Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

approfondimento

Digital Omnibus UE: perché cercando di semplificare aumenta la complessità

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Il Digital Omnibus promette risparmi e meno burocrazia, ma rischia di trasferire la complessità nella governance tecnica, nella gestione incidenti e nella capacità di dimostrare la compliance, aprendo una fase pluriennale di incertezza regolatoria per imprese e PA

Pubblicato il 15 dic 2025
Adriano Bertolino

Esperto in Privacy e Cybersecurity

digital omnibus

Ogni volta che Bruxelles parla di semplificazione, il mondo delle imprese e delle PA trattiene il fiato. L’ultima promessa è il Digital Omnibus (COM 2025/837), che nasce per razionalizzare GDPR, ePrivacy, NIS2, Data Act e altre norme che negli ultimi anni hanno costruito l’ossatura regolatoria del digitale europeo.

La Commissione promette 5 miliardi di risparmi entro il 2029 e “meno burocrazia” per imprese e PA, ma dietro l’annuncio si cela un paradosso: l’Omnibus non riduce la complessità, la sposta. E la sposta proprio lì dove oggi molte organizzazioni sono più fragili: nella governance tecnica, nella gestione degli incidenti, nella qualità dei sistemi e nella capacità di dimostrare ciò che si dichiara.

Il risultato? Una fase di incertezza pluriennale, non una semplificazione. E una responsabilità operativa che cresce invece di diminuire.

Omnibus, la via della semplificazione è ancora lunga

Perché la governance del Digital Omnibus rischia di aumentare l’instabilità operativa

L’ambizione dell’Omnibus è chiara: unire, accorpare, armonizzare. Troppe norme, troppi atti, troppe sovrapposizioni. L’intento è nobile. Ma la realtà regolatoria è molto meno lineare.

La verità è che l’Omnibus arriva in un ecosistema già in trasformazione — NIS2 in piena attuazione, Data Act appena entrato in vigore, ePrivacy in stato comatoso da anni, AI Act ancora in fase di implementazione. Aggiungere un pacchetto di modifiche così ampio significa moltiplicare gli interrogativi.

Soprattutto perché nessuno può sapere con certezza come sarà il testo finale: il negoziato parlamentare richiederà anni e, nel frattempo, le organizzazioni dovranno muoversi in un terreno normativo instabile, fatto di bozze, previsioni e interpretazioni.

Una semplificazione che crea incertezza non è una semplificazione: è una transizione difficile da governare.

Digital Omnibus: meno adempimenti, più prove e responsabilità tecniche

Il Digital Omnibus promette la fine dei banner inutili, la razionalizzazione delle notifiche e la riduzione degli oneri informativi. Ma ogni “alleggerimento” nasconde un ritorno di responsabilità a carico di chi tratta i dati.

Alcuni esempi concreti:

L’unificazione delle notifiche di incidenti via ENISA riduce i canali, ma aumenta il rischio operativo: un solo errore nella valutazione iniziale può compromettere obblighi che prima erano separati. Le notifiche GDPR + NIS2 + DORA + eIDAS unificate appaiono irrealizzabili in 24 mesi e sembrano foriere di caos, a partire dalle definizioni divergenti: “incidente significativo” (DORA) vs “rischio elevato” (GDPR) vs “incidente rilevante” (NIS2). Qual è la soglia corretta?

L’estensione a 96 ore della notifica GDPR non elimina la complessità: la valutazione del rischio elevato diventa più critica che mai e richiede competenze tecnico-forensi nuove e approfondite.

Inoltre aumenta, invece di ridurre e uniformare, le tempistiche già richieste da altre norme e regolamenti vigenti come, ad esempio, le 24 ore per la NIS2 o la DORA o le attuali 72 ore del GDPR.

La riformulazione di “dato personale” offre certamente margini interpretativi, ma implica che le aziende debbano dimostrare tecnicamente che un’informazione non è identificabile, con documentazione probatoria tecnica (k-anonymity? differential privacy? quale standard?).

Il riassetto dei cookie trasferisce sul titolare l’onere di implementare e rispettare segnali di consenso automatizzati, che oggi non hanno standard definitivi, se non nemmeno ancora in progettazione: una compliance tecnica senza regole certe.

L’eliminazione di alcuni obblighi informativi sembra un sollievo, finché non ci si accorge che bisogna valutare, caso per caso, se quell’obbligo rientra nelle nuove eccezioni: decisioni più complesse, non meno.

Questo obbliga a un assessment tecnico-legale continuo su ogni dataset (DPO – CISO – Legal).

Semplificare per il legislatore non significa semplificare per gli operatori. Significa, spesso, trasferire loro il carico della complessità.

Impatti della governance del Digital Omnibus su PMI, PA e piattaforme

Per le PMI e le mid-cap, la retorica della semplificazione rischia di tradursi in una trappola. Meno adempimenti formali non vuol dire meno lavoro: vuol dire più responsabilità probabilistiche, più decisioni autonome, più esposizione agli errori.

Le PA, che già faticano a recepire la NIS2 e a strutturare sistemi di prevenzione e risposta agli incidenti, dovranno affrontare un quadro normativo in evoluzione continua: tempo, risorse, know-how.

Le piattaforme digitali, già nel cono d’ombra del DSA e del DMA, si ritrovano con un ulteriore livello di complessità algoritmica: la gestione dei segnali di consenso, l’interazione con l’AI, il rafforzamento della responsabilità sul riutilizzo dei dati.

In tutti i casi, il messaggio è lo stesso: per almeno due o tre anni la complessità crescerà prima di stabilizzarsi.

Come impostare la governance del Digital Omnibus senza inseguire checklist

Il Digital Omnibus impone alle organizzazioni una scelta: continuare a rincorrere gli adempimenti o ripensare la propria struttura di governance.

La seconda opzione è l’unica sensata. Significa investire in:

  • integrazione tra privacy, sicurezza, risk management e IT,
  • architetture che producono evidenze e non dichiarazioni,
  • processi trasversali, non più verticali,
  • capacità di anticipare il cambiamento, non subirlo.

Non è una semplificazione: è un salto evolutivo. E chi non lo compie rischia di vivere ogni modifica normativa come una minaccia anziché come un’opportunità.

Tre indicazioni pratiche per la governance del Digital Omnibus in fase di transizione

La semplificazione è narrativa politica, non realtà operativa. È necessario prepararsi a 3–4 anni di incertezza normativa continua e a budget per la compliance in aumento e non in diminuzione.

L’approccio “wait and see” è rischioso quanto l’over-compliance preventiva. Non esiste una strategia sicura in un contesto così fluido. È necessario uno scenario di planning e flessibilità organizzativa sistemico e misurabile.

Il Digital Omnibus non è punto di arrivo ma una tappa intermedia. Ulteriori valutazioni tecniche e la giurisprudenza genereranno ulteriori modifiche. La compliance diventa, quindi, un processo permanente di adattamento continuo.

Esperti della Privacy parlano di “death by a thousand cuts” del GDPR. Compliance officer potrebbero parlare di “death by permanent uncertainty” della compliance digitale europea. Il Digital Omnibus promette semplificazione ma consegna il contrario: complessità amplificata, distribuita nel tempo e scaricata su chi deve applicare norme in continua mutazione.

La governance del Digital Omnibus come competenza organizzativa

Il Digital Omnibus non è l’inizio di una stagione più semplice: è l’inizio di una stagione più esigente. Promette meno burocrazia, ma chi opera sul campo sa che, almeno per un po’, ci saranno più incertezze, più responsabilità tecniche e più rischi da governare. Ogni tentativo di razionalizzare il framework europeo genera:

  • Maggiore complessità tecnica: spostare responsabilità interpretative dal legislatore ai titolari (pseudonimizzazione), creare sovrapposizioni multi-normative (portale ENISA), introdurre criteri valutativi soggettivi (ragionevole identificabilità) non riduce complessità, la redistribuisce dal piano normativo a quello operativo.
  • Incertezza temporale estesa: 3–4 anni tra proposta e piena applicabilità, durante i quali le organizzazioni devono gestire simultaneamente norme vigenti, norme in discussione e preparazione alla transizione. La “semplificazione” si trasforma in triplicazione degli oneri.
  • Asimmetria di compliance: grandi organizzazioni con team legali-tecnici forti possono gestire l’incertezza, PMI e PA con risorse limitate subiscono il carico senza avere strumenti adeguati. La semplificazione promessa avvantaggia chi ha già capacità di gestire complessità.
  • Rischio sanzionatorio amplificato: cumulo potenziale GDPR + AI Act + NIS2 + DORA crea esposizioni fino a 50 milioni di euro per singolo incidente. La riduzione di adempimenti formali non compensa l’aumento di responsabilità sostanziali.

La vera domanda scomoda: era davvero necessario riaprire GDPR, AI Act e altre normative appena entrate in vigore? O si poteva investire nell’enforcement efficace delle norme esistenti, invece di creare un cantiere normativo che durerà anni?

“La semplificazione non è un atto legislativo: è una competenza organizzativa“. E solo chi saprà svilupparla trasformerà questo passaggio obbligato in un vantaggio competitivo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Adriano Bertolino
Esperto in Privacy e Cybersecurity
Adriano Bertolino ricopre ruoli di DPO, CyberLegal Officer e Compliance Manager per diverse organizzazioni. Specializzato in casi complessi di data breach e compliance. Ha collaborato con enti pubblici e multinazionali per l’adozione dei processi di conformità al GPDR e Framework di Cybersecurity. Tiene sessioni di formazione sulla compliance normativa e cyber-security presso enti, associazioni di categoria e in master e corsi di perfezionamento presso l’Università Statale di Milano. Lo studio della protezione dei dati personali e della sicurezza delle informazioni nella sua vita rappresenta l’incontro perfetto tra professione e passione per l’innovazione. Inoltre, insieme ad altri colleghi, è impegnato in incontri con i giovani e meno giovani presso scuole e associazione senza scopo di lucro, per divulgare la cultura della sicurezza.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • AI procurement AI processi d'acquisto; blockchain procurement; subappalti ICT

  • la guida

    Blockchain per il procurement, così si applica nel pubblico e nel privato

    04 Giu 2025

    di Stefano De Marinis, Sara Lepidi e Pierluigi Piselli

    Condividi
  • true crime

  • tecnologia e società

    Garlasco, basta "true crime": così i social banalizzano il male

    23 Mag 2025

    di Nicoletta Pisanu

    Condividi
  • it wallet portafoglio digitale

  • identità digitale

    Wallet digitale europeo: lezioni dall'Italia e prospettive per il futuro

    17 Gen 2025

    di Matteo Panfilo

    Condividi
0
Lascia un commento, la tua opinione conta.x