Nel lessico regolatorio europeo, il termine “rischio” sembra possedere un carattere di apparente univocità. In realtà, dietro questa ricorrenza terminologica si cela una molteplicità di significati, ciascuno legato alla logica interna della norma che lo impiega.
Indice degli argomenti
L’apparente univocità del rischio nel lessico regolatorio europeo
Ogni atto legislativo, infatti, adotta una propria architettura concettuale del rischio, coerente con gli obiettivi di tutela e con la natura dei beni giuridici coinvolti. Questa eterogeneità, lungi dall’essere un difetto, rappresenta il riflesso della complessità del contesto europeo, in cui la protezione della persona, la sicurezza delle infrastrutture e l’affidabilità dei sistemi tecnologici coesistono come livelli interdipendenti di un medesimo scenario.
Il rischio antropocentrico del GDPR: tutela dei diritti fondamentali
Nel Gdpr, Regolamento (UE) 2016/679, il rischio assume una connotazione esplicitamente antropocentrica. Esso si misura in termini di impatto potenziale sui diritti e sulle libertà fondamentali delle persone fisiche.
La valutazione del rischio, in questo contesto, non è un esercizio tecnico di misurazione della probabilità o della gravità di un danno, bensì una stima qualitativa della possibile lesione della dignità individuale, della riservatezza e dell’autonomia decisionale.
È un rischio che parla il linguaggio dell’etica dei dati e della responsabilità del titolare, e che presuppone un approccio sostanziale alla tutela delle persone, più che alla mera protezione dei sistemi.
NIS2 e il rischio infrastrutturale: continuità dei servizi essenziali
La Direttiva (UE) 2022/2555 (NIS2), d’altra parte, ribalta la prospettiva e colloca il rischio sul piano infrastrutturale. Qui non è la persona al centro, ma la continuità operativa dei servizi essenziali.
Disponibilità, integrità e resilienza diventano le metriche attraverso cui il rischio si manifesta e viene misurato. Il suo orizzonte è la stabilità tecnica e funzionale dei sistemi critici: reti energetiche, sanitarie, logistiche, digitali. L’obiettivo non è prevenire un danno alla sfera individuale, ma garantire che l’interdipendenza tecnologica non degeneri in vulnerabilità sistemiche. È un rischio funzionale, calcolato nella logica del servizio.
AI Act: il rischio sistemico tra etica e governance algoritmica
Nel Regolamento sull’Intelligenza Artificiale (AI Act), la nozione di rischio evolve ulteriormente. Non è più solo tecnico né solo antropocentrico, ma diventa sistemico. Il rischio è la misura dell’impatto che un sistema di IA può produrre sull’affidabilità delle decisioni automatizzate, sulla trasparenza dei processi e sulla non discriminazione dei risultati. È un rischio che si colloca all’incrocio tra etica, tecnologia e governance algoritmica. Qui la valutazione del rischio coincide con un esercizio di controllo democratico: garantire che l’automazione non eroda i principi di equità e responsabilità che fondano l’ordinamento europeo.
CER e la vulnerabilità strutturale: resilienza macrosistemica
A questo già prismatico scenario, si aggiunge la Direttiva CER (Critical Entities Resilience), che introduce un ulteriore livello di astrazione. Il rischio è qui declinato come vulnerabilità strutturale, capacità di recupero e impatto intersettoriale. La logica è macrosistemica: il focus si sposta dalla singola entità o infrastruttura al tessuto economico e sociale nel suo complesso. Il rischio diventa un fattore dinamico di resilienza collettiva, un indicatore della capacità di un sistema-Paese di mantenere la propria funzionalità in scenari di crisi. È, in sintesi, un rischio di interconnessione, che misura la fragilità delle relazioni più che quella dei singoli nodi.
Gli standard ISO come metalinguaggio neutro del rischio
Sul versante tecnico-normativo, gli standard ISO – in particolare la ISO 31000, la ISO/IEC 27005 e la recente ISO/IEC DIS 27006-2 – offrono una tassonomia neutra e trasversale, fondata su una logica di processo piuttosto che di finalità. L’approccio ISO si propone come metalinguaggio del rischio: definisce principi, strutture e fasi operative comuni (contesto, identificazione, analisi, trattamento, monitoraggio), senza prescrivere le finalità specifiche.
Ciò consente di disinnescare, almeno in parte, la frammentazione semantica che caratterizza le normative europee. Tuttavia, anche questo linguaggio neutro non è sufficiente a garantire interoperabilità se le organizzazioni continuano a trattare la valutazione del rischio come un adempimento verticale, confinato all’interno di un singolo framework normativo.
Il ruolo centrale del contesto nella valutazione del rischio
In questo quadro, la funzione del contesto assume un rilievo centrale. Definire il contesto significa comprendere l’ambiente operativo, normativo e tecnologico in cui il rischio si manifesta. È il passaggio che consente di tradurre le prescrizioni generali delle norme in criteri di proporzionalità e coerenza.
Nel modello ISO 31000, l’analisi del contesto è la premessa logica dell’intero processo: senza la conoscenza delle condizioni organizzative e ambientali, il rischio resta un valore astratto. Trasposto nel linguaggio europeo, il contesto diventa la chiave interpretativa che dà senso alle diverse tipologie di rischio: quello del GDPR si radica nel contesto del trattamento e della base giuridica; quello della NIS2 nel contesto dei servizi essenziali e delle catene di fornitura; quello dell’AI Act nel contesto socio-tecnologico in cui opera il sistema; quello della CER nel contesto macroeconomico e intersettoriale della resilienza nazionale. Il contesto, dunque, è ciò che lega la valutazione del rischio alla realtà concreta in cui viene condotta, garantendo proporzionalità, pertinenza e continuità operativa.
Verso un modello orizzontale: la matrice integrata del rischio
Proprio questa frammentazione concettuale genera una conseguenza rilevante: il rischio non può più essere gestito come un’entità monodimensionale. Le imprese e le pubbliche amministrazioni operano ormai in un ambiente regolatorio in cui i rischi si sovrappongono e si ibridano (che siano cyber, legali, etici, operativi) generando catene di impatto trasversali.
La valutazione del rischio deve quindi evolvere verso un modello orizzontale e interconnesso, in grado di dialogare con linguaggi e metriche differenti, e di integrare in modo coerente gli obblighi di conformità con la protezione del valore complessivo. In questa prospettiva, la costruzione di una matrice integrata del rischio rappresenta una risposta concreta.
Essa consente di mappare le diverse dimensioni del rischio secondo tre variabili chiave: natura, origine e destinazione. La natura identifica la tipologia di rischio (tecnologico, umano, organizzativo, sistemico); l’origine individua la fonte normativa o operativa da cui deriva; la destinazione evidenzia il bene o l’interesse tutelato. Questo approccio consente di costruire relazioni logiche tra framework che, pur nati con finalità diverse, convergono verso un obiettivo comune: la sostenibilità del valore nel tempo.
Dalla conformità alla coerenza sistemica
L’obiettivo, in definitiva, non è la mera conformità. È la coerenza sistemica tra norme, pratiche e strategie di gestione. Il rischio, nelle sue molteplici forme, diventa così il linguaggio comune della governance: una lente attraverso cui interpretare la complessità, più che un indice da misurare.
Per questo la domanda cruciale non è più “Cosa richiede la norma?”, ma “Che significato attribuisco al rischio e come lo integro con gli altri?”. Solo riconoscendo questa pluralità semantica e funzionale il sistema normativo europeo potrà evolvere da una somma di obblighi a una rete coerente e interconnessa, capace di proteggere non solo la conformità, ma il valore stesso delle persone, delle organizzazioni e delle infrastrutture su cui si fonda una società digitale.
