16.08.2025 – 10.07 – Mentre le istituzioni europee si preparano a introdurre il Data Act, la nuova normativa destinata a disciplinare l’uso e la condivisione dei dati generati da dispositivi e macchinari, intanto si accendono discussioni e dibattiti. Ebbene sì, perché se da una parte il GDPR ha ridisegnato il panorama della privacy, il Data Act presenta un obbiettivo ben diverso: incidere sul mercato dei dati industriali. Ma quanto inciderà davvero sulla cybersecurity? Per Alberto Bartoli, docente di cybersecurity all’Università degli Studi di Trieste, la risposta è chiara e concisa: l’impatto diretto sarà minimo, mentre la portata maggiore sarà di natura politica e strategica.
Il Data Act entrerà prossimamente in vigore. Dal punto di vista della cybersecurity, cosa può rappresentare questa normativa?
Nell’ambito della cybersecurity l’impatto è pressoché nullo, perché la finalità del Data Act è diversa. Mentre il GDPR è centrato sui dati personali, il Data Act riguarda principalmente dati non personali, generati in automatico da sensori e macchinari industriali durante il loro funzionamento. Solo in casi specifici — ad esempio impianti di riscaldamento domestici o dispositivi elettronici da indossare — questi dati possono essere ricondotti a informazioni personali. Il focus resta comunque sui dati industriali. La vera novità, a mio avviso, è il messaggio politico: l’Unione Europea ribadisce la sua volontà di regolamentare in modo chiaro e trasparente l’uso dei dati in ambito industriale. Ma sul piano operativo quotidiano, l’effetto sarà limitato.
E per le aziende? Opportunità o rischi?
Per le aziende significa soprattutto nuovi oneri: comprendere e applicare la normativa. In astratto, esistono anche opportunità, perché il Data Act introduce un obbligo di condivisione dei dati grezzi tra aziende, sotto certe condizioni, favorendo quindi potenzialmente nuove collaborazioni e soprattutto la competizione tra servizi. D’altra parte, il Data Act non impone la condivisione dei dati elaborati o degli strumenti costruiti su di essi, in modo da preservare e quindi incentivare gli investimenti in questi ambiti. Sfruttare le opportunità rese possibili da questa nuova normativa quindi non sarà immediato.
Quali sfide tecniche e organizzative comporta?
Dal punto di vista tecnico, le organizzazioni devono garantire che i dati possano essere esportati in formati facilmente utilizzabili. Organizzativamente, serve investire tempo per studiare la normativa e adattare i processi interni. In confronto, il GDPR è stato molto più dirompente, imponendo requisiti e sanzioni severe su un’ampia gamma di attività.
L’impatto sui rapporti contrattuali tra aziende sarà reale o solo formale?
È difficile dirlo. Non è immediato capire quali saranno le effettive possibilità di sviluppo competitivo rese possibili dalla condivisione di dati grezzi già esistenti in accordo al Data Act. Sicuramente la normativa stabilisce nuove “regole del gioco”, ma l’impatto concreto sui rapporti tra aziende si potrà valutare solo col tempo.
E in termini di sicurezza?
A livello di sicurezza, il Data Act non introduce elementi nuovi. Il problema vero è la cronica mancanza di competenze nel nostro Paese. Anche se i dati in questione non sono personali, serve personale qualificato per proteggerli — e trovarlo è un’impresa.
Come vede l’evoluzione della cybersecurity in un contesto normativo sempre più denso?
Per la cybersecurity, il vero spartiacque è stato il GDPR: ha imposto consapevolezza e responsabilità. Il Data Act non avrà lo stesso effetto. In materia di sicurezza, i cambiamenti concreti dipendono più da fattori strutturali e culturali che dall’arrivo di una singola normativa.
[n.m]
