Un’azienda con trecento dipendenti, tutto l’ecosistema Microsoft e la domanda giusta al momento sbagliato. Non è un mio cliente. Ma se mi avesse chiamato, ecco cosa gli avrei detto e perché la risposta non è quella che vi aspettate.

300 dipendenti, tutto Microsoft: il caso tipo

Non è un mio cliente ma potrebbe esserlo. Metto insieme un caso che vedo ripetersi, con varianti minime, da almeno tre anni.

Azienda manifatturiera, nordest, trecento dipendenti. Tutta su Microsoft: Exchange per la posta, SharePoint per i documenti, Teams per le riunioni e la chat, Entra ID per l’autenticazione, OneDrive per i file personali. Qualcuno usa Power Automate per le approvazioni interne. Il gestionale si integra con SharePoint tramite connettori costruiti su misura negli anni. L’ERP parla con Entra ID per il single sign-on.

Poi succede una di queste cose o tutte insieme: Microsoft alza i prezzi. Un articolo sul CLOUD Act finisce sulla scrivania dell'amministratore. Il Responsabile IT legge il rapporto di un analista sulla dipendenza da fornitore unico. Il consulente privacy segnala che i dati dei dipendenti transitano su infrastrutture di una big tech statunitense, anche se fisicamente in Europa.

Scatta la telefonata: "Vogliamo uscire da Microsoft. Ci puoi aiutare?"

Perché migrare da Microsoft non è sempre la scelta giusta

No.

Non "no, non si può fare". Si può fare quasi tutto, con abbastanza tempo e denaro. No nel senso di: non è la cosa giusta da fare adesso, non in questo modo, non con queste premesse.

E qui devo spiegarmi, perché sembra che stia contraddicendo tutto quello che vado dicendo e scrivendo in giro.

Non lo sto facendo. Sto facendo esattamente quello che dico di fare: guardare dentro, capire il meccanismo e poi decidere. Non prima.

Cosa c’è dentro

Quando apri il cofano di un’azienda con trecento persone incollata a Microsoft da dieci anni, trovi strati geologici.

Lo strato superficiale è quello che tutti vedono: email, file, videochiamate. Quello lo puoi sostituire. Mailcow per la posta, Nextcloud per i file, Jitsi o Nextcloud Talk per le videochiamate. L’ho fatto per aziende più piccole e funziona. Ne ho già parlato.

Sotto c’è poi lo strato intermedio: Entra ID. Ogni dipendente fa login una volta la mattina e accede a tutto: posta, file, gestionale, intranet, portale HR. Single sign-on. Se togli Entra ID, devi ricostruire l’autenticazione per ogni singolo servizio. Puoi farlo con Keycloak, con Authentik, con altri strumenti open source. Ma è un progetto di infrastruttura, non un weekend di smanettamento e devi farlo per tutto, senza che trecento persone restino chiuse fuori una mattina.

Sotto ancora poi c’è lo strato profondo: le automazioni. I flussi di approvazione costruiti in Power Automate. I connettori tra SharePoint e il gestionale. I template Excel con macro che parlano con OneDrive. Le integrazioni Teams che il reparto vendite usa per le notifiche dal CRM. Roba che nessuno ha documentato, che è cresciuta organicamente in anni di "tanto è facile, lo faccio io con Power Automate" e che nessuno sa esattamente cosa fa finché non smette di funzionare.

Questo strato profondo è il vero lock-in. Non le licenze, non il prezzo, non il CLOUD Act. Le centinaia di piccole dipendenze costruite nel tempo, una alla volta, ciascuna troppo piccola per preoccuparsene, tutte insieme troppo grandi per sradicarle in un colpo.

Perché "esci da Microsoft" è la domanda sbagliata

La domanda giusta non è "come esco da Microsoft". È "da cosa devo proteggere i miei dati e qual è il modo più efficace per farlo dati i vincoli che ho?"

Sono due domande diverse. La prima presuppone che Microsoft sia il problema. La seconda parte dal problema reale e cerca la soluzione migliore, che potrebbe non essere l’uscita.

Se il problema è il CLOUD Act, il fatto che il governo americano può richiedere accesso ai dati gestiti da aziende americane, ovunque siano fisicamente, la risposta non è necessariamente buttare giù tutto Microsoft. La risposta potrebbe essere: cifrare i dati con chiavi che controlli tu, così che anche se Microsoft consegna i dati su ordine di un tribunale americano, quello che consegna è rumore incomprensibile.

Se il problema è il lock-in, il fatto che uscire diventa più costoso ogni anno, la risposta non è uscire di corsa domani. La risposta è smettere di aggiungere strati di dipendenza da oggi e iniziare a spostare i pezzi che si possono spostare senza far saltare i processi.

Se il problema è il prezzo, la risposta è fare i conti seri, non quelli della presentazione del venditore open source o dell’alternativa europea. Il costo totale di una migrazione per trecento utenti, contando infrastruttura, consulenza, formazione, produttività persa durante la transizione e manutenzione per i successivi tre anni, potrebbe essere superiore ad alcuni anni di licenze Microsoft. Potrebbe. Dipende. E chi ti dice il contrario senza aver visto i tuoi numeri sta vendendo qualcosa.

Un piano di sovranità progressiva in 4 mosse

Se quell’azienda mi avesse chiamato, avrei proposto un piano che non prevede di uscire da Microsoft. Non subito e forse non mai del tutto.

Non perché "Microsoft è meglio", ma perché oggi non esiste una suite europea che sostituisca senza traumi l’intero stack Microsoft 365 + Entra ID + automazioni per una realtà di questa dimensione. Esistono pezzi molto forti, che hanno senso se combinati con criterio. Non un clone totale chiavi in mano.

La prima fase è difensiva. Non sposti niente. Fai l’inventario di quello che hai: quanti servizi Microsoft usi, quali dati ci stanno dentro, dove risiedono fisicamente, chi ci accede, quali automazioni dipendono dall’ecosistema. Questo inventario non esiste quasi mai, lo so perché quando lo chiedo, la risposta è sempre un silenzio imbarazzato seguito da "più o meno sappiamo." No. "Più o meno" non basta.

Poi metti in sicurezza quello che hai: data residency europea, EU Data Boundary dove possibile, chiavi di cifratura gestite internamente o tramite HSM esterni, policy di retention sensate, backup su infrastruttura che non sia solo Microsoft. Microsoft sta spingendo proprio su questo: varianti di Sovereign Cloud per l’Europa, gestione esterna delle chiavi, maggior controllo sugli accessi privilegiati. Non è la soluzione perfetta, ma è una forma di sovranità difensiva che puoi attivare prima ancora di pensare alla fuga.

La seconda fase è esplorativa. Prendi un reparto, uno, non tutti e gli dai una suite europea da affiancare a Microsoft per i documenti meno critici. Può essere Nextcloud Workspace gestito da un provider come IONOS, oppure altre soluzioni EU-only nate proprio per fare da alternativa a Microsoft 365 nel contesto europeo. Non sostituisci: affianchi. Vedi come reagiscono. Vedi cosa funziona e cosa no. Misuri i costi reali, non quelli del whitepaper.

La terza fase è decisionale. Hai i dati. Sai quanto costa restare, quanto costerebbe uscire, cosa funziona delle alternative, dove sono i buchi. A quel punto puoi decidere con cognizione di causa: restare su Microsoft con sovranità rafforzata, spostare un altro pezzo o pianificare un’uscita graduale su un orizzonte realistico.

Nota cosa manca da questo piano: il big bang. Il giorno in cui spegni Exchange e accendi Mailcow per trecento persone. Non c’è, perché in un’organizzazione di questa dimensione il big bang non è un atto di libertà. È una violenza organizzativa.

La sovranita' si costruisce anche sapendo aspettare

Qualcuno che legge queste pagine da un po’ potrebbe pensare: Alberto si è ammorbidito. Ha smesso di credere nel self-hosting. Si è arreso a Microsoft.

No. Credo nelle stesse cose in cui credevo quando ho fondato Omnia Digital. Credo che il controllo dei propri dati sia un diritto e una necessità. Credo che la dipendenza da un singolo vendor sia un rischio strutturale. Credo che l’open source e le soluzioni europee offrano un modello di proprietà superiore al SaaS proprietario.

E non sono l’unico. Diverse amministrazioni europee - Schleswig-Holstein, Austria, Danimarca, la città di Lione - stanno spostando parte della loro infrastruttura verso stack open source ed europei, per motivi di sovranità, lock-in e rischio geopolitico. L’Austria ha migrato il Ministero dell’Economia verso Nextcloud Workspace dichiarando esplicitamente l’obiettivo di non dipendere da cloud non UE. Progetti come Nextcloud Workspace con IONOS e Office.EU dimostrano che i pezzi per costruire un’alternativa europea esistono e maturano.

Ma credo anche che la sovranità digitale non si costruisce con un gesto. Si costruisce un pezzo alla volta, partendo da dove sei, con i vincoli che hai. Per uno studio di cinque persone, la migrazione completa è fattibile e ha senso, l’ho fatta, l’ho raccontata, funziona. Per un’azienda di trecento persone con dieci anni di ecosistema Microsoft nelle fondamenta, la stessa migrazione potrebbe essere un disastro che conferma il pregiudizio di chi dice "l’open source non è pronto".

E un disastro del genere non fa danno solo a quell’azienda. Fa danno a tutti quelli che dopo di lei chiederanno "e se uscissimo da Microsoft?" e si sentiranno rispondere: "l’ha fatto l’azienda X ed è stato un bagno di sangue."

La sovranità si costruisce anche sapendo quando aspettare.

La domanda per te

Se lavori in un’azienda come quella che ho descritto - tutta Microsoft, centinaia di dipendenti, automazioni sedimentate, nessuno sa esattamente cosa dipende da cosa - non ti sto dicendo di restare. Ti sto dicendo di sapere dove sei.

Fai l’inventario. Scopri dove sono i tuoi dati. Scopri chi ci ha accesso. Scopri cosa succederebbe se domani Microsoft raddoppiasse i prezzi o un tribunale americano ordinasse l’accesso o un aggiornamento andasse storto come abbiamo già visto fare in passato con altri fornitori critici.

Poi decidi. Con i numeri, non con l’ideologia. Con un piano, non con un big bang.

La sovranità digitale non è uscire da Microsoft. È sapere che puoi farlo e scegliere quando.

Una checklist minima di inventario

Se ti riconosci in questo quadro, puoi iniziare da qui:

Dove risiedono i dati. In quali regioni Microsoft, con quali impegni di EU Data Residency o EU Data Boundary. Non "in Europa" ma quale data center, quale contratto, quali eccezioni.

Dipendenze da Entra ID. Quanti servizi, interni ed esterni, usano Microsoft come identity provider e per quali flussi critici. Se Entra ID va giù per un giorno, cosa si ferma?

Automazioni invisibili. Quali flussi Power Automate, macro Excel, integrazioni Teams o SharePoint fermerebbero il lavoro di qualcuno se smettessero di funzionare domani. Chi le ha costruite? Sono documentate?

Controllo delle chiavi e dei backup. Chi gestisce davvero le chiavi di cifratura. Dove stanno i backup e quanto tempo ti serve per ripristinare un servizio critico. I backup sono su infrastruttura Microsoft o su qualcosa che controlli tu?

Non sono tutte le domande. Ma se non sai rispondere a queste quattro, non sei in una posizione di debolezza perché usi Microsoft. Sei in una posizione di debolezza perché non hai visibilità.

La sovranità digitale comincia lì.

Vuoi fare l’inventario della tua situazione? Parliamone .

Fonti

• Schleswig-Holstein e la migrazione verso stack open source (HI Network)
• Austria: Ministero dell’Economia su Nextcloud Workspace (Nextcloud Blog)
• Il problema della sostituzione 1:1 di Microsoft 365 in Europa (Ayedo)
• Microsoft Sovereign Cloud e data residency in Europa (Microsoft)
• Office.EU e alternative europee a Microsoft 365 (Office Watch)
• Nextcloud Workspace con IONOS (Heise)
• Microsoft ammette limiti sulla garanzia di residenza dati (The Register)