Sanità digitale sovrana: il livello di cui nessuno scrive comunicati stampa
La reputazione di un orologiaio svizzero riposa su ciò che non si vede. Gli ingranaggi visibili che muovono le lancette di un cronografo pregiato non sono ciò che distingue uno strumento di precisione da un giocattolo. Sono necessari, sono rifiniti magnificamente, e un acquirente consapevole li ispezionerà. Ma non sono l’orologio.
L’orologio è lo scappamento. Quel piccolissimo meccanismo di precisione converte l’energia accumulata della molla motrice in un movimento regolato e misurabile. Funziona dietro il quadrante, nascosto a chi lo indossa, svolgendo l’unico compito su cui tutto il resto dipende. Rimuovetelo, e il movimento più magnificamente decorato diventa rottame.
Lo stesso principio vale per l’infrastruttura digitale sovrana. I componenti visibili — la piattaforma, il fornitore di servizi cloud, i carichi di lavoro containerizzati, il data centre sul territorio nazionale — sono necessari e impressionanti. Sono anche la parte più facile di cui parlare, e la parte più facile da inserire in un comunicato stampa. Ma sono gli ingranaggi e le lancette.
Il calcolo sovrano è necessario. Non è sufficiente.
Perché le scelte di HIN sono un modello, non un caso di studio
HIN — Health Info Net — si trova dietro circa il 90% degli stakeholder dell’assistenza sanitaria svizzera. Medici, ospedali, farmacie, assicuratori, laboratori. Quando HIN si modernizza, non sta conducendo un progetto pilota. Sta trasformando il substrato di fiducia di un intero settore nazionale.
Così, quando Red Hat ha annunciato al suo Summit di Atlanta nel maggio 2026 che HIN aveva migrato a Red Hat OpenShift, in esecuzione su due cloud svizzeri sovrani — Cloudscale e Exoscale — e gestito 24×7 da VSHN con una disponibilità target del 99,99%, questo non era una vendita ordinaria. Era un settore regolamentato che scommetteva il suo futuro operativo su un’architettura aperta, deliberatamente divisa tra due fornitori in modo che nessun singolo vendor controlli il “dial tone” dell’assistenza sanitaria digitale svizzera.
Il lavoro era serio, e le persone che lo hanno svolto meritano di essere nominate. Aarno Aukia, co-fondatore di VSHN, ha descritto la scelta architetturale chiaramente: “Abbiamo scelto Red Hat OpenShift per soddisfare i requisiti di sicurezza e multi-tenancy di HIN. La soluzione ha fornito la base giusta per costruire l’architettura di sicurezza appropriata.” Il suo team ha avviato il nuovo ambiente in 36 ore. Mohammad Alavi, CTO di HIN, ha descritto come la migrazione ha cambiato dentro la sua organizzazione: “Non abbiamo mai avuto un approccio di rapida sperimentazione prima, e il nostro ambiente legacy non ci permetteva di utilizzare l’automazione. È stata un’esperienza straordinaria passare a DevOps e responsabilizzare i nostri sviluppatori con un’intera nuova cultura.”
Richard Zobrist, Country Manager Svizzera di Red Hat, ha inquadrato la strategia: “La sovranità digitale richiede controllo operativo sulla tecnologia, flessibilità strategica e fiducia.”
Ma il caso di studio menziona un servizio quasi en passant. Messaggistica crittografata per le comunicazioni medico-paziente. Quella singola frase è il punto in cui la storia più interessante inizia davvero.
L’infrastruttura sovrana immagazzina i dati. L’infrastruttura di fiducia li sposta.
Ci sono almeno due cose molto diverse che “messaggistica crittografata” può significare, e la maggior parte delle discussioni nel nostro settore le confonde così completamente che il significato più importante scompare dalla conversazione.
La versione facile è TLS in transito. I byte vengono scramblati tra il dispositivo dell’utente e i server della piattaforma, e di nuovo tra la piattaforma e il destinatario. Questo è il minimo sindacale. Ogni moderno sistema di messaggistica lo fa. Protegge contro chi ascolta passivamente sulla rete e contro il WiFi pubblico non protetto. Non protegge, in alcun senso strutturale, contro la piattaforma stessa. L’operatore della piattaforma si trova nel mezzo, tiene le chiavi e legge, indicizza e rigenera le chiavi del messaggio a volontà. Il lucchetto è reale. La piattaforma ha una copia della chiave.
La versione più difficile è lo scambio verificato end-to-end. Le identità del mittente e del destinatario sono asserite crittograficamente al momento dello scambio, dai partecipanti stessi, non delegati a un operatore di piattaforma. Il contenuto è confidenziale per costruzione, non confidenziale per policy. Un medico può provare che un messaggio è arrivato intatto ed è stato aperto dal paziente desiderato. La piattaforma non può leggerlo, non può riscriverlo, e non può tranquillamente sostituire un destinatario con un altro.
Questa distinzione conta più nell’assistenza sanitaria che in quasi qualsiasi altro ambito. Un medico e un paziente che comunicano attraverso un canale mediato dalla piattaforma stanno, per impostazione predefinita, affidando alla piattaforma informazioni che legalmente ed eticamente non devono essere condivise. La residenza dei dati svizzera ti dice dove i byte si trovano fisicamente. Non ti dice nulla su chi può leggerli in movimento.
L’infrastruttura sovrana è necessaria. Non risponde di per sé alla domanda su chi può leggere il messaggio.
HIN ha capito questo. Per questo motivo la loro modernizzazione dell’infrastruttura non era un progetto a singolo livello.
Una cassaforte bloccata con una porta non protetta
Pensa all’infrastruttura digitale del settore regolamentato come a un edificio con due proprietà di sicurezza distinte. La prima è la cassaforte — dove vivono i dati. La seconda è la porta — come i dati entrano ed escono, e chi può passare attraverso.
Il lavoro di Red Hat e VSHN affronta la cassaforte. Dove vivono i dati? In cloud svizzeri sovrani, su una piattaforma aperta, gestita da persone che rispondono alla legge svizzera e ai clienti svizzeri, senza dipendenza da un singolo vendor e con una disponibilità target che significa vera continuità per pazienti veri. Il comunicato stampa arriva a Red Hat Summit perché questo è un vero risultato. Costruire un ambiente OpenShift multi-tenant, sovrano e dual-cloud che soddisfi i requisiti di sicurezza e operativi di qualità sanitaria è genuinamente difficile. Le persone che lo hanno fatto meritano la visibilità che stanno ricevendo.
Il primo livello è risolto. Ma il secondo livello è dove i settori regolamentati hanno improvvisato per trent’anni.
Il livello di messaggistica crittografata affronta la porta. Come si spostano i dati da un’organizzazione a un’altra, sotto quali garanzie di identità, con quale verificabilità, con quale assicurazione che l’operatore della piattaforma sia strutturalmente incapace di compromettere lo scambio? Questa domanda è indipendente dal livello infrastrutturale. Puoi eseguire un cloud perfettamente sovrano e comunque instradare ogni messaggio medico-paziente attraverso un modello di fiducia controllato da qualcun altro.
Calcolo sovrano più comunicazione crittograficamente verificata produce qualcosa che i settori regolamentati hanno inseguito per trent’anni: un’infrastruttura che è affidabile per architettura, non per policy.
Il caso di studio rileva che HIN è tra le prime aziende svizzere ad adottare un’architettura zero trust. Zero trust parte da una semplice premessa: assumere che qualche parte dell’infrastruttura sarà violata. Progettare per questo. Se prendi questa premessa sul serio, il livello di comunicazione non può essere un’aggiunta, perché è precisamente il livello che deve continuare a funzionare quando l’assunto si realizza.
Il primo livello è risolto.
HIN non sta improvvisando. E questo conta ben oltre la Svizzera.
Un modello per ciò che viene dopo
Lo Spazio europeo dei dati sanitari impone lo scambio transfrontaliero di dati sanitari tra 27 Stati membri. Il programma svizzero DigiSanté sta costruendo l’omologo nazionale. Ogni una di queste iniziative, prima o poi, deve rispondere alla stessa domanda architettonica che HIN ha ormai risposto in produzione: infrastruttura sovrana, più che cosa?
La distribuzione di HIN è il primo modello funzionante per l’infrastruttura digitale del settore regolamentato fatta correttamente. Piattaforma aperta su cloud sovrani, gestita secondo la legge svizzera, con comunicazione verificata end-to-end che trasporta i contenuti più sensibili. Non come una diapositiva di roadmap. Come servizi in esecuzione, in produzione, oggi, per le persone che effettivamente erogano l’assistenza sanitaria in Svizzera.
Aarno Aukia, di nuovo: “L’assistenza sanitaria è un’industria cauta, ma è anche uno che ha un vero impatto sulla vita dei cittadini.” Questo impatto è esattamente perché il livello noioso e invisibile conta. La domanda difficile per qualsiasi paese, settore, istituzione che gestisce comunicazioni che non può permettersi di esporre non è se i tuoi dati sono immagazzinati nel paese giusto. È se le persone che si suppone comunichino siano effettivamente quelle che stanno parlando.
Quella risposta non è negli ingranaggi. È nello scappamento.
