Il processo di regolazione del digitale avviato dall’Unione europea negli ultimi anni non può più essere letto come una mera successione di interventi settoriali, ciascuno destinato a presidiare un segmento autonomo dell’economia digitale.
Indice degli argomenti
Ue, dalle norme settoriali a un mercato unico digitale fondato su relazioni affidabili, verificabili e resilienti
Per lungo tempo, infatti, la disciplina europea si è sviluppata attraverso ambiti normativi relativamente distinti:
- la protezione dei dati personali affidata al Regolamento (UE) 2016/679,
- la sicurezza delle reti e dei sistemi informativi dapprima alla Direttiva (UE) 2016/1148 e poi alla Direttiva (UE) 2022/2555,
- i servizi fiduciari al Regolamento (UE) n. 910/2014,
- la circolazione dei dati non personali al Regolamento (UE) 2018/1807,
- il commercio elettronico e le piattaforme digitali a strumenti ulteriori e progressivamente stratificati.
Tale assetto, pur rispondendo a esigenze regolatorie specifiche, lasciava emergere l’immagine di un ordinamento digitale composto da discipline contigue, ma non sempre sistematicamente integrate.
Negli ultimi anni, tuttavia, il quadro sembra essere mutato. La Strategia europea per i dati del 2020, il Regolamento (UE) 2022/868, comunemente noto come Data Governance Act, il Regolamento (UE) 2023/2854, ossia il Data Act, la Direttiva (UE) 2022/2555, nota come NIS2, il Regolamento (UE) 2024/2847 sulla resilienza cibernetica dei prodotti con elementi digitali, nonché l’evoluzione del quadro eIDAS, delineano un’architettura normativa che non può essere compresa limitandosi alla funzione immediata di ciascun atto. Il legislatore europeo non sta soltanto disciplinando dati, infrastrutture, prodotti, servizi digitali o identità elettroniche; sta cercando di costruire le condizioni giuridiche, tecniche e organizzative affinché il mercato unico digitale possa fondarsi su relazioni affidabili, verificabili e resilienti.
Data Governance Act e NIS2 nella costruzione della fiducia digitale
In tale scenario, il rapporto tra Data Governance Act e NIS2 assume un rilievo particolarmente significativo. A una lettura superficiale, le due discipline sembrano muoversi su piani differenti: il primo regolamento si occupa di governance dei dati, riutilizzo di determinate categorie di dati detenuti da enti pubblici, servizi di intermediazione dei dati e altruismo dei dati; la seconda direttiva riguarda invece la gestione del rischio cyber da parte di soggetti essenziali e importanti, la sicurezza delle reti e dei sistemi informativi, la continuità operativa e la notifica degli incidenti. Tale distinzione, pur formalmente corretta, rischia però di oscurare una convergenza più profonda. Entrambe le normative, infatti, partecipano alla medesima trasformazione: il passaggio da una fiducia intesa come presupposto spontaneo del mercato a una fiducia costruita attraverso obblighi normativi, processi organizzativi e misure tecniche dimostrabili.
Il Data Governance Act come disciplina della fiducia
Il Data Governance Act viene spesso presentato come una normativa dedicata alla circolazione dei dati. Tale qualificazione, pur non inesatta, appare riduttiva, poiché il cuore del regolamento non è rappresentato soltanto dalla disponibilità del dato, ma dalla costruzione delle condizioni di fiducia necessarie affinché soggetti pubblici e privati decidano effettivamente di condividere informazioni. La Commissione europea, già nella Comunicazione COM(2020)66 final relativa alla Strategia europea per i dati, aveva individuato nella frammentazione del mercato, nell’incertezza giuridica, negli squilibri di potere informativo e nella carenza di fiducia alcuni dei principali ostacoli allo sviluppo di uno spazio europeo dei dati. Il problema, dunque, non era semplicemente l’assenza di dati, bensì l’assenza di condizioni istituzionali idonee a rendere la condivisione dei dati una scelta economicamente razionale e giuridicamente sicura.
In tale prospettiva, i servizi di intermediazione dei dati previsti dal Data Governance Act rappresentano una delle innovazioni più rilevanti del regolamento. Il data intermediary non è concepito come un soggetto che trae valore dallo sfruttamento diretto dei dati, né come un operatore che acquisisce una posizione proprietaria sulle informazioni oggetto di condivisione. Al contrario, la sua funzione consiste nel facilitare il rapporto tra titolari dei dati, detentori dei dati e potenziali utilizzatori, garantendo un ambiente neutrale, trasparente e non discriminatorio. Il regolamento costruisce tale figura attorno a requisiti di indipendenza, separazione funzionale, assenza di conflitti di interesse e divieto di utilizzare i dati per finalità diverse dalla messa a disposizione degli stessi agli utenti del servizio.
Il punto centrale è che il valore economico dell’intermediario non risiede nella disponibilità materiale del dato, bensì nella capacità di rendere affidabile la relazione tra soggetti che, in assenza di adeguate garanzie, potrebbero non avere alcun incentivo a condividere informazioni strategiche. L’intermediario dei dati opera quindi come infrastruttura fiduciaria: non produce necessariamente dati, non li valorizza direttamente per finalità proprie, non ne determina in via autonoma gli impieghi economici, ma rende possibile la circolazione regolata delle informazioni attraverso la propria affidabilità organizzativa e giuridica.
Da ciò deriva una conseguenza di particolare rilievo: il Data Governance Act, prima ancora di essere una disciplina del dato, è una disciplina della fiducia. Il regolamento interviene sul mercato non perché manchino informazioni, ma perché la loro condivisione richiede un soggetto terzo in grado di ridurre il rischio percepito, prevenire appropriazioni indebite, assicurare trasparenza nelle condizioni di accesso e garantire che il dato non venga utilizzato in modo incompatibile con le aspettative delle parti coinvolte. Il data intermediary diventa così una figura il cui asset principale è reputazionale, organizzativo e regolatorio: il mercato gli attribuisce valore nella misura in cui lo considera affidabile.
La sicurezza come presupposto implicito dell’intermediazione dei dati
Se il Data Governance Act attribuisce agli intermediari una funzione fiduciaria, diventa inevitabile interrogarsi sul rapporto tra fiducia e sicurezza. La fiducia, infatti, non può essere costruita soltanto attraverso obblighi formali di neutralità, dichiarazioni di indipendenza o regole di trasparenza. Quando l’oggetto dell’intermediazione è costituito da dati, e dunque da informazioni potenzialmente rilevanti sotto il profilo economico, industriale, personale, strategico o competitivo, l’affidabilità dell’intermediario dipende necessariamente dalla sua capacità di garantire integrità, disponibilità, riservatezza e controllo dei flussi informativi.
La compromissione di un data intermediary non determina soltanto il rischio di perdita, alterazione o divulgazione indebita dei dati trattati. Produce, in termini più profondi, una crisi del meccanismo fiduciario che giustifica l’esistenza stessa dell’intermediario. Se un soggetto viene scelto dal mercato perché ritenuto neutrale, indipendente e affidabile, un incidente cyber che ne evidenzi carenze organizzative o tecniche incide direttamente sulla ragione economica e giuridica della sua funzione. L’evento di sicurezza non è quindi soltanto un problema operativo; diventa un problema istituzionale, poiché mette in discussione la capacità dell’intermediario di assolvere il ruolo che il legislatore europeo gli assegna all’interno dell’economia dei dati.
Sotto tale profilo, la cybersecurity si configura come presupposto implicito della conformità al Data Governance Act. Il regolamento non contiene un sistema di misure di sicurezza dettagliato e strutturato paragonabile a quello delineato dalla NIS2, né intende trasformare ogni data intermediary in un soggetto regolato secondo la logica propria degli operatori essenziali o importanti. Tuttavia, numerosi obblighi previsti dal DGA risultano concretamente inattuabili senza un adeguato apparato di sicurezza tecnica e organizzativa. La separazione tra servizi di intermediazione e altre attività commerciali richiede controlli di segregazione, governance degli accessi e presidi organizzativi idonei a prevenire commistioni indebite. La riservatezza dei dati intermediati presuppone misure di protezione, cifratura, logging, monitoraggio e controllo degli accessi. La prevenzione dei conflitti di interesse richiede non solo regole societarie o contrattuali, ma anche architetture informative capaci di impedire utilizzi impropri delle informazioni. La trasparenza verso gli utenti implica la possibilità di ricostruire le operazioni effettuate, documentare le condizioni del trattamento e rendere verificabile il rispetto delle regole dichiarate.
In altri termini, il DGA esprime una domanda di fiducia; la cybersecurity fornisce una parte essenziale dell’infrastruttura necessaria per soddisfarla. L’intermediario dei dati può dirsi neutrale soltanto se dispone di meccanismi effettivi per impedire impieghi impropri dei dati; può dirsi trasparente soltanto se è in grado di documentare le operazioni compiute; può dirsi affidabile soltanto se dimostra di saper prevenire, rilevare e gestire eventi capaci di compromettere la circolazione sicura delle informazioni.
La NIS2 come modello di affidabilità organizzativa
Il collegamento con la NIS2 emerge precisamente in tale punto. La Direttiva (UE) 2022/2555 viene abitualmente descritta come una normativa di cybersecurity; tale definizione è corretta, ma non esaurisce la portata sistematica dell’intervento. La NIS2 non si limita a imporre controlli tecnologici, né si concentra esclusivamente sulla protezione perimetrale dei sistemi informativi. Essa introduce un modello di affidabilità organizzativa fondato sulla gestione del rischio, sulla responsabilizzazione degli organi di gestione e sulla capacità dell’ente di assicurare continuità, resilienza e controllo lungo l’intera catena del valore digitale.
L’articolo 21 della direttiva, nel richiedere ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate, individua un insieme di ambiti che trascendono la dimensione meramente informatica. La gestione del rischio riguarda le politiche di sicurezza dei sistemi informativi, la gestione degli incidenti, la continuità operativa, la sicurezza della supply chain, la sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, la valutazione dell’efficacia delle misure di gestione del rischio, l’igiene informatica di base, la formazione, la crittografia, la sicurezza delle risorse umane, il controllo degli accessi e l’autenticazione. Il D.Lgs. 138/2024, nell’attuare la direttiva nell’ordinamento italiano, recepisce tale impostazione e la colloca all’interno di un sistema di obblighi che attribuisce particolare rilievo alla governance, alla classificazione dei servizi, alla notifica degli incidenti e alla responsabilità degli organi amministrativi.
Le condizioni organizzative che rendono credibile l’affidabilità
La rilevanza della NIS2, nel confronto con il Data Governance Act, non consiste dunque nell’applicazione automatica della direttiva a tutti i data intermediaries, profilo che richiede una valutazione caso per caso alla luce dell’ambito soggettivo e oggettivo della normativa. Il punto più interessante è diverso: la NIS2 fornisce il paradigma attraverso il quale la fiducia richiesta dal DGA può essere resa organizzativamente dimostrabile. Se il Data Governance Act costruisce una figura economica fondata sulla neutralità e sull’affidabilità, la NIS2 mostra quali siano le condizioni organizzative che, nell’attuale ordinamento europeo, rendono credibile tale affidabilità: governance del rischio, controllo della supply chain, continuità operativa, gestione degli incidenti, misure tecniche proporzionate e documentazione delle scelte adottate.
La convergenza tra le due discipline si colloca quindi sul piano funzionale. Il DGA individua una funzione fiduciaria; la NIS2 offre il modello di maturità organizzativa idoneo a sostenerla. Una disciplina riguarda l’architettura della condivisione dei dati, l’altra l’architettura della resilienza digitale, ma entrambe presuppongono che l’affidabilità non possa essere affidata a mere dichiarazioni di principio.
Neutralità e responsabilità nell’intermediazione dei dati
Uno dei profili più delicati riguarda il rapporto tra neutralità dell’intermediario e responsabilità organizzativa. Il Data Governance Act costruisce la figura del data intermediary attorno all’esigenza di evitare che il soggetto incaricato di facilitare la condivisione dei dati possa utilizzare la propria posizione per sfruttare economicamente le informazioni, condizionare il mercato o creare asimmetrie a proprio vantaggio. La neutralità, in tale contesto, costituisce un requisito essenziale: l’intermediario deve porsi come soggetto terzo rispetto agli interessi economici delle parti, garantendo che il servizio sia prestato secondo condizioni trasparenti, eque e non discriminatorie.
Tale neutralità, tuttavia, non deve essere confusa con una forma di irresponsabilità. Al contrario, proprio perché l’intermediario si presenta come soggetto neutrale, aumenta il livello di affidamento che gli utenti ripongono nella sua organizzazione. La neutralità non attenua la responsabilità; la rafforza. Il mercato accetta di condividere dati tramite un intermediario perché ritiene che esso sia in grado di garantire un ambiente sicuro, controllato e non opportunistico. Ne consegue che il data intermediary, pur non determinando necessariamente le finalità sostanziali di utilizzo dei dati da parte degli utenti, assume una responsabilità crescente rispetto alla sicurezza dei processi, delle infrastrutture e delle regole che rendono possibile l’intermediazione.
In questa prospettiva, la NIS2 consente di superare una visione puramente formale della neutralità. Un intermediario non è affidabile soltanto perché dichiara di non utilizzare i dati per finalità proprie, ma perché dimostra di aver adottato misure idonee a impedire, rilevare e correggere utilizzi impropri, accessi non autorizzati, alterazioni dei flussi informativi o dipendenze tecnologiche non governate. La neutralità diventa quindi una qualità organizzativa, non soltanto una clausola regolatoria.
Il data intermediary come nodo sistemico della data economy
L’importanza dei data intermediaries emerge con particolare evidenza ove si considerino gli effetti potenziali di un incidente di sicurezza. La compromissione di un operatore tradizionale può produrre conseguenze gravi ma circoscritte al suo perimetro operativo, alla sua clientela o ai servizi direttamente erogati. La compromissione di un intermediario dei dati presenta invece un potenziale effetto moltiplicativo, poiché tale soggetto opera come nodo di connessione tra più attori, più flussi informativi e più relazioni economiche.
Il data intermediary, per definizione, non è un operatore isolato. Esso abilita scambi informativi, mette in relazione organizzazioni diverse, facilita l’accesso a dataset, consente forme di cooperazione economica e può essere coinvolto in ecosistemi nei quali convergono imprese private, enti pubblici, organismi di ricerca, piattaforme digitali e soggetti che intendono sviluppare servizi basati sui dati. La sua compromissione può quindi incidere non soltanto sulla disponibilità o riservatezza di specifiche informazioni, ma sulla fiducia complessiva nel modello di condivisione.
Tale profilo presenta una evidente analogia con la ratio della NIS2, che estende il perimetro della cybersecurity europea proprio in ragione della crescente interdipendenza tra operatori economici, servizi digitali e infrastrutture critiche. Il rischio cyber non è più considerato un evento confinato all’interno della singola organizzazione, ma un fenomeno capace di propagarsi attraverso catene di fornitura, piattaforme condivise, servizi cloud, interconnessioni tecnologiche e dipendenze operative. Da tale angolo visuale, i data intermediaries rappresentano uno dei luoghi nei quali la logica della NIS2 si manifesta con maggiore evidenza, anche quando non vi sia una sovrapposizione immediata tra ambiti soggettivi di applicazione.
Supply chain: il punto di contatto più concreto
Il tema della supply chain costituisce probabilmente il punto di contatto più concreto tra Data Governance Act e NIS2. Un intermediario dei dati raramente gestisce in autonomia l’intera infrastruttura tecnologica necessaria per erogare i propri servizi. Nella prassi, esso può dipendere da fornitori cloud, data center, operatori di connettività, sviluppatori software, piattaforme SaaS, strumenti di identity and access management, soluzioni di crittografia, servizi di logging e monitoraggio, sistemi di ticketing, fornitori di sicurezza gestita e ulteriori soggetti terzi coinvolti nella gestione dell’ambiente digitale.
L’intermediario dei dati, in tale prospettiva, non si limita a utilizzare una supply chain: esso stesso è espressione di una supply chain. La sua affidabilità dipende dalla qualità delle relazioni tecnologiche e contrattuali che sostengono il servizio. Un deficit di sicurezza presso un fornitore cloud, una vulnerabilità in una piattaforma software, una carenza nei processi di autenticazione o un’insufficiente segregazione degli ambienti possono compromettere la capacità dell’intermediario di garantire ciò che il Data Governance Act gli richiede in termini di affidabilità, neutralità e controllo.
Gli obblighi della NIS 2 per i fornitori
La NIS2 attribuisce alla sicurezza della catena di fornitura un ruolo centrale, imponendo agli operatori soggetti alla disciplina di considerare le vulnerabilità specifiche di ciascun fornitore e la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei propri fornitori e prestatori di servizi. Tale approccio appare particolarmente rilevante per i data intermediaries, poiché la fiducia riposta nell’intermediario si estende inevitabilmente ai soggetti che contribuiscono alla sua infrastruttura. Un modello di intermediazione dei dati privo di un’effettiva governance della supply chain rischia di fondarsi su una fiducia soltanto apparente, non sostenuta da adeguati presidi organizzativi e contrattuali.
Da ciò deriva anche un’importante conseguenza sul piano della compliance. Per un data intermediary, la gestione dei fornitori non dovrebbe essere considerata un tema accessorio, ma parte integrante del modello di affidabilità richiesto dal DGA. La contrattualistica, le verifiche di sicurezza, le clausole di audit, gli obblighi di notifica degli incidenti, le misure di continuità operativa, la localizzazione dei dati, le garanzie di reversibilità e le procedure di exit diventano elementi essenziali per dimostrare che l’intermediazione dei dati non si limita a una funzione formale, ma si fonda su un ecosistema governato.
GDPR, Data Act e Cyber Resilience Act: la fiducia come principio trasversale
Il rapporto tra Data Governance Act e NIS2 diventa ancora più chiaro ove venga collocato nel più ampio contesto del diritto europeo dei dati e della sicurezza digitale. Il GDPR ha introdotto, con l’articolo 5, paragrafo 2, e con l’articolo 24, il principio di accountability, imponendo al titolare del trattamento non solo di rispettare i principi applicabili al trattamento dei dati personali, ma anche di essere in grado di comprovarne il rispetto. L’articolo 32 ha poi reso esplicita la necessità di adottare misure tecniche e organizzative adeguate al rischio, collegando la protezione dei dati personali alla sicurezza dei trattamenti.
La fiducia non può essere soltanto dichiarata
Il Data Governance Act, pur collocandosi su un piano diverso rispetto al GDPR, recepisce una logica analoga: la fiducia non può essere soltanto dichiarata, ma deve essere incorporata in assetti organizzativi e regole verificabili. Il Data Act, a sua volta, amplia il quadro disciplinando l’accesso e l’uso dei dati generati da prodotti connessi e servizi correlati, rafforzando l’idea che la disponibilità dei dati debba essere accompagnata da regole capaci di evitare squilibri, abusi e dipendenze ingiustificate. Il Cyber Resilience Act aggiunge un ulteriore tassello, imponendo requisiti di cybersecurity ai prodotti con elementi digitali e spostando il tema della sicurezza verso la fase di progettazione, sviluppo, immissione sul mercato e gestione del ciclo di vita del prodotto.
Lette congiuntamente, tali normative mostrano un orientamento comune. L’Unione europea considera la fiducia non come un elemento esterno al diritto, affidato alla reputazione degli operatori o alla selezione spontanea del mercato, ma come un risultato da produrre attraverso regole di governance, requisiti di sicurezza, obblighi di trasparenza, responsabilità documentata e controlli lungo l’intero ciclo di vita dei dati, dei prodotti e dei servizi digitali. In tale prospettiva, la cybersecurity non è più soltanto una misura di protezione; diventa una condizione abilitante della circolazione dei dati, dell’interoperabilità dei servizi, dell’utilizzo dei prodotti digitali e della cooperazione tra operatori economici.
Gli operatori fiduciari digitali
La lettura coordinata delle normative europee consente di intravedere l’emersione di una categoria trasversale, non ancora formalizzata dal legislatore, ma sempre più riconoscibile sul piano sistematico: quella degli operatori fiduciari digitali. In tale categoria possono essere ricondotti, con le necessarie differenze, i prestatori di servizi fiduciari disciplinati dal regolamento eIDAS, gli intermediari dei dati previsti dal Data Governance Act, le organizzazioni per l’altruismo dei dati, taluni fornitori di servizi digitali rientranti nel perimetro della NIS2, nonché gli operatori che, nell’ambito del Cyber Resilience Act, incidono sulla sicurezza dei prodotti con elementi digitali utilizzati da imprese, pubbliche amministrazioni e cittadini.
La funzione economica e regolatoria assolta dagli operatori fiduciari
Il tratto comune di tali soggetti non risiede nell’identità delle attività svolte, ma nella funzione economica e regolatoria che essi assolvono. Ciascuno, in modo diverso, rende possibile l’affidamento di terzi all’interno di un ambiente digitale complesso. Il prestatore di servizi fiduciari consente di attribuire certezza a identità, firme, sigilli, marcature temporali o recapiti elettronici certificati. Il data intermediary consente la condivisione dei dati in condizioni di neutralità e controllo. Il fornitore cloud o il gestore di un’infrastruttura digitale soggetto alla NIS2 abilita la continuità di servizi essenziali o importanti. Il produttore soggetto al Cyber Resilience Act contribuisce alla sicurezza dei prodotti digitali immessi sul mercato.
In tutti questi casi, la sicurezza non è un semplice requisito tecnico, ma parte integrante della funzione economica del servizio. L’operatore fiduciario digitale non vende soltanto tecnologia, accesso o capacità elaborativa; offre al mercato la possibilità di fare affidamento su un’infrastruttura, su un processo, su un’identità, su un flusso di dati o su un prodotto digitale. La fiducia diventa quindi una componente regolata del valore economico, mentre la cybersecurity costituisce lo strumento principale attraverso il quale tale valore viene preservato e dimostrato.
La vera innovazione del rapporto tra Data Governance Act e NIS2: la fiducia come risorsa regolata
Il rapporto tra Data Governance Act e NIS2 non deve essere ridotto alla ricerca di sovrapposizioni formali tra ambiti soggettivi o all’individuazione di obblighi identici. La convergenza tra le due discipline si colloca su un piano più profondo e riguarda la funzione che entrambe svolgono nella costruzione del mercato unico digitale europeo. Il DGA mira a rendere possibile la condivisione dei dati attraverso soggetti neutrali e affidabili; la NIS2 mira a rendere affidabili le organizzazioni che erogano servizi rilevanti attraverso misure di gestione del rischio, governance e resilienza. Una disciplina costruisce il contesto fiduciario della data economy, l’altra fornisce il paradigma organizzativo della sicurezza necessaria a sostenere tale fiducia.
I data intermediaries rappresentano, in tale prospettiva, un punto di osservazione privilegiato dell’evoluzione del diritto europeo del digitale. Essi mostrano come la regolazione dei dati non possa più essere separata dalla cybersecurity e come la sicurezza informatica non possa più essere considerata una disciplina confinata ai reparti tecnici o ai soli operatori infrastrutturali. Ogni modello di condivisione dei dati presuppone, infatti, un modello di sicurezza; ogni promessa di neutralità richiede presidi organizzativi idonei a renderla effettiva; ogni relazione fiduciaria digitale necessita di meccanismi di prevenzione, controllo, tracciabilità e resilienza.
La vera innovazione del rapporto tra Data Governance Act e NIS2 non consiste dunque nell’aggiunta di un ulteriore strato di compliance, ma nella progressiva affermazione di un principio strutturale: nell’economia europea dei dati, la fiducia è una risorsa regolata. Essa non nasce spontaneamente dal mercato, né può essere affidata alla sola reputazione degli operatori. Deve essere progettata, governata, documentata e resa verificabile. In questo passaggio, la cybersecurity cessa di essere un costo tecnico della conformità e diventa l’infrastruttura giuridica e organizzativa attraverso la quale la fiducia viene prodotta, misurata e scambiata nel mercato unico digitale.
