AI e resilienza digitale: AI Act, DORA e nuove regole per la protezione dei dati

di Andrea Onori

Il quadro normativo europeo e nazionale disciplina l’uso dell’intelligenza artificiale, la gestione dei dati e la sicurezza informatica, con particolare attenzione alla tutela dei diritti fondamentali e della privacy.Le norme definiscono limiti, obblighi di trasparenza, requisiti di sicurezza e responsabilità per l’utilizzo dei sistemi di IA e per il trattamento dei dati, anche in ambiti sensibili come sanità e lavoro.

Con questo ultimo contributo di analisi dei contenuti dei provvedimenti europei e italiani costituenti l’architettura normativa della tutela del trattamento dei dati mediante l’uso dei sistemi informativi, dell’Intelligenza Artificiale, dei provvedimenti relativi alla Cyber Security, nonché della gestione dei Big Data, ci si sofferma sulle seguenti normative:

  • Il Regolamento UE 1689/2024 (AI Act) e la Legge 132/2025;
  • Regolamento (UE) 2554/2022 (DORA);
  • Il Regolamento UE 1772/2024 (Integrazione DORA).

Nell’ambito dei rapporti tra Intelligenza Artificiale (IA) e GDPR

Si rammenta che il Regolamento (UE) 2024/1689 (AI Act) stabilisce un quadro giuridico armonizzato per lo sviluppo e l’uso dell’intelligenza artificiale, ponendo la tutela dei diritti fondamentali e della Privacy come pilastri centrali.

Di seguito vengono esposti sinteticamente e schematicamente i punti più importanti del Regolamento:

  1. pratiche di IA vietate per rischi inaccettabili: per proteggere la Privacy e la dignità umana, il regolamento vieta alcune pratiche, tra cui:
    • l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per scopi di attività di contrasto, salvo eccezioni limitate e soggette a autorizzazione;
    • sistemi di categorizzazione biometrica basati su dati sensibili (come orientamento politico, religioso o sessuale);
    • sistemi di riconoscimento delle emozioni sul luogo di lavoro o nelle istituzioni scolastiche;
  2. requisiti per l’IA ad alto rischio: i sistemi classificati ad alto rischio devono soddisfare rigorosi criteri di governance dei dati. I set di dati utilizzati per l’addestramento e la prova devono essere pertinenti, rappresentativi e, per quanto possibile, esenti da errori e completi, per evitare distorsioni che potrebbero avere impatti negativi sui diritti fondamentali;
  3. trasparenza e sorveglianza umana: il Regolamento impone obblighi di trasparenza affinché le persone siano informate quando interagiscono con sistemi di IA e garantisce che vi sia sempre una sorveglianza umana efficace per prevenire o minimizzare i rischi per la sicurezza e i diritti fondamentali;
  4. spazi di sperimentazione (Sandbox): nello sviluppo di sistemi di IA all’interno di “spazi di sperimentazione normativa”, il trattamento di dati personali raccolti per altre finalità è permesso solo a condizioni rigorose e per salvaguardare rilevanti interessi pubblici (es. sanità, ambiente, sicurezza);
  5. cooperazione istituzionale: è prevista una stretta cooperazione tra le autorità nazionali competenti per l’IA e le autorità per la protezione dei dati, garantendo che il personale disponga di competenze approfondite in materia di protezione dei dati personali;

Altro pilastro giuridico dei rapporti tra Intelligenza Artificiale (IA) e GDPR è la Legge 23 settembre 2025, n. 132 che stabilisce i principi nazionali per la ricerca, lo sviluppo e l’applicazione dell’intelligenza artificiale (IA) in Italia, operando in costante coordinamento con il Regolamento (UE) 2024/1689 (AI Act).

Qui di seguito sono sintetizzati i punti fondamentali della Legge:

1. Principi di Trattamento e Trasparenza:

  • liceità e correttezza: l’impiego dell’IA deve garantire un trattamento lecito, corretto e trasparente dei dati, assicurando che siano utilizzati solo per le finalità per cui sono stati raccolti;
  • linguaggio chiaro: le comunicazioni relative al trattamento dei dati tramite IA devono essere rese con un linguaggio semplice e chiaro, permettendo all’utente di conoscere i rischi e di esercitare il diritto di opposizione;
  • cybersecurity: la sicurezza informatica è considerata una precondizione essenziale lungo tutto il ciclo di vita dei sistemi di IA per proteggere i dati e garantire la resilienza contro alterazioni illecite;

2. Tutela dei Minori e Soggetti Vulnerabili:

  • minori: per i minori di 14 anni, l’accesso alle tecnologie di IA e il relativo trattamento dei dati richiedono il consenso dei genitori. I minori tra i 14 e i 18 anni possono prestare il proprio consenso autonomamente, purché le informazioni sui rischi siano facilmente comprensibili;
  • disabilità: è garantito il pieno accesso ai sistemi di IA per le persone con disabilità, senza discriminazioni e in conformità con le norme internazionali sui diritti umani;

3. Disposizioni di Settore (Sanità e Lavoro):

  • ambito sanitario: l’uso dell’IA in sanità deve rispettare la protezione dei dati personali. L’interessato ha il diritto di essere informato sull’impiego di tali tecnologie. Sono previste agevolazioni per la ricerca scientifica (uso secondario di dati privi di identificativi diretti), dichiarata di rilevante interesse pubblico, sotto la vigilanza del Garante per la protezione dei dati personali;
  • ambito lavorativo: l’IA non può essere utilizzata in contrasto con la dignità umana o violando la riservatezza dei dati personali. Il datore di lavoro ha l’obbligo di informare i lavoratori sull’uso di tali sistemi.

Nell’ambito della tutela del trattamento dei dati del settore finanziario

I due regolamenti UE di riferimento sono il Regolamento (UE) 2022/2554 (DORA) e il suo Regolamento di integrazione (UE) 2024/1772 che stabiliscono un quadro comune per la resilienza operativa digitale del settore finanziario, con importanti riflessi sulla tutela dei dati personali e sulla Privacy.

I loro punti salienti vengono qui di seguito sintetizzati e schematizzati:

  1. sicurezza e riservatezza dei dati: le entità finanziarie hanno l’obbligo di implementare politiche di sicurezza che tutelino specificamente la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, inclusi quelli dei propri clienti;
  2. protezione contro i rischi di gestione: il quadro di gestione dei rischi informatici deve garantire la protezione dei dati contro la cattiva amministrazione, gli errori umani e i rischi specifici legati al loro trattamento;
  3. trasparenza e comunicazione degli incidenti: in caso di incidenti informatici gravi, le entità finanziarie devono seguire protocolli rigorosi di segnalazione. Il Regolamento 2024/1772 definisce criteri precisi per classificare tali incidenti, garantendo che le autorità siano informate in modo tempestivo e armonizzato;
  4. limitazioni alla pubblicazione dei dati personali: le autorità competenti, nel pubblicare sanzioni amministrative, devono valutare caso per caso se la pubblicazione dell’identità e dei dati personali delle persone responsabili sia sproporzionata o possa compromettere la stabilità dei mercati o indagini in corso;
  5. condivisione sicura delle informazioni: è incoraggiata la condivisione volontaria tra entità finanziarie di informazioni sulle minacce informatiche, a condizione che avvenga in ambienti sicuri per proteggere la natura sensibile dei dati scambiati;
  6. scambio di dati tra autorità: lo scambio di informazioni tra le autorità di vigilanza (come ABE – Autorità Bancaria Europea, ESMA – Autorità Europea degli Strumenti Finanziari e dei Mercati o EIOPA – Autorità Europea delle Assicurazioni e delle Pensioni aziendali e professionali) e le autorità degli Stati membri, anche in merito a gravi incidenti, deve includere i dettagli necessari per la sorveglianza, mantenendo elevati standard di protezione delle informazioni sensibili.

Potrebbe interessarti anche...

La gestione delle linee bancarie autoliquidanti per anticipo effetti S.B.F. e fatture

Compiti di vigilanza del Collegio SSN in materia di conti giudiziali

Recesso del socio titolare di quota oggetto di pignoramento: quid iuris?

Nullità della società per azioni

Contratti d’impresa: aspetti giuridici ricadute fiscali e accertative

Il rischio penale dell’attività dell’esperto facilitatore nella composizione negoziata

Area fiscale

Articoli del giorno

Modello Rap e distribuzione dell’utile

AI e resilienza digitale: AI Act, DORA e nuove regole per la protezione dei dati

Adeguati assetti e responsabilità: un Master di specializzazione per orientarsi sugli obblighi di imprese e professionisti

Portafoglio clienti e dimensione dello studio di Commercialisti

Vedi tutti gli articoli di EC News

Corsi in evidenza

Bilancio di sostenibilità

Il corso di propone di fornire il quadro della normativa comunitaria in vigore in tema di rendicontazione di sostenibilità e di analizzare i principi di rendicontazione. A partire dal 25/02/2026

Fiscalità internazionale in pratica 2026

Il programma è stato aggiornato alla luce del D.Lgs. 209/2023, del D.L. 84/2025 e delle più recenti novità normative, con particolare attenzione ai temi emergenti del diritto tributario internazionale. A partire dal 17/03/2026

Masterclass fiscalità immobiliare

Il percorso è articolato in cinque giornate in cui sono affrontati ed approfonditi gli aspetti fiscali connessi alla gestione ed al trasferimento degli immobili. A partire dall’11/03/2026

Mondo professione

Portafoglio clienti e dimensione dello studio di Commercialisti

Protezione delle e‑mail negli Studi Professionali: SPF, DKIM e DMARC spiegati in modo operativo

Scenario delle Professioni: l’AI entra nel perimetro normativo delle professioni

Euroconference e Task S.r.l.: un ponte tra innovazione industriale e consulenza evoluta

Euroconference NEWS è una testata registrata al Tribunale di Verona Reg. n. 1993 del 05/09/2013
Direttore responsabile Sandro Cerato
Copyright 2016 © Gruppo Euroconference S.p.A. v2.31.5
Via E. Fermi, 11 - 37135 Verona - info@ecnews.it
Capitale Sociale € 300.000,00 i.v. C.F. P.IVA Iscrizione Registro Imprese di Verona 02776120236

Torna in alto