Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

norme ue

La compliance digitale cambia passo: cosa chiedono le nuove regole UE

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La conformità digitale europea non coincide più con un controllo iniziale, ma con un presidio continuo di documenti, registrazioni, procedure e verifiche. AI Act, CRA, Data Act, NIS2 e DORA convergono verso un modello fondato su tracciabilità, gestione del rischio e aggiornamento costante

Pubblicato il 23 mar 2026
Claudio Caldarola

avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie

compliance digitale (1); pa digitale; federated learning
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’attuale quadro normativo europeo mostra come la conformità dei sistemi digitali non può più essere intesa quale verifica puntuale o statica, limitata al momento dell’immissione sul mercato o dell’avvio del servizio.

Essa assume piuttosto carattere permanente e si sostanzia nella predisposizione e nel mantenimento nel tempo di un assetto documentale, organizzativo e procedurale idoneo a rendere verificabili le scelte tecniche, il governo del rischio, la gestione delle vulnerabilità, il controllo delle modifiche, la tracciabilità degli eventi e i flussi di rendicontazione interna ed esterna.

Compliance digitale, due anni in cui cambia tutto: il quadro per le aziende

AI Act, CRA, NIS2 e DORA: la nuova conformità digitale europea

In tale prospettiva, il regolamento sull’intelligenza artificiale “AI Act”, con riguardo ai sistemi di IA ad alto rischio, disciplina la documentazione tecnica, le registrazioni automatiche, il monitoraggio successivo all’immissione sul mercato “post-market”, le misure correttive e la valutazione della conformità in presenza di modifiche sostanziali.

Il regolamento sulla ciberresilienza Cyber Resilience Act “CRA”, prescrive requisiti essenziali di cibersicurezza per i prodotti con elementi digitali e richiede documentazione tecnica e documentazione di supporto idonee a dimostrare la conformità anche rispetto ai processi di gestione delle vulnerabilità. Il regolamento sui dati “Data Act”, su un piano diverso ma convergente rispetto alla nozione di conformità digitale, disciplina invece l’accesso, la disponibilità, la trasparenza informativa e, in parte, le condizioni economiche relative ai dati generati dall’uso di prodotti connessi e servizi correlati.

Nei rispettivi ambiti soggettivi e settoriali si collocano inoltre la direttiva “NIS2”, relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione, e il regolamento sulla resilienza operativa digitale per il settore finanziario “DORA”, che intensificano gli obblighi di governo del rischio, monitoraggio della conformità, revisione indipendente, gestione degli incidenti, gestione delle vulnerabilità, applicazione delle patch di sicurezza e presidio delle dipendenze da terzi. Ne emerge, nel biennio 2026-2027, un tratto comune, ovvero, la conformità digitale si identifica sempre più con la capacità di conservare nel tempo un sistema coerente di documentazione, evidenze, registrazioni, procedure e controlli aggiornati.

La conformità come struttura documentale e procedurale

Le normative europee più recenti in materia digitale rivelano, infatti, che la conformità non si esaurisce nell’enunciazione di requisiti sostanziali, ma si costruisce mediante documentazione, registrazioni, procedure, verifiche e aggiornamenti distribuiti lungo l’intero ciclo di vita di sistemi, prodotti e servizi.

Essa assume quindi la forma di una struttura documentale e procedurale che rende controllabili l’attuazione dei requisiti, il loro adattamento al mutamento tecnico e la loro conservazione nel tempo. Nell’AI Act, per i sistemi di IA ad alto rischio, la documentazione tecnica deve essere predisposta prima dell’immissione sul mercato o della messa in servizio e mantenuta aggiornata, in modo da dimostrare la conformità del sistema ai requisiti applicabili e consentire alle autorità competenti e, ove rilevante, agli organismi notificati di valutarla in modo chiaro e comprensibile. Alla documentazione tecnica si affianca la disciplina delle registrazioni automatiche, prodromica alla tracciabilità del funzionamento del sistema e al controllo dei suoi eventi rilevanti lungo il ciclo di vita. Nel CRA, la medesima logica viene riferita al prodotto con elementi digitali.

La conformità ai requisiti essenziali di cibersicurezza non deve solo essere perseguita, ma anche dimostrata attraverso la documentazione tecnica e quella di supporto atte a rappresentare le scelte di progettazione e sviluppo e l’adeguatezza dei processi di gestione delle vulnerabilità. Nel DORA, il medesimo assetto si traduce in un sistema particolarmente articolato di politiche, procedure, registri e controlli inerenti al rischio TIC, ovvero delle Tecnologie dell’informazione e della Comunicazione.

Le entità finanziarie devono sviluppare, documentare, approvare, attuare e riesaminare periodicamente le proprie politiche di gestione del rischio, rendendo verificabili tanto il contenuto delle misure quanto la logica delle decisioni organizzative adottate.

Un’impostazione analoga si rinviene, nei limiti dei rispettivi ambiti applicativi, anche nella NIS2 e nella relativa disciplina di attuazione tecnica, ove assumono rilievo l’identificazione e la documentazione dei rischi, il piano di trattamento, il monitoraggio della conformità, la rendicontazione agli organi di gestione, la revisione indipendente, la gestione degli incidenti e quella delle vulnerabilità. Ne deriva un quadro nel quale la conformità resta inseparabile dalle forme mediante le quali viene descritta, registrata, verificata e aggiornata.

Conformità digitale e AI Act: documentazione, log e modifiche sostanziali

Nell’AI Act, i sistemi di IA ad alto rischio sono assoggettati a un regime documentale particolarmente intenso.

Dalla documentazione tecnica devono risultare, in modo chiaro, completo e intelligibile, gli elementi necessari a dimostrare la conformità del sistema ai requisiti applicabili. Essa è funzionale alla tracciabilità del sistema, alla sua valutazione di conformità e al monitoraggio successivo all’immissione sul mercato. In questo quadro, le registrazioni automatiche svolgono una funzione distinta ma complementare. I sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo da consentire la registrazione automatica degli eventi rilevanti per tutta la durata del loro ciclo di vita.

Tali registrazioni, nella misura in cui rientrino nel controllo del fornitore, devono essere conservate per un periodo adeguato alla finalità del sistema e comunque per almeno sei mesi, salvo che il diritto dell’Unione o nazionale applicabile preveda diversamente, in particolare in materia di protezione dei dati personali. Particolare rilievo assume inoltre la nozione di modifica sostanziale. I sistemi di IA ad alto rischio che abbiano già superato una procedura di valutazione della conformità devono essere sottoposti a una nuova valutazione quando intervenga una modifica sostanziale idonea a incidere sulla loro conformità.

Per i sistemi che continuano ad apprendere dopo l’immissione sul mercato o la messa in servizio, la disciplina delimita tale nozione escludendo dal suo ambito le modifiche predeterminate dal fornitore e già descritte nella documentazione tecnica iniziale. La documentazione, dunque, non svolge soltanto una funzione dimostrativa, ma anche delimitativa, poiché consente di distinguere tra evoluzione interna già prevista del sistema e mutamento che impone una nuova procedura valutativa. La centralità della documentazione tecnica emerge anche nella relazione con l’organismo notificato, che può esaminarla, richiedere ulteriori evidenze, domandare prove aggiuntive e, nei casi previsti, accedere ai dati e agli elementi necessari alla valutazione. Il fascicolo tecnico assume così il ruolo di base istruttoria della verifica di conformità.

Il CRA e la prova della sicurezza del prodotto digitale

Il CRA richiede non soltanto che il prodotto con elementi digitali sia sicuro, ma anche che tale sicurezza sia dimostrabile lungo il suo ciclo di vita. La conformità ai requisiti essenziali di cibersicurezza si traduce pertanto in un obbligo documentale che investe sia la progettazione e lo sviluppo del prodotto sia i processi di gestione delle vulnerabilità. Il regolamento richiede che il prodotto sia corredato dalla relativa documentazione tecnica e, ove necessario, anche dalla documentazione di supporto idonea a dimostrare l’adeguatezza delle soluzioni progettuali e dei processi di gestione delle vulnerabilità. Ne deriva un modello di conformità che collega strutturalmente progettazione sicura, sviluppo sicuro, capacità di trattamento delle vulnerabilità e prova documentale della loro effettiva implementazione. Nelle procedure di valutazione della conformità, l’organismo notificato è chiamato a esaminare la documentazione pertinente, a verificare il rispetto dei requisiti applicabili e, ove richiesto, a svolgere o richiedere esami e prove sui campioni.

La logica regolatoria non si arresta, inoltre, al prodotto considerato in astratto, ma si estende al governo del mutamento, cioè a dire, ove il fabbricante apporti modifiche rilevanti al sistema qualità approvato, deve informarne l’organismo notificato, il quale valuta se le modifiche mantengano la conformità del sistema o rendano necessaria una nuova verifica. A ciò si aggiunge il rilievo del criterio della funzionalità principale nella qualificazione di alcune categorie di prodotti importanti o critici con elementi digitali. La mera presenza, all’interno del prodotto, di componenti o funzionalità che, se considerate isolatamente, rientrerebbero in una categoria rilevante non determina automaticamente la classificazione dell’intero prodotto in quella categoria.

Resta tuttavia fermo l’obbligo del fabbricante di valutare la sicurezza del prodotto nel suo complesso, tenendo conto, ove opportuno, anche della sicurezza dei componenti e delle funzionalità integrate. La classificazione non discende, quindi, in via automatica dalla composizione interna del prodotto, ma da una valutazione complessiva della sua funzione principale e del suo profilo di rischio.

Conformità digitale e Data Act: accesso, trasparenza e compenso

Il Data Act introduce nel quadro della conformità digitale una dimensione ulteriore, concernente l’accessibilità, la disponibilità e la trasparenza dei dati generati dall’uso di prodotti connessi e servizi correlati.

Pur non essendo una normativa di cibersicurezza in senso stretto, esso partecipa al nuovo assetto regolatorio europeo nella misura in cui impone obblighi informativi, organizzativi e contrattuali destinati a rendere effettivo il controllo dell’utente sui dati generati dall’uso del prodotto o del servizio. Il presupposto della disciplina risiede nella constatazione che, nella prassi, tali dati non sono sempre agevolmente accessibili agli utenti e che il controllo tecnico del prodotto o del servizio consente spesso al fabbricante o al prestatore di determinare quali dati siano generati, in quale forma e secondo quali modalità siano accessibili. Per questo motivo, il regolamento attribuisce rilievo centrale alla trasparenza precontrattuale.

Prima della conclusione del contratto per l’acquisto, la locazione o il noleggio di un prodotto connesso, l’utente deve ricevere informazioni chiare e comprensibili sui dati che il prodotto può generare, sul loro tipo, sul formato e, se del caso, sul volume stimato, nonché sugli aspetti rilevanti per l’esercizio dei diritti di accesso e utilizzo. Il regolamento riconosce inoltre che, con riferimento al medesimo prodotto o servizio, possano coesistere più utenti rilevanti sotto il profilo giuridico, senza che ciò elimini la centralità della posizione soggettiva dell’utente quale perno della disciplina sull’accesso ai dati generati.

Sul piano economico, il Data Act disciplina anche le condizioni della messa a disposizione dei dati, imponendo criteri di equità e trasparenza nella determinazione del compenso e prevedendo una tutela rafforzata, in particolare, per PMI e organismi di ricerca senza fini di lucro, con riferimento ai costi direttamente connessi alla messa a disposizione dei dati. Anche sotto questo profilo, la trasparenza assume funzione di verificabilità della conformità, poiché il titolare dei dati deve fornire elementi sufficienti a consentire al destinatario di comprendere e contestare, se necessario, la struttura del compenso richiesto. Il Data Act è entrato in applicazione generale il 12 settembre 2025, ferma restando la diversa decorrenza di alcune disposizioni specifiche.

La NIS2 tra rischio, monitoraggio e gestione continua

La NIS2 impone agli Stati membri di assicurare che le entità essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi che minacciano la sicurezza delle reti e dei sistemi informativi. In tale quadro, la conformità richiede la costruzione di un sistema di governo della sicurezza capace di identificare, valutare, trattare, monitorare e riesaminare nel tempo i rischi e gli incidenti rilevanti.

La direttiva delinea il quadro generale degli obblighi, mentre la disciplina tecnica di esecuzione adottata a livello unionale specifica, per talune categorie di soggetti, contenuti più dettagliati in materia di metodologia di gestione del rischio, documentazione dei rischi, piani di trattamento, monitoraggio della conformità, revisione indipendente, gestione degli incidenti, gestione delle vulnerabilità, sicurezza dello sviluppo, configurazione, gestione delle modifiche, test di sicurezza, inventario delle risorse TIC e segmentazione della rete.

Per questa ragione, sul piano interpretativo, occorre distinguere tra il nucleo prescrittivo direttamente desumibile dalla direttiva e il maggior dettaglio derivante dagli atti di esecuzione applicabili nei rispettivi ambiti soggettivi. In tale assetto, la gestione del rischio richiede almeno l’identificazione e la documentazione dei rischi rilevanti, la loro analisi in termini di minaccia, probabilità e impatto, l’individuazione delle misure di trattamento e la revisione periodica delle valutazioni effettuate. Il monitoraggio della conformità e la rendicontazione agli organi di gestione assumono rilievo quale strumento di verifica dell’effettiva attuazione delle politiche di sicurezza, mentre la revisione indipendente risponde all’esigenza di controllare, con adeguate garanzie di competenza e imparzialità, l’efficacia del sistema di gestione della sicurezza.

Analoga centralità assume la gestione degli incidenti, che richiede procedure per la rilevazione, l’analisi, il contenimento, la risposta, il ripristino, la documentazione e la segnalazione degli eventi significativi, nonché la gestione delle vulnerabilità, che implica capacità di individuazione, valutazione, prioritizzazione, correzione e, ove necessario, divulgazione responsabile. Le logiche di sviluppo sicuro, gestione delle modifiche, applicazione delle patch, controllo della configurazione e presidio delle risorse TIC si inseriscono in questo stesso paradigma, cioè, la sicurezza deve essere organizzata, documentata e verificata in modo continuativo.

Nel quadro della NIS2, pertanto, la conformità coincide sempre più con la capacità di mantenere un sistema di sicurezza costantemente descritto, monitorato, riesaminato e aggiornato, fermo restando che il dettaglio di alcuni obblighi dipende dalla disciplina tecnica applicabile ai soggetti concretamente considerati.

Conformità digitale e DORA: rischio TIC, patch e fornitori terzi

Per i soggetti rientranti nel perimetro di DORA, la conformità digitale assume una configurazione ancora più intensa, in ragione della centralità attribuita al rischio TIC, alla resilienza operativa e alla dipendenza da fornitori terzi di servizi TIC.

Il regolamento, completato dalle norme tecniche di regolamentazione e di attuazione, richiede alle entità finanziarie di sviluppare, documentare, approvare, attuare e riesaminare politiche e procedure di gestione del rischio TIC proporzionate alla natura, alla dimensione, al profilo di rischio e alla complessità dei servizi, delle attività e delle operazioni svolte. Le politiche di gestione del rischio TIC devono rendere espliciti, tra l’altro, il livello di tolleranza al rischio, la metodologia di valutazione, le misure di trattamento, i rischi residui accettati con la relativa giustificazione e le modalità di revisione periodica. Le politiche di sicurezza TIC devono inoltre individuare responsabilità, flussi approvativi, eccezioni, indicatori di monitoraggio e documentazione da mantenere.

Particolare rilievo assume altresì la disciplina delle vulnerabilità e delle patch di sicurezza. Le entità finanziarie devono dotarsi di procedure per identificare fonti informative affidabili sulle vulnerabilità, monitorare le risorse TIC, eseguire scansioni e valutazioni coerenti con il profilo di rischio, verificare i comportamenti dei fornitori terzi TIC, monitorare l’uso di componenti o librerie di terzi, stabilire criteri di prioritizzazione degli interventi correttivi, monitorare l’effettiva correzione e mantenere evidenza delle vulnerabilità rilevate e del loro stato di risoluzione. Per le risorse TIC che supportano funzioni critiche o importanti, il quadro tecnico attuativo intensifica i requisiti di monitoraggio.

Accanto alla sicurezza interna, DORA valorizza in modo peculiare la rappresentazione delle dipendenze da terzi. Il registro delle informazioni relativo ai servizi TIC prestati da fornitori terzi, strutturato secondo modelli standardizzati, deve rappresentare la catena di fornitura, la criticità del servizio, i dati coinvolti, la localizzazione del trattamento e della conservazione, la sostituibilità del fornitore, l’esistenza di un piano di uscita e le condizioni di reintegrazione del servizio. In questo modo, la conformità non riguarda soltanto il governo interno della sicurezza, ma anche la mappatura analitica delle interdipendenze esterne e dei relativi profili di rischio.

Le date chiave del 2026-2027 nel quadro europeo

Nel biennio 2026-2027, le normative considerate producono effetti secondo una scansione temporale differenziata, che rende particolarmente denso il quadro regolatorio europeo.

L’AI Act è entrato in vigore il 1° agosto 2024, ma presenta un’applicazione scaglionata. Dal 2 febbraio 2025 trovano applicazione, tra l’altro, i divieti relativi alle pratiche di IA vietate e gli obblighi in materia di alfabetizzazione sull’IA, dal 2 agosto 2025 si applicano le disposizioni concernenti i modelli di IA per finalità generali e talune regole di governance, dal 2 agosto 2026 opera l’applicazione generale del regolamento, fatta salva la diversa decorrenza di alcune disposizioni, dal 2 agosto 2027 si applicano le disposizioni relative ai sistemi di IA ad alto rischio di cui all’articolo 6, paragrafo 1, vale a dire quelli che costituiscono prodotti, o componenti di prodotti, disciplinati dalla normativa di armonizzazione dell’Unione indicata nell’allegato I. I

l CRA non è ancora applicabile in via generale. La sua applicazione generale decorrerà dall’11 dicembre 2027, mentre il regime relativo agli organismi notificati e ad alcune strutture della valutazione della conformità si applica anticipatamente dall’11 giugno 2026 e gli obblighi relativi alla segnalazione delle vulnerabilità sfruttate attivamente e degli incidenti gravi si applicano dall’11 settembre 2026.

Il Data Act è applicabile in via generale dal 12 settembre 2025, salva la diversa decorrenza prevista per specifiche disposizioni. DORA è applicabile dal 17 gennaio 2025.

Quanto alla NIS2, la direttiva doveva essere recepita dagli Stati membri entro il 17 ottobre 2024, ne consegue che, nel biennio 2026-2027, il suo impatto dipenderà anche dal grado di completamento e di consolidamento dell’attuazione nazionale, oltre che dall’applicazione degli atti di esecuzione e delle discipline settoriali pertinenti.

Pertanto, il biennio 2026-2027 rappresenta una fase di particolare densità regolatoria perché l’AI Act entra nella sua applicazione generale nel 2026, una parte delle regole sui sistemi di IA ad alto rischio si applicherà dal 2027, il CRA anticipa alcuni obblighi nel 2026 prima dell’applicazione generale del 2027, mentre il Data Act, il DORA e la NIS2 sono già destinati a incidere in modo stabile sugli assetti di compliance e di governo del rischio.

Conformità digitale europea come governo del mutamento

Il quadro normativo de quo mostra come la conformità digitale europea si fondi sempre meno su meri controlli formali e sempre più, invece, sulla capacità di mantenere nel tempo un insieme coerente di documentazione tecnica, registrazioni automatiche, valutazioni del rischio, piani di trattamento, procedure di gestione degli incidenti, procedure di gestione delle vulnerabilità, attività di gestione delle patch di sicurezza, registri informativi e documentazione di supporto.

L’AI Act concentra tale esigenza sui sistemi di IA ad alto rischio, mediante documentazione tecnica, registrazioni automatiche, trasparenza, monitoraggio e valutazione della conformità. Il CRA la riferisce ai prodotti con elementi digitali, imponendo documentazione tecnica e documentazione di supporto idonee a dimostrare la conformità ai requisiti essenziali di cibersicurezza e ai processi di gestione delle vulnerabilità.

Il Data Act disciplina, invece, l’accesso, la disponibilità, la trasparenza e le condizioni economiche della messa a disposizione dei dati generati da prodotti connessi e servizi correlati.

La NIS2 e il DORA, nei rispettivi ambiti, richiedono che tali obblighi siano inseriti entro processi permanenti di identificazione del rischio, controllo, revisione, rendicontazione, gestione delle vulnerabilità e formalizzazione delle scelte organizzative e tecniche. La questione centrale posta da queste normative riguarda, dunque, la capacità di assicurare nel tempo la tenuta di un assetto documentale, tecnico e organizzativo idoneo a sostenere la conformità lungo il ciclo di vita dei sistemi, dei prodotti, dei servizi e dei flussi di dati. In questo senso, la nuova conformità digitale europea non si presenta come un adempimento “una tantum”, ma come una funzione permanente di governo del mutamento tecnologico in atto.

Riferimenti normativi essenziali

Reg. (UE) 2024/1689 (AI Act). Reg. (UE) 2024/2847 (CRA). Reg. di esecuzione (UE) 2025/2392 (CRA IR 2025/2392). Reg. (UE) 2023/2854 (Data Act). Dir. (UE) 2022/2555 (NIS2). Reg. (UE) 2022/2554 (DORA). Reg. delegato (UE) 2024/1774 (DORA RTS 2024/1774). Reg. di esecuzione (UE) 2024/2956 (DORA ITS 2024/2956).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Claudio Caldarola
avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie
Claudio Caldarola, avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie, con competenze sulla regolamentazione delle nuove tecnologie, protezione dei dati, governance digitale ed etica dell’intelligenza artificiale. Presidente e fondatore, dal 2018, di GP4AI – Global Professionals for Artificial Intelligence aps ets (www.gp4ai.com), svolge attività accademica come docente in master universitari e programmi di alta formazione. National PhD Student in Artificial Intelligence Health and Life Sciences presso l’Università Campus Bio-Medico di Roma. La sua attività si concentra sul Regolamento europeo sull’intelligenza artificiale, sulla compliance algoritmica, sui criteri ESG applicati ai sistemi intelligenti, sui neurodiritti legati alle interfacce cervello-computer (BCI), sull’agentic AI, e sulle implicazioni di governance, policy e geopolitica dell’IA, con un approccio integrato che coniuga diritto, tecnologia e strategie di impatto sistemico. Iscritto alla Società Italiana di Intelligence – Socint. In precedenza è stato componente della Commissione Informatica dell’Ordine degli Avvocati di Bari. Dal 2025 cura la rubrica “IA & Legal” su ItaloRED.it. Riconosciuto esperto nel settore dell’IA, è regolarmente invitato come relatore in contesti accademici, istituzionali e professionali, nonché punto di riferimento su tematiche legate all’innovazione tecnologica, anche sui media.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • eIDAS 2

  • guida

    eIDAS 2: tutto su identità digitale europea, IT wallet, servizi fiduciari

    23 Apr 2025

    di Giovanni Manca

    Condividi
  • investimenti nel quantum computing; crittografia post quantistica

  • la guida

    Crittografia quantistica: pro e contro per la sicurezza dati

    16 Mar 2026

    di Federica Maria Rita Livelli

    Condividi
  • software microsoft giustizia CSA2 e sovranità digitale Human-Centric Security

  • cybersecurity

    NIS2, scadenze e obblighi: guida operativa alle misure ACN

    29 Mag 2025

    di Paola Zanellati

    Condividi
0
Lascia un commento, la tua opinione conta.x