ARTICOLO / 15 APRILE 2026
C'è un momento in cui una normativa smette di essere un documento tecnico e diventa il segnale di qualcosa di più grande. È quello che sta succedendo con il Data Governance Act e il Data Act, i due regolamenti europei che stanno ridefinendo, con approcci diversi ma complementari, le regole del gioco sui dati.
Non è una questione di compliance, anche se la compliance c'entra. È una questione di posizionamento: chi controlla i dati, a quali condizioni, e chi cattura il valore che quei dati generano lungo la catena economica. L'Unione Europea ha deciso di intervenire su questo terreno con una visione precisa, e le aziende italiane farebbero bene a capirla prima che la scadenza regolamentare le trovi impreparate.
Il Data Governance Act, applicabile da settembre 2023, e il Data Act, che è entrato pienamente in vigore a settembre 2025, sono due fasi consecutive di questo disegno. Il primo crea le condizioni perché la condivisione dei dati sia possibile e sicura. Il secondo interviene più direttamente sui rapporti di forza, ridistribuendo diritti e obblighi tra chi produce i dati e chi li controlla.
Il confronto con il GDPR è inevitabile, ma va tenuto separato. Il GDPR ha definito i confini della protezione dei dati personali. DGA e Data Act parlano d'altro: di chi può accedere ai dati non personali, di macchine, sensori, dispositivi industriali, servizi digitali. Il perimetro è diverso, le implicazioni per le aziende sono altrettanto profonde.
Introduce nuove figure, come i servizi di intermediazione dei dati, soggetti terzi e neutrali che facilitano lo scambio tra chi detiene i dati e chi vuole utilizzarli. Definisce regole per il riutilizzo dei dati pubblici protetti, aprendo archivi finora inaccessibili. E riconosce il modello del data altruism, che consente a cittadini e imprese di mettere volontariamente a disposizione i propri dati per finalità di interesse generale: ricerca scientifica, salute pubblica, risposta a emergenze.
Per le imprese, soprattutto quelle inserite in filiere complesse, questo significa che il dato può smettere di essere solo un vantaggio competitivo da difendere e diventare una risorsa da orchestrare all'interno di ecosistemi collaborativi. Non è un cambiamento banale: richiede prima di tutto una revisione culturale del rapporto con l'informazione.
Per molte aziende questo implica una revisione dei modelli di business. Ciò che era una rendita informativa, il monopolio sui dati generati dai propri prodotti o piattaforme, diventa un asset condiviso. La competizione non scompare, ma si sposta: non vince più chi possiede il dato, ma chi sa trasformarlo in intelligenza, in servizi, in valore concreto per il cliente.
È un cambiamento che apre spazi nuovi, soprattutto per chi finora non aveva accesso ai dati che avrebbe avuto interesse a usare. PMI, operatori di nicchia, fornitori di servizi a valore aggiunto: per tutti questi soggetti il Data Act può rappresentare un accesso a risorse informative prima inaccessibili.
Ci sono poi rischi più concreti e immediati. Senza una governance chiara, aprire l'accesso ai dati, anche parzialmente, anche a partner fidati, può portare all'esposizione involontaria di informazioni sensibili o alla perdita di controllo su asset strategici. I conflitti contrattuali con fornitori cloud che non si adeguano agli obblighi del Data Act sono uno scenario tutt'altro che ipotetico per chi non ha rivisto i propri contratti.
La differenza tra chi governa il cambiamento e chi lo subisce si gioca spesso su questo: non sulla tecnologia disponibile, ma sulla chiarezza delle responsabilità interne, sulla qualità dell'architettura dati e sulla capacità di tradurre le norme in scelte operative concrete.
Non è una questione di compliance, anche se la compliance c'entra. È una questione di posizionamento: chi controlla i dati, a quali condizioni, e chi cattura il valore che quei dati generano lungo la catena economica. L'Unione Europea ha deciso di intervenire su questo terreno con una visione precisa, e le aziende italiane farebbero bene a capirla prima che la scadenza regolamentare le trovi impreparate.
Una strategia, due strumenti
La European Data Strategy del 2020 parte da una constatazione difficile da contestare: i dati sono diventati un asset strategico di primo ordine, ma il loro valore è concentrato in poche mani, quasi sempre al di fuori dei confini europei. L'Europa non ha scelto né la strada della deregolamentazione, che avrebbe favorito i player già dominanti, né quella del controllo centralizzato. Ha scelto una terza via: costruire un ecosistema fondato su fiducia, interoperabilità e regole comuni.Il Data Governance Act, applicabile da settembre 2023, e il Data Act, che è entrato pienamente in vigore a settembre 2025, sono due fasi consecutive di questo disegno. Il primo crea le condizioni perché la condivisione dei dati sia possibile e sicura. Il secondo interviene più direttamente sui rapporti di forza, ridistribuendo diritti e obblighi tra chi produce i dati e chi li controlla.
Il confronto con il GDPR è inevitabile, ma va tenuto separato. Il GDPR ha definito i confini della protezione dei dati personali. DGA e Data Act parlano d'altro: di chi può accedere ai dati non personali, di macchine, sensori, dispositivi industriali, servizi digitali. Il perimetro è diverso, le implicazioni per le aziende sono altrettanto profonde.
Il problema delle infrastrutture
C'è un aspetto di queste normative che tende a essere sottovalutato nel dibattito pubblico: DGA e Data Act non parlano solo di dati in astratto, parlano di dove quei dati risiedono e di come vengono gestiti. Parlano, in altre parole, di infrastrutture.
Per anni molte aziende italiane hanno gestito i dati come un sottoprodotto dell'infrastruttura IT: server, storage e applicazioni progettati per garantire continuità operativa, non per abilitare condivisione o accesso selettivo. Funzionava, o almeno non creava problemi evidenti. Con il nuovo quadro normativo, quel modello non è più sufficiente.
Nel private data center il tema che emerge è quello della governance del dato: sapere dove risiedono le informazioni, chi le genera, chi può accedervi e con quali regole. Le architetture chiuse o fortemente customizzate, che hanno dominato per anni, mal si conciliano con i principi di interoperabilità e apertura API su cui si fondano i nuovi regolamenti.
Sul fronte cloud pubblico il cambiamento è ancora più marcato. Il Data Act affronta direttamente il tema del lock-in tecnologico, introducendo obblighi di portabilità dei dati e delle applicazioni, e imponendo trasparenza sui costi di migrazione e uscita. Il cloud smette così di essere una scelta puramente tecnica o economica e diventa una scelta regolata, da valutare anche in termini di diritti sui dati e scenari di switching. Chi ha firmato contratti senza ragionare su questi aspetti potrebbe trovarsi in posizioni scomode.
Il Data Governance Act: la fiducia come infrastruttura
Il DGA non obbliga nessuno a condividere i propri dati. Questo è un punto importante da chiarire subito, perché spesso genera confusione. Quello che fa è più sottile: costruisce le condizioni perché la condivisione diventi possibile, conveniente e sicura.Introduce nuove figure, come i servizi di intermediazione dei dati, soggetti terzi e neutrali che facilitano lo scambio tra chi detiene i dati e chi vuole utilizzarli. Definisce regole per il riutilizzo dei dati pubblici protetti, aprendo archivi finora inaccessibili. E riconosce il modello del data altruism, che consente a cittadini e imprese di mettere volontariamente a disposizione i propri dati per finalità di interesse generale: ricerca scientifica, salute pubblica, risposta a emergenze.
Per le imprese, soprattutto quelle inserite in filiere complesse, questo significa che il dato può smettere di essere solo un vantaggio competitivo da difendere e diventare una risorsa da orchestrare all'interno di ecosistemi collaborativi. Non è un cambiamento banale: richiede prima di tutto una revisione culturale del rapporto con l'informazione.
Il Data Act: il dato come diritto (e come responsabilità)
Se il DGA prepara il terreno, il Data Act scende sul campo. Interviene direttamente sui rapporti di forza: i dati generati da macchine, sensori, dispositivi IoT e servizi digitali non sono più automaticamente nella disponibilità esclusiva di chi ha prodotto il device o fornito il servizio. L'utente, consumatore o impresa, acquisisce diritti di accesso, utilizzo e condivisione.Per molte aziende questo implica una revisione dei modelli di business. Ciò che era una rendita informativa, il monopolio sui dati generati dai propri prodotti o piattaforme, diventa un asset condiviso. La competizione non scompare, ma si sposta: non vince più chi possiede il dato, ma chi sa trasformarlo in intelligenza, in servizi, in valore concreto per il cliente.
È un cambiamento che apre spazi nuovi, soprattutto per chi finora non aveva accesso ai dati che avrebbe avuto interesse a usare. PMI, operatori di nicchia, fornitori di servizi a valore aggiunto: per tutti questi soggetti il Data Act può rappresentare un accesso a risorse informative prima inaccessibili.
Cosa significa per le aziende italiane
Il tessuto imprenditoriale italiano ha caratteristiche che rendono questo scenario particolarmente interessante, e al tempo stesso particolarmente delicato. Le filiere industriali, i distretti, il peso delle PMI manifatturiere: sono tutti contesti in cui i dati vengono prodotti in grandi quantità ma raramente valorizzati sistematicamente. Un'azienda metalmeccanica con macchine connesse genera dati ogni giorno; nella maggior parte dei casi, quei dati vengono ignorati, o peggio, rimangono nella disponibilità esclusiva del fornitore della macchina.Il Data Act cambia questa logica. Ma cogliere l'opportunità non è automatico: richiede consapevolezza, architetture adeguate e, in molti casi, una revisione dei contratti con i fornitori tecnologici. Le aziende che iniziano a lavorarci oggi avranno un vantaggio su chi aspetterà la scadenza per fare il minimo indispensabile.
Il livello di maturità in Italia è ancora disomogeneo. Le grandi organizzazioni e i settori regolati si sono già mossi, con programmi strutturati di data governance e cloud strategy. Molte PMI, invece, percepiscono ancora queste normative come distanti o troppo complesse da gestire. Il punto critico non è però la dimensione aziendale, ma la consapevolezza strategica: capire che il dato non è più solo un output dei sistemi IT, ma un asset regolato, condivisibile e, se gestito bene, monetizzabile.
Il livello di maturità in Italia è ancora disomogeneo. Le grandi organizzazioni e i settori regolati si sono già mossi, con programmi strutturati di data governance e cloud strategy. Molte PMI, invece, percepiscono ancora queste normative come distanti o troppo complesse da gestire. Il punto critico non è però la dimensione aziendale, ma la consapevolezza strategica: capire che il dato non è più solo un output dei sistemi IT, ma un asset regolato, condivisibile e, se gestito bene, monetizzabile.
I rischi di chi si muove in ritardo
Il rischio principale non è la sanzione, anche se le sanzioni esistono. Il rischio principale è affrontare DGA e Data Act come un esercizio difensivo, cercando di fare il minimo per essere conformi senza cogliere l'opportunità sottostante. Questo approccio produce soluzioni frammentate, costi infrastrutturali non pianificati e, alla lunga, una posizione competitiva più debole.Ci sono poi rischi più concreti e immediati. Senza una governance chiara, aprire l'accesso ai dati, anche parzialmente, anche a partner fidati, può portare all'esposizione involontaria di informazioni sensibili o alla perdita di controllo su asset strategici. I conflitti contrattuali con fornitori cloud che non si adeguano agli obblighi del Data Act sono uno scenario tutt'altro che ipotetico per chi non ha rivisto i propri contratti.
La differenza tra chi governa il cambiamento e chi lo subisce si gioca spesso su questo: non sulla tecnologia disponibile, ma sulla chiarezza delle responsabilità interne, sulla qualità dell'architettura dati e sulla capacità di tradurre le norme in scelte operative concrete.
Infrastrutture, dati, strategia: tre cose che non si possono più tenere separate
Il Data Governance Act e il Data Act non sono semplicemente nuove regole da rispettare. Sono il segnale di una trasformazione strutturale: il passaggio da un IT centrato sull'infrastruttura a un IT centrato sul dato. Private data center, cloud pubblico, ambienti ibridi: nessuna di queste scelte può più essere fatta in modo puramente tecnico o economico, senza ragionare su diritti, obblighi e posizionamento strategico.
Per le aziende italiane la sfida è aperta. Chi saprà leggere questo momento come un'opportunità, e non solo come un vincolo normativo da gestire, ha la possibilità di costruire un vantaggio duraturo nel nuovo ecosistema europeo dei dati. Ma il tempo per farlo con calma e intenzione si sta riducendo.
Autore: Matteo Pontremoli, Head of IT Consulting, Var Group