normativi, legali, oltre che di quelli tecnici». Non è un adeguamento ex post. È un’impostazione che cambia il momento in cui il legal entra nel processo e, di conseguenza, il suo peso nelle decisioni industriali.
Questo ha richiesto anche un cambiamento nelle competenze. Nuzzolo lo inquadra come segue: «Spostarsi da un settore di operatività ad altri richiede una capacità di adattamento delle persone che lavorano nelle strutture legali. Cambia il linguaggio, cambiano le basi contrattuali, cambiano i rischi, cambia la gestione delle controparti. Quest’area, per esempio, è molto più internazionale».
Per Del Genio, il contributo del legal si esprime oggi in «un linguaggio che è un insieme di linguaggio tecnico e legale», che permette di aggiungere informazioni sostanziali a un’offerta. Perché sapere che cosa significa accedere a un dato, o dove risiede geograficamente, non è una questione secondaria quando si guardano le normative e gli obblighi contrattuali da imporre ai fornitori.
Il dato come valore riscoperto
C’è un passaggio della riflessione di Del Genio che vale la pena riportare integralmente: «Quando siamo stati travolti dal digitale avevamo un po’ perso di vista l’obiettivo della protezione del dato personale. Ci sembrava completamente una perdita di tempo. Poi qualcuno ci ha detto: guardate che quando è tutto gratis significa che lo pagate con i vostri dati. E lì abbiamo cominciato a capire che forse i dati non erano poi così banali».
Oggi quel percorso si è completato, e si intreccia con un contesto in cui il «sentimento di controllo e di attenzione», come lo chiama Del Genio, «è estremamente più forte rispetto a solo un anno fa».
La direzione, spiega, è quella di una regolazione per livelli di criticità. La normativa sulla sicurezza dei dati bancari (che ricade anche su TIM in quanto fornitore di servizi tecnologici alle istituzioni finanziarie) è un esempio di come si può costruire un quadro severo e funzionante. La stessa logica vale per le normative sulla cybersecurity nei settori strategici. «La strada è molto ben tracciata», dice Del Genio.
Il problema è che si tratta ancora di un insieme di normative separate (Data Act, NIS2, regolamenti settoriali, certificazioni cloud) che andrebbero fatte convergere in un quadro omogeneo e stabile, applicabile automaticamente a tutti i processi di procurement.
Le operazioni sul tavolo
Sul piano concreto, il lavoro del dipartimento legale di TIM si è moltiplicato. Oltre alle valutazioni sui provider, ci sono le operazioni di venture capital con CDP – nelle parole di Nuzzolo, «tante piccole operazioni di M&A», dove la dimensione non riduce la complessità: due diligence, negoziazione, patti parasociali, governance, exit. «D’altronde – prosegue il general counsel – se TIM vuole essere una società digitale deve disporre di soluzioni e use case da integrare nella propria piattaforma allargata. La collaborazione con CDP Venture Capital consente di intercettare startup e progetti compatibili con la strategia di sviluppo dei servizi digitali».
TIM aveva in parte messo da parte questa attività per concentrarsi su altre priorità, prima fra tutte la rete. Ora la riprende, perché «nel mondo digitale è fondamentale poter disporre dei migliori use case da offrire nella piattaforma digitale allargata».
C’è poi l’OPA di Poste Italiane. Su questo Nuzzolo è chiaro: TIM è la target, quindi le valutazioni strategiche spettano a Poste. Ma le analisi sulle possibili sinergie erano già partite quando Poste è entrata nell’azionariato. «Poste ha iniziative nel campo digitale e del cloud, ha alcune attività che noi non abbiamo e viceversa», spiega. Il dipartimento legale, da parte sua, accompagna il consiglio nella predisposizione del parere sull’offerta. Un adempimento preciso, ma che richiede un’analisi attenta del prezzo offerto e dell’inquadramento strategico dell’operazione.
Cosa rimane da costruire
Ma quindi, qual è il passaggio decisivo per rendere concreta la sovranità digitale in Italia nei prossimi anni? Del Genio indica una direzione é […]
PER CONTINUARE A LEGGERE CLICCA QUI E SCARICA LA TUA COPIA GRATUITA DI MAG
