Programma Digitale Europeo: norme in vigore e novità future

Oggi più che mai, viviamo in un contesto fortemente digitalizzato. Ci troviamo al centro di una rivoluzione tecnologica che si preannuncia storica. A livello internazionale, si osserva da tempo una competizione tra gli Stati Uniti e la Cina per la supremazia tecnologica. Ora, l'Unione Europea, con l'obiettivo di caratterizzare questi anni Venti come il nostro "Decennio Digitale", si muove decisa verso una sovranità digitale europea.

‍

Gli obiettivi delineati nel programma della Digital Decade per il 2030 sono specifici e dettagliati:  

• SKILLS: Si prevede di raggiungere 20 milioni di specialisti ICT in Europa, con una maggiore equità di genere nel settore. Almeno l'80% della popolazione europea sarà dotato di competenze digitali fondamentali.

• BUSINESS: Il 75% delle aziende avrà intrapreso processi di trasformazione digitale, facendo uso di tecnologie come il Cloud, l'intelligenza artificiale e i Big Data. Inoltre, oltre il 90% delle piccole e medie imprese (PMI) raggiungeranno un livello basilare di digitalizzazione.  

• INFRASTRUCTURE: Le infrastrutture saranno più sicure e sostenibili, con obiettivi che includono una connettività di almeno un gigabit per tutti, l'aumento della quota europea nella produzione globale di semiconduttori ad alta tecnologia, la creazione di 10mila nodi cloud altamente sicuri e sostenibili, e lo sviluppo del primo computer europeo con accelerazione quantistica.  

• GOVERNMENT: La digitalizzazione del settore pubblico assicurerà che il 100% dei servizi essenziali sia disponibile online, che il 100% dei cittadini abbia accesso ai propri dati sanitari e che ogni cittadino disponga di un'identità digitale.

‍

La roadmap per raggiungere questi obiettivi include controlli periodici attraverso un meccanismo di cooperazione annuale tra la Commissione Europea e gli Stati membri, che prevede:

• Un sistema di monitoraggio strutturato, trasparente e condiviso, utilizzando l'indice di digitalizzazione dell’economia e della società (DESI) per tracciare i progressi verso gli obiettivi del 2030.
• Una relazione annuale della Commissione che valuta i progressi e suggerisce eventuali azioni correttive. La prima di queste relazioni è stata pubblicata a settembre 2023.
• La presentazione biennale di tabelle di marcia strategiche nazionali, in cui gli Stati membri delineano le azioni intraprese o pianificate per raggiungere gli obiettivi fissati.
• Un meccanismo di supporto per l'attuazione di progetti multinazionali attraverso il consorzio per l'infrastruttura digitale europea.

Stabilendo normative in linea con i valori e i principi europei e promuovendo libertà, solidarietà, inclusione e partecipazione democratica nella società digitale contemporanea, l'ambizione dell'UE è posizionarsi come punto di riferimento per l'innovazione etica:

• nella gestione dei dati,  
• delle tecnologie ‍
• delle infrastrutture digitali

Dal punto di vista legale, sono molteplici le iniziative già ratificate e quelle ancora in fase di esame. Seguire i rapidi sviluppi può risultare complesso. È tuttavia essenziale non trascurare i nuovi obblighi e le responsabilità emergenti.

Vediamo quindi le 11 normative chiave sul digitale, già ratificate o attualmente in discussione nei consessi dell’Unione Europea.

‍

DIGITAL MARKETS ACT (DMA)

Regolamento Europeo - 2022/1925 - Applicabile da MAGGIO 2023

‍

Destinatari e Campo di Applicazione: gatekeeper che forniscono nell'UE servizi di intermediazione online, motori di ricerca, reti sociali, piattaforme di condivisione video, servizi di comunicazione interpersonale, sistemi operativi, browser web, assistenti virtuali e servizi di cloud computing e pubblicitari online.

Il Digital Markets Act (DMA) stabilisce normative specifiche per gli attori dominanti nel mercato digitale, noti come "gatekeeper". Questi includono:

• motori di ricerca;
• social network;
• gestori di app store, che giocano un ruolo cruciale nel controllare i punti di accesso al commercio online.

Il DMA mira a imporre rigidi obblighi e divieti a tali entità per prevenire comportamenti commerciali ingiusti, con l'obiettivo di promuovere equità, trasparenza e una concorrenza leale per tutte le aziende nel mercato digitale.

Vengono classificate come tali, le aziende che:

• hanno una forte posizione economica, esercitano un impatto significativo sul mercato interno e sono attive in più paesi dell'UE.
• ricoprono una posizione predominante di intermediazione, collegando un vasto numero di utenti a molte imprese.
• mantengono (o stanno per mantenere) una posizione stabile e duratura nel mercato, ovvero costante nel tempo. L'azienda deve aver soddisfatto i due criteri sopra citati per ciascuno degli ultimi tre anni fiscali.

‍

DATA GOVERNANCE ACT (DGA)

Regolamento Europeo - 2022/868 - Applicabile da SETTEMBRE 2023

Per maggiori informazioni vedi Data Governance Act Explained.

‍

Il Data Governance Act (DGA) è volto a favorire la condivisione e il riutilizzo dei dati all'interno dell'UE, in settori chiave come la salute, l'ambiente, l'energia, la mobilità, la finanza e altri. Questo regolamento intende rendere più accessibili i dati sia per gli enti pubblici che privati, con l'obiettivo di beneficiare cittadini e imprese europee.

Quali sono alcune delle applicazioni possibili?

• l'allenamento di sistemi di intelligenza artificiale;
• il potenziamento della ricerca nel settore sanitario;
• lo sviluppo di politiche più efficaci per la gestione dei servizi pubblici.

‍

DIGITAL SERVICES ACT (DSA)

Regolamento Europeo - 2022/2065 – Applicabile da FEBBRAIO 2024

‍

Destinatari e Ambito di Applicazione: servizi di intermediazione destinati agli utenti nell'Unione Europea

Il Digital Services Act (DSA) definisce criteri di responsabilità per gli operatori di servizi digitali. L'obiettivo è assicurare un ambiente online sicuro e protetto per gli utenti dell'UE, proteggendo al contempo i diritti essenziali di aziende e consumatori.

Il regolamento prevede specificamente misure per contrastare la presenza di contenuti illeciti, il commercio di prodotti contraffatti e la diffusione di informazioni false.

‍

NETWORK AND INFORMATION SECURITY (NIS2)

Direttiva Europea 2022/2025  – Recepita dalla normativa nazionale entro OTTOBRE 2024

‍

Destinatari e Contesto di Applicazione: imprese nell'UE, sia pubbliche che private, attive nei settori dell'energia, trasporti, settore bancario e finanziario, sanità, fornitura di acqua potabile e trattamento delle acque reflue, infrastrutture digitali, servizi informatici B2B, amministrazione pubblica, servizi spaziali, servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, settore alimentare, fabbricazione, ricerca e comunicazione elettronica.

Nata dall'evoluzione della Direttiva NIS di maggio 2018, la NIS2 introduce nuove normative per la cybersecurity. Mantenendo una continuità con la direttiva precedente, mira a potenziare la sicurezza informatica all'interno dell'UE e a promuovere lo sviluppo di un ecosistema tecnologico moderno e affidabile.

In questa nuova versione, sono stati definiti criteri aggiornati per l'identificazione degli operatori pubblici e privati considerati "soggetti essenziali" o "soggetti importanti", ossia quegli enti per i quali è prioritario prevenire e contrastare il rischio di interruzioni di servizio che potrebbero avere un impatto significativo sull'economia o sulla società. Inoltre, la NIS2 ha ampliato l'elenco dei settori coinvolti e ha esteso il campo di applicazione a tutta la catena di fornitura per una copertura più ampia.

‍

DIGITAL OPERATION RESILIENCE ACT (DORA)

Regolamento Europeo - 2022/2554  – Applicabile da GENNAIO 2025

Destinatari e Ambiti di Applicazione: entità finanziarie, incluse le nuove realtà operative nel settore dei crypto-asset e delle monete digitali; fornitori di servizi hardware e software per il settore finanziario.

Il DORA (Digital Operational Resilience Act) stabilisce i requisiti di cybersecurity per gli operatori del settore finanziario. In particolare, aggiorna e consolida le normative preesistenti relative ai rischi nel settore finanziario, integrando aspetti cruciali come la resilienza e la continuità operativa.

L'accento è posto sulla gestione efficace dei rischi informatici, sui processi di rendicontazione, test e monitoraggio del rischio associato ai servizi di terze parti.

Questa normativa è applicabile a tutte le istituzioni finanziarie dell'Unione Europea. DORA specifica una serie di requisiti di sicurezza essenziali che devono essere obbligatoriamente rispettati, riguardanti tanto i sistemi informatici quanto le reti.

Questi requisiti sono suddivisi in 4 pilastri fondamentali:

• Governance e organizzazione interna
• Risk Management
• Incident Management e reporting
• Fornitori terzi di servizi ICT

‍

E-PRIVACY (EPR)

Proposta di Regolamento Europeo - IN ESAME

‍

Destinatari e Contesti di Applicazione: trattamento dei dati relativi alle comunicazioni elettroniche; sia fornitori che utenti (inclusi quelli dei servizi gratuiti) di comunicazioni elettroniche all'interno dell'UE; trattamento di informazioni collegate alle apparecchiature terminali di utenti finali situati nell'UE.

Queste regolamentazioni tutelano le informazioni personali e si allineano ad altre iniziative dell'Unione Europea per salvaguardare la privacy online. Queste normative contribuiscono alla protezione dei dati personali durante la navigazione su Internet.

Attualmente, l'UE sta discutendo nuove regole sulla privacy per promuovere fiducia e sicurezza nell'era digitale, previste per il prossimo decennio. Queste normative aumenteranno il controllo degli utenti sui propri dati e dispositivi e modernizzeranno le regole esistenti in materia di ePrivacy per includere le nuove modalità di comunicazione online.

Si prevede che queste normative saranno finalizzate entro il 2024 e attuate a partire dal 2025.

‍

DATA ACT (DA)

Proposta di Regolamento Europeo – IN ESAME  

‍

Destinatari e Ambiti di Applicazione: produttori, fornitori e utenti di prodotti e servizi distribuiti nell'UE; proprietari dei dati resi disponibili agli utenti nell'UE; destinatari dei dati all'interno dell'UE; enti pubblici che richiedono l'accesso ai dati di aziende private; fornitori di servizi di trattamento dei dati con clienti nell'UE.

Il Data Act (DA) mira a espandere e normare l'accesso, il riutilizzo e l'interoperabilità dei dati generati all'interno dell'UE, a vantaggio di imprese, cittadini e amministrazioni pubbliche.

In situazioni specifiche, sarà permesso agli enti pubblici di accedere ai dati detenuti dalle imprese. Sarà promossa la condivisione di dati tra diversi settori economici, inclusa l'applicazione di "smart contracts", programmi che assicurano il rispetto delle condizioni stabilite tra le parti nella condivisione dei dati. Sono previste anche misure per contrastare l'esportazione illegale di dati. Nel complesso, l'accesso ai dati dovrà garantire elevati livelli di privacy, sicurezza ed eticità.

La legge sui dati è stata pubblicata nella Gazzetta Ufficiale dell'UE il 22 dicembre 2023 e sarà applicabile a partire dal 12 settembre 2025.

‍

CYBER RESILIENCE ACT (CRA)

Proposta di Regolamento Europeo  – IN ESAME

‍

Destinatari e Campi di Applicazione: prodotti dotati di componenti digitali che richiedono una connessione dati a dispositivi o reti, ad eccezione di Dispositivi Medici, Dispositivi Medico-Diagnostici in Vitro, veicoli a motore, prodotti certificati per l’aviazione e prodotti militari.

Il CRA mira a stabilire standard di sicurezza cibernetica adeguati nella progettazione e produzione di hardware e software che compongono i prodotti digitali di massa.

I principali obiettivi sono:

• Creare un ambiente che promuova lo sviluppo di prodotti con elementi digitali sicuri, assicurando che hardware e software presentino minori vulnerabilità e che i fabbricanti prendano seriamente in considerazione la sicurezza durante l'intero ciclo di vita del prodotto.
• Fornire le condizioni affinché gli utenti possano considerare la cybersecurity nella scelta e nell'uso di tali prodotti.

Gli obblighi specifici per i fabbricanti includono:

1. Migliorare la sicurezza dei prodotti fin dalla fase di progettazione e per tutta la durata del loro ciclo di vita.
2. Assicurare un quadro di cibersicurezza coerente, facilitando la conformità per i produttori.
3. Aumentare la trasparenza riguardo le proprietà di sicurezza dei prodotti.
4. Consentire un utilizzo sicuro dei prodotti digitali da parte di aziende e consumatori.

Il CRA è previsto per entrare in vigore nel 2024, con un periodo di adeguamento di 36 mesi dalla data di entrata in vigore.

‍

ARTIFICIAL INTELLIGENCE ACT (AI ACT)

Regolamento UE 2024/1689  – Pubblicato nella Gazzetta Ufficiale EU il 12 LUGLIO 2024

‍

Destinatari e Ambiti di Applicazione: sistemi di Intelligenza Artificiale venduti o utilizzati nell'UE, o che producano risultati utilizzati nell'UE, ad eccezione degli usi militari.

L'AI Act stabilisce regole armonizzate per lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di IA nell'UE, con l'obiettivo di bilanciare l'adozione di tecnologie AI e il rispetto delle libertà e diritti fondamentali.

I requisiti di sicurezza per i sistemi AI mirano a creare un mercato unico per applicazioni di AI sicure. Il regolamento prevede divieti specifici su pratiche di AI contrarie ai valori dell'UE e impone restrizioni su altri usi considerati rischiosi.

L'AI Act è stato approvato dall'UE il 13 marzo 2024, pubblicato il 12 luglio 2024 e entrerà in vigore il ventesimo giorno successivo alla pubblicazione, diventando applicabile il 2 agosto 2026.

‍

INTEROPERABLE EUROPE ACT (IEA)

Proposta di Regolamento Europeo – IN ESAME

‍

Destinatari e Contesti di Applicazione: enti pubblici, istituzioni, organismi e agenzie dell'Unione Europea che gestiscono sistemi informatici e di rete per fornire o amministrare servizi pubblici elettronici.

Questa legislazione è progettata per facilitare lo scambio transfrontaliero di dati e per accelerare la trasformazione digitale del settore pubblico nell'UE. L'obiettivo è stabilire un nuovo quadro di cooperazione per le amministrazioni pubbliche, garantendo la continua erogazione di servizi pubblici su scala transfrontaliera e promuovendo misure che incentivino l'innovazione e lo scambio di competenze.

Il regolamento introdurrà una struttura di governance per l'interoperabilità, con l'obiettivo di sviluppare un ecosistema di soluzioni interoperabili condivise. Questo incoraggerà le amministrazioni pubbliche a contribuire e riutilizzare queste soluzioni, promuovendo l'innovazione collettiva e la creazione di valore aggiunto.

IDENTIFICATION, AUTHENTICATION AND TRUST SERVICES (eIDAS2)

Proposta di Regolamento Europeo – IN ESAME

‍

Destinatari e Ambiti di Applicazione: Servizi di creazione, verifica e convalida di firme, sigilli e validazioni elettroniche; servizi di autenticazione di siti web; conservazione di firme, sigilli o certificati elettronici; archiviazione di documenti elettronici; gestione di dispositivi per la creazione a distanza di firme e sigilli elettronici; registri elettronici.

Basato sul regolamento eIDAS attuale, l'eIDAS2 aggiorna il quadro legale per le soluzioni di identità e autenticazione elettronica per rispondere meglio alle esigenze del mercato. Si propone di migliorare la sicurezza, l'affidabilità e l'accessibilità di tali servizi sia in contesti pubblici che privati e transfrontalieri.

Una novità significativa è l'introduzione del Portafoglio Europeo di Identità Digitale, che offre un modo più flessibile di identificazione digitale attraverso l'uso di "attributi", adattabili a diversi contesti e progettati per minimizzare la condivisione non necessaria di dati personali.

La revisione del regolamento è stata approvata dal Parlamento Europeo il 29 febbraio 2024 e pubblicata nella Gazzetta Ufficiale il 30 aprile 2024.

I relativi "Implementing Acts" saranno pubblicati entro 12/24 mesi dall'approvazione, segnando l'entrata in vigore ufficiale del nuovo regolamento eIDAS.