Con il Digital Omnibus l’Ue in ginocchio dal re

/0 Commenti/in , , , , , , , , , , , /da

Varato dalla Commissione a novembre, il quadro regolatorio dell’Unione su Ai e gestione dei dati è una resa a Trump. Si chiama Digital Omnibus e proclama il dominio delle Big tech americane nell’ecosistema digitale europeo. E’ una lezione fondamentale: la regolazione senza proprietà è scritta sulla sabbia.

E’ dell’agosto 2025 l’annuncio dell’intesa sui dazi raggiunta tra Ursula von der Leyen e Donald Trump. Nell’apparente successo proclamato per il via libera ai prodotti europei, scarsa evidenza è stata data alla contropartita pagata: la piena sottomissione della sovranità digitale europea alle esigenze delle aziende tecnologiche statunitensi. Seppure con limiti e possibilità di aggiramento, le regole europee sul digitale erano in grado di porre una qualche azione di freno e controllo per le aziende americane e il riequilibrio verso le esigenze delle Big tech è stata la pesante contropartita pagata, condizione necessaria per evitare dazi, accuse di pratiche commerciali sleali e sanzioni mirate. Ed ecco che tre mesi dopo l’intesa di agosto, nel novembre 2025, viene presentato dalla Commissione Europea il Digital Omnibus, pacchetto di proposte di modifiche complessive sull’intero quadro legislativo riguardanti i dati, la loro gestione, la privacy e l’Intelligenza Artificiale.  Il Digital Omnibus riguarda il General Data Protection Regulation (GDPR), l’AI Act, il Data Act e la direttiva ePrivacy. Definito come necessario per la semplificazione e riduzione della burocrazia per le imprese europee è la traduzione in forma normativa della capitolazione effettuata dalla Commissione ai ricatti dei dazi alle merci europee imposti dall’amministrazione Trump.

La capitolazione delle regole  

Il Digital Omnibus rappresenta la profonda revisione all’indietro di quelli che erano definiti i pilastri della legislazione digitale europea: il GDPR, l’AI Act e il Data Act. Nelle impostazioni originarie l’insieme delle tre norme tendeva a costruire in Europa un ecosistema digitale coerente, fondato sulla centralità della persona e non sulla mercificazione dei suoi dati. In maggior dettaglio, il GDPR (General Data Protection Regulation) nasce con lo scopo di armonizzare le norme su dati e privacy in Europa, garantendo ai cittadini il controllo sui propri dati personali e imponendo obblighi rigorosi a chi li tratta, con sanzioni fino al 4% del fatturato globale. L’AI Act, Regolamento sull’Intelligenza Artificiale, nasce per disciplinare lo sviluppo e l’uso dell’IA in base al rischio: più un sistema è rischioso per diritti e sicurezza, più severi sono gli obblighi per chi lo sviluppa o lo utilizza, con forti divieti per pratiche inaccettabili come il punteggio di affidabilità sociale (social scoring). Scopo del Data Act,  Regolamento sui Dati, infine, era stabilire regole eque per l’accesso e l’utilizzo dei dati generati da prodotti e servizi, facilitando la loro condivisione bilanciata tra imprese, cittadini e settore pubblico per stimolare l’innovazione.

Il Digital Omnibus ora toglie il freno alle volontà delle imprese tecnologiche. Si assiste ad un profondo  riposizionamento dell’equilibrio tra diritti individuali e interessi delle imprese, con un significativo spostamento della lancetta indicatrice verso queste ultime. Dichiarando di rimuovere gli ostacoli all’innovazione, in particolare nello sviluppo dell’IA, viene sostanzialmente ristretto il perimetro dei dati personali protetti, ampliate le basi giuridiche per l’utilizzo dei dati, limitati i diritti di accesso e controllo dei cittadini e ridotti gli obblighi di trasparenza in caso di violazioni. Per quanto riguarda l’Intelligenza Artificiale, l’applicazione delle norme di controllo per i sistemi ad alto rischio slitta fino al dicembre 2027. La registrazione pubblica per i sistemi autovalutati dalle aziende produttrici come a rischio non alto viene eliminata. Con questo sparisce la trasparenza, e con essa la possibilità per i cittadini e la società civile di sapere quali sistemi di IA operano in Europa. L’obbligo di alfabetizzazione sull’IA per i fornitori e gli utilizzatori dei sistemi viene abbattuto, trasformato in incoraggiamento all’alfabetizzazione, rivolto alla Commissione e agli Stati europei. Le normative che proteggono la riservatezza delle comunicazioni elettroniche e disciplinano l’uso di cookie e delle tecnologie di tracciamento (e-Privacy) vengono modificate con importanti esenzioni e trasferite al GDPR. Non serve più il consenso per la sicurezza, per la trasmissione di comunicazioni e per la valutazione dell’audience da parte dell’editore. Azioni di consenso a cookies e sistemi di tracciamento vengono automatizzati, integrandoli in forma passiva (e quindi non esplicitamente visibile) in browser e sistemi operativi. L’effetto pratico è la passivizzazione dell’utente verso le impostazioni predefinite delle applicazioni utilizzate. Le modifiche introdotte al Data Act, infine, riducono gli obblighi delle imprese nella condivisione dei dati, rafforzano la protezione dei segreti commerciali anche a scapito della sovranità europea, e sostituiscono con standard volontari quelli che prima erano requisiti vincolanti dal punto di vista legale. L’accesso delle istituzioni pubbliche ai dati privati viene drasticamente ridimensionato, limitandolo alle sole emergenze. Il risultato complessivo è un indebolimento della capacità  di utilizzare i dati per fini collettivi e sociali, con un rafforzamento del controllo privato sull’informazione.

Con 314 milioni e lo sguardo rivolto a destra

Dunque,ha avuto successo il più imponente sforzo di lobbying, spalleggiato dalla presidenza USA, mai realizzato dalle Big tech in Europa. Secondo l’analisi di Corporate Europe Observatory (CEO)  le aziende tecnologiche statunitensi nel 2025 hanno investito per azioni di lobbying 151 milioni di euro nell’Unione Europea, con un aumento del 33,6% in due anni. L’analisi dei documenti è impietosa, e i risultati sono ottimi per le aziende. Le richieste di Google e delle altre Big tech si ritrovano testualmente nei position paper dei governi e da lì nella proposta della Commissione. La formula “sforzo sproporzionato per limitare il diritto di accesso” era nei documenti di Google, la restrizione della definizione di dato personale era nelle richieste di Microsoft, Bitkom e DigitalEurope. Non basta, c’è un altro elemento che merita attenzione: il corteggiamento sistematico dei gruppi sovranisti e di destra al Parlamento Europeo. Secondo il New York Times, Meta ha incontrato deputati di estrema destra 38 volte in questo mandato, contro una sola nel precedente. Nella settimana dell’8 dicembre 2025, Meta avrebbe incontrato quattro deputati di estrema destra, con un focus specifico sul Digital Omnibus. Una alleanza chiara tra i sovranisti che vogliono meno Europa e le Big tech che vogliono meno regole. Insieme, lavorano per costruire maggioranze alternative per approvare la deregolamentazione. Il primo Omnibus sulla sostenibilità aziendale è già passato con i voti di PPE ed estrema destra. Ora si prepara lo stesso scenario per il digitale. Drammaticamente, l’agenda di deregolamentazione ordinata da Trump e portata avanti dalla Commissione non sta solamente aprendo la porta alle Big tech, ma sta legittimando e incorporando  l’estrema destra nel quadro decisionale europeo.

Il mito della regolazione

Da anni sentiamo ripetere che l’Europa deve perseguire la propria autonomia strategica: ridurre le dipendenze, costruire infrastrutture sovrane, sviluppare tecnologie europee. EuroStack, il piano di Francesca Bria presentato al Parlamento Europeo nel settembre 2024, descrive un fabbisogno di 300 miliardi di euro in dieci anni per cloud, chip, IA europei. Il rapporto Draghi sulla competitività invoca una politica industriale digitale ambiziosa. La stessa von der Leyen mai si astiene mai dal parlare di sovranità tecnologica.

E tuttavia, al primo vero banco di prova, di fronte a una minaccia commerciale, l’Europa non prova nemmeno a resistere, negoziare, mediare. Capitola e si inginocchia al cospetto di re Trump, regalando alle Big tech USA la possibilità di continuare ad operare in piena libertà in assenza di quei vincoli europei che fino a poche ore prima venivano proclamati come lo standard di riferimento mondiale.

“Regolamentazione” è stata la parola chiave. Per anni l’Europa ha creduto che bastasse regolamentare per ricondurre le Big tech a ragione. GDPR, AI Act, Data Act sono state dichiarate essere leggi fondamentali per riequilibrare il rapporto con i giganti digitali. La forza del mercato unico, 450 milioni di consumatori, avrebbe dovuto essere sufficiente a imporre le regole europee al mondo. Il presupposto appariva logico (e fallaciemente) inattaccabile: se vuoi accedere al mercato europeo, devi rispettare le regole europee. Un castello costruito sulla sabbia. La verità è un’altra: se non hai le tue infrastrutture da utilizzare, la regolazione alla lunga diventa illusione. Puoi mettere tutti i paletti e gli indicatori che ritieni utili, ma se la strada che percorri è di proprietà altrui, chi la possiede ne decide percorsi e pedaggi. E con il ricatto dei percorsi bloccati e dei pedaggi inaccessibili prima o poi devi scendere a patti con il padrone delle infrastrutture che usi. Esattamente ciò che è avvenuto con il Digital Omnibus. Di fronte alla minaccia di dazi, l’Europa ha aperto il cantiere delle sue stesse regole, emendandole punto per punto secondo le richieste delle Big tech.

Nella troppo presente illusione regolatoria, un aspetto paradigmatico riguarda il rapporto tra individuo e tecnologia: il diritto all’oblio. Il GDPR sancisce il diritto alla cancellazione dei propri dati: sulla carta, uno strumento potentissimo. Ma cosa succede quando quei dati sono stati utilizzati per addestrare un modello di IA? Cosa significa cancellare dati da un modello che ha incorporato le loro tracce in miliardi di parametri, in una rete neurale incomprensibile persino ai suoi creatori? La risposta è semplicissima: negli attuali modelli di IA il completo espianto dei dati non è possibile. Non esiste ancora oggi un modo affidabile per disimparare (machine unlearning) dati specifici da un modello di IA già addestrato senza ricostruirlo da zero. I dati, una volta che hanno contribuito a formare il modello, rimangono incorporati, indelebili.

Il Digital Omnibus, lungi dall’affrontare problemi come questo, li aggrava. Riconoscendo il legittimo interesse aziendale come base giuridica per l’addestramento dei sistemi di IA rende strutturale e permanente l’incorporazione dei dati europei nei modelli statunitensi. Una volta che i dati sono incorporati nel prossimo modello OpenAI GPT, Google Gemini o altro ancora, non potrai mai più averli indietro. L’espianto è pressoché impossibile. C’è di più. Modificando la definizione di dato personale, il Digital Omnibus introduce un ulteriore livello di impotenza. Se un’azienda dimostra di non avere i mezzi per identificare un individuo a partire dai dati pseudonimizzati in suo possesso, questi possono essere considerati non personali. Escono dal perimetro di tutela. Grandi quantità di dati europei – usati per addestrare IA, analisi predittive, profilazione aggregata, possono smettere di essere considerati personali e quindi non essere più soggetti ad accesso, rettifica o cancellazione. Il paradosso è totale: più i dati vengono aggregati e trasformati, più diventano “utili” per l’IA, meno sono protetti. I cittadini europei si ritrovano con i propri dati incorporati permanentemente in infrastrutture su cui non hanno alcun controllo.

Una asimmetria fondativa

Esiste una asimmetria strutturale che rende la regolazione europea quantomeno poco efficace. I dati sono fluidi, globali, replicabili, istantanei. Le regole sono territoriali, lente, difficili da applicare oltre i confini. Le infrastrutture (data center, cavi, piattaforme, modelli) sono di proprietà di aziende extra-europee, che rispondono ad ordinamenti (e interessi) extraeuropei. In questa asimmetria, la regolazione agisce come una diga su un fiume in piena, arginando temporaneamente le acque fino a quando la diga cede, crollando. Di fronte al potere smisurato delle aziende tecnologiche la regolamentazione non è in grado di agire da argine stabile, fallisce. Pressioni commerciali e minacce lobbistiche hanno fatto cedere la barriera regolamentatoria, portando via le residue possibilità di controllo sui nostri dati. I diritti digitali senza infrastrutture proprie sono puro enunciato, di fatto carta straccia. Il diritto alla cancellazione senza la costruzione di una possibilità tecnica di espianto è una finzione giuridica.

La sovranità digitale senza proprietà pubblica delle tecnologie sottostanti è un ossimoro. Finché i dati europei fluiranno verso data center statunitensi, finché i modelli di IA si addestreranno su server americani, finché le piattaforme del dibattito pubblico resteranno proprietà di multinazionali californiane, ogni diritto sancito dalle leggi europee sarà  condizionato, revocabile, negoziabile. Perché chi controlla le infrastrutture controlla la possibilità stessa di applicare le regole. E chi controlla i dati, una volta che sono stati incorporati nei modelli, li controllerà per sempre.

Il Digital Omnibus è stato presentato come un aiuto alle imprese europee per ridurre gli oneri burocratici. Ma chi ne beneficia davvero? Le start-up europee non hanno data center, modelli di IA, piattaforme globali per sfruttare la deregolamentazione. I veri beneficiari sono Google, Meta, Amazon, Microsoft, OpenAI, Oracle e così via, gli altri giganti USA noti e meno noti. Quelle stesse aziende che hanno speso centinaia di milioni in lobbying per ottenere questo risultato.

E c’e’ un aspetto ancora più profondo di cui poco si discute, che riguarda il cuore stesso della democrazia: le istituzioni pubbliche europee sono esse stesse intrappolate nella dipendenza dalle Big tech USA.

Nella tela del ragno

Gran parte delle pubbliche amministrazioni europee – dai Comuni alle Regioni, dai ministeri alle agenzie nazionali – opera su infrastrutture di proprietà di aziende americane. I dati dei cittadini, i fascicoli sanitari, le pratiche fiscali, le comunicazioni istituzionali risiedono su server non europei, Amazon AWS, Microsoft Azure o Google Cloud. Non per scelta ideologica, ma per mancanza di alternative europee con dimensioni di scala adeguate e competitive. La stessa Commissione Europea utilizza massicciamente software e servizi di aziende USA. Microsoft 365 è la piattaforma standard per le comunicazioni interne, Microsoft Teams è lo strumento per le riunioni, Microsoft Azure ospita numerosi servizi comunitari. Questo significa che le email dei commissari, i documenti preparatori delle direttive, le comunicazioni diplomatiche risiedono su server soggetti al Cloud Act americano, una norma che consente alle autorità USA di accedere ai dati in essi custoditi qualora lo ritengano opportuno.

Il problema si estende al sistema educativo. Le scuole italiane, francesi, tedesche utilizzano in larga maggioranza Google G-Suite for Education o Microsoft 365 for Education. I ragazzi imparano a scrivere su Word, a fare presentazioni su PowerPoint, a collaborare su Teams, a conservare i loro elaborati sul cloud di Google o Microsoft. I dati degli studenti – incluse informazioni sensibili su apprendimento, valutazioni, bisogni speciali – finiscono così nei data center di aziende extra-europee. Le università pubbliche, centri di ricerca finanziati con denaro pubblico, stipulano convenzioni con Google e Microsoft per la posta elettronica degli studenti, per gli spazi di archiviazione, per gli strumenti di collaborazione scientifica. I risultati delle ricerche vengono elaborati e conservati su piattaforme che nulla hanno a che fare con l’Europa.

Grave è la situazione nel settore sanitario, nel quale sempre più ospedali pubblici europei adottano cartelle cliniche elettroniche ospitate su cloud USA, sistemi di prenotazione basati su piattaforme americane, strumenti di telemedicina che passano per server oltreoceano. I dati sanitari – la categoria teoricamente più protetta dalla normativa europea – diventano così di fatto accessibili a giurisdizioni straniere. Se durante la pandemia l’emergenza ha accelerato la digitalizzazione senza che si ponesse il problema della sovranità delle infrastrutture, ora la dipendenza è strutturale e difficilmente reversibile. Persino le forze dell’ordine e le agenzie di sicurezza, in molti paesi europei, utilizzano software e servizi di aziende USA. Piattaforme di analisi dei dati, strumenti di riconoscimento facciale, sistemi di gestione delle indagini sono spesso forniti da aziende come Palantir, Amazon Rekognition, Microsoft. La conseguenza è che indagini su criminalità organizzata, terrorismo, reati informatici dipendono da infrastrutture su cui l’Europa non ha alcun controllo. Un paradosso totale: si discute di sovranità digitale e autonomia strategica, mentre le istituzioni che dovrebbero incarnare e difendere quella stessa sovranità sono esse stesse profondamente integrate ed irretite nell’ecosistema tecnologico statunitense.

Una dipendenza strutturale che rende la regolazione inevitabilmente fragile: se il regolatore dipende, per il proprio funzionamento quotidiano, dalle stesse aziende che dovrebbe regolare, si apre un conflitto di interessi strutturale e insanabile. Come può un funzionario della Commissione Europea applicare norme di limitazione rigorosa a Microsoft, se l’intera infrastruttura di posta elettronica della Commissione poggia su Exchange Online? Come può un dirigente scolastico valutare alternative open source per la sua scuola, se l’intero sistema formativo è ormai integrato con Google Classroom? Come può un primario ospedaliero opporsi all’uso di un software di cartella clinica americano, se non esiste un’alternativa europea certificata e interoperabile? Questo è il vero tallone d’Achille della strategia digitale europea. Non importa quanto severe possano essere le leggi: se chi deve applicarle è strutturalmente dipendente da chi dovrebbe essere regolato, la regolazione sarà sempre accomodante,  negoziata,  rinviata.

Il costo della dipendenza

Tutto questo riguarda anche, e non in maniera secondaria, un aspetto economico spesso trascurato. Le pubbliche amministrazioni europee pagano ogni anno miliardi di euro in licenze a Microsoft, Google, Amazon. Sono soldi dei contribuenti che escono dall’Europa per finanziare la ricerca e lo sviluppo di aziende americane, che poi usano quei profitti per sviluppare tecnologie ancora più avanzate, aumentando ulteriormente il divario competitivo. Se quegli stessi miliardi fossero invece investiti in software europei e open source, in servizi di assistenza e sviluppo di aziende europee, in infrastrutture pubbliche digitali europee, avremmo un doppio effetto positivo: da un lato, i soldi resterebbero in Europa, alimentando un ecosistema di piccole e medie imprese innovative; dall’altro, si creerebbe una base tecnologica comune, interoperabile, trasparente, su cui costruire parte essenziale di una reale sovranità digitale.

La dipendenza attuale non è né naturale, né una inevitabile conseguenza dello sviluppo tecnologico. È frutto di decenni di scelte politiche che hanno privilegiato l’apparente utilità immediata fornita dalle Big tech, a spese del doveroso ruolo di governo degli strumenti in uso che qualunque funzione pubblica dovrebbe mantenere.

In un quadro che da decenni vede il ruolo pubblico come sussidiario alle imprese private, gli appalti nel digitale sono stati scritti su misura per i grandi fornitori internazionali, le gare cucite sulle caratteristiche dei software proprietari, a scapito dell’adozione di formati aperti ed intellegibili, da adattare formando lavoratori tecnologici altamente qualificati. Politici e dirigenti pubblici hanno scelto in massa (e stanno ancora in grandissima parte scegliendo) la soluzione più facile e comoda, invece di quella strategicamente più lungimirante. Il Digital Omnibus legittima e approfondisce questo indirizzo: riduce gli obblighi di trasparenza, allenta le norme sulla privacy, posticipa l’applicazione dell’AI Act. In poche parole proclama il dominio delle Big tech americane nell’ecosistema digitale europeo. 

L’Europa, mentre proclama solennemente la sua autonomia strategica permette alle Big tech USA di operare senza vincoli e garantisce loro il redditizio mercato delle proprie istituzioni pubbliche. Le scuole europee sono diventate banchi di prova e vetrine di presentazione per i prodotti Google e Microsoft. Gli ospedali europei forniscono dati sanitari per addestrare modelli di IA americani (e non solo). Le università europee formano i loro studenti all’uso di software proprietario USA, creando una dipendenza che durerà per tutta la loro vita professionale. Le amministrazioni pubbliche europee pagano profumatamente per licenze che finanziano i concorrenti delle nostre start-up.  

Così, mentre l’Europa si inginocchia, il re d’Oltreoceano sorride. Perché senza infrastrutture proprie, senza capacità decisionale pubblica, senza una vera autonomia, la sovranità digitale è solo una parola vuota. Come parola vuota rimane la regolazione. Parole da inserire in bei discorsi per orecchie inesperte, privi di qualsiasi consistenza fattuale.

La lezione che deve essere appresa

La vicenda del Digital Omnibus consegna una lezione forte, da scolpire nella pietra: la regolazione senza proprietà è fragile. Le possibili migliori leggi del mondo sul digitale, in assenza del controllo delle infrastrutture, del possesso delle tecnologie, insomma dell’intero stack tecnologico hardware e software, in assenza di una capacità autonoma di sviluppo, prima o poi saranno soggette ad attacco, e la condizione di subalternità strutturale farà si che l’attacco abbia successo, rendendo vuoti gli enunciati in esse prescritti. Perché la dipendenza è una gabbia, e difficilmente chi sta nella gabbia è in grado di dettare  condizioni.

Come sviluppato nel report Eurostack l’autonomia strategica digitale si costruisce implementando tecnologie proprie, in tutti gli ambiti hardware e software sensibili delle tecnologie digitali. E questo si fa con investimenti pubblici diretti, con proprietà pubblica delle infrastrutture critiche, con capacità decisionale dello Stato sulla direzione da imprimere allo sviluppo tecnologico. In questo senso la concreta esperienza dei  partenariati pubblico-privato, che sono stati la modalità prevalente di attuazione delle attività sostenute dalla Comunità Europea, si è mostrata del tutto non adeguata, legata al vizio d’origine in cui il pubblico mette i fondi e il privato stabilisce le condizioni e gli indirizzi, trattenendo infine guadagni e proprietà intellettuale. Uno schema in cui la sovranità digitale europea resterebbe facilmente un guscio vuoto, una bella bandiera sventolata su infrastrutture che sfuggono al controllo pubblico già al momento della costruzione. Per uscire dalla subalternità che il Digital Omnibus ha tragicamente certificato, serve uno Stato che sia imprenditore in prima persona, che non delega, ma assume la responsabilità diretta di sviluppare le tecnologie critiche – il cloud pubblico europeo, i chip per l’IA, la costellazione satellitare, i modelli di linguaggio aperti. Uno Stato che entri nel capitale delle società strategiche, che sieda con ruolo decisionale nel luoghi dove si decide quali architetture sviluppare e con quali priorità. Uno Stato che, se necessario, guidi ricerca e produzione anche attraverso proprie agenzie e imprese pubbliche. Solo così l’interesse pubblico torna al centro della costruzione europea. I privati, start-up innovative, piccole e medie imprese, centri di ricerca, diventano alleati preziosi e fondamentali, fornitori di competenze e innovazione, ma non padroni delle infrastrutture su cui si reggerà la nostra democrazia digitale. La differenza è sostanziale: da una parte, aziende che usano fondi pubblici per consolidare il proprio potere di mercato (come troppo spesso abbiamo visto), dall’altra uno Stato che usa le risorse collettive per costruire beni comuni, li possiede e li governa nell’interesse di tutti i cittadini europei.

Finché l’Europa continuerà a pensare che basti regolamentare, si troverà, ogni volta che il vento da Oltreoceano si fa forte, in ginocchio al cospetto del re. In cambio, forse, di qualche mese di tregua sui dazi dell’acciaio.

Franco Padella

27/2/2026 https://sbilanciamoci.info/

Potrebbero interessarti
Stati Uniti: soggetti e strategie di lotta nel mondo del lavoro
Hpv. “Un” vaccino problematico, fuori dalle facili polemiche
Puro Orwell: l’Europa condanna l’Iran per gli attacchi sul suo territorio!
La libertà di Ilaria Salis riguarda la nostra democrazia
Legge 68: vent’anni di abbandono
#25M, Maltrattati per i Trattati. Tutta colpa del formaggio
0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *