LET’S TALK & CONNECT

Il͏ settore delle informazioni e tecnologia è sempre più grande, mentre le leggi europee diventano più ͏complesse per gestire il cambiamento digitale.

Quali sono gli ambiti di maggiore attenzione in Europa e nel mondo? Un breve, e non esaustivo, excursus su alcune tendenze e novità.

GDPR: Consolidamento e semplificazioni in arrivo

A sette anni dall’entrata in vigore, il GDPR rimane il pilastro della protezione dei dati personali in Europa, con sanzioni complessive che hanno superato i 6 miliardi di euro a livello continentale. L’Italia si conferma tra i paesi più attivi nell’applicazione della normativa.

Le motivazioni principali delle sanzioni riguardano l’assenza di una base giuridica valida per il trattamento, misure di sicurezza inadeguate e violazione dei diritti degli interessati.

La Commissione Europea, con varie iniziative mirate, sta proponendo modifiche mirate a ridurre gli oneri amministrativi legati alla compliance al GDPR, in particolare per le piccole e medie imprese. Si tratta di operare una razionalizzazione rispetto ai temi della governance dei dati o di rendere più efficace la segnalazione degli eventuali incidenti di sicurezza riducendo la necessità di duplicare le comunicazioni, per rispondere alle diverse normative. Grande attenzione è data al giusto equilibrio tra sviluppo dell’intelligenza artificiale e protezione e tutela dei dati.

Questo implica iniziative specifiche anche rispetto ad una più efficiente e snella cooperazione tra organismi nazionali per la protezione dei dati soprattutto per quanto riguarda la gestione dei reclami transfrontalieri in materia.

NIS2: La Nuova frontiera della cybersicurezza

La Direttiva NIS2, entrata in vigore il 16 ottobre 2024, segna senza dubbio un salto di qualità negli obblighi di sicurezza informatica.

Le tempistiche di adeguamento sono scaglionate: entro gennaio 2026 alle aziende era richiesto di conformarsi alle regole di notifica degli incidenti, mentre entro ottobre 2026 sarà obbligatorio implementare le misure di sicurezza tecniche e organizzative specificate dall’Agenzia per la Cybersicurezza Nazionale.

L’ aspetto innovativo della NIS2, come ormai noto, è la responsabilità personale dei vertici aziendali: i membri degli organi di gestione sono esplicitamente responsabili della conformità, con possibili sanzioni che includono sospensioni temporanee o esclusione da ruoli dirigenziali. Questo implica un forte impatto sugli aspetti di governance che, nel corso di quest’anno, certamente dovranno essere al centro delle priorità in tema di cybersicurezza.

Il report ENISA 2025, basato sull’analisi di quasi 4.900 incidenti, conferma che oltre il 53% degli attacchi informatici ha colpito proprio le entità essenziali e importanti coperte dalla direttiva. Tra l’85% e il 95% degli incidenti ha origine da comportamenti umani non corretti, rendendo fondamentale l’integrazione tra misure tecnologiche, organizzative e formazione del personale.

AI Act: L’Europa guida la regolamentazione dell’Intelligenza Artificiale

Il primo quadro normativo globale sull’intelligenza artificiale, noto come AI Act, è formalmente entrato in vigore nell’agosto 2024. il regolamento prevede inoltre un’implementazione graduale con un’entrata in vigore graduale. Infatti, a partire dal 2 febbraio 2025, sono entrati in vigore i divieti sui sistemi a rischio inaccettabile, quelli considerati una chiara ad una minaccia per la sicurezza e per i diritti fondamentali. Dal 2 agosto 2025 sono ufficialmente in vigore le responsabilità per i fornitori dei sistemi. A partire dal 2 agosto 2026 sarà considerata piena l’applicabilità del regolamento per tutti i sistemi di intelligenza artificiale.

Risale invece al luglio 2025, la versione finale del Code of Practice for General Purpose AI della Commissione Europea, uno strumento di conformità volontario per i fornitori dei sistemi. l’Italia si distingue in quanto primo stato membro dell’Unione Europea ad avere approvato, nel settembre 2025, una legge nazionale sull’Intelligenza Artificiale pienamente allineata all’AI Act europeo.

L’Italia si è aggiudicata un ruolo pionieristico essendo il primo Stato membro ad aver adottato una legislazione nazionale specifica sui sistemi AI. Con la Legge n. 132 del 23 settembre 2025 (in vigore dal 10 ottobre 2025) designa l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID) come autorità nazionali competenti sulla materia.

Prevede, inoltre, un programma di investimenti da 1 miliardo di euro dedicati allo sviluppo di startup e PMI nei campi delle tecnologie emergenti.

Si tratta di una norma progettata per essere e complementare al Regolamento UE 2024/1689, colmando gli spazi lasciati alla discrezionalità degli Stati membri senza imporre nuovi obblighi tecnici aggiuntivi rispetto alla norma UE. 

Convergenza normativa e sfide operative

L’interazione tra queste normative, che hanno avuto un ruolo da protagoniste in questi ultimi anni – GDPR, NIS2 e AI Act – crea un ecosistema normativo complesso ma al tempo stesso integrato. Basti pensare ad esempi semplici come il trattamento di dati biometrici: esso deve rispettare simultaneamente i requisiti del GDPR sulla protezione dati, le disposizioni dell’AI Act sulla classificazione del rischio dei sistemi di riconoscimento, e le misure di sicurezza imposte dalla NIS2 per le entità critiche.

Una convergenza che richiede alle organizzazioni, indipendentemente dalla dimensione, un approccio olistico alla compliance, dove sicurezza informatica, protezione dei dati e governance dell’AI si fondono in un’unica strategia di risk management.

Costante fondamentale e strategica per le organizzazioni, tanto nel pubblico quanto nel privato, è includere in questo ecosistema anche la filiera dei fornitori. La Supply Chain è punto di forza o di grande debolezza a seconda di quanta attenzione e visione a lungo termine si dimostra nel gestirla.

La sfida è quindi bilanciare innovazione tecnologica e conformità normativa, trasformando gli obblighi legali in opportunità di miglioramento competitivo attraverso investimenti strutturati in sicurezza, governance dei dati e adozione responsabile dell’intelligenza artificiale. 

Avv. Valentina Frediani
Founder & CEO, Colin & Partners