di Tiziana Mazzaglia
Tra DSA, DMA, AI Act, NIS2, Data Act ed identità digitale: cosa cambia davvero per cittadini, creator e piccole realtà.
È tardi, la luce del telefono è l’ultima finestra accesa in casa, e la città digitale scorre sotto il pollice: titoli che brillano, commenti che graffiano, offerte che inseguono, video che rapiscono minuti senza chiedere permesso. Per anni abbiamo abitato Internet come si abita un lungomare d’estate: tutti insieme, rumorosi, un po’ incoscienti. Oggi, invece, l’Europa sta mettendo segnaletica e regole: non per togliere il mare, ma per ridurre i naufragi. La spinta non nasce soltanto da un istinto normativo: nasce da un dato emotivo e misurabile insieme. In una recente indagine Eurobarometro sul rapporto con i social, due terzi degli intervistati (66%) dicono di essersi sentiti esposti a disinformazione o “fake news” almeno qualche volta negli ultimi sette giorni. È un numero che pesa: racconta che non stiamo discutendo di eccezioni, ma di clima. E nello stesso tempo, nel Digital Decade 2025, il 73% delle persone dice che la digitalizzazione della vita pubblica e privata rende la propria vita più facile. Tradotto: amiamo i benefici, temiamo i danni. E quando una società vive questa tensione, prima o poi prova a trasformarla in regole. Se guardiamo alla mappa delle “nuove regole digitali” in Europa, i cartelli più visibili sono cinque – più uno che diventa sempre più la tessera d’ingresso ai servizi: Digital Services Act (DSA), Digital Markets Act (DMA), EU AI Act, Direttiva NIS2, Data Act, e il nuovo quadro dell’identità digitale europea. Non sono norme identiche: alcune governano contenuti e trasparenza, altre la concorrenza, altre la sicurezza, altre l’uso dell’intelligenza artificiale, altre l’accesso ai dati. Ma hanno una parentela comune: spostare l’asse dalla sola libertà di fare al dovere di prendersi cura dell’impatto. Il DSA è la legge che prova a rimettere responsabilità lungo la filiera di Internet: chi trasporta contenuti, chi li ospita, chi li raccomanda, chi vende, chi pubblicizza. È pienamente applicabile per la maggior parte degli intermediari dal 17 febbraio 2024. Per le piattaforme e i motori di ricerca “molto grandi” (oltre 45 milioni di utenti mensili nell’UE) gli obblighi sono più intensi. Il messaggio è semplice: se una piattaforma diventa un’infrastruttura sociale, non può comportarsi come un semplice “tubo” neutro. Deve avere procedure, trasparenza e strumenti di gestione del rischio: per esempio regole su come si gestiscono le segnalazioni di contenuti illegali, su come si rende visibile una pubblicità, su come si raccontano i sistemi di raccomandazione che decidono cosa vediamo e cosa sparisce nel fondo del feed. Accanto al DSA cammina il DMA, che non parla tanto di contenuti quanto di potere di mercato: le grandi piattaforme che agiscono da “gatekeeper” – i varchi obbligati tra utenti e servizi – devono rispettare obblighi e divieti pensati per evitare auto-preferenze, chiusure artificiali e pratiche che rendono l’uscita impossibile. La Commissione europea ha indicato il 7 marzo 2024 come data in cui i gatekeeper designati dovevano essere pienamente conformi agli obblighi. È una norma che parla, in fondo, di libertà di scelta: la libertà non è solo poter entrare in un servizio, è anche poter cambiare strada senza rimanere intrappolati in un quartiere digitale progettato per non farti uscire. Poi c’è la norma che più di tutte ha acceso l’immaginario (e insieme l’ansia): l’EU AI Act. È una cornice che prova a mettere l’intelligenza artificiale dentro una logica di rischio, come si fa con infrastrutture e prodotti: non tutto è vietato, non tutto è libero; conta l’uso e conta l’impatto. La Commissione europea descrive una timeline a tappe: l’AI Act è entrato in vigore il 1 agosto 2024; da 2 febbraio 2025 sono applicabili, tra le altre cose, le regole su pratiche di IA proibite e l’obbligo di “AI literacy”; da 2 agosto 2025 diventano applicabili le regole di governance e gli obblighi per i modelli di IA di uso generale; l’insieme delle regole diventa pienamente applicabile dal 2 agosto 2026 (con alcune transizioni più lunghe per specifiche categorie). Anche nel dibattito pubblico la direzione è stata ribadita: nel luglio 2025, la Commissione ha confermato che la timeline resta in piedi e che non ci sarà un rinvio generale. Che cosa significa, in parole umane? Significa che la discussione sull’IA smette di essere soltanto “mi piace/non mi piace” e diventa “che rischi genera e come li controllo”. Vuol dire che, quando un sistema decide o influenza accesso al lavoro, istruzione, credito, salute o servizi essenziali, non si può più chiedere alle persone di fidarsi a occhi chiusi. Vuol dire che chi sviluppa, chi integra e chi usa certi sistemi deve tenere traccia, testare, documentare, garantire supervisione umana e ridurre l’opacità dove può fare male. E vuol dire anche una cosa culturale: se l’IA entra nella vita quotidiana, allora non è un “giocattolo per esperti”, ma una competenza di cittadinanza. L’alfabetizzazione non è un lusso: è una forma di autodifesa. Nel frattempo, la sicurezza smette di essere un optional. La Direttiva NIS2, pensata per rafforzare la cybersicurezza dei servizi essenziali e delle catene di fornitura, chiede agli Stati membri di recepirla nel diritto nazionale entro il 17 ottobre 2024. Anche qui la narrativa è cambiata: non si tratta più di “se mi attaccano mi difendo”, ma di “mi organizzo prima, perché gli attacchi sono parte del paesaggio”. ENISA, l’Agenzia dell’UE per la cybersicurezza, nel suo Threat Landscape 2024 evidenzia come tra le minacce principali restino centrali gli attacchi alla disponibilità, il ransomware e le minacce ai dati. È una fotografia sobria ma chiara: la vulnerabilità più comune non è sempre un super-hacker con cappuccio, spesso è una combinazione di fretta, disattenzione, sistemi non aggiornati e filiere digitali troppo complesse per essere controllate “a memoria”. E poi c’è un tema che sembra tecnico finché non ti tocca da vicino: i dati. Viviamo un paradosso: generiamo dati ovunque (auto connesse, smartwatch, elettrodomestici, piattaforme), ma spesso non possiamo accedere davvero a ciò che produciamo; oppure possiamo farlo solo a caro prezzo e con vincoli di formato e portabilità. Il Data Act prova a spostare l’asse e, secondo la Commissione, è applicabile dal 12 settembre 2025.[10] L’idea è rendere più equo il rapporto tra chi genera dati (utenti e imprese) e chi li concentra, e ridurre ostacoli pratici come il “lock-in” nei servizi cloud: cambiare fornitore non dovrebbe assomigliare a un trasloco senza scatoloni, con tutto che si perde lungo la strada. In questo paesaggio arriva anche l’identità digitale europea, una specie di passaporto per muoversi tra servizi senza consegnare ogni volta una fotocopia della propria vita. La Commissione indica che il Regolamento (UE) 2024/1183 – il quadro dell’European Digital Identity – è stato adottato il 20 maggio 2024.[11] Non è solo burocrazia: è la promessa (se ben implementata) di un modo più semplice e sicuro per identificarti, firmare, autenticarti, gestire credenziali e attributi con maggiore controllo. In termini quotidiani, significa poter dimostrare un requisito (per esempio “sono maggiorenne”) senza dover mostrare anche tutto il resto della carta d’identità; significa ridurre frodi e frizioni; significa, potenzialmente, spostare un po’ di potere dall’identità “gestita dalle piattaforme” all’identità “gestita dal cittadino”. Fin qui la mappa. Ma cosa cambia davvero per chi sta “sotto”: piccole realtà, creator, giornalisti, siti indipendenti, micro-imprese, associazioni, professionisti? Cambia la prospettiva: non basta più pubblicare e sperare. In un ambiente regolato, la qualità non è solo stile: è anche processo. E il processo, in digitale, si vede quando qualcosa va storto: una segnalazione, una violazione, una frode, un account rubato, un contenuto manipolato, un commento violento che resta appeso per giorni. La prima parola è trasparenza. Se usi sistemi automatizzati (anche solo per moderazione, raccomandazione, pubblicità o generazione di contenuti), devi sapere cosa stai usando e come dichiararlo in modo comprensibile. Le regole europee, in modo diverso, spingono in questa direzione: il DSA insiste su trasparenza e tracciabilità dei meccanismi che amplificano; l’AI Act introduce obblighi di alfabetizzazione e responsabilità specifiche lungo la filiera, soprattutto quando l’IA incrocia diritti e sicurezza. Tradotto in pratica, per chi fa informazione o gestisce una community, significa saper rispondere a domande concrete: “Perché questo contenuto mi è stato mostrato?”, “Questa promozione è chiaramente riconoscibile?”, “Se segnalo qualcosa, che percorso segue?” La seconda parola è gestione del rischio. “Risk” entra nel lessico quotidiano e smette di essere una parola da multinazionale. È una checklist concreta: quali dati tratto? come li proteggo? quali fornitori digitali uso? se ho un attacco, cosa succede? se pubblico un contenuto segnalato come illegale, ho una procedura chiara? NIS2 e DSA, ciascuno nel suo territorio, rendono queste domande parte della maturità organizzativa. Per un sito editoriale questo può tradursi in aggiornamenti regolari, backup verificati, autenticazione a due fattori, revisione dei plugin, scelta consapevole dei fornitori, e una piccola “cartellina” di emergenza: cosa fare e chi contattare se qualcosa si rompe. La terza parola è responsabilità distribuita. Le norme moderne non cercano un colpevole unico: cercano catene di responsabilità. Chi progetta una piattaforma ha un dovere, chi la usa un altro, chi vende tramite quella piattaforma un altro ancora. Questo vale per la concorrenza (DMA), per i contenuti (DSA), per l’IA (AI Act), per la sicurezza (NIS2), per i dati (Data Act).[5][6][8][10] È un cambio di mentalità: pubblicare online non è più un gesto isolato, è un gesto dentro un ecosistema. E l’ecosistema diventa più esigente perché sa che l’impatto può essere reale: reputazioni distrutte da una falsità, truffe costruite con precisione, campagne di odio amplificate, e danni economici che arrivano in silenzio, come acqua che filtra sotto una porta. La quarta parola, però, è opportunità. Dentro ogni obbligo c’è una leva. Se il web diventa una città con regole più chiare, chi lavora bene può distinguersi. La trasparenza premia chi non vive di trucchetti; la portabilità dei dati può aiutare chi costruisce servizi alternativi; l’interoperabilità può aprire spazi a imprese più piccole; l’identità digitale può ridurre attriti e frodi. Le regole, se implementate con buon senso, possono ridurre il vantaggio competitivo di chi prospera nella nebbia e dare respiro a chi investe in correttezza, qualità e affidabilità. Resta una domanda umana: come evitare che la città digitale diventi un labirinto burocratico dove solo chi ha grandi uffici legali riesce a muoversi? Qui la cultura conta quanto la norma. Le cornici europee avranno senso se si tradurranno in linee guida comprensibili, strumenti proporzionati e controlli orientati all’impatto, non alla caccia al piccolo errore. E avranno senso se, parallelamente, crescerà l’educazione digitale: la capacità di riconoscere disinformazione, capire come funzionano raccomandazione algoritmica e pubblicità, e usare la tecnologia senza esserne usati. Forse la migliore immagine è questa: la rete resta un mare aperto, ma inizia ad avere fari, boe e carte nautiche. Non impediranno le tempeste. Non renderanno tutti buoni. Però possono evitare che la navigazione sia una lotteria dove il più forte detta le correnti e il più fragile affonda in silenzio. E per chi racconta il mondo – giornalisti, editori indipendenti, creator – questa è una sfida e un invito: imparare la nuova segnaletica, per continuare a camminare (e a far camminare gli altri) nella città digitale senza perdere la propria voce.
L’immagine allegata è stata creata con l’Intelligenza Artificiale.
