Uscire da Microsoft 365 o Google Workspace si può. Costa più di quanto sperano i venditori open source e meno di quanto dicono i venditori di cloud americano. Questa guida attraversa il quadro legale oggi, le alternative tecniche disponibili, il metodo che regge in pratica, i criteri per decidere.

Chi vende cloud americano in Italia ha tre risposte pronte sul CLOUD Act. Nessuna delle tre, da sola, chiude la questione. La prima è "i dati sono criptati": ma se le chiavi restano al fornitore, e non al cliente, la giurisdizione resta intatta (su questo il Garante Privacy è stato chiaro nel 2022). La seconda è "abbiamo data center in Europa": ma la giurisdizione segue il fornitore, non il data center. La terza è "siamo GDPR compliant": vero, e non risolutivo allo stesso tempo.

Uscire da Microsoft 365 o Google Workspace non è un problema tecnico. È un problema di posizione. Il problema tecnico si risolve: posta, file, calendari, documenti, chiamate, tutto ha un'alternativa open source matura. La decisione vera è se l'infrastruttura della tua azienda resta affittata a tempo indeterminato da un fornitore americano, o se sposta il baricentro verso uno stack che possiedi, integri e porti via quando decidi tu.

Perimetro di questa guida. Qui si parla del core collaborativo (posta, calendari, contatti, file, editing documentale, chat e riunioni) per studi professionali e PMI italiane con stack lineare e team indicativamente tra le 5 e le 50 persone. Non si parla di endpoint management, protezione avanzata, eDiscovery, DLP, identity governance, automation, BI e compliance strutturata. Queste componenti esistono nei piani più alti di Microsoft 365 (Business Premium, E3, E5 con Intune, Defender, Purview) e di Google Workspace (Vault, DLP, endpoint management, data regions). Se sono parte attiva del tuo modello di controllo, il progetto non è la sostituzione di una suite: è una riprogettazione infrastrutturale, che sta fuori dal perimetro di questa guida. Torno sul punto nella sezione "quando non migrare".

Uso Microsoft 365 come riferimento principale perché è il più diffuso in Italia tra PMI e studi professionali. La stragrande maggioranza del ragionamento si applica con aggiustamenti marginali a Google Workspace: stesso quadro di giurisdizione, stessa natura giuridica, componenti sostituibili comparabili. Quando le differenze contano, le segnalo.

La risposta breve: chi dovrebbe davvero uscire da Microsoft 365 o Google Workspace

Uscire da Microsoft 365 o Google Workspace ha senso oggi se si verificano almeno due di queste cinque condizioni.

1. Tratti dati coperti da segreto professionale, o comunque esposti a richieste di trasparenza da parte di clienti, controparti o autorità (studi legali, studi medici, consulenti finanziari, commercialisti, chi gestisce dati sanitari, chi lavora per committenti che fanno domande serie sulla posizione dei dati).
2. Se oggi dovessi cambiare fornitore, non sapresti in che formato escono i tuoi dati, né quanto tempo richiederebbe trasferirli altrove senza perdita di funzionalità o di storico. Il tema per te non è solo privacy, ma portabilità, prevedibilità contrattuale e costo di uscita.
3. Oggi paghi piani che includono molto più di posta e file (Business Premium, E3, E5, Workspace Enterprise) ma non hai mai verificato se usi davvero le funzioni aggiuntive o se le stai solo finanziando.
4. Hai vissuto almeno un episodio in cui un servizio cloud ti ha bloccato l'accesso, anche temporaneamente, e hai capito cosa significa dipendere da un ecosistema che non controlli.
5. Puoi assorbire un progetto di transizione senza aspettarti che il primo anno costi meno del SaaS che stai lasciando.

Due o più condizioni soddisfatte: vale la pena fare un audit. Una sola: il tema esiste, ma per ora è un'analisi da tenere in agenda, non un progetto da aprire. Zero: non forzare la decisione per principio. La sovranità digitale costa più di quanto credi, e senza una ragione operativa rende meno di quanto speri.

Da qui in poi, la guida entra nel dettaglio. Quattro livelli: il quadro legale, le alternative tecniche, il metodo di migrazione, il framework di decisione.

Il quadro legale oggi: CLOUD Act, Data Privacy Framework, giurisdizione americana

Chi scrive del CLOUD Act come se fossimo ancora nel 2022 ignora tre anni di evoluzione. Chi dice "ora è tutto risolto, c'è il Data Privacy Framework" ignora cosa resta sul tavolo. La verità sta nel mezzo.

Il CLOUD Act esiste ancora. È la legge federale statunitense del 2018 che permette alle autorità USA di richiedere dati a provider americani indipendentemente da dove siano fisicamente conservati. Microsoft, Google, Amazon, Apple, Meta sono tutti provider americani secondo questa definizione. Il fatto che i tuoi dati siano in un data center europeo non li sottrae alla giurisdizione americana se il fornitore è Microsoft Ireland Operations o Google Cloud EMEA.

Dal 10 luglio 2023 esiste il Data Privacy Framework. La Commissione europea ha adottato la decisione di adeguatezza per l'EU-US Data Privacy Framework, un meccanismo di autocertificazione per imprese statunitensi che, quando validamente aderenti per il tipo di dati trattati, permette i trasferimenti senza garanzie aggiuntive ai sensi del Capo V del GDPR. Questo ha cambiato il terreno rispetto al vuoto post-Schrems II. Non ha eliminato il CLOUD Act, ha regolato i trasferimenti.

Il DPF non è stabile. Ogni guida che lo presenta come "problema chiuso" sta vendendoti una prevedibilità che il DPF non ha. NOYB, l'organizzazione di Max Schrems, ha impugnato la decisione di adeguatezza davanti alla Corte di Giustizia dell'Unione Europea: uno "Schrems III" è quindi già in campo, anche se i tempi di una pronuncia si misurano in mesi e anni, non in settimane. Se costruisci scelte strategiche di medio periodo assumendo il DPF come punto fermo, stai prendendo un rischio che non è tuo.

Esistono strumenti di residenza dei dati, ma hanno eccezioni dichiarate. Microsoft documenta l'EU Data Boundary per Microsoft 365 e altri servizi enterprise; Google permette di impostare regioni di dati per versioni supportate. Entrambi dichiarano apertamente scenari in cui continuano trasferimenti fuori dal perimetro UE per supporto, servizi professionali, azioni avviate dall'utente o dall'amministratore, o per funzioni non coperte dalla regionalizzazione. La frase "data center in Europa" non coincide con "nessun trasferimento fuori dall'Europa". Chi te la vende così sta sintetizzando oltre la realtà.

Il Garante italiano sul caso Google Analytics resta un riferimento. Nel provvedimento del giugno 2022 ha ricordato che la semplice crittografia non basta se il fornitore detiene le chiavi ed è soggetto alla giurisdizione che può richiedere l'accesso. Il precedente va usato bene: non per dire che qualunque cloud USA oggi è automaticamente ingestibile (sarebbe un uso pigro di un principio), ma per ricordare che i trasferimenti non sono una formalità e che accesso, garanzie e misure supplementari contano davvero. La vicenda è raccontata per esteso in Quando Google ha spento Analytics, il Garante aveva già detto tutto; il meccanismo giuridico completo è in I tuoi dati sono in Virginia.

Il criterio operativo resta lo stesso: chiediti se i dati che gestisci potrebbero un giorno essere oggetto di richiesta di accesso da parte di un'autorità americana in un procedimento giudiziario, commerciale o di intelligence che coinvolge un tuo cliente, un suo partner, o un fornitore nella filiera. Se la risposta è "è plausibile", il tema ti riguarda. Se è "impossibile", non ti riguarda. La maggior parte delle PMI italiane sta nel "plausibile" senza accorgersene, perché lavora con aziende che lavorano con aziende che lavorano con il mercato americano.

Anche provider europei possono essere obbligati a cedere dati dalle loro autorità nazionali. La differenza non è "i dati in Europa sono al sicuro, punto". La differenza è chi ha giurisdizione, secondo quali leggi, con quali tutele per il titolare del trattamento. Per un'azienda italiana, essere soggetta al diritto italiano e al diritto dell'Unione Europea è più prevedibile e più tutelante che essere soggetta al diritto statunitense attraverso un fornitore americano. Non è "sicuro contro insicuro". È prevedibile contro imprevedibile.

La scelta non è "cloud sì o cloud no": due forme di lock-in a confronto

La scelta non è tra affidarsi al cloud e vivere nelle caverne. È tra due forme diverse di dipendenza.

Nel primo modello affitti a tempo indeterminato un ambiente molto comodo, molto ricco e molto integrato, e ne accetti il perimetro: listini, roadmap, condizioni di uscita, gerarchia delle funzioni, limiti tecnici, tempi di supporto, strategia commerciale decisa altrove. Nel secondo modello usi comunque infrastruttura remota e gestita, ma sposti il baricentro: possiedi di più, integri di più, decidi di più, e in cambio ti assumi più responsabilità progettuale.

La promessa sbagliata è "zero lock-in". Zero lock-in non esiste. Esiste un lock-in più negoziabile: più documentabile, più portabile, meno dipendente dalla strategia commerciale di un hyperscaler, riproducibile se cambi fornitore operativo. È molto diverso da quello che hai oggi, ma non è assenza di vincoli. Chi te lo presenta come assenza di vincoli sta vendendo una favola, stavolta dal lato open source.

Alternative open source a Microsoft 365 e Google Workspace: lo stack reale

L'alternativa a Microsoft 365 non è un prodotto unico. È uno stack. Quattro componenti, ciascuno con un progetto open source maturo.

Posta e groupware. Mailcow è una delle suite più adottate per studi e PMI: regge 10-50 caselle su hardware ordinario, è compatibile con Outlook, Apple Mail, Thunderbird e mobile nativo, supporta calendari e contatti condivisi via CalDAV e CardDAV. Il confronto corretto è con Exchange Online, non con Exchange Server on-premise (che Microsoft continua a offrire dal 2025 nella nuova Subscription Edition, su modello abbonamento). Su posta ordinaria, agenda condivisa, rubrica aziendale e gestione spam la copertura è solida; retention avanzate ed e-discovery strutturata tipo Microsoft Purview restano fuori dal perimetro. Nello stesso spazio si collocano anche Mailu e Stalwart (entrambi FOSS), Zimbra (community edition con licenza ibrida, futuro della community non del tutto lineare) e grommunio, evoluzione del progetto Kopano con protocolli MAPI/EAS più vicini all'esperienza Exchange.

File e storage condiviso. Nextcloud è il riferimento. Sostituisce OneDrive for Business, la componente documentale di base di SharePoint, e una parte di Teams come repository file. Ha sync desktop per Windows, macOS e Linux, app mobile iOS e Android, accesso web. Supporta versioning, permessi granulari, condivisione esterna con link protetti, crittografia lato server e opzionalmente lato client. Il trade-off reale: Nextcloud è meno immediato di OneDrive nel sync di cartelle molto grandi, non ha la stessa integrazione nativa dentro Windows, macOS e Office che Microsoft offre con il suo client, e richiede manutenzione. Il confronto dettagliato è in Nextcloud non è Google Drive. Ed è esattamente il punto.

Editing documentale. Due opzioni integrabili con Nextcloud, con architetture diverse. Collabora Online è LibreOffice lato server: ogni documento aperto avvia un processo LibreOffice con rendering server-side. Più fedele agli standard ODF, ma pesante in RAM e CPU per utenti concorrenti. OnlyOffice Document Server usa rendering HTML5 lato client (Canvas): il server si limita a collaborazione e conflict resolution, footprint inferiore, più reattivo nel browser, e storicamente più compatibile con i formati Microsoft. Per uno studio con file Office esistenti e hardware standard, OnlyOffice è spesso la scelta più pragmatica. Collabora ha senso quando c'è già un investimento ODF consolidato o quando la priorità è la fedeltà allo standard aperto. In entrambi i casi, documenti molto complessi (Excel con macro VBA estese, Word con SmartArt personalizzati, PowerPoint con animazioni avanzate) possono perdere elementi di formattazione. Per il lavoro d'ufficio ordinario la compatibilità regge.

Chat, videochiamate, riunioni. Nextcloud Talk è integrato nella stessa istanza di Nextcloud. Offre messaggistica di team, chiamate 1:1 e di gruppo, screen sharing, lobby, registrazione. Non ha la sofisticazione di Teams sul piano delle integrazioni con applicazioni terze, dei workflow automatizzati, della whiteboard evoluta. Copre bene il caso d'uso "parliamo in video, condividiamo lo schermo, ci mandiamo messaggi di lavoro". Un punto da non sottovalutare: le chiamate di gruppo di qualità richiedono l'High-performance Back-End di Talk, che è documentato apertamente ma richiede progettazione. Per gruppi fino a 10-15 partecipanti su caso d'uso standard, l'installazione base regge. Per videoconferenze più grandi o più strutturate, BigBlueButton e Jitsi restano opzioni valide da affiancare.

Lo stack completo gira su un server dedicato ospitato in un data center europeo, tipicamente in Italia o in un altro paese dell'Unione. Con crittografia TLS, backup programmati, monitoring attivo. L'infrastruttura è gestita, non self-hosted nel senso casalingo del termine: nessuno tiene il server sotto la scrivania. Chi non distingue bene self-hosting da autogestione casalinga fa confusione su tutta la conversazione, e il dettaglio terminologico conta.

Uscire da Google Workspace: cosa cambia rispetto a Microsoft 365

Il ragionamento di fondo è identico. Cambiano alcuni dettagli tecnici che è bene dichiarare.

Posta. La migrazione da Gmail a Mailcow (o equivalente) passa per IMAP-to-IMAP come per Exchange Online. La differenza pratica: Google Takeout fornisce un export completo dell'account (posta, contatti, calendari, Drive, foto) in formato standard, di solito più ordinato dell'export equivalente da Microsoft. La fase di esportazione è più lineare.

File. Il passaggio da Google Drive a Nextcloud è spesso più semplice del passaggio da OneDrive/SharePoint, perché Drive ha una struttura a permessi più piatta e meno casi di sovrapposizione strutturale tra siti, librerie, gruppi e deleghe. Le cartelle condivise di Drive mappano in modo più diretto sulle cartelle condivise di Nextcloud.

Documenti. Google Docs è più lontano da ODF e da OOXML rispetto a Office: il formato nativo di Docs è proprietario e l'export in .docx perde elementi di formattazione. I documenti lavorati intensamente su Docs richiedono una fase di riadattamento quando escono dal formato nativo. Chi migra da Google Workspace conserva in .docx i documenti attivi e li riapre con OnlyOffice.

Riunioni. Meet, in un'azienda che vive su Google Workspace, è meno incastrato nei processi quotidiani di quanto non lo sia Teams in un'azienda che vive su Microsoft. Sostituirlo con Nextcloud Talk, in media, incontra meno attrito culturale.

Una differenza sostanziale dal punto di vista del lock-in: Google Workspace non ha un equivalente di Power Platform. Questo elimina uno dei nodi più duri della migrazione da Microsoft, quando Power Automate, Power BI, Dataverse sono entrati nei processi di una PMI. Se parti da Google, questo vincolo non esiste. Se parti da Microsoft, può essere l'ostacolo decisivo.

Due scenari di migrazione: autonomia o supporto consulenziale

Prima di entrare su costi e metodo, distinguo due scenari, perché non richiedono lo stesso impegno e non si rivolgono alla stessa persona.

Scenario 1, autonomia. Chi decide di passare allo stack open source compra un pacchetto in hosting dedicato, già integrato: posta Mailcow, Nextcloud per storage e collaborazione, editing documentale, chat e videoriunioni. Non è "self-hosting casalingo": è infrastruttura in data center europeo, gestita da un fornitore, che usa software open source al posto del software proprietario di Microsoft o Google. Il pacchetto include i tool standard di migrazione dati: import IMAP-to-IMAP per la posta, import da OneDrive/SharePoint o Google Drive per i file, import contatti e calendari da .vcf e .ics, utility per deleghe e regole di base. Per uno studio o una PMI con un referente tecnico interno, uno stack lineare e team fino a 20-30 persone, questi tool coprono la maggior parte dei casi. La migrazione resta un progetto che va pianificato, ma si chiude senza consulenza esterna strutturata. Il tempo effettivo e la frustrazione dipendono dalla dimestichezza del referente interno e dalla qualità del pacchetto scelto.

Scenario 2, supporto. Oltre al pacchetto tecnico, chi vuole essere accompagnato acquista un pacchetto separato di supporto, consulenza e formazione. Tre casi in cui ha senso:

1. Non c'è un referente tecnico interno abbastanza forte da chiudere il progetto da solo, e il team non può perdersi giornate a diagnosticare.
2. I tool standard del pacchetto non coprono il caso specifico: deleghe complesse, archivi storici di caselle condivise, integrazioni con CRM o gestionali che passano da Microsoft Graph, regole di retention da preservare, mapping di permessi SharePoint non banali.
3. Serve formazione, non solo migrazione: il team deve adottare lo stack nuovo in modo produttivo. È il caso più frequente in studi con 10-30 persone, dove il risultato della migrazione dipende più dall'onboarding che dalla tecnica.

Il primo scenario paga pacchetto + tempo interno. Il secondo aggiunge il costo del supporto, che vale la pena quando sposta la probabilità di successo dalla forza del referente interno a un percorso strutturato. Sono due prodotti diversi e vanno pensati separatamente.

Quanto costa davvero migrare da Microsoft 365 o Google Workspace

La domanda che arriva sempre è "quanto costa". Nessun numero in una guida generica vale senza conoscere il tuo stack reale: dimensione del team, integrazioni esistenti, quantità di dati, piano di partenza, livello di continuità richiesto. Quello che vale è la struttura economica e i fattori che la determinano. Con quella in mano, quando incontri un preventivo reale, capisci se regge.

Il primo anno costa di più di quello che paghi oggi a Microsoft o Google, soprattutto in Scenario 2. C'è un investimento iniziale che non si ripete: progettazione dell'infrastruttura, migrazione dei dati esistenti, formazione del team, assistenza intensificata nei primi mesi. L'entità dipende soprattutto da due variabili: dimensione del team e complessità delle integrazioni. Poche persone e uno stack lineare costano poco; molte persone e molte integrazioni costano molto. In Scenario 1 l'investimento iniziale è sostanzialmente il costo del pacchetto più il tempo interno del referente, senza consulenza aggiunta. In Scenario 2 si aggiunge il pacchetto di supporto con canone dedicato, che è quello che copre progettazione, migrazione assistita, formazione e assistenza intensificata nei primi mesi.

Dal secondo anno il costo si assesta. Il canone ricorrente di un servizio gestito completo tende a restare dello stesso ordine di grandezza del canone Microsoft o Google che stavi pagando. Il confronto non è "costa meno" ma costa in modo diverso: la voce cresce in modo prevedibile, non può essere modificata unilateralmente dal fornitore, non dipende da logiche di listino decise in un altro continente.

Il break-even esiste ma dipende dal piano di partenza. Chi oggi paga Business Premium con Intune, Defender, Azure Information Protection raggiunge il pareggio prima di chi paga Business Standard, perché il piano originale costa di più per utente. Dare un intervallo medio "valido per tutti" sarebbe ingannevole: lo spread tra una migrazione che rientra al secondo anno e una che rientra al quinto è tutto nei tuoi parametri (numero di utenti, piano di partenza, quante integrazioni sopravvivono allo switch, quanta formazione serve). I fattori che muovono il calcolo sono tre: stabilità del team nel medio periodo (se cresce, servono licenze o scaling dell'infrastruttura), piano Microsoft o Google confrontato, andamento dei listini del provider originale, che nel caso dei principali SaaS americani ha visto più cicli di aumento sui piani business tra il 2023 e il 2025. Un quadro operativo su come si presenta una migrazione in uno studio legale piccolo è in Ho migrato uno studio legale da Exchange. Non è andata come pensate.

Cosa paga il delta iniziale. Non paga risparmio immediato. Chi ti dice che passare a open source fa risparmiare subito, o ha sbagliato i conti o ha nascosto voci. Paga: controllo dell'infrastruttura, portabilità dei dati, indipendenza da cambi di prezzo unilaterali, stack tecnico auditabile, giurisdizione italiana e dell'Unione invece che americana. Non paga: una soluzione più comoda, un'interfaccia più curata, integrazioni più ricche con applicazioni di terze parti.

Il costo che non compare nel preventivo è il disagio organizzativo. Due o tre settimane in cui il team chiede quando torna Outlook, chiama l'assistenza per cose che prima faceva da solo, protesta sulla prima cosa diversa che incontra. La variabile che determina l'esito è una sola: se chi decide ha spiegato al team perché si sta facendo la migrazione, il disagio rientra e si chiude. Se non l'ha spiegato, il disagio diventa resistenza attiva e la migrazione può fallire.

Il metodo di migrazione che funziona: quattro fasi sovrapposte

Il metodo sotto descrive il percorso nella modalità supporto (Scenario 2): quattro fasi strutturate con inventario, setup, migrazione dati e switchover. In autonomia (Scenario 1) le stesse fasi valgono concettualmente, ma si accorpano e si semplificano, perché il referente interno le gestisce insieme e i tool standard del pacchetto coprono gran parte del passaggio dati.

Niente big bang. Le migrazioni big bang, stacco tutto venerdì sera e lunedì mattina siamo sull'altro sistema, falliscono con frequenza sproporzionata. Le migrazioni incrementali reggono meglio perché si correggono in corsa.

Le fasi non sono sequenziali rigide. Si sovrappongono, come in qualunque progetto di cambio infrastruttura. L'arco complessivo tipico è 4-8 settimane di lavoro, con diverse attività che corrono in parallelo.

Fase 1, audit e inventario (1-2 settimane). Mappare cosa è in uso davvero: caselle email, regole di inoltro, firme, calendari condivisi, archivi file, chat di gruppo, applicazioni terze che usano Microsoft Graph o le API di Google per autenticazione o per dati. La parte più sottovalutata sono le applicazioni terze: un CRM, un gestionale, un tool di fatturazione che hanno un pezzo di integrazione con Microsoft o Google. Quelle vanno mappate prima, perché sono i punti in cui la migrazione si impiglia se non le hai viste.

Fase 2, setup parallelo (1-2 settimane, si sovrappone con Fase 3). Si monta l'infrastruttura nuova e si configurano caselle, utenti, calendari. Nessuno la usa ancora. Test tecnici: invio e ricezione email, calendari funzionano, chat funziona, sincronizzazione file funziona, accesso mobile funziona, recovery funziona.

Fase 3, migrazione dati in parallelo (2-3 settimane, si sovrappone con Fase 2 e Fase 4). Si migrano le email esistenti (IMAP-to-IMAP sposta bene anche anni di archivio), i file da OneDrive/SharePoint o Google Drive a Nextcloud, i calendari. Il team continua a usare il provider originale. La nuova infrastruttura viene popolata in parallelo.

Fase 4, switchover per gruppi (2-3 settimane, si sovrappone con la fine della Fase 3). Si sposta il team un reparto alla volta, non tutti insieme. Prima i più adattabili, poi i meno adattabili. Il primo gruppo fa da pionieri e da supporto ai successivi. Il DNS dell'email si ribalta per ultimo, quando la maggior parte del team è già sul nuovo sistema.

Questo metodo riduce il rischio. Se qualcosa non funziona, hai il provider originale ancora attivo sotto. Il rollback è sempre possibile fino alla Fase 4. Dopo la Fase 4 si resta un mese in doppia infrastruttura per sicurezza, poi si chiude il provider originale.

Una nota su Teams, perché è il componente più difficile da sostituire. È il luogo in cui il team lavora tutto il giorno: chat, riunioni, file condivisi, notifiche, micro-rituali. Il modo che funziona è farlo coesistere con Nextcloud Talk per 3-6 mesi, poi dismetterlo gradualmente. Forzare la dismissione il primo giorno produce resistenza sproporzionata all'impatto tecnico.

Quando non migrare

Non migrare se la tua azienda dipende fortemente dall'ecosistema Power Platform (Power BI, Power Automate, Dataverse). Alternative open alle singole componenti esistono: Metabase o Apache Superset per la BI, n8n per l'automazione, PostgreSQL come data layer. Non formano una suite integrata equivalente. Se Power Platform è usato in modo marginale, un paio di dashboard, non è un ostacolo. Se è il motore di processi aziendali critici, la migrazione del core collaborativo va affrontata dopo, e separata da un progetto di riprogettazione infrastrutturale con budget, tempo e un partner specializzato.

Non migrare se le componenti avanzate escluse dal perimetro di questa guida (Intune, Defender, Purview, Vault, DLP, endpoint management, eDiscovery strutturata, data regions) sono parti attive del tuo modello di controllo. Strumenti open si trovano (Keycloak o Authentik per l'identità, Wazuh per monitoring, Fleet per MDM, tooling dedicato per DLP ed e-discovery), ma come famiglia di progetti da riprogettare, non come sostituti drop-in. Se sono parte dello stack operativo reale, serve un progetto più grande, oppure il tema va rinviato.

Non migrare se la tua azienda ha meno di 5 persone. Il costo assoluto del setup non si ammortizza facilmente su una base utenti piccola. Esistono alternative più leggere per freelance e micro-studi: pacchetti di posta e cloud storage pensati per scala individuale, offerti da provider europei su base abbonamento mensile.

Non migrare se il team è composto da persone molto resistenti al cambiamento e chi decide non ha capitale di fiducia sufficiente per sostenere il periodo di disagio. Non c'è metodo tecnico che aggiri la resistenza organizzativa. Prepara il terreno prima: qualche mese di comunicazione interna, formazione su open source come concetto, casi presentati in riunione, piccoli esperimenti parziali. Poi decidi.

Non migrare se il motivo è solo ideologico. Sovranità digitale senza una ragione operativa è un lusso che costa e non rende. Un caso di questo tipo è trattato in Questo cliente voleva uscire da Microsoft, gli ho detto di no. Meglio aspettare un anno e migrare con un motivo chiaro che migrare oggi per posizione di principio.

Framework di decisione: dati, dipendenza, organizzazione

Tre domande, peso equivalente.

Criterio 1, dati. Se domani il tuo cliente più esigente ti chiedesse dove stanno i suoi dati, sotto quale base giuridica li trasferisci, con quale fornitore li tratti, e quanto tempo impiegheresti a spostarli, sapresti rispondere con documenti e non con frasi generiche? Se sì, sei già in una posizione matura. Se no, il criterio dati pesa alto e spinge verso la migrazione.

Criterio 2, dipendenza. Se il tuo provider raddoppiasse il prezzo o ti imponesse un cambio di perimetro contrattuale, il tempo di uscita sarebbe settimane, mesi, o non c'è proprio? Se la risposta è "settimane", sei già sovrano. Se è "mesi o più", il criterio dipendenza pesa alto.

Criterio 3, organizzativo. Il tuo team può sostenere un progetto che per qualche settimana sarà meno comodo, in cambio di una posizione più controllabile nel medio periodo? Se sì, c'è capitale interno sufficiente. Se no, il criterio organizzativo pesa alto in direzione opposta: indica che non è il tuo momento, non che devi migrare comunque.

Due criteri su tre in fascia alta giustificano la migrazione. Uno solo non è sufficiente. Zero criteri alti indicano che il tema non è maturo per la tua azienda, ora.

Sovranità digitale per PMI: decidere da dentro, non da fuori

Il primo passo della sovranità digitale non è cambiare strumento. È sapere se puoi farlo, e a quali condizioni. Una volta che lo sai, la decisione di quando farlo diventa una scelta di business, non di principio. E diventa reversibile: puoi migrare oggi, puoi rimanere su Microsoft o Google ancora due anni sapendo esattamente quanto costa restare, puoi migrare per gradi. Quello che non puoi più è non sapere.

Se vuoi capire dove si colloca la tua azienda rispetto ai tre criteri del framework, il checkup gratuito di Omnia Digital è 15 domande, 4 minuti, una fotografia della tua esposizione reale. È una base di partenza.

Fonti

• Garante per la protezione dei dati personali, Provvedimento del 9 giugno 2022 sull'utilizzo di Google Analytics
• Commissione europea, EU-US Data Privacy Framework e decisione di adeguatezza del 10 luglio 2023
• European Data Protection Board, informazioni sul quadro UE-USA per le imprese europee
• Microsoft, EU Data Boundary per i servizi cloud enterprise
• Google Workspace, regioni di dati e versioni supportate
• U.S. Congress, Clarifying Lawful Overseas Use of Data Act (CLOUD Act), Public Law 115-141, 2018
• Microsoft 365 Business, listino prezzi Italia
• Google Workspace, listino prezzi Italia