Costi, gap tecnologico e scarsa fiducia dei manager amplificano il rischio di restare indietro: la corsa sempre in salita dell’Europa digitale dal GDPR all’AI Act
In Europa dal 2018, anno del GDPR, a oggi, sono stati emessi o sono in discussione almeno cinque regolamenti, quasi uno all’anno: sovereignty e sicurezza delle infrastrutture critiche, piattaforme digitali e AI, servizi e dati. Ciascun “act” si focalizza su un tema che, per sentimento comune, deve essere regolamentato. L’impatto è sempre importante: attività di assessment e mitigation; tempi e costi spesso non trascurabili; infine persone sensibili e tecnici preparati, sia all’interno delle aziende che nei partner.
Secondo il report Usercentrics di marzo 2025, solo il 30% delle aziende in Europa si sente “confident” sulla propria compliance al GDPR; il resto ha dubbi e incertezze, ancora dopo sette anni di adozione. Se il GDPR (più popolare e “longevo”) ha un tasso di acquisizione non confermato del 75% e un grado di certezza di appena il 30, come è possibile affidarsi a una roadmap di adozione dei regolamenti successivi in un tempo più breve? Pensando all’AI Act, al Data Governance Act, alle normative NIS e NIS2 nonché DORA, questo processo è fattibile? Inoltre, dal GDPR in poi stiamo assistendo alla crescita delle responsabilità oggettive da parte di CEO, AD e Board.
Da un lato i regolamenti aiutano le aziende a focalizzare, impostare e ottimizzare la propria postura, fornendo una sorta di strada maestra per arrivare a uno scenario strutturato, monitorato, controllato e di conseguenza responsabile. Dall’altro richiedono sempre maggiori investimenti in ambito IT, spiazzando i vertici aziendali che devono prendere decisioni su argomenti dei quali hanno poca conoscenza. Si dice che noi europei siamo bravi a legiferare, ma non altrettanto ad agire tempestivamente. Che cosa emerge dal confronto con USA e Cina? Non possiamo dormire sonni tranquilli: entrambi si muovono velocemente, con regolamenti più efficaci e grazie a un sistema imprenditoriale più ricettivo e allineato.
Tornando in Europa, le sfide attuali sono talmente complesse da indurre, nel caso dell’AI Act, più di 50 gruppi industriali europei a richiedere alla Commissione UE di rinviare l’applicazione della normativa, in attesa che arrivino standard e semplificazione normativa promessi sulla materia digitale. I regolamenti ovviamente non sono sufficienti: sulla tecnologia siamo in netto svantaggio non possedendo sistemi chiave locali, e dipendiamo da altri ai quali affidiamo – più o meno consapevolmente – i nostri dati (pubblici e personali). Certamente c’è uno sforzo importante – l’UE conta di investire ingenti capitali in nuove tecnologie fino al 2034 – ma è necessario accelerare per implementare infrastrutture locali e tecnologie critiche.
Da queste considerazioni è possibile indirizzare alcuni suggerimenti per uno spunto di riflessione comune. Primo: è necessario e imperativo migliorare le campagne di sensibilizzazione su tematiche critiche con maggiore coerenza ed efficacia, puntando direttamente agli interlocutori di alto livello mediante formazione mirata. Secondo, più istituzionale: maggiore dialogo tra mondo legislativo e grandi attori tecnologici, mettendoli in condizione di comprendere le richieste normative e poi fungere da traino per gli altri. Terzo, investimenti: ogni tecnologia nuova porta con sé costi elevati se paragonati alla dimensione media dell’azienda italiana. Tale scenario è un freno alla necessità di compliance e un deterrente perché mostra la tecnologia come costo elevato e quindi appannaggio di pochi.
Le sfide moderne (dalla privacy alla cybersecurity, dal cloud all’AI) vanno affrontate lavorando su un terreno comune, esaltando la coerenza e la connessione di obiettivi attraverso strategie economiche di medio periodo: anche in questo caso un maggiore dialogo fra istituzioni e partner tecnologici porterebbe beneficio.
Tiziano Andreoli Direttivo CIO Club Italia e delegato regionale
