Il pacchetto Digital Omnibus intercetta una richiesta concreta del sistema produttivo: ridurre sovrapposizioni, costi e incertezze applicative che si sono accumulate su AI, cybersicurezza e dati.
La partita si gioca soprattutto sugli adempimenti operativi, dalla gestione delle conformità alle notifiche di incidenti, fino agli strumenti di identità digitale per imprese e pubbliche amministrazioni.
Indice degli argomenti
Pacchetto Digital Omnibus: obiettivi, perimetro e promesse di semplificazione
Il Digital Omnibus Package, lanciato dalla Commissione Europea il 19 novembre scorso, si propone, come noto, una semplificazione importante delle norme che regolano attualmente tre campi strategici legati all’innovazione tecnologica: intelligenza artificiale, cybersicurezza e dati.
Gli scopi principali, dichiarati nel comunicato stampa di lancio dell’iniziativa, sono quelli di semplificare gli adempimenti amministrativi oggi richiesti dalle normative vigenti per i singoli ambiti, ridurre gli oneri legati all’ottenimento delle conformità, e potenziare le fasi di sviluppo e di adeguamento alle innovazioni tecnologiche già disponibili.
Per realizzare gli obiettivi individuati, il pacchetto Omnibus seleziona un percorso caratterizzato da due aspetti in particolare: un primo aspetto riguarda gli interventi normativi di semplificazione che provano a entrare nel dettaglio operativo di obblighi attualmente in carico alle imprese, mentre un secondo aspetto prende in considerazione la quantificazione dei risparmi attesi a livello globale.
I miglioramenti attesi dal sistema delle imprese sono, pertanto, delle facilitazioni reali negli adempimenti concreti, e ne faremo alcuni esempi pratici.
Dove oggi si inceppa la compliance: sovrapposizioni tra cyber e privacy
Prima di tutto va detto che non sarà immediato conseguire questi risultati: serviranno disposizioni capaci di armonizzare le varie prescrizioni, chiarezza interpretativa e nuove indicazioni applicative.
Duplicazioni di obblighi e interpretazioni divergenti
È attesa soprattutto l’eliminazione di sovrapposizioni di imposizioni pressoché similari ma inquadrate in atti normativi relativi ad ambiti diversi, come quello della cybersecurity e della privacy.
Le stime UE: 5 miliardi fino al 2029 e 150 miliardi l’anno
Il risparmio stimato relativamente alla conformità, conseguente alle semplificazioni del Pacchetto Omnibus, si attesterebbe su “quasi 5 miliardi di euro in costi amministrativi fino al 2029”, come dichiarato dalla Commissione Europea nel comunicato stampa di lancio del Pacchetto.
Inoltre, poiché con l’iniziativa in questione si introduce anche il Portafoglio Europeo delle Imprese, con l’intento di completare il percorso europeo dell’EUDI, l’identità digitale europea delle persone fisiche, nel Pacchetto si stima anche di poter “sbloccare ogni anno ulteriori risparmi per le imprese pari a 150 miliardi di €”.
Naturalmente si ritiene che, attraverso l’adozione di quest’ultima soluzione, si possa potenziare lo sviluppo imprenditoriale e soprattutto facilitare ogni tipo di scambio almeno a livello europeo.
Su questi punti si può sviluppare la riflessione anticipata in premessa e provare a identificare miglioramenti reali nel superamento di alcune criticità esistenti.
Pacchetto Digital Omnibus e notifiche incidenti: il nodo NIS2, DORA e GDPR
Prendiamo per esempio la questione delle notifiche di incidenti.
Fra le normative che prevedono obblighi di segnalazione, come ad esempio NIS 2, DORA e GDPR, non esiste oggi quell’armonizzazione che possa garantire gli stessi tempi di notifica, formati standard e requisiti allineati.
Basti ricordare, infatti, che questi provvedimenti sono scaturiti, nel momento della loro approvazione, dalla consapevolezza di dover effettuare con la massima urgenza alcune operazioni che costituissero una svolta radicale in tema di sicurezza informatica e di protezione di asset strategici, sia per infrastrutture critiche che per l’intero apparato statale.
Si trattava di attrarre l’attenzione sul tasso di crescita del rischio informatico, sui potenziali danni, sulla diffusa assenza della consapevolezza necessaria per operare in modo sicuro nella nuova dimensione del digitale: tutte queste condizioni spesso hanno imposto l’introduzione urgente di obblighi e delle relative sanzioni in caso di inottemperanza.
Con l’introduzione della direttiva NIS, per la prima volta, inoltre, si sono stabiliti tavoli di dialogo e confronto tra i vari settori interessati, accomunati dalla circostanza che in essi si rinvenivano alcuni dei “servizi essenziali” secondo la definizione introdotta dalla direttiva.
Tuttavia, ciascuno di essi presentava diversi livelli di sensibilità e conoscenze, difficili da superare in breve tempo; spesso anche steccati o diffidenze impedivano o rallentavano il percorso indicato dalla direttiva che richiedeva invece azioni congiunte e condivisioni di informazioni come primi passi.
Veniva in effetti richiesto, a tutti gli operatori dei servizi essenziali in primis, ma poi, come si è presto capito, a qualsiasi altro operatore privato o pubblica istituzione, un cambiamento culturale di vasta portata per accogliere i nuovi principi della condivisione delle informazioni, della protezione e prevenzione dei rischi, della costruzione di sistemi resilienti.
In sede di prima applicazione della direttiva NIS, risultò subito evidente quanto fossero avanzati, dal punto di vista cyber, i servizi finanziari, per i quali già si tenevano esercitazioni sul modello dell’ambito militare e si tenevano nel debito conto le lezioni apprese.
La questione dell’obbligo delle notifiche di incidenti informatici, o di attacchi subiti, ha trovato pertanto diverse resistenze nel decollare.
In generale, quindi, il percorso di costruzione dell’ecosistema cyber non è stato né rapido né ha riscontrato allineamenti tra settori diversi.
Dal “fare presto” al “fare bene”: costi, competenze e investimenti cyber
Non va inoltre dimenticato che non vi sono stati sostegni o sovvenzioni di alcun tipo in prima istanza, per cui solo chi aveva conoscenze tecniche sufficienti valutava favorevolmente impegni di spesa a favore della sicurezza informatica.
È facile immaginare quanto siano lievitati gli oneri a carico di quelle imprese che hanno dovuto adempiere ai diversi regimi normativi, quando a livello di Unione Europea si è ritenuto di contrastare le minacce e gli attacchi informatici accumulando, in un certo senso, provvedimenti specifici per ogni questione tecnica irrisolta o emergente.
Le grosse questioni che si sono quindi subito aperte sono state la carenza di figure professionali adeguate e la necessità di effettuare investimenti significativi e crescenti sugli aspetti di cybersecurity.
Strumenti italiani per NIS2: tavolo ACN, portale e determinazioni operative
Una riflessione interessante sullo stato dell’arte, oggi, può allora riguardare gli strumenti messi a disposizione del sistema produttivo e delle istituzioni per districarsi tra i vari regimi normativi vigenti e il contributo che a questo proposito può dare il Pacchetto Digitale di semplificazione.
Il decreto legislativo n. 138 del 4 settembre 2024, per esempio, di recepimento della direttiva NIS 2 nella legislazione italiana, ha introdotto nuovi e più pesanti adempimenti a carico delle imprese ricadenti nell’ambito di applicazione.
Se si vogliono considerare, tuttavia, gli strumenti pensati, a livello nazionale, per supportare l’implementazione di tutti gli adempimenti introdotti, si può iniziare a porre l’attenzione all’articolo 12 del citato decreto, che ha previsto l’istituzione di uno specifico “Tavolo per l’attuazione della disciplina NIS”.
Il Tavolo, istituito con la Determinazione n. 38408 del 25 novembre 2024, presieduto dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale e composto da rappresentanti delle nove Autorità di Settore e della Conferenza Permanente Stato-Regioni, ha la finalità di seguire il percorso applicativo della direttiva NIS 2 con particolare riguardo all’adempimento dei vari obblighi stabiliti dal Decreto 138.
Dal sito web di ACN, con una pubblicazione del 23 dicembre scorso, si apprende che “nella sesta riunione del Tavolo per l’attuazione della disciplina NIS sono state esaminate le ultime integrazioni all’elenco dei soggetti NIS (oltre 20.000) al fine di tenere conto di centinaia di registrazioni tardive e degli esiti delle oltre duemila istruttorie di revisione”.
La riunione del Tavolo a cui si fa riferimento si era tenuta qualche giorno prima, il 18 dicembre 2025.
Un altro strumento utilizzato da ACN per fornire chiarimenti e supporto al corretto adempimento degli obblighi previsti, per esempio, dalla NIS2, è quello delle Determinazioni del Direttore Generale.
Le Determinazioni hanno il compito specifico di stabilire definitivamente, sentito il Tavolo NIS, gli obblighi individuati dalle Autorità Nazionali competenti NIS.
Per inciso si ricorda, anche, che le Autorità Nazionali competenti NIS debbono preliminarmente considerare, per ciascun ambito di competenza, il grado di esposizione ai rischi, le dimensioni dei soggetti, la probabilità che si verifichino incidenti e quale sia la possibile gravità, valutandone nel contempo gli impatti sociali ed economici e fornendo indicazioni sulle modalità complessive per l’implementazione degli obblighi stessi.
Lo scorso 24 dicembre 2025 sono state pubblicate due Determinazioni del Direttore Generale di ACN, Prefetto Frattasi, molto significative per tempistica e contenuti.
La prima Determinazione, n. 379887, fa riferimento sia all’utilizzo del Portale ACN, sul quale tutti i soggetti NIS si sono registrati e attraverso il quale si mantengono in contatto costante con l’Agenzia, sia ai servizi NIS.
La Determinazione ha previsto infatti anche chiarimenti sugli adempimenti dovuti a decorrere dal 31 dicembre 2025.
Fra i dettagli forniti spiccano, fra l’altro, le formalità relative all’aggiornamento continuo dei dati da presentarsi ad ACN e le segnalazioni del Referente CSIRT (figura fondamentale che rappresenta l’interfaccia consapevole e competente tra un operatore e lo CSIRT Italia e che può avvalersi di un sostituto).
L’altra Determinazione, invece, la n. 379907, la cui applicazione decorrerà dal 15 gennaio 2026, fa riferimento specificatamente alle misure di sicurezza e alla gestione degli incidenti informatici, in vista della prossima scadenza del 28 febbraio 2026, altra data importante nel percorso a tappe previsto dalla NIS 2.
Pacchetto Digital Omnibus e standardizzazione: linee guida e framework come leva
Inoltre, la Determinazione 379907 ha adottato, in fase di prima applicazione, le specifiche di base già individuate dalle Autorità nazionali competenti NIS e illustrate al Tavolo NIS nel gennaio 2025.
In aggiunta, ha stabilito le misure di sicurezza di base a carico degli organi amministrativi e direttivi ed ha anche stabilito gli incidenti significativi di base per i soggetti importanti e per i soggetti essenziali.
Di rilievo sono anche le precisazioni a carico degli operatori telco, per i quali, limitatamente ai sistemi informativi e di rete, è previsto il mantenimento delle misure di sicurezza e di integrità delle reti già adottate con il decreto del Ministro dello Sviluppo Economico del 12 dicembre 2018, purché non in contrasto con la legge e il decreto NIS n. 138/2024.
Peraltro, la Determinazione n. 379907, nelle sue premesse, dichiara di tenere conto dell’edizione 2025 del “Framework Nazionale per la Cybersecurity e la Data Protection” (Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università di Roma “La Sapienza” e dal Cybersecurity National Lab del Consorzio interuniversitario nazionale per l’informatica (CINI), in collaborazione con l’Agenzia per la cybersicurezza nazionale (ACN), “quale strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla sicurezza informatica”.
Con tali atti, che si aggiornano o vengono sostituiti con continuità, si assicurano ai soggetti essenziali e ai soggetti importanti previsti dalla NIS 2 quelle informazioni di dettaglio per applicare puntualmente gli obblighi ai quali sono tenuti.
È interessante notare la sequenza delle attività che sono rese pubbliche dall’Agenzia e che testimoniano le risposte a sostegno di numerose istanze reali e concrete.
Anche soltanto in ambito NIS 2 risulta molto evidente quanto costi alle imprese e alle istituzioni mantenersi aderenti alla normativa e puntuali nel rispetto degli obblighi.
Linee guida e framework: supporto operativo alla compliance NIS2
Uno strumento che è stato utilizzato ampiamente da ACN è inoltre quello delle linee guida.
In applicazione degli adempimenti previsti dalla NIS 2, era stata pubblicata, infatti, dall’Agenzia, il 26 luglio 2024 una “Guida alla notifica degli incidenti informatici – Un processo in quattro fasi per comunicare al CSIRT ITALIA l’impatto di un evento dannoso”.
Le quattro fasi comprendono il momento preparatorio, la segnalazione vera e propria, la gestione della notifica e la chiusura dell’incidente.
L’ausilio è stato pensato per tutti i soggetti del Perimetro, e anche quelli NIS e telco, comprese infine le entità descritte dalla legge 90, come pubblicato sul sito web di ACN, e non esclusi soggetti non obbligati ma interessati ad attivare una procedura di segnalazione verso lo CSIRT Italia.
Sullo stesso tema, e in conseguenza alla pubblicazione della recentissima determinazione n. 379907 sopra ampiamente citata, il 30 dicembre 2025 ACN ha pubblicato un riassunto dello stato delle cose, in termini di strumenti disponibili per effettuare correttamente gli adempimenti previsti dalla NIS 2 e relativi alle “Specifiche di base” (Linee guida NIS del settembre 2025) e delle “Linee guida NIS – Specifiche di base – Definizione del processo di gestione degli incidenti di sicurezza informatica”.
Supply chain e resilienza: premialità, 5G e sicurezza nazionale
Conviene ricordare, sempre allo scopo di elencare le misure di aiuto per i soggetti interessati, anche le Linee guida per il rafforzamento della resilienza dei soggetti di cui all’articolo 1, comma 1, della legge 90/2024.
Si fa riferimento, in tale documento, ad amministrazioni pubbliche e ad alcuni settori privati, e si forniscono chiarimenti e metodologie per l’accrescimento pratico del livello di resilienza.
Legge 90/2024 e DPCM 2025: cosa cambia per PA e privati
Nell’ottobre 2025 sono state emesse, da ACN, le “Linee Guida per l’applicazione dei criteri di premialità” ai sensi dell’art. 14 della legge 90/2024.
Lo sviluppo tecnologico, così come la diffusione di minacce cyber sempre più sofisticate, hanno coinvolto massicciamente anche la filiera degli approvvigionamenti di prodotti e servizi, introducendo nuovi rischi potenzialmente molto gravi per la sicurezza nazionale.
L’art. 14 della legge 90 del 2024 ha posto un forte accento su questo aspetto; con le successive norme DPCM 30 aprile 2025 e DPCM 2 ottobre 2025, a livello nazionale si è voluto intraprendere un percorso di rafforzamento della sicurezza nazionale e di crescita della propria sovranità digitale, o meglio del dato, come si afferma sul sito web di ACN, sulla pagina specifica.
Le Linee guida proposte da ACN sul tema vogliono rappresentare un supporto per le amministrazioni pubbliche nel momento in cui avviano bandi per l’affidamento e l’esecuzione dei contratti pubblici, ma anche per i soggetti privati per i quali, come per le PA, i profili di sicurezza della supply chain rivestono carattere ormai classificabile come altamente strategico.
Si intende pertanto fornire, con lo strumento in questione, esempi di buone pratiche e chiarimenti utili a livello operativo.
Premialità TLC su 4G/5G: logica e riferimenti europei
La premialità per il settore delle TLC si applica ai sistemi e ai servizi di telefonia mobile operanti in tecnologia 4G e 5G, in particolare agli elementi che compongono l’architettura di una rete in tali tecnologie.
Le basi di studio sui quali il criterio di premialità si fonda sono il “Report on EU coordinated risk assessment of 5G”, pubblicato in prima versione nel mese di ottobre 2019 e successivamente aggiornato, e lo studio di ENISA “Threat landscape for 5G networks” del novembre 2019, revisionato poi dal NIS Cooperation Group, dalla Commissione europea e da ENISA.
Pacchetto Digital Omnibus e “single entry-point”: il ruolo di ENISA
Il Pacchetto Digitale intercetta l’esigenza per uno stesso soggetto di adempiere a più normative, magari in parte sovrapponibili, di gestire il dedalo delle singole procedure previste, delle delucidazioni di massima e delle indicazioni più di dettaglio.
La semplificazione normativa e la razionalizzazione di molti adempimenti sono questioni indiscutibilmente necessarie e urgenti da affrontare.
Tanti degli adempimenti di cui si parla concorrono agli stessi obiettivi: alimentare la raccolta di informazioni su minacce e attacchi informatici per potenziare gli studi e le ricerche scientifiche sul materiale a disposizione, e accrescere la quantità e la qualità delle informazioni specifiche da mettere a disposizione con le operazioni di notifica.
Già nelle Conclusioni del Consiglio Europeo del 26 giugno 2024, veniva sottolineata l’importanza di pervenire a una legislazione ispirata dalla semplicità fin dalle fasi di progettazione, senza per questo comprometterne la capacità di previsione, gli obiettivi e gli standard che devono essere mantenuti elevati.
Un’unica procedura per notifiche multiple: vantaggi attesi
Il Digital Omnibus, quindi, si propone di intervenire fra l’altro proprio sulla semplificazione delle procedure di notifica degli incidenti, ipotizzando un’unica soluzione procedimentale per tutti gli adempimenti di segnalazione eventualmente correlati, anche se previsti da normative diverse.
Si tratterebbe di stabilire un “single entry-point”, per ridurre drasticamente gli oneri amministrativi dei soggetti obbligati a effettuare le notifiche.
Uno dei miglioramenti prevedibili potrebbe essere la garanzia di avere flussi di informazioni affidabili relativamente agli incidenti informatici, correttamente indirizzati poi a diversi destinatari individuati dalle varie legislazioni.
La previsione del Pacchetto Omnibus attribuisce a ENISA l’incarico di sviluppare il singolo Punto di Accesso.
Intersezione con Cyber Resilience Act: piattaforme e coerenza
Non va trascurato che ENISA, per ottenere il risultato finale atteso, dovrebbe anche contemperare le previsioni sul tema del Cyber Resilience Act, e la specifica piattaforma da questo atto introdotta per gestire le notifiche delle vulnerabilità e degli incidenti gravi.
In una delle due proposte che compongono il Pacchetto si intravede, non a caso, la ulteriore discussione sul mandato di ENISA, che verrebbe a trovarsi investita di nuovi compiti, potenzialmente anche di natura gestionale.
EU Business Wallet: identità digitale per imprese e PA nel mercato unico
Altro aspetto interessante, prospettato come elemento di forte impatto a favore dell’innovazione e della facilitazione degli scambi a livello europeo, con particolare riguardo alla semplificazione del rapporto pubblico-privato, è l’introduzione dell’EU Business Wallet, come naturale sviluppo dell’EUDI Wallet.
L’EUDI Business Wallet è lo strumento ipotizzato per le imprese, per gli enti e per le PA che debbano autenticarsi online e dimostrare la piena affidabilità della propria affidabilità online, al fine di rendere sicura ogni operazione digitale che sia attivata in quella dimensione.
Per fissarne la portata della proposta, conviene tornare brevemente sul significato dell’EUDI Wallet.
Dal Digital Decade 2030 all’EUDI Wallet: perché conta l’interoperabilità
Esso, come noto, fonda le sue radici nel Programma Digital Decade 2030.
Nell’intento dei legislatori europei, l’EUDI Wallet è uno strumento che dovrebbe consentire a tutti i cittadini europei di dimostrare e gestire la propria identità online, per ogni necessità o processo interessato dalla trasformazione digitale in atto.
Il wallet dei singoli cittadini, il cui percorso non è ancora terminato, dovrebbe assicurare una vera ed efficace interoperabilità circa i servizi di un mercato digitale unico al cui decollo l’Europa lavora da tempo, con il superamento delle problematiche legate fra l’altro alle diverse soluzioni di identità digitali presenti negli Stati membri.
Un altro traguardo raggiungibile con tale mezzo, inoltre, sarebbe l’auspicato completamento della digitalizzazione dei servizi pubblici a livello europeo, con i vantaggi e i benefici che i cittadini si attendono.
L’EU Business Wallet rappresenta pertanto un ambizioso passaggio ulteriore di digitalizzazione dell’identità di imprese e istituzioni, che ragionevolmente sarà molto più complesso, anche se la prospettiva finale può apparire entusiasmante.
Competitività UE e pacchetto Digital Omnibus: il contesto Letta-Draghi
Il 31 gennaio 2025 la Commissione Europea ha lanciato una nuova strategia, basata sugli esiti degli studi commissionati a Enrico Letta e Mario Draghi, per rilanciare la produttività dell’Unione Europea al fine di potenziare l’economia europea rispetto alle altre economie globali.
La Strategia, composta di cinque azioni specifiche da realizzarsi in tre aree di intervento ben specificate, è riportata nella Comunicazione “A Competitiveness Compass For The EU” del 29 gennaio 2025.
Con questa iniziativa, per corrispondere ai suggerimenti di Letta e Draghi, si anticipava la proposta di un provvedimento del tipo Digital Omnibus.
In particolare, nella comunicazione già si individuavano due azioni, fra le cinque citate, che avrebbero dovuto comportare ricadute veloci e significative sul sistema delle imprese: quella della semplificazione normativa per conseguire l’obiettivo di tagli agli oneri amministrativi delle imprese del 25%, fino al 35% per le PMI, e l’azione di rimozione degli ostacoli normativi che rallentano il funzionamento del mercato unico.
Per riprendere il discorso sull’EUDI Business Wallet, nella Comunicazione della Commissione si sosteneva, in ordine a tale strumento, che sarebbe diventato una pietra miliare per fare “business simply and digitally in the EU”, in quanto capace di favorire, fra l’altro, una semplificata ed efficace interazione con tutte le pubbliche amministrazioni.
L’identità digitale per le imprese e per le PA sarà davvero una svolta epocale e, quando sarà realizzata, i benefici di velocizzazione delle pratiche, delle procedure uniformate e auspicabilmente semplificate, e di consultazione di database contenenti informazioni importanti e aggiornate, potranno essere concreti e misurabili.
Le aspirazioni pratiche che riguardano le imprese consistono nel poter espandersi con una certa facilità nei diversi Stati membri, apporre firme digitali e altre modalità di classificazione univoche a documenti, poter comunicare con altre imprese o con le PA dell’Unione, in sicurezza.
Con l’EU Business Wallet queste aspirazioni potrebbero tradursi in realtà; dalla Commissione Europea è stato ipotizzato lo sblocco annuale di una cifra che può raggiungere i 150 miliardi di euro in risparmi per le imprese.
Naturalmente andrà considerato il tempo necessario all’implementazione dei meccanismi descritti, per le eventuali certificazioni e per la diffusione capillare del portafoglio europeo.
Pacchetto Digital Omnibus e nuove categorie: SMCs, PMI e semplificazioni GDPR
Un ultimo aspetto che, secondo me, merita attenzione, fra le proposte contenute nel Pacchetto, riguarda la ripresa di quanto già previsto dalla Raccomandazione (UE) 2025/1099 del 21 maggio 2025 relativa alla definizione delle piccole imprese a media capitalizzazione.
Si tratta di una nuova categoria di imprese: le SMCs (Small-Mid caps) che si collocano tra le piccole e medie imprese (PMI) e le grandi imprese.
Esse infatti, secondo la definizione codificata dalla Raccomandazione 1099, non sono classificabili come piccole o medie imprese ai sensi della Raccomandazione 2003/361/CE, occupano meno di 750 persone ed hanno un fatturato annuo che non supera i 150 milioni di EUR.
Nelle premesse della Raccomandazione 1099 si cita al riguardo il report finale dello studio «Study to map, measure and portray the EU mid-cap landscape», di vari autori, pubblicato nel 2022 dall’Ufficio delle pubblicazioni dell’Unione europea.
Secondo lo studio, le piccole imprese a media capitalizzazione risultano in genere più solide delle PMI, si sviluppano più rapidamente, sono più innovative e affrontano meglio i processi di digitalizzazione delle PMI.
Proprio come le PMI, invece, soffrono molto gli oneri amministrativi e mostrano carenze di personale qualificato. Non tengono inoltre il passo con le grandi imprese in termini di performance.
Soprattutto per gestire eventuali sostegni ad aziende come le SMCs, era stato necessario inquadrarle in una ben specifica categoria.
Il Digital Omnibus riprende questo richiamo per ipotizzare semplificazioni per certi adempimenti a questo tipo di aziende.
Per esempio, a livello di GDPR, sono previste facilitazioni per le PMI che potrebbero essere estese ad un parco aziende più ampio.
In dettaglio, ci si può riferire alla deroga specifica, già consentita per le PMI, dall’obbligo di tenuta dei registri previsto dall’art. 30 del Regolamento UE, nel caso in cui il trattamento dei dati personali non riguardi casi di rischio elevato.
Intelligenza artificiale, dati e diritti: i limiti della semplificazione nel Digital Omnibus
Infine, il Pacchetto Digitale si propone di intervenire anche su profili delicati afferenti all’ambito dell’Intelligenza Artificiale.
Il capitolo dei dati, della contiguità fra l’ambito tecnologico regolamentato per la prima volta a livello globale dalla norma europea dell’AI Act, e la difesa dei risultati ottenuti con i provvedimenti sulla privacy, aprono scenari tanto interessanti quanto complicati.
Al riguardo, a mio modesto avviso, saranno necessarie ancora molte riflessioni prima di interventi radicali di semplificazione, se non si vuole rischiare di operare con superficialità se non addirittura con finalità non totalmente comprensibili.
Consultazione e snodi politici: cosa resta da valutare prima dell’approvazione
In conclusione, comunque, risulta che l’obiettivo che si voleva raggiungere a livello europeo nel produrre così tanta normativa, prima del Digital Omnibus, era lodevole: man mano che si ampliavano le conoscenze in tema cyber si lanciava una norma che coprisse eventuali ambiti scoperti.
Il punto debole è stato quello di non misurare l’impatto economico con sufficiente dettaglio degli obblighi via via imposti ai soggetti coinvolti, e che questi ultimi erano quasi sempre gli stessi per ogni provvedimento.
La conseguenza più significativa si è potuta quindi rilevare sul mercato del lavoro, troppo ostacolato nella crescita e nello sviluppo.
Il Pacchetto Digitale è stato posto in consultazione pubblica, dalla Commissione Europea, il 16 settembre 2025 fino al 14 ottobre 2025.
Il periodo è sembrato a molti troppo breve per analizzare i possibili impatti delle semplificazioni proposte dal Pacchetto, in quanto molti sono i provvedimenti normativi interessati e talvolta di alcuni si propongono forti modifiche o addirittura abrogazioni.
Per avere uno sguardo d’insieme e valutare la possibile portata del Pacchetto Digitale conviene ricordare che agirebbe sul GDPR, sull’Artificial Intelligence Act, sulla Direttiva relativa ai cookie, sulla Direttiva NIS2 (sicurezza delle reti), sui provvedimenti relativi alla governance dei dati e sul Framework europeo per l’identità digitale.
Un intervento di “disboscamento” tra tanta produzione legislativa degli ultimi anni, in parte realmente sovrapponibile, corrisponderebbe a quanto auspicato dai Rapporti Letta-Draghi.
In fase di approvazione dovranno tuttavia essere valutati ineludibilmente anche altri aspetti, primo fra tutti quello che riguarda la protezione e la difesa dei diritti fondamentali acquisiti a livello europeo.
L’Intelligenza Artificiale e lo sviluppo economico devono essere incentivati e i relativi processi di crescita sapientemente guidati.
Le norme obsolete vanno cancellate, le sovrapposizioni eliminate, l’innovazione tecnologica sostenuta: ora serve una produzione legislativa adeguata, semplice ma d’impatto.
L’auspicio è che nella folle corsa dell’innovazione sospinta dall’AI, e sulla scorta dell’esperienza passata, questa sfida si vinca bilanciando al meglio il rilancio della produttività e la citata difesa dei diritti acquisiti, innalzando nel contempo la capacità di difesa avviata a duro prezzo e il grado di resilienza raggiunto finora, ma mai troppo elevato.
