Punto di vistaGovernance

Sovranità del dato: il cervello della tua azienda non dovrebbe vivere in un vendor USA

Il company brain, decisioni, regole, stato, spesso dati sensibili, sta diventando memoria dentro strumenti di AI. Comodo, ma quel cervello è in affitto: opaco, governato da altri, e quasi sempre ospitato oltreoceano. Per un’azienda normale può bastare. Per un settore regolato o dei dati sensibili no: lì conta possederlo. Questo è il ponte tra il company brain e la governance, e perché la proprietà del dato non è un dettaglio tecnico.

Raffaele ZarrelliAI Architect & Founder, Yempik·2 luglio 2026·7 min di lettura
In sintesi
  • Il company brain di un’azienda, decisioni, regole, stato e spesso dati sensibili, sta finendo dentro la memoria di strumenti di AI, quasi sempre di vendor con sede negli Stati Uniti.
  • Quel cervello è in affitto: opaco (non vedi cosa ha imparato), governato dal vendor e ospitato dove decide lui. Comodo, ma non è tuo.
  • Per molte aziende la memoria del vendor va bene. Diventa un problema per settori regolati, dati personali, e quando devi dimostrare cosa il sistema sa e dove vivono i dati.
  • La risposta non è rinunciare all’AI, è possedere il contesto: file che governi, conformità GDPR, dati a riposo in UE, self-hosting dove serve.
Un cervello in affitto

La memoria dell’AI è comoda, ma vive a casa di qualcun altro

Man mano che l’AI entra nel lavoro, il contesto dell’azienda, decisioni prese, regole, stato dei progetti, a volte dati personali dei clienti, si deposita dentro la memoria degli strumenti che usi. È comodo: lo strumento «ricorda» e ogni volta parte più informato. Ma quella memoria non è un archivio che possiedi. È opaca, perché non vedi con precisione cosa ha imparato; è governata dal vendor, che decide come funziona e cosa ne fa; ed è ospitata sulla sua infrastruttura, che nella grande maggioranza dei casi ha sede negli Stati Uniti.

Il punto non è la qualità del prodotto, che spesso è ottima. Il punto è dove finisce il cervello operativo della tua azienda e chi lo controlla. Un conto è affittare un ufficio; un altro è che i tuoi documenti più importanti vivano in un edificio di cui non hai le chiavi, con regole d’accesso che cambia il padrone di casa. Finché va tutto bene non lo noti. Il giorno che un cliente, un revisore o un’autorità ti chiede «dove sono i dati e cosa ha imparato il sistema», la risposta «non lo so, è dentro il vendor» non regge.

Un company brain in affitto dentro un vendor è comodo finché non ti serve davvero. Il giorno che qualcuno ti chiede dove vivono i dati, «è nel loro cloud» non è una risposta.

Quando conta davvero

Per molti va bene così: per alcuni, no, ed è una scelta seria

Non è una guerra di religione, e non lo diciamo per vendere paura. Per un’azienda piccola, con contesto non sensibile e nessun obbligo particolare, la memoria di un vendor serio è una scelta ragionevole: comoda, curata, e i dati stanno probabilmente meglio lì che in una chat sparsa. Se il tuo brain è fatto di preferenze di stile e appunti di progetto, la sovranità del dato è un problema teorico, e va benissimo così.

Diventa concreto quando cambiano la posta in gioco e le regole. Se operi in un settore regolato, se il tuo company brain contiene dati personali o sanitari, se un contratto o una norma ti chiede di sapere dove risiedono i dati e di dimostrare cosa il sistema ha appreso, se non puoi permetterti che il know-how sparisca quando cambi strumento, allora la proprietà smette di essere un dettaglio. Non è dove tenere gli appunti: è dove tenere il cervello dell’azienda, con obblighi che non puoi delegare a un vendor.

Cosa vuol dire possederlo

Due domande dividono chi possiede il brain da chi lo affitta

Possedere il company brain non è uno slogan: si misura su due assi. Il primo è dove vivono i dati, dentro l’infrastruttura di un vendor o in un posto che controlli tu. Il secondo è come è governato, in modo automatico e opaco o esplicito e verificabile. La combinazione dei due dice chi ha davvero in mano il cervello della tua azienda. La memoria di un vendor sta nel quadrante comodo ma affittato; il contesto su file che possiedi è l’unico quadrante che governi.

nel vendorsu file tuoi
Trasparente ma in affittoWiki interno o Notion
Il tuo company braincowork-os e code-os
In affitto e opacoMemoria di Claude Tag
Tuo ma disordinatoChat con istruzioni sparse
Come è governatoesplicito · ↓ opaco
La memoria automatica del vendor è comoda ma vive dentro lo strumento e non la vedi. Il contesto su file (cowork-os e code-os) chiede un po’ di disciplina, ma è leggibile, verificabile e resta tuo: è l’unico quadrante che possiedi e governi.

Questa è la stessa domanda che abbiamo messo al centro di un pezzo dedicato: non se ti serve un company brain, ma di chi è. Se vuoi lo scenario completo, con Claude Tag e la memoria come prodotto, chi possiede il company brain lo spiega per esteso.

Come si fa

La risposta non è rinunciare all’AI, è possedere il contesto

Possedere il proprio company brain non vuol dire tornare alla carta o dire di no all’AI: vuol dire tenere il contesto su file che governi, leggibili da te e dall’AI, con dati a riposo in UE e self-hosting dei modelli dove il caso lo richiede. È esattamente il modello con cui costruiamo i nostri servizi: prezzo fisso, codice di proprietà del cliente, conformità GDPR, dati in Europa. La sovranità non è un vincolo che rallenta: è ciò che ti permette di usare l’AI anche dove i dati sono sensibili. Il perché e i confini pratici sono nel nostro pezzo sull’AI governance per le PMI.

Il come tecnico è meno esotico di quanto sembri: si parte dagli stessi file strutturati del company brain, solo tenuti in un posto che controlli. Il metodo pratico, con interviste, struttura e validazione, è in come costruire un company brain su file.

Domande frequenti

Sovranità del dato, in pratica

Cosa c’entra la sovranità del dato con il company brain?

Il company brain è il cervello operativo dell’azienda: decisioni, regole, stato e spesso dati sensibili. Quando vive dentro la memoria di uno strumento di AI, quei dati sono ospitati dove decide il vendor, quasi sempre fuori dall’UE, e governati da altri. La sovranità del dato è la domanda su dove risiede quel cervello e chi lo controlla: per settori regolati e dati personali non è un dettaglio tecnico.

È un problema che il mio company brain stia in un vendor USA?

Dipende dalla posta in gioco. Per un’azienda piccola con contesto non sensibile, la memoria di un vendor serio è una scelta ragionevole. Diventa un problema se operi in un settore regolato, se il brain contiene dati personali o sanitari, se una norma o un contratto ti chiede di sapere dove risiedono i dati e cosa il sistema ha appreso, o se non puoi permetterti di perdere il know-how cambiando strumento.

Possedere il company brain vuol dire rinunciare all’AI?

No. Vuol dire tenere il contesto su file che governi, leggibili da te e dall’AI, invece che dentro la memoria opaca di un vendor. L’AI continua a lavorarci sopra, ma i dati stanno dove decidi tu, con conformità GDPR, dati a riposo in UE e self-hosting dei modelli dove serve. La sovranità è ciò che ti permette di usare l’AI anche dove i dati sono sensibili, non un ostacolo.

Come si tiene un company brain conforme al GDPR?

Il contesto sta su file strutturati che l’azienda possiede e governa, con i dati a riposo in UE e, sui progetti più sensibili, i modelli installati in self-hosting così i dati non escono. È il modo in cui impostiamo i progetti: codice di proprietà del cliente, DPA firmato prima di iniziare, dati in Europa. Il punto di partenza tecnico è lo stesso company brain su file, solo tenuto in un posto che controlli.

Trasparenza

Fonti

  1. [1]cowork-os, repository open source. github.com
Nota di trasparenza

Questa pagina è scritta da Raffaele Zarrelli, founder di Yempik, con editing fatto con Claude. Il company brain e il suo ownership model sono modelli editoriali di Yempik. Le affermazioni su GDPR, dati in UE e self-hosting descrivono il modo in cui Yempik imposta i progetti; non sono un parere legale. I kit citati sono i nostri open source cowork-os e code-os (licenza MIT).

Dati sensibili o settore regolato? Teniamo il tuo brain in casa tua.

Partiamo dal tuo processo e dai tuoi obblighi. Mettiamo decisioni, regole e stato su file tuoi, governati, con dati a riposo in UE e self-hosting dove serve. Prezzo e tempi fissi, il codice è tuo, i dati non escono.