Ripensare la sovranità digitale grazie al PNRR: il progetto Emdas

Cosa si intende per sovranità digitale

La necessità di affrontare il problema della sovranità digitale, intesa come garanzia dei principi di territorialità e di gerarchia statale, è sorta come conseguenza diretta della digitalizzazione stessa. È indiscutibile che la trasformazione digitale e lo sviluppo di un’infrastruttura tecnica globale ed in continua evoluzione quale Internet mettano in discussione la possibilità di instaurare meccanismi efficaci di controllo, non solo dal punto di vista tecnico ma anche da quello giuridico.

Le applicazioni digitali e le nuove pratiche comunicative rese possibili dalle reti digitali globali hanno generato dinamiche di una velocità tale da sfuggire in molte occasioni al controllo delle leggi nazionali. Ciò ha portato negli anni ’90 alla nascita di correnti di pensiero che rivendicavano in questo ambito la scomparsa dello stato, una posizione resa celebre dall’audace dichiarazione di John Perry Barlow sull’indipendenza del cyberspazio [1].

Sebbene posizioni di questo tipo siano ancora presenti nel dibattito pubblico, oggi queste tendono ad essere interpretate più come una minaccia che come un obiettivo da perseguire. Per preservare la propria autorità, gli stati hanno attuato misure di vario genere per intervenire sul digitale con l’obiettivo di far rispettare le leggi nazionali.

Negli anni, sono stati introdotti e modificati numerosi riferimenti legali e strumenti tecnici per affrontare le questioni della governance digitale, nella convinzione che la sovranità e l’autorità statale siano fondamentali per proteggere beni e diritti essenziali dei cittadini. In molti paesi i cittadini si aspettano che i loro governi proteggano la loro privacy online e combattano la diffusione di informazioni che li riguardano.

È nata quindi una grande attenzione alla sovranità sui dati, cioè l’idea che i dati siano soggetti alle leggi ed alla normativa in generale della nazione in cui tali dati hanno origine. Quasi tutti i paesi hanno una qualche forma di legge sulla protezione dei dati, che fornisce determinate tutele alle informazioni personali raccolte dai propri cittadini. Non vi è dubbio che uno degli esempi più rilevanti di corpo normativo completo sulla privacy sia costituito dal Diritto dell’Unione Europea, il quale, a partire dalla Direttiva 95/46, ha previsto una serie di disposizioni di stimolo e di vincolo per gli Stati membri nella creazione di uno spazio regolativo comune che, al momento, consiste almeno nella Direttiva ePrivacy (2002/58) e del Regolamento Generale sulla Protezione dei Dati (GDPR) 2016/679.

Altri Esempi rilevanti di norme sulla sovranità dei dati includono le Leggi sulla Privacy dei Consumatori in California (CCPA e CPRA), i Principi Australiani sulla Privacy (APP) e la Legge Giapponese sulla Protezione delle Informazioni Personali (APPI). Con il crescente impiego di tecnologie digitali invasive, dall’intelligenza artificiale all’Internet of Things, Il concetto di sovranità digitale sta assumendo una rilevanza politica e sociale sempre maggiore e sta estendendo il proprio ambito dai soli dati alla governance globale delle infrastrutture digitali ed allo sviluppo e all’utilizzo delle tecnologie digitali e la granularità del controllo che si intende instaurare sta passando dal livello della nazione a quello dell’azienda e addirittura dell’individuo.

Il quadro normativo di riferimento

Come anticipato, il Diritto dell’Unione Europea costituisce l’esempio più compiuto di disciplina, al tempo, stesso compiuta e che eccede i confini della sovranità nazionale. Forte del trasferimento di competenze operato dagli Stati Membri nella prospettiva del corretto funzionamento del mercato comune, le Istituzioni dell’Unione hanno, infatti, costruito uno spazio regolativo sovranazionale nel quale garantire, con riguardo al trattamento dei dati personali, la tutela dei diritti fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, tutelando, al tempo stesso la libera circolazione dei dati stessi.

In questa ambiziosa prospettiva si è mossa la Direttiva 95/46/CE del 24 ottobre 1995, partendo dal presupposto che i sistemi di trattamento dei dati sono al servizio dell’essere umano, indipendentemente dalla nazionalità o dalla residenza, dovendo, al tempo stesso, contribuire al progresso economico e sociale dell’Unione. Già nel 1995, peraltro, si era consapevoli del fatto che i progressi registrati dalle tecnologie dell’informazione avrebbero facilitato notevolmente il trattamento e, soprattutto, la circolazione dei dati.

Sebbene inscritto nella dimensione regolativa sovranazionale, l’attuazione del Diritto dell’Unione, come spesso avviene per le libertà fondamentali, richiede la collaborazione delle amministrazioni nazionali degli Stati membri, anche al fine di facilitare la circolazione dei dati per poter svolgere la loro funzione o esercitare compiti per conto di un’amministrazione di un altro Stato membro, nell’ambito dal mercato comune.

D’altro canto, il differente livello di tutela della vita privata garantito negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi tra gli Stati membri, costituendo un ostacolo all’esercizio di molte attività economiche transnazionali, falsando la concorrenza e impedendo l’azione del Diritto dell’Unione qualora le attività del responsabile del trattamento ricadano nel suo ambito di applicazione.

Tuttavia, proprio nella prospettiva della sovranità digitale sovranazionale ad esercizio nazionale, la tutela delle persone non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo, potendo i mezzi utilizzati per il trattamento essere disciplinati, dalla legge dello Stato membro nel quale sono ubicati, in attuazione del Diritto dell’Unione. La tutela non osta al trasferimento di dati personali verso paesi terzi che garantiscano un livello di protezione adeguato, da valutarsi in funzione di tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti. Di contro, deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato, a meno che la persona interessata non abbia espresso il proprio consenso e che il trasferimento sia necessario in relazione ad un contratto o ad un’azione legale ovvero per la salvaguardia di un interesse pubblico rilevante.

I principi di tutela adottati dal Diritto dell’Unione, si sostanziano, da un lato, nei vari obblighi a carico delle persone, autorità pubbliche, imprese, agenzie o altri organismi responsabili del trattamento, obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di controllo, alle circostanze in cui il trattamento può essere effettuato. Dall’altro, nel diritto delle persone, i dati delle quali sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne la rettifica, o di opporsi al trattamento in talune circostanze.

I principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile, prendendo in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Per essere lecito, il trattamento di dati personali deve essere basato sul consenso della persona interessata oppure deve essere necessario ai fini della conclusione o dell’esecuzione di un contratto vincolante per la persona interessata, oppure deve essere previsto dalla legge, per l’esecuzione di un compito nell’interesse pubblico o per l’esercizio dell’autorità pubblica, o nell’interesse legittimo di un singolo individuo.

Dati che, per loro natura, possono ledere le libertà fondamentali o la vita privata (dati sensibili) non possono essere oggetto di trattamento, salvo esplicito consenso della persona interessata. Tuttavia, gli Stati membri sono autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento dei dati sensibili in settori quali la pubblica sanità, i rapporti di lavoro, la protezione sociale, la ricerca scientifica nonché le statistiche pubbliche.

Il principio del trattamento leale dei dati

Il Diritto dell’Unione afferma, poi, il principio del trattamento leale dei dati, il quale presuppone che le persone interessate debbano essere a conoscenza dell’esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un’informazione effettiva e completa in merito alle circostanze della raccolta.

Inoltre, la persona interessata deve godere del diritto d’accesso ai dati che la riguardano e che sono oggetto di trattamento, per poter verificare, in particolare, la loro esattezza e la liceità del trattamento; per lo stesso motivo è affermato il diritto della persona interessata a conoscere la logica su cui si basa il trattamento automatizzato dei dati che le riguardano, lasciando, tuttavia, impregiudicati il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software, senza che ciò si traduca nel rifiuto di fornire qualsiasi informazione alla persona interessata.

Restrizioni al diritto d’accesso e di informazione rispetto ai dati

Restrizioni al diritto d’accesso e di informazione rispetto ai dati raccolti possono essere previste dagli Stati membri a beneficio della persona interessata, a tutela dei diritti e delle libertà altrui o nella misura in cui tali restrizioni siano necessarie per salvaguardare l’interesse pubblico.

Tuttavia, in caso di dati che potrebbero essere oggetto di un trattamento lecito per ragioni di interesse pubblico, di esercizio dell’autorità pubblica o di interesse legittimo di un singolo, alla persona interessata è riconosciuto il diritto, per ragioni preminenti e legittime connesse alla sua situazione particolare, di opporsi al trattamento dei dati che la riguardano.

La tutela dei diritti e delle libertà delle persone interessate si sostanzia nell’adozione di adeguate misure tecniche ed organizzative sia al momento della progettazione che a quello dell’esecuzione del trattamento, in particolare per garantirne la sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato.

Il ruolo delle Autorità di controllo

In questa prospettiva, la designazione di autorità di controllo che agiscano in modo indipendente in ciascuno Stato membro è un elemento essenziale della tutela. Dette autorità devono disporre dei mezzi necessari all’adempimento dei loro compiti, siano essi poteri investigativi o di intervento in caso di reclami di singoli individui, nonché poteri di avviare azioni legali e devono contribuire alla trasparenza dei trattamenti effettuati nello Stato membro di appartenenza.

Le autorità degli Stati membri sono tenute a collaborare nello svolgimento dei propri compiti al fine di assicurare che le norme di tutela vengano pienamente rispettate in tutta l’Unione.

L’articolo 29 della Direttiva 95/46/CE aveva istituito il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali al fine di consigliare la Commissione e, in particolare, di contribuire all’applicazione omogenea delle norme nazionali di attuazione della direttiva stessa. Il Gruppo, composto da un rappresentante dell’autorità di controllo di ciascuno Stato membro, originariamente denominato Article 29 Working Party (WP29) è stato sostituito, dal GDPR che ha abrogato la Direttiva, con lo European Data Protection Board (EDPB) ed ha assunto il compito di vigilare sull’applicazione coerente del GDPR e della Direttiva 2016/680, cosiddetta enforcement, adottata in coincidenza. Prima di essere sostituito dal EDPB, il WP29 ha adottato una serie di Direttive molto significative di interpretazione e applicazione del GDPR e della giurisprudenza della Corte UE in materia di tutela dei dati personali.

La notifica del trattamento dei dati all’autorità nazionale di controllo avviene, quindi, per rendere note la sua finalità e le sue principali caratteristiche e per consentire la verifica della loro rispondenza alle norme nazionali di attuazione del Diritto dell’Unione.

Esenzioni e semplificazioni degli obblighi di notifica

Esenzioni e semplificazioni degli obblighi di notifica possono essere previste dagli Stati membri al fine di evitare formalità amministrative improprie a condizione che non rechino pregiudizio ai diritti e alle libertà delle persone interessate e purché siano conformi ad un atto adottato dallo Stato membro che ne precisi i limiti.

Nel sistema di tutela, un ruolo fondamentale viene, poi, svolto dall’incaricato della protezione dei dati, il quale, dipendente o meno del responsabile del trattamento, deve essere in grado di esercitare le sue funzioni in modo del tutto indipendente.

Possibilità di ricorso giurisdizionale

Infine, ma non da ultimo, le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale in caso di violazione dei diritti delle persone interessate da parte del responsabile del trattamento. I danni cagionati alle persone per effetto di un trattamento illecito devono essere risarciti dal responsabile del trattamento, a meno che questi non provi l’esistenza di un errore della persona interessata o un caso di forza maggiore.

Le sanzioni previste dalla legislazione nazionale devono essere applicate nei confronti di qualsiasi soggetto di diritto privato o di diritto pubblico che non rispetti le norme nazionali di attuazione del Diritto dell’Unione.

Questo quadro generale viene dotato di un riferimento giuridico ancor più solido dalla previsione del diritto di ogni persona al rispetto della propria vita privata e delle proprie comunicazioni, sancito, nel 2000, dall’articolo 7 della Carta dei Diritti Fondamentali dell’Unione Europea, ma anche dal riconoscimento del diritto di ogni persona, garantito dalla presenza di un’autorità indipendente di controllo, alla protezione dei dati di carattere personale che la riguardano, al loro trattamento secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge, nonché il diritto all’accesso ai dati raccolti che la riguardano e di ottenerne la rettifica.

Il quadro generale viene ribadito e rafforzato dal GDPR, che, pur essendo un regolamento, lascia ampio spazio attuativo alle legislazioni nazionali e in detto quadro, si inseriscono almeno due elementi importati nella prospettiva della definizione dei contenuti della sovranità digitale ovvero l’adozione della già richiamata Direttiva ePrivacy (2002/58) e la sentenza Google della Corte di giustizia UE del 13 maggio 2014.

La Direttiva ePrivacy (2002/58)

La prima, prevede, infatti, “l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità”.

La sentenza Google della Corte di giustizia UE del 13 maggio 2014.

La seconda, afferma, tra l’altro, che “l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come trattamento di dati personali, qualora tali informazioni contengano dati personali, e che (…) il gestore di detto motore di ricerca deve essere considerato come il responsabile del trattamento.”.

Limiti della tecnologia attuale

La risposta ad oggi al bisogno di sovranità digitale si riduce sostanzialmente a delle offerte di servizi cloud in cui il cloud provider si impegna a garantire che la conservazione ed in molti casi anche l’elaborazione dei dati avvenga su macchine che sono localizzate in una specifica nazione o insieme di nazioni. Ad esempio, Amazon Web Services offre la possibilità di scegliere come e dove eseguire i carichi di lavoro ed annuncia che entro la fine del 2025 avverrà il lancio di AWS European Sovereign Cloud [2].

L’offerta di Google, chiamata Google Sovereign Cloud [3], appare più completa, con una serie di funzionalità che implementano i tre pillar su cui si basa la strategia della sovranità digitale di Google: Data Sovereignty, Operational Sovereignty e Software Sovereignty. Tuttavia, le offerte attualmente disponibili forniscono – nei migliori dei casi – soluzioni efficaci soltanto per quanto riguarda i requisiti essenziali in termini di sovranità digitale dei governi nazionali e delle istituzioni pubbliche in determinati paesi (ed in particolare in quelli comunitari), limitatamente ai dati. Occorre affrontare le problematiche della sovranità digitale in un contesto più ampio, in cui la sovranità sui dati occupa un posto di rilievo ma uguale importanza è data al problema più vasto della sovranità degli strumenti digitali in generale.

Il progetto EMDAS

Il progetto EMDAS (Enforcement and Monitoring of Data Sovereignty policies) affronta le problematiche ancora aperte della sovranità digitale. Il progetto si inserisce in maniera sinergica in un insieme di iniziative che affrontano il problema della sovranità digitale in chiave multidisciplinare, utilizzando finanziamenti resi disponibili dal Piano Nazionale di Ripresa e Resilienza (PNRR) [5]. Il PNRR sta infatti fornendo linfa vitale a importanti iniziative di ricerca e di investimento industriale sulla Sovranità Digitale, in linea con le priorità delle politiche strategiche dell’Unione Europea. EMDAS si occupa di alcune problematiche specifiche del progetto Digital Sovereignty (DiSe) [6], considerando la sovranità digitale soprattutto in relazione a tecnologie emergenti – quali: l’intelligenza artificiale, il cloud, il fog, l’edge computing e i dataspace – ed alle applicazioni delle stesse in settori critici, come quello dell’energia e quello dei trasporti. Il mondo della ricerca sta seguendo varie strategie, sia sul piano tecnologico che su quello giuridico. Il progetto mira a rafforzare la sicurezza e la resilienza delle infrastrutture digitali, abilitando meccanismi di fiducia nello scambio di informazioni sensibili, vitali per lo sviluppo delle stesse.

L’adozione crescente di applicazioni basate sui dati sta rivoluzionando settori chiave, spingendo verso soluzioni efficienti per il Secure Computing Continuum dell’Unione Europea, integrando IoT, Edge, Cloud e Dataspace. La condivisione dei dati rappresenta un fattore determinante per lo sviluppo di servizi innovativi in grado di apportare benefici concreti a cittadini, imprese e Pubblica Amministrazione in Italia ed in Europa. Tuttavia, la gestione delle informazioni nel rispetto dei diritti rimane complessa, vista la necessità di elevati standard di riservatezza e affidabilità e la necessità di garantire il controllo del dato in tutto il suo ciclo di vita. EMDAS prevede attività di studio, ricerca e sperimentazione su: aspetti giuridici della cybersecurity e privacy e delle tecnologie digitali; strumenti e tecnologie per digital e data sovereignty; tecnologie per la network security; tecnologie per la sicurezza e la protezione dei dati e delle elaborazioni. EMDAS utilizza una serie di tecnologie abilitanti ed in particolare, quelle dei Trusted Execution Environment (TEE) fornite dai maggiori produttori di microprocessori nelle nuove famiglie. EMDAS mira a progettare soluzioni scalabili che garantiscano sicurezza e cooperazione lungo l’intera catena del valore, migliorando la resilienza dei sistemi di Smart Energy e Smart Mobility attraverso la condivisione intelligente dei dati. L’attività di ricerca del progetto EMDAS si articola su tre filoni principali, che sono descritti in dettaglio nelle sezioni che seguono.

Cybersecurity e privacy in tema di digital sovereignty

Per quanto riguarda gli aspetti giuridici, il progetto EMDAS si propone di investigare quelli relativi alla disciplina dei rapporti di lavoro, prendendo spunto dall’art. 88 del GDPR, il quale consente agli Stati membri di prevedere anche per il tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

Monitoraggio della conformità del traffico di rete

EMDAS approfondisce le problematiche relative al monitoraggio della conformità del traffico di rete alle regole imposte dalla sovranità digitale e sviluppa tecniche per il rilevamento delle possibili violazioni. Sarà definita un’architettura concettuale di riferimento per mettere in sicurezza il Computing Continuum, cioè l’ecosistema costituito da cloud, edge e IoT (Internet of Things) in cui la produzione e l’elaborazione dei dati avvengono senza soluzione di continuità, superando i tradizionali perimetri fisici che separavano le diverse aree computazionali. In questo continuum, muovendosi da una zona all’altra, si osservano variazioni nei costi delle risorse computazionali, nella latenza, nella pervasività, nella dipendenza energetica e nella reattività del sistema. Il cloud costituisce il nucleo centrale del sistema (la terminologia “near edge” e “far edge” si riferisce proprio alla distanza rispetto al cloud, che rappresenta il cuore dell’infrastruttura computazionale). Saranno approfondite le implicazioni di sicurezza di questo nuovo paradigma computazionale e si definiranno i requisiti derivanti dalle normative riguardanti il traffico di rete, anche in considerazione delle nuove sfide derivanti dalle tecnologie di virtualizzazione. Si esploreranno architetture sicure e soluzioni di esecuzione protetta, mediante l’utilizzo delle tecnologie TEE (Trusted Execution Environment) dei maggiori produttori di CPU, quali: Intel SGX [8] e TDX [9], Arm TrusZone [10] e CCA [11], AMD-SEV [12] and SEV-SNP [13].

Due ambiti di particolare interesse: energia e trasporti

Le soluzioni sviluppate da EMDAS saranno validate in due domini di applicazione critici: quello dell’energia e quello dei trasporti. Per poter effettuare anche test potenzialmente distruttivi, si utilizzeranno dei tesbed virtuali. Sarà allestito un testbed virtuale nel dominio Smart Energy. Esso utilizzerà le tecnologie Digital Twin e Dataspace customizzate in base allo standard IEC-61970 (Common Information Model) [14]. L’utilizzo di digital twin permette una valutazione estremamente accurata dei livelli di performance delle soluzioni di sicurezza in situazioni di emergenza o di stress, fornendo così agli operatori una migliore comprensione del comportamento del sistema e delle potenziali vulnerabilità dello stesso. Sarà allestito un testbed virtuale nel dominio Smart Mobility, anch’esso basato su tecnologia Digital Twin e Dataspace e customizzato per la verifica delle nuove soluzioni di sicurezza sviluppate da EMDAS, applicate a servizi smart innovativi. Il supporto Dataspace sarà fornito dalla tecnologia FIWARE [15].

Conclusioni

La sovranità digitale è un target irrinunciabile, ma le problematiche ancora aperte sono estremamente complesse, sia sul piano giuridico che su quello tecnico. Sul piano tecnologico, le offerte attualmente disponibili forniscono – nei migliori dei casi – soluzioni efficaci soltanto per quanto riguarda i requisiti essenziali in termini di sovranità digitale di alcuni governi nazionali e comunque limitatamente ai dati. Occorre affrontare le problematiche della sovranità digitale in un contesto più ampio, in cui la sovranità sui dati occupa un posto di rilievo ma uguale importanza è data al problema più vasto della sovranità degli strumenti digitali in generale. Il PNRR sta fornendo linfa vitale ad importanti attività di ricerca, quali ad esempio il progetto EMDAS (Enforcement and Monitoring of Data Sovereignty policies). È però indispensabile assicurare che il supporto non si esaurisca negli anni a venire.

Bibliografia

1.  ”A Declaration of the Independence of Cyberspace”, John Perry Barlow – https://www.eff.org/cyberspace-independence
2. Digital Sovereignty in AWS – https://aws.amazon.com/it/compliance/digital-sovereignty/
3. Google Sovereign Cloud – https://cloud.google.com/sovereign-cloud
4. SERICS Spoke 1: Aspetti umani, sociali e legali (CNR) – https://serics.eu/services/spoke-1-aspetti-umani-sociali-legali/
5. Piano Nazionale di Ripresa e Resilienza – https://www.governo.it/sites/governo.it/files/PNRR.pdf
6. Spoke 1: Aspetti umani, sociali e legali (CNR) – https://serics.eu/services/spoke-1-aspetti-umani-sociali-legali/
7. “Computing Continuum e Sicurezza Avanzata nelle Infrastrutture Distribuite”, Luigi Romano – https://www.ictsecuritymagazine.com/articoli/computing-continuum/
8. Intel® Software Guard Extensions (Intel® SGX) – https://www.intel.com/content/www/us/en/products/docs/accelerator-engines/software-guard-extensions.html
9. Intel® Trust Domain Extensions (Intel® TDX) – https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html
10. TrustZone for Cortex-M – https://www.arm.com/technologies/trustzone-for-cortex-m
11. Confidential Compute Architecture – https://www.arm.com/architecture/security-features/arm-confidential-compute-architecture
12. AMD Secure Encrypted Virtualization (SEV) – https://www.amd.com/en/developer/sev.html
13. AMD SEV-SNP: Strengthening VM Isolation with Integrity Protection and More – https://www.amd.com/content/dam/amd/en/documents/epyc-business-docs/white-papers/SEV-SNP-strengthening-vm-isolation-with-integrity-protection-and-more.pdf
14. Common Information Model – https://www.entsoe.eu/digital/common-information-model/
15. FIWARE – https://www.fiware.org/