L’Europa prepara una regia unitaria del danno digitale sul piano infrastrutturale, mentre sul piano ordinamentale prosegue un’opera di saldatura assai più raffinata. Uno sportello unico europeo offre ordine, ma serve una governance chiara e salda. Infatti, con presidi forti, lo sportello opererà come centro di regia del danno digitale; con presidi deboli, la sua eleganza formale lascerà intravedere troppi fili scoperti.
Una governance matura richiede sicurezza della notifica, confini funzionali nitidi, specializzazione preservata e un linguaggio probatorio capace di tenere insieme contenuto manipolato, frode, incidente cyber e violazione di dati.
Indice degli argomenti
La roadmap
In quest’ottica, il 19 novembre 2025 la Commissione ha presentato il pacchetto di semplificazione digitale e ha posto al suo centro uno sportello unico europeo per le notifiche di incidenti cyber e di violazioni di dati. Il 20 gennaio 2026 la proposta di revisione del Cybersecurity Act ha attribuito a ENISA il compito di istituire e gestire tale infrastruttura.
Il 10 febbraio 2026, poi, EDPB ed EDPS hanno approvato la Joint Opinion sul Digital Omnibus; il 18 marzo 2026 hanno ribadito il proprio assenso allo sportello unico anche nel parere sulla revisione del Cybersecurity Act, con richiami espressi alla sicurezza delle notifiche, alla divisione delle responsabilità e alla chiarezza sul trattamento di dati personali da parte di ENISA. Il lessico della semplificazione acquista, a quel punto, un significato più denso della mera economia amministrativa: architettura del coordinamento, disciplina del flusso informativo, ridefinizione della geografia istituzionale del danno digitale.
Quando il danno digitale assume forma ibrida
Il deepfake entra in tale costruzione come caso paradigmatico, poiché infrange le vecchie linee di separazione fra contenuto illecito, incidente cyber, frode operativa e violazione di dati. Europol, nel SOCTA 2025, attribuisce alla voice cloning e ai live video deepfakes la capacità di amplificare frode, estorsione e furto di identità. ENISA, nel threat landscape dedicato alla pubblica amministrazione, collega voice-cloning, face-swap e deep-fake scams a phishing, vishing e identity spoofing. Le autorità europee di vigilanza finanziaria descrivono ormai lo stesso scenario con lessico operativo: false voci e falsi video che imitano banca, familiari, autorità pubbliche o figure note e inducono trasferimenti di fondi, apertura di link malevoli, cessione di credenziali e installazione di software. Il deepfake dannoso appartiene, dunque, alla fenomenologia ufficiale del rischio ibrido.
Lo sportello unico come architettura del coordinamento
Proprio per tale ragione lo sportello unico acquista un valore che supera il piano procedurale. La Commissione lo descrive come un’interfaccia capace di soddisfare con un’unica trasmissione obblighi oggi distribuiti tra NIS2, GDPR, DORA, Critical Entities Resilience Directive ed EU Digital Identity Regulation, con successiva estensione a settori come energia e aviazione.
ENISA cura istituzione e manutenzione del portale; gli obblighi sostanziali restano integri; le autorità destinatarie conservano la propria titolarità ricevente; per la maggioranza delle organizzazioni il carico di reporting si riduce fino alla metà. La formula “report once, share many” riceve così una portata istituzionale precisa: il diritto europeo passa dalla separazione dei canali alla concentrazione del punto di accesso, pur preservando la pluralità dei destinatari.
Come il danno digitale attraversa più regimi di notifica
Il vantaggio di coordinamento appare, sul terreno pratico, di immediata percezione. Un episodio di impersonificazione sintetica può aprirsi con una telefonata artificiale rivolta al tesoriere di una banca o al dirigente finanziario di un soggetto essenziale, proseguire con l’attivazione fraudolenta di credenziali, produrre un bonifico o un accesso abusivo, generare dispersione reputazionale e richiedere, a seconda del settore, notifiche diverse verso autorità diverse.
La frammentazione dei canali, secondo la Commissione, frena la tempestività e comprime la completezza delle segnalazioni proprio nel momento in cui l’ente colpito affronta il picco della crisi. Lo sportello unico risponde a tale attrito con una logica di concentrazione del flusso, assai utile per eventi che attraversano insieme sicurezza delle reti, resilienza operativa, protezione dei dati e autenticità dell’identità digitale. Per inferenza sistematica, il deepfake cessa di appartenere al solo capitolo del contenuto manipolato e viene trattato come incidente polifonico, nel quale il danno narrativo, il danno economico e il danno infrastrutturale possono convergere entro un medesimo fascicolo informativo.
Specializzazione, responsabilità e sicurezza delle notifiche
Il punto critico riguarda la specializzazione. EDPB ed EDPS approvano lo sportello unico, poiché esso alleggerisce il peso amministrativo con piena tutela del livello di protezione per gli interessati; gli stessi organismi, però, introducono tre cautele che rivelano l’intero problema costituzionale della proposta. La prima riguarda la sicurezza delle notifiche, spesso ricche di elementi sensibili. La seconda riguarda la divisione delle responsabilità tra ENISA, autorità privacy e altre autorità settoriali.
La terza riguarda la natura dei dati destinati all’agenzia: dati aggregati e prevalentemente non personali, oppure flussi più intensi di dati personali, con correlata esigenza di base giuridica espressa e garanzie nominate dal legislatore. Il nodo coincide, in altri termini, con la qualità della regia. Un canale unico agevola l’accesso; l’intelligenza istituzionale dell’evento resta affidata a competenze differenziate, tempi differenziati, finalità differenziate. Il data breach risponde a una grammatica; l’incidente NIS2 ne richiede un’altra; DORA impone un lessico operativo autonomo; l’identità digitale porta con sé un ulteriore profilo di fiducia pubblica.
Perché il danno digitale richiede una governance matura
Da tale angolo visuale, la questione del deepfake assume un significato ulteriore. La tecnologia sintetica produce un danno che ferisce insieme verità sociale del contenuto, sicurezza dell’accesso, affidabilità dei processi interni e identità della persona imitata. Una governance esclusivamente settoriale rischia dispersione; una governance integralmente centralizzata impoverisce la lettura giuridica del fatto. Il progetto europeo cerca una terza via: ingresso unitario, trattazione distribuita, interoperabilità dei dati, continuità delle competenze. La tenuta dell’impianto dipenderà dalla precisione delle tassonomie, dalla robustezza del canale, dalla qualità dei template comuni e dalla capacità delle autorità di leggere il medesimo episodio secondo logiche complementari anziché concorrenti.
