Digital Omnibus: la BCE tra semplificazione normativa e complessità operativa
La trasformazione digitale dell’economia europea non è più soltanto un tema tecnologico. È sempre più una questione di architettura normativa, di equilibrio tra innovazione, tutela dei diritti e sostenibilità operativa per imprese e pubbliche amministrazioni.
In questo contesto si inserisce il progetto di regolamento noto come Digital Omnibus, oggetto del parere della Banca Centrale Europea del 10 marzo 2026, che rappresenta uno dei tentativi più ambiziosi di semplificazione del quadro normativo digitale dell’Unione.
L’obiettivo dichiarato è chiaro: ridurre la frammentazione normativa e rendere più coerente l’insieme di regole che disciplinano dati, protezione delle informazioni personali, cybersecurity e servizi digitali. Nel tempo, infatti, il sistema europeo si è sviluppato per stratificazioni successive, generando sovrapposizioni, incoerenze e difficoltà applicative che incidono direttamente sulla capacità delle organizzazioni di operare in modo efficiente.
La BCE esprime un giudizio complessivamente favorevole all’iniziativa, riconoscendo che una maggiore armonizzazione del quadro normativo può contribuire a rafforzare la competitività dell’Unione e a sostenere lo sviluppo dell’economia digitale. Allo stesso tempo, però, il parere introduce un elemento di riflessione particolarmente rilevante: la semplificazione normativa non coincide automaticamente con una semplificazione operativa.
È proprio su questo punto che si concentra la parte più interessante dell’analisi. Il rischio evidenziato è che, pur riducendo il numero di norme o accorpando discipline esistenti, il nuovo impianto regolatorio non riesca a diminuire concretamente gli oneri per imprese e autorità, lasciando invariata – o addirittura aumentando – la complessità gestionale.
Uno dei passaggi centrali riguarda il tema della condivisione dei dati tra soggetti privati e pubblici, disciplinato nell’ambito del Data Act. La BCE accoglie positivamente il rafforzamento dei meccanismi di accesso e utilizzo dei dati, sottolineando come una maggiore disponibilità di informazioni sia fondamentale per lo svolgimento di funzioni essenziali, tra cui la politica monetaria, la vigilanza e la produzione di statistiche.
Tuttavia, il nuovo impianto limita la possibilità per le autorità pubbliche di richiedere dati detenuti da soggetti privati ai soli casi di “emergenza pubblica”. Questa scelta, pur ispirata all’esigenza di ridurre gli oneri per le imprese, rischia di restringere eccessivamente l’accesso a informazioni che potrebbero risultare decisive anche in contesti non formalmente emergenziali ma comunque critici per la stabilità economica e finanziaria.
Per questo motivo la BCE propone di chiarire e ampliare la definizione di emergenza pubblica, includendo non solo situazioni già dichiarate, ma anche minacce concrete e imminenti, e allineando tale nozione alle diverse basi giuridiche esistenti a livello europeo e nazionale. La chiarezza definitoria diventa, in questo senso, una condizione essenziale per evitare incertezze applicative e ritardi nell’accesso ai dati.
Un ulteriore ambito di intervento riguarda la protezione dei dati personali e, in particolare, la gestione delle notifiche di violazione. In questo caso, la BCE sostiene con decisione l’introduzione di un punto di accesso unico per le segnalazioni, basato sul principio “report once, share many”. La possibilità di effettuare una sola notifica valida per più autorità e più normative rappresenterebbe un passo significativo verso la riduzione degli oneri amministrativi e il miglioramento dell’efficienza dei sistemi di reporting.
Particolarmente rilevante è anche la proposta di consentire ai soggetti che operano in regime di contitolarità di effettuare una notifica unica per conto di tutti, evitando la duplicazione di comunicazioni identiche e contribuendo a rendere il sistema più coerente e sostenibile.
Diversa è invece la posizione della BCE sul tema dell’incident reporting in ambito ICT. In questo caso emerge una critica più netta. L’introduzione di un nuovo meccanismo centralizzato rischia infatti di sovrapporsi al quadro già definito dal regolamento DORA, entrato in applicazione nel 2025, che ha già comportato investimenti significativi da parte degli operatori finanziari.
Secondo la BCE, l’integrazione tra i diversi sistemi di reporting non può limitarsi alla creazione di un unico punto di accesso, ma richiede un allineamento sostanziale di tassonomie, modelli e procedure. In assenza di tale armonizzazione, il rischio è quello di mantenere – se non aumentare – il carico amministrativo, imponendo alle imprese la predisposizione di report multipli per soddisfare obblighi formalmente unificati ma sostanzialmente distinti.
Da qui la proposta di escludere temporaneamente DORA dal nuovo sistema, consentendo al mercato e alle autorità di consolidare l’esperienza maturata e di individuare soluzioni realmente semplificative prima di procedere a una piena integrazione.
Nel complesso, il parere della BCE offre una chiave di lettura particolarmente utile per comprendere l’evoluzione della regolazione digitale europea. Il passaggio in atto non riguarda soltanto l’aggiornamento delle singole discipline, ma la costruzione di un ecosistema normativo integrato, in cui dati, sicurezza, privacy e servizi digitali sono sempre più interconnessi.
In questo scenario, per le imprese e per le funzioni di compliance emerge una sfida nuova. Non si tratta più soltanto di garantire l’adeguamento a singole normative, ma di gestire un sistema complesso di obblighi interdipendenti, in cui la data governance assume un ruolo centrale e strategico.
Il Digital Omnibus rappresenta dunque un passaggio cruciale, ma non definitivo. La sua efficacia dipenderà dalla capacità di tradurre la semplificazione normativa in semplificazione operativa, evitando che la riduzione delle norme si traduca semplicemente in una diversa forma di complessità.
Potrebbe interessare anche
Licenziamento pubblicato online: il Garante richiama i limiti della trasparenza amministrativa
30 Aprile 2026
