Burocrazia q.b.

Oggi parliamo di: La burocrazia che copre tutti gli altri sapori / Crescenti tensioni tra leggi statali e federali negli US / L'indipendenza dell'euro digitale.

May 22, 2025

Ogni settimana, l’editoriale sui temi più cari a Privacy Week

di Matteo Navacci, data protection & cybersecurity advisor, co-fondatore di Privacy Week

Che casino la NIS 2

I miei amici e colleghi sostengono che prima o poi mi troverò una testa di cavallo mozzata nel letto. Sono troppo critico. Lo dicono da anni, eppure nessuno mi ha ancora dato questa soddisfazione. Nel caso, sappiate che preferisco altri tagli — sulla testa c’è poca ciccia.

La ciccia invece non è affatto poca nel grande calderone della Direttiva NIS 2, che tra i suoi mille ingredienti racchiude anche un bel po’ di burocrazia. Delle gran manciate di burocrazia, che per ora coprono completamente tutto il resto.

Mi riferisco in particolare a tutte quelle attività propedeutiche, o almeno così dicono, all’attuazione della NIS 2: registrazione sul portale servizi ACN, censimento dei dati aziendali e del punto di contatto e successiva integrazione di ulteriori informazioni — da farsi perentoriamente entro il 31 di maggio di ogni anno.

Il processo online è farraginoso, tutt’altro che intuitivo. Già solo per capire come e cosa fare serve una consulenza. E al consulente serve un manuale d’uso — come quello pubblicato dall’ACN. Quindi oltre a studiare la legge, gli standard di sicurezza e i contesti aziendali in cui applicarli… bisogna anche studiarsi i manuali d’uso di un portale che in effetti ha ben poco a che fare con la ratio normativa.

Come se non bastasse, il processo stesso non è privo di ambiguità e dubbi interpretativi. Serve inserire obbligatoriamente la PEC di ogni membro del consiglio di amministrazione? Fino a l’altro giorno sembrava di sì, ieri invece è arrivato il chiarimento dell’ACN: scherzavamo — c’è scritto che è obbligatorio ma potete darci anche un’email normale!

E vorrei vedere, considerando che gli amministratori ben possono essere situati al di fuori dell’Italia e non possedere una PEC (unicità tutta nostra). Intanto però, la delucidazione è arrivata al 21 di maggio, a distanza di soli 10 giorni dalla conclusione del termine perentorio.

Ma poi sarà davvero perentorio? Chissà. Anche la prima fase di registrazione sarebbe dovuta concludersi mesi fa: chi è dentro è dentro, chi è fuori sarà sanzionato. E invece no: anche qui l’ACN ha scelto di riaprire le registrazioni, con un chiarimento arrivato durante un webinar di pochi giorni fa. Sembra che molte aziende non siano infatti riuscite a rispettare i termini, perché impegnate nel famoso “self assessment” valutare l’applicabilità della normativa o meno al proprio contesto aziendale. E pare che le registrazioni tardive non saranno sanzionate.

Ma poi, era proprio necessario creare tutta questa impalcatura burocratica che ha davvero poco a che fare con la cybersicurezza? Se tutti i paesi membri scegliessero questa strada, come mai potrebbero destreggiarsi i vari Consigli d’Amministrazione tra decine di piattaforme, PEC, censimenti e chi ne ha più ne metta? Davvero il legislatore si aspetta che consiglieri e manager di multinazionali diffuse in più paesi possano passare ore, giorni — se non settimane — appresso a tali oneri burocratici?

E vogliamo parlare delle difformità interpretative nelle leggi di ratifica della Direttiva? Sarebbe sufficiente fare un confronto tra la nostra e quella Spagnola per comprendere che non ci sarà alcuna uniformità nell’applicazione della legge. I cugini spagnoli ad esempio non hanno creato la figura — confusionaria — del punto di contatto, ma hanno preferito inserire una sorta di obbligo di CISO, un po’ come il DPO per il GDPR. Una strada a mio avviso più lineare e che taglia la testa al toro. Questo “punto di contatto” all’italiana non è che abbia molto senso.

Oppure vogliamo parlare della scelta dell’ACN di riferirsi ai criteri del Framework Nazionale di Cybersicurezza piuttosto che a standard internazionali come la ISO 27001? Bello giocare in casa, ma che dire del lavoro in più che questo richiederà per uniformare la compliance su più paesi europei?

Insomma sono 3 mesi che parliamo di NIS 2, ma finora la burocrazia ha dominato la scena e questa è anche l’impressione dei consigli di amministrazione, che invece di parlare di cybersecurity si trovano davanti persone che cercano di fargli capire per quale motivo sono richiesti i loro dati anagrafici, le loro PEC e cosa diavolo sia la “persona responsabile delle violazioni ai sensi dell’art. 38”.

Una partenza in retromarcia per una legge divenuta applicabile proprio in un periodo in cui l’Unione Europea si è posta l’obiettivo di diminuire il carico burocratico, semplificare gli oneri normativi e aumentare la certezza del diritto all’interno del mercato unico.

ORIZZONTI DI GOVERNANCE AI

Ogni settimana, novità e delucidazioni sulle politiche globali per l’IA

di Luca Nannini, Senior AI Policy & Standards Specialist

Periodo: 6 - 19 Maggio 2025

Queste due settimane sono state caratterizzate da un'intensificazione delle iniziative normative con focus sulla protezione dei minori, la regolamentazione dei dati biometrici e una crescente tensione tra legislazioni federali e statali negli USA, mentre si delineano nuove strutture di governance internazionale dell'IA.

Unione Europea

La Commissione Europea ha annunciato un bando per assistenza tecnica sulla sicurezza dell'IA, incentrato sulla gestione dei rischi per i modelli di IA per scopi generali (GPAI). Il bando, suddiviso in sei lotti, mira a supportare il monitoraggio della conformità e la valutazione dei rischi sistemici a livello dell'Unione, in vista dell'applicazione delle prime regole dell'AI Act dal 2 agosto 2025.

La Commissione ha anche pubblicato la sua analisi dei feedback alle linee guida non vincolanti sulle pratiche proibite e la definizione di sistemi di IA, elaborate dal Centro per gli Studi di Politica Europea (CEPS) per l'Ufficio UE per l'IA.

Ha inoltre avviato una consultazione pubblica sulle linee guida per la protezione dei minori online nell'ambito del Digital Services Act, mirando a supportare le piattaforme nell'assicurare elevati livelli di privacy, sicurezza e protezione per i bambini.

Il Segretario Generale del Consiglio d'Europa ha pubblicato un importante rapporto intitolato "Verso un nuovo patto democratico per l'Europa", che evidenzia la Convenzione sull'IA del COE e stabilisce connessioni più ampie con i valori democratici, i diritti dei bambini, i rischi dell'IA e l'uguaglianza.

L'Ungheria è diventata il primo stato membro delle Nazioni Unite a firmare la Dichiarazione dell'UNECE sui prodotti con IA incorporata, che mira a stabilire un accordo normativo comune per la regolamentazione globale.

Nord America

Il Canada ha nominato il suo primo ministro federale per l'IA, l'ex giornalista Evan Solomon, segnando un importante passo nella governance dell'IA a livello governativo nazionale.

Il Quebec ha sospeso l'uso di assistenti virtuali basati su IA generativa nelle istituzioni pubbliche a partire dal 13 marzo 2025, pubblicando un FAQ che spiega le ragioni, tra cui i rischi per la sicurezza dei dati. Sistemi come Copilot distribuiti prima di questa data devono immediatamente sospendere qualsiasi attività che si basa sull'IA generativa.

La Camera dei Rappresentanti degli Stati Uniti, controllata dai repubblicani, sta proponendo un linguaggio nel disegno di legge di riconciliazione del bilancio che impedirebbe ai governi statali di scrivere le proprie normative relative all'IA per i prossimi 10 anni.

L'Ufficio del Copyright degli Stati Uniti ha pubblicato la terza parte del suo rapporto su Copyright e IA, focalizzato sull'addestramento dell'IA generativa. Il rapporto analizza le implicazioni dell'uso di materiali protetti da copyright nell'addestramento di modelli IA, esaminando l'applicazione della dottrina del fair use e le opzioni di licenza. A seguito del rapporto, il direttore dell'ufficio è stato licenziato dall'amministrazione Trump.

L'amministrazione Trump prevede di modificare le restrizioni all'esportazione di chip AI imposte dall'amministrazione Biden, sostenendo che il quadro era eccessivamente complesso e ostacolava l'innovazione americana.

Africa

La Corte Suprema del Kenya ha ordinato alla Worldcoin Foundation di cancellare i dati biometrici raccolti dai kenioti nel 2023 entro sette giorni. La sentenza segue preoccupazioni per le violazioni della protezione dei dati, vietando ulteriori elaborazioni senza un adeguato consenso.

FINTECH PLAZA

Due volte al mese, opinioni e approfondimenti sul mondo del Fintech

di Angelica Finatti, Blockchain Expert (bancario-assicurativo), TEDx Speaker

Euro Digitale: tu chiamala, se vuoi, indipendenza

Sono molte le domande che sorgono quando si pensa all’euro digitale. Arriverà davvero? E se sì, cambierà davvero il modo in cui paghiamo? Ironia a parte, l’euro digitale promette di rivoluzionare il mondo dei pagamenti: dalla possibilità di effettuare transazioni offline alla maggiore tracciabilità, dalla semplicità d’uso alla (quasi) completa autonomia dell’Europa dai circuiti di pagamento extraeuropei.

Ma soffermiamoci su questo punto: dipendiamo davvero dai circuiti americani? Che cosa significa, esattamente?

Prima di addentrarci in riflessioni geopolitiche, è utile chiarire che un circuito di pagamento è quell’infrastruttura invisibile ma fondamentale che ci permette di pagare con una carta – sia essa di credito, debito o prepagata – ricevendo una conferma immediata della transazione. Ad oggi, i circuiti dominanti nel mondo sono ben noti: Visa, Mastercard, American Express, Diners, Maestro (anch’esso di Mastercard), e così via.

In Europa esistono anche soluzioni locali: Bancontact (Belgio), Cartes Bancaires (Francia), Girocard (Germania), Multibanco (Portogallo), e PagoBANCOMAT (Italia). A queste si affiancano nuovi strumenti: pensiamo a Satispay (italiano), Apple Pay, Google Pay (che però si appoggiano ai circuiti esistenti), PayPal, etc.

Eppure, se osserviamo i dati sul mercato italiano, lo scenario è chiaro: Visa, Mastercard e Amex detengono circa il 50% della quota, a cui si aggiunge un 10% di PayPal e un 3% di soluzioni indirette come Apple/Google Pay, per un totale del 63% del mercato. I circuiti europei come PagoBANCOMAT coprono circa il 30%, mentre Satispay si ferma intorno al 7%. I numeri parlano da soli.

La domanda è legittima: abbiamo già tante soluzioni, forse anche troppe. Perché aggiungerne un’altra?

La risposta è semplice, ma non banale: strategia. La BCE ha osservato un trend crescente nell’uso dei pagamenti digitali: nel 2024, per la prima volta, il valore delle transazioni digitali in Europa ha superato quello del contante, raggiungendo i 481 miliardi di euro. Un cambiamento epocale.

Tuttavia, la quasi totalità di queste transazioni passa ancora da infrastrutture non europee. Questo comporta rischi: dipendenza tecnologica, mancanza di controllo sui dati, esposizione a politiche estere. E allora, senza voler evocare scenari catastrofici, vale la pena chiedersi: siamo davvero preparati a un’interruzione improvvisa? Ricordate il Millenium Bug? A quel tempo, i dirigenti venivano addestrati per rispondere a un possibile blocco informatico globale. Oggi, chi saprebbe farlo?

Meglio non rischiare. L’euro digitale rappresenta un’occasione per ridurre la dipendenza da infrastrutture esterne e costruire una sovranità tecnologica europea, anche nei pagamenti.

Un’altra domanda sorge spontanea: ok, avremo l’euro digitale. Ma chi ci fornirà il portafoglio digitale, il cosiddetto wallet?

Qui arriva un punto cruciale. La BCE non distribuirà direttamente l’euro digitale ai cittadini, ma si affiderà a intermediari finanziari vigilati: principalmente banche, enti pubblici, e altri operatori europei autorizzati. In Italia, ad esempio, potrebbero essere le banche o Poste Italiane a fornirlo. E no, almeno nelle intenzioni attuali, non sarà un wallet "marchiato" da una grande tech americana, anche se, nulla impedisce ad una banca estera, registrata come intermediario finanziario qualificato presso la BCE, di fornire i futuri wallet. Interessante, no?

PayPal, Apple o Google potrebbero, in futuro, offrire interfacce compatibili, ma solo se autorizzate e se rispettano pienamente le regole europee.

L’Europa ha ancora tanta strada da fare. Paradossalmente, alcuni Paesi membri sono più avanti dell’Unione stessa, con soluzioni come Bizum in Spagna, un sistema di trasferimento istantaneo tra conti bancari nato dalla collaborazione tra le banche.

Allora sì, forse l’euro digitale è più che un semplice nuovo strumento: è una presa di posizione strategica. Non si tratta solo di pagare in modo più rapido o intelligente. Si tratta di scegliere, nel cuore della globalizzazione, di non rinunciare all’indipendenza.

LE NEWS DELLA SETTIMANA

Polizia e app di tracking del ciclo. In UK alcune nuove linee guida per le “child death investigations” consigliano di cercare nelle case delle donne per droghe o medicinali che possano indurre aborti e perfino ispezionare app di tracking del ciclo. Qui l’articolo.

Sorveglianza di massa dei confini. Arriva la riforma di Europol, e con questa più poteri per sorvegliare e monitorare confini e migranti anche con strumenti automatizzati. Qui l’articolo.

TORNA PRIVACY WEEK 2025

📍 Ottobre, Milano – Un appuntamento da non perdere per chi vuole capire davvero dove ci sta portando la tecnologia.

Non è la solita conferenza. Privacy Week è un’esperienza viva, ibrida, fuori dagli schemi: al centro ci sono le persone e le grandi domande del nostro tempo. Parliamo di privacy, cybersecurity, intelligenza artificiale, ma lo facciamo con uno sguardo trasversale: geopolitica, economia, lavoro, salute, arte, relazioni, identità.

🎯 Da cinque anni portiamo questi temi fuori dalle nicchie specialistiche e li rendiamo accessibili, stimolanti, umani. Un ponte tra professionisti, aziende e cittadini. Con linguaggi che coinvolgono, esperienze che restano.

💡 Hai un’idea? Un evento da proporre? Vuoi capire come diventare sponsor e far parte di questa rivoluzione culturale?

👉 Contattaci ora. Le migliori storie iniziano con una conversazione.

ALTRE DIMENSIONI DELLA TECNOLOGIA

Cyber Hermetica è la newsletter che ti accompagna nelle profondità dell’Era Digitale, tra riflessioni esistenziali e pratiche per orientarsi in un mondo che sta cambiando velocemente. È un riferimento unico in Italia (top 50 Substack) per esplorare la convergenza tra umanità e tecnologia, fede e filosofia, sovranità digitale e cibernetica.

Per i lettori di Privacy Week uno sconto esclusivo del 25% sull’abbonamento annuale a Cyber Hermetica. 👉 Approfittane ora e inizia il tuo percorso, clicca qui!