Author: Alice Travaglin
Committee: Banking, insurance and financial Authorities
Date: 19/03/2026
1. Regolamentazione e innovazione: falsi nemici; 2. Rivoluzione ed evoluzione: i dati; 3. Regolazione dell’IA e controllo dei dati: una sfida per la legalità finanziaria europea; 4. Sicurezza dei dati, cloud e infrastrutture critiche; 5. L’aspetto hardware: il problema dei semiconduttori e il concetto di de-risking; 6. Il ruolo della Procura europea nella governance digitale e nella tutela dell’interesse finanziario dell’Unione.
1. Regolamentazione e innovazione: falsi nemici
Nel dibattito pubblico europeo, il rapporto tra innovazione tecnologica e regolamentazione giuridica viene spesso rappresentato come un gioco a somma zero: più norme significherebbero meno innovazione, mentre più mercati liberi sarebbero l’ambiente ideale per l’innovazione.
Ma questa visione è semplicistica e imprecisa.
L’esperienza europea insegna infatti che la regolamentazione può avere un ruolo abilitante, favorendo fiducia, certezza del diritto e condizioni di mercato eque, soprattutto in quei settori ad elevata intensità tecnologica e con forte impatto sui diritti fondamentali.
L’Unione europea è sempre di più una global regulator, con valori di dignità umana, protezione dei dati, trasparenza, accountability e capacità di diffusione extraterritoriale, realizzando il cosiddetto Brussels Effect. Dal GDPR all’AI Act la regolamentazione europea si proietta dunque oltre i confini dell’Unione, diventando standard di riferimento globale.
2. Rivoluzione ed evoluzione: i dati
La regolamentazione dell’innovazione, senza inibire la stessa, non solo è quindi possibile, ma anche necessaria. Perchè? Ogni innovazione, come proposto dalla teoria di Schumpeter, è una distruzione creatrice, cioè “un processo di mutazione industriale che rivoluziona incessantemente la struttura economica dall’interno, distruggendo senza sosta quella vecchia e creando sempre una nuova” che nella storia dell’uomo si è presentata ciclicamente in diverse ondate.
L’innovazione è dunque il campanello d’allarme che ci deve far rendere conto di un cambiamento, il quale sta avvenendo inevitabilmente e che dobbiamo imparare a comprendere e utilizzare nella sua fase di diffusione ed espansione per non esserne semplici ricettori passivi, prima che raggiunga una fase di maturità in cui la crescita tende a stabilizzarsi. Bisogna “cavalcare l’onda”.
Nella storia sono molteplici gli esempi che possono essere messi in luce.
Lo sfruttamento del petrolio è stato un’invenzione che ha cambiato il mondo: ha alimentato la rivoluzione industriale, ridisegnato le catene del valore ed è stato al centro, per oltre un secolo, degli equilibri geopolitici mondiali.
Allo stesso modo, l’applicazione tecnica dell’elettricità è stata una scoperta rivoluzionaria e fondamentalmente abilitante, senza la quale non si sarebbero sviluppate le moderne economie industriali e i sistemi produttivi complessi. Entrambi sono diventati strumenti di potere, in grado di influenzare e condizionare, a diversi livelli, le dinamiche economiche, politiche e strategiche di tutto il mondo.
Oggi stiamo vivendo la nascita e la crescita di un nuovo asset strategico di potere: i dati.
A differenza del petrolio o dell’elettricità, i dati, tuttavia, sono sostanzialmente e notevolmente diversi : sono duplicabili, possono essere spostati molto facilmente da un paese all’altro e, al contempo, sono portatori di un valore economico, informativo e strategico elevatissimo. Non si consumano se li si utilizza, anzi, più vengono utilizzati, più producono valore attraverso l’elaborazione, la combinazione, la comparazione e l’analisi, soprattutto tramite sistemi di intelligenza artificiale.
E questa loro natura immateriale li rende una fonte di potere inesauribile, dunque generatrice, ma anche potenzialmente negativa, capace di condizionare i mercati, di orientare scelte economiche, decisioni democratiche e il modo in cui si sviluppano le società.
Ed è proprio questa specificità che rende la governance dei dati una questione centrale di sovranità digitale, sicurezza economica e tutela di interesse pubblico per l’Unione europea.
3. Regolazione dell’IA e controllo dei dati: una sfida per la legalità finanziaria europea
L’intelligenza artificiale, e in particolare la Generative AI, permette di convertire in business e valore economico miliardi di dati. Tuttavia, questa capacità pone questioni giuridiche inedite, soprattutto per quanto riguarda i diritti sui dati di training e sugli output generati.
Le differenze di approccio tra Unione Europea e Stati Uniti in tale ambito sono molto rilevanti: mentre negli Usa l’impiego di contenuti protetti per l’addestramento di modellli di AI è visto principalmente come fair use e affrontato in chiave di responsabilità ex post per non soffocare la libera espansiona innovativa, in Europa si è scelta una strada più ordinata, basata su eccezioni tipizzate dal diritto d’autore per il text and data mining e, tramite l’AI Act, sulla distinzione tra pratiche vietate, sistemi ad alto rischio e obblighi di trasparenza e controllo.
Non a caso, la strategia regolamentare dell’UE ha irritato sempre di più gli Stati Uniti: in particolare, il Digital Services Act è spesso dipinto sul fronte politico americano come una legge censoria e di sbarramento della libertà personale.
Allo stesso modo, il Digital Markets Act viene talvolta dipinto come una sorta di “european tax” sui big digitali che colpisce i gruppi statunitensi leader del mercato in modo asimmetrico. In realtà, il DMA non è una tassa ma intende prevenire, ex ante, eventuali abusi di potere e distorsioni concorrenziali che rischiano di compromettere il buon funzionamento del mercato unico. In questo senso, DSA e DMA non sono strumenti di censura o protezionistici, ma ricoprono il ruolo di strumenti essenziali di digital governance e servono, dunque, anche a garantire legalità e concorrenza, ma soprattutto il rispetto dei diritti fondamentali.
Il confronto tra diversi modelli regolamentari ha anche un impatto diretto sulla tutela dell’interesse finanziario dell’UE perché determina quanto siano tracciabili i dati, quanto siano verificabili le decisioni automatizzate e in che misura le autorità pubbliche possano supervisionare, ricostruire e contestare l’uso delle tecnologie digitali nelle attività di gestione dei fondi europei.
Infatti, sistemi di IA opachi o addestrati su presupposti giuridici incerti possono favorire l’automatizzazione delle frodi e la manipolazione di dati e decisioni algoritmiche non verificabili nei processi di gestione dei fondi europei. E in questo scenario la Procura europea si trova di fronte a una criminalità economica sempre più digitalizzata, che richiede doti di data analytics, capacità di ricostruire algoritmi ed efficienza nell’utilizzo probatorio di digital evidence.
Nonostante queste criticità, la responsabilità civilistica per i danni causati dall’IA continua ad essere per lo più ricondotta alle vecchie categorie di prodotto difettoso, e c’è ancora tanto disallineamento tra tecnologia e diritto che fa crescere il valore aggiunto della funzione investigativa e repressiva dell’EPPO nel garantire legalità, trasparenza e accountability nell’utilizzo delle risorse finanziarie dell’UE.
4. Sicurezza dei dati, cloud e infrastrutture critiche
In luce di tutto ciò che abbiamo analizzato fino ad ora, possiamo affermare dunque che possedere dati è oggi una forma di potere strategico, ma è un potere che non ha davvero forza ed effettività se non è unito a controllo, sicurezza e una buona governance delle infrastrutture su cui tali dati sono immagazzinati e processati. Ecco perché l’autonomia digitale europea non può prescindere dalla sicurezza delle infrastrutture, intesa come prerequisito di resilienza economica e istituzionale.
I servizi di cloud computing, in questo contesto, sono il “backbone fisico” del digitale, apparati critici e fondamentali a livello globale, i quali sono però attualmente nelle mani di operatori extraeuropei, e tale dipendenza non è solo una questione industriale ma anche, e soprattutto, giuridica, legata all’accesso ai dati e all’applicazione extraterritoriale delle leggi.
Un esempio emblematico è il CLOUD Act, che permette alle autorità statunitensi di richiedere l’accesso ai dati detenuti da fornitori soggetti alla giurisdizione USA anche quando tali dati si trovano nell’Unione europea, facendo così esplodere il conflitto tra ordinamenti e i rischi per la sovranità dei dati.
Di fronte a tutto questo, l’Unione europea ha risposto con un quadro normativo più solido in materia di cybersecurity (Direttiva NIS, NIS 2, Cybersecurity Act) e con iniziative industriali come Gaia-X, volta a costruire un ecosistema cloud più sicuro, interoperabile e giuridicamente governabile, che limiti le dipendenze critiche e rafforzi il controllo sui dati strategici europei.
Ma la strada è ancora lunga; siamo solo all’alba di una regolamentazione concretamente efficace ed effettiva.
5. L’aspetto hardware: il problema dei semiconduttori e il concetto di de-risking
Oltre alla dimensione tecnologica e industriale, la vicenda dei semiconduttori si colloca a pieno titolo nel più ampio contesto di politica commerciale e di sicurezza economica europea che da tempo è sempre più caratterizzato dal passaggio concettuale e strategico da decoupling a de-risking. In uno scenario di crescente rivalità geopolitica tra Stati Uniti e Cina, le tecnologie critiche e i chip in particolare sono diventati strumenti di interdipendenza strategica suscettibili di essere utilizzati come leve di pressione economica e politica, secondo la logica della weaponized interdependence.
Gli Stati Uniti hanno scelto un approccio molto aggressivo di contenimento tecnologico, facendo ricorso a controlli all’esportazione, restrizioni sugli investimenti e misure extraterritoriali per negare alla Cina l’accesso alle tecnologie di punta.
La Cina, da parte sua, sta attuando una strategia di lungo termine di autosufficienza tecnologica, potenziando la propria base produttiva interna e cercando di ridurre la propria dipendenza dai fornitori stranieri ( c.d. “Made in China strategy”). In questo contesto polarizzato l’Unione Europea si trova in una posizione intermedia, spesso ricordata come “sandwich”, stretta tra due potenze come il ripieno di un panino tra le fette di pane, ed ha via via maturato una propria linea, non più fondata su una cesura delle relazioni, ma su una riduzione selettiva delle dipendenze critiche.
Per far fronte a queste sfide, l’Unione europea ha varato il Chips Act europeo, per rafforzare l’intero ecosistema dei semiconduttori con un mix di investimenti pubblici e privati, sostegno alla ricerca e all’innovazione, attrazione della capacità produttiva sul territorio europeo e strumenti di coordinamento e risposta alle crisi.
L’obiettivo è duplice: da un lato ridurre le dipendenze critiche; dall’altro garantire la continuità delle forniture in settori che sono strategici per l’economia e la sicurezza dell’Unione.
Tuttavia, come emerge dal dibattito accademico e di policy, la sfida per l’UE è quella di non frammentarsi al proprio interno e di saper coordinare efficacemente gli strumenti di politica industriale, commerciale e di sicurezza economica affinché il de-risking non sia né un decoupling di fatto né una dipendenza camuffata.
6. Il ruolo della Procura europea nella governance digitale e nella tutela dell’interesse finanziario dell’Unione
Nella transizione digitale europea la Procura Europea è chiamata ad assumere sempre di più un ruolo strategico nella tutela dell’interesse finanziario dell’Unione in un mondo fatto di denaro sempre più digitale e di sempre più complesse e articolate infrastrutture tecnologiche, e dove la spesa pubblica raggiunge livelli mai visti finora. NextGenerationEU, i Piani Nazionali di Ripresa e Resilienza (PNRR), il Digital Europe Programme e il Global Gateway con il D4D HUB hanno infatti accresciuto in modo significativo l’esposizione dell’UE a rischi di frode, corruzione e malaffare e, di conseguenza, servono un avamposto giudiziario europeo efficiente, moderno e attrezzato.
L’attuazione di questi strumenti finanziari poggia infatti in gran parte su progetti digitali, su investimenti per l’intelligenza artificiale, sul cloud, sulla cybersecurity, sull’interoperabilità dei dati e sulla digitalizzazione della PA. Ciò vuol dire che le infrazioni all’interesse finanziario dell’Unione si presentano sempre più spesso in veste digitale, ovvero manipolando dati, compromettendo sistemi informatici, facendo un uso distorto di piattaforme o servizi tecnologici, o dando vita a reti di frode transnazionali ben orchestrate e che sfuggano ai tradizionali metodi investigativi.
In questo contesto la Procura Europea non è chiamata solo ad essere l’autorità che reprime i reati ex post, ma è sempre più coinvolta nella digital governance dell’Unione e in maniera indiretta si confronta anche con l’ambito di regolazione europeo in materia di dati e tecnologie emergenti. Il GDPR, il Data Act, il Digital Services Act, l’AI Act contribuiscono infatti a rendere sempre più tracciabile, trasparente e responsabile l’operato di coloro che beneficiano di fondi europei, e dunque a rafforzare l’azione investigativa e giudiziaria dell’EPPO.
La tutela delle risorse che provengono da NextGenerationEU e dai PNRR impone inoltre di avere le competenze per poter analizzare e utilizzare come prova anche i dati digitali e di avere una solida rete di collaborazione con le autorità nazionali e con gli altri partner europei impegnati a presidiare e salvaguardare l’interesse finanziario dell’Unione. In questo senso la Procura europea contribuisce a garantire che la transizione digitale europea si svolga nel rispetto della legalità, della buona amministrazione e della rendicontabilità.
Insomma, nell’era degli ingenti investimenti in chiave digitale, la Procura europea è un fondamentale pilastro dell’architettura della fiducia dell’Unione, assicurando che la tecnologia finanziata con denaro pubblico europeo non diventi una debolezza e una perdita, ma diventi un fattore effettivamente di crescita sostenibile, trasparente e in linea con i valori fondanti dell’UE.
BIBLIOGRAFIA
Bradford, A., The False Choice Between Digital Regulation and Innovation, 2024. Schumpeter J.A., Capitalism, Socialism and Democracy, Londra, Routledge, 1994 (1942)
Draghi, M., The Future of European Competitiveness: A Competitiveness Strategy for Europe, Commissione Europea, 2024.
Tourkochoriti, I., The Digital Services Act and the EU as the Global Regulator of the Internet, Chicago Journal of International Law, 2023.
Ducato, R., Strowel, A., Ensuring Text and Data Mining, European Intellectual Property Review, 2021.
European Parliament Research Service, Text and Data Mining: Balancing Copyright and Innovation, 2020. European Copyright Society, Copyright and Generative AI, Opinion, 2025.
Regulation (EU) 2024/1689, Artificial Intelligence Act.
Commissione Europea, Fostering a European Approach to Artificial Intelligence, COM(2021) 205. European Parliament, Generative AI and Copyright: Training, Creation, Regulation, 2025.
World Intellectual Property Organization (WIPO), Generative AI: Navigating Intellectual Property, 2024 Regulation (EU) 2022/2065, Digital Services Act.
Regulation (EU) 2022/1925, Digital Markets Act.
Crémer, J., de Montjoye, Y.A., Schweitzer, H., Competition Policy for the Digital Era, European Commission, 2019.
Regulation (EU) 2019/881, Cybersecurity Act. Directive (EU) 2022/2555, NIS 2 Directive.
Regulation (EU) 2024/2847, Cyber Resilience Act. Regulation (EU) 2025/38, Cyber Solidarity Act.
Rojszczak, M., CLOUD Act Agreements from an EU Perspective, Computer Law & Security Review, 2020. Regulation (EU) 2023/1781, European Chips Act.
European Court of Auditors, The EU’s Strategy for Microchips, Special Report 12/2025. Verrocchio, A., Strategic Autonomy and the Chip Supply Chain, Università di Bologna, 2022. Cave, D., How Decoupling from China Became De-Risking, New York Times, 2023.
Brinza, A. et al., EU and China Relations: Derisking or Decoupling, Parlamento Europeo, 2024. European Commission, European Economic Security Strategy, 2023.