Entro il 2026, il panorama normativo dell'Unione Europea subirà una trasformazione significativa, con l'entrata in vigore e l'applicazione rigorosa di numerosi regolamenti riguardanti la digitalizzazione e l'intelligenza artificiale. Questa nuova era di conformità comporta rischi senza precedenti per le aziende, che potrebbero trovarsi ad affrontare multe milionarie, class action e persino azioni di regresso contro i propri dirigenti in caso di non conformità. La questione non è più se le aziende debbano adeguarsi, ma come possano farlo nel modo più efficace per mitigare i pericoli in un ambiente normativo sempre più intricato e in continua evoluzione.

Il contesto attuale è ben illustrato da un caso che potrebbe costare caro a Mark Zuckerberg e al suo impero tecnologico. Sotto l'indirizzo www.metaklage.at, l'associazione per la tutela dei consumatori VSV, fondata dall'ex mente del VKI Peter Kolba, ha lanciato una class action su larga scala contro Meta. La società madre di Facebook e Instagram è accusata di monitorare sistematicamente e illegalmente la vita privata di milioni di utenti. Meta, attraverso i suoi "Business Tools" e programmi basati sull'intelligenza artificiale, raccoglierebbe dati sul comportamento di navigazione dei suoi utenti su migliaia di siti web e applicazioni.

“Praticamente ogni click, ogni acquisto su internet può essere letto da Meta, anche contro la vostra esplicita volontà”, spiega Daniela Holzinger, presidente del VSV. I consumatori possono partecipare a questa azione legale semplicemente registrandosi su www.meta-klage.at. Gli utenti tedeschi di Facebook possono sperare in un risarcimento danni di 5.000 euro (meno circa il dieci percento per il finanziatore del processo coinvolto), e anche gli austriaci possono aspettarsi somme simili. Il lancio di questa class action proprio in questo momento non è casuale: è una diretta conseguenza delle nuove condizioni quadro legali. In Germania è entrata in vigore la nuova direttiva UE sulle azioni rappresentative, e anche il VSV è riconosciuto come organismo qualificato per le azioni rappresentative a partire da dicembre 2024, il che gli consente di avviare procedimenti corrispondenti a livello europeo.

Le nuove regole del gioco digitale

Le nuove direttive dell'UE per il diritto digitale non riguardano solo i grandi gruppi come Meta. Negli ultimi anni, i legislatori dell'UE hanno adottato un gran numero di regolamenti che interessano il settore digitale, con un impatto significativo sulle operazioni quotidiane delle aziende e che, in caso di non conformità, aprono la strada non solo a class action, ma anche a sanzioni onerose. Normative come l'AI Act, il Data Act, il Digital Services Act, il Digital Markets Act e la direttiva NIS-2 – con le loro aree tematiche spesso sovrapposte – mettono le aziende sotto pressione, costringendole ad agire.

Ma come devono essere seguite queste regole così complesse? Solo gli esperti possono dirlo, poiché l'ambiente normativo è in costante cambiamento, e spesso nemmeno l'interpretazione delle norme è chiara, avverte Lutz Riede, avvocato e partner nel settore IP, tecnologia e regolamentazione digitale/dati presso lo studio legale internazionale Freshfields a Vienna. Riede offre consulenza a gruppi come VW, Hutchison Drei o Deutsche Bahn nei loro progetti di digitalizzazione, aiutando le aziende a identificare le aree problematiche e a evitare costose conseguenze tardive. Questo spesso assomiglia a una battaglia contro i mulini a vento, afferma:

“Le aziende devono attualmente lottare su più fronti: c'è molta incertezza nell'interpretazione delle nuove normative in pratica. Inoltre, non tutte le autorità sono ancora note, e le stesse autorità sono in disaccordo tra loro riguardo alle loro competenze.”

Il nuovo “Data Law Trends Report 2026” di Freshfields dipinge un quadro poco rassicurante: le aziende devono prepararsi a una nuova era di complessità normativa nel prossimo anno. Ad esempio, l'offerta "one-stop-shop" dell'UE nell'ambito dell'AI Act si applica solo ai fornitori di modelli di intelligenza artificiale, per i quali è direttamente responsabile l'Ufficio AI della Commissione Europea. Tuttavia, questa offerta non è disponibile per tutte le altre aziende.

“Inoltre, la supervisione della maggior parte delle aree è soggetta alle autorità nazionali”, afferma Riede. Queste autorità, per ora, non impongono ancora sanzioni, ma questo potrebbe essere la calma prima della tempesta: “Gran parte delle nuove normative saranno pienamente operative nell'estate del 2026”, conclude l'avvocato, con le conseguenze del caso. Le sanzioni massime ammontano a milioni di euro e si basano, di norma, su una percentuale del fatturato complessivo del gruppo. Non è quindi probabile che una violazione danneggi solo la reputazione; al contrario, sono da prevedere danni finanziari considerevoli.

Minaccia di responsabilità personale per i manager

I CEO stessi saranno personalmente responsabili in caso di violazioni? Secondo Georg Fellner, partner dello studio legale Brauneis Rechtsanwälte, specializzato in diritto commerciale, c'è da temere anche questo. “Alte minacce di sanzioni con importi di milioni o una percentuale del fatturato del gruppo si trovano nel diritto sulla protezione dei dati, nella tutela dei consumatori, nel diritto della concorrenza e nella regolamentazione dei mercati finanziari. Amministratori delegati e membri dei consigli di amministrazione delle società di capitali austriache hanno già una responsabilità significativa secondo il diritto nazionale – e sono responsabili sia nei confronti dell'azienda stessa che di terzi”, spiega.

“Diversi nuovi atti giuridici dell'UE, come la direttiva NIS-2, prevedono ora esplicitamente una responsabilità personale degli organi direttivi, ampliando così il quadro di responsabilità già denso.” Qualora un'azienda venisse colpita da una multa di milioni di euro, si porrebbe inevitabilmente la questione di quanto l'azienda possa rivalersi sull'amministratore delegato, osserva Fellner. “Almeno nei casi di negligenza da parte degli amministratori delegati, in particolare in caso di fallimento dei controlli, un'azione di regresso è plausibile. Anche per un amministratore delegato ben retribuito, una responsabilità personale con somme così elevate sarebbe rovinosa per l'esistenza.”

Fellner cita un esempio attuale in cui un'azienda cerca di ottenere centinaia di migliaia di euro da un top manager in tribunale. Sebbene in quel caso si trattasse ancora di multe per cartelli, situazioni simili minacciano in futuro per le violazioni della conformità nel diritto digitale. Anche in questi casi, secondo Riede, sono ipotizzabili conseguenze personali per il management. “Ciò che danneggia di più le aziende, tuttavia, è subire danni reputazionali o dover ritirare un prodotto o servizio dal mercato a causa di un'ingiunzione provvisoria, perdendo così i loro investimenti”, aggiunge.

“La pressione della responsabilità aumenta perché i legislatori ampliano gli obblighi di vigilanza e di diligenza, le autorità di vigilanza applicano le norme in modo più rigoroso e aumentano le sanzioni.”

Georg Fellner, Partner Brauneis Rechtsanwälte

Tre aree di rischio principali

Dove si annidano la maggior parte delle insidie? Freshfields, nel suo “Data Law Trends Report”, indica tre aree con un'elevata necessità di consulenza:

  1. Conformità completa per le aziende che utilizzano l'IA

    In primo luogo, le aziende che si affidano all'intelligenza artificiale devono prestare attenzione alla conformità completa. “Il tempo della sperimentazione e della tatonnamenti in materia di IA è finito. Ora si tratta, anche dal punto di vista legale, di un'implementazione concreta”, afferma Riede. Freshfields sta attualmente fornendo consulenza a molti clienti che, prima di utilizzare strumenti di IA, effettuano un'analisi della situazione attuale e quindi adattano i loro programmi di conformità e governance in base alle nuove e attese direttive.

  2. Contratti con i partner di IA

    In secondo luogo, ci sono molte domande concrete sui contratti con i partner di IA. Infatti, quando un'azienda utilizza l'IA, può improvvisamente non essere più considerata un semplice utente, ma un fornitore, e quindi deve seguire regole molto più severe. Questo non vale solo quando l'IA viene utilizzata nelle relazioni con i clienti, ma anche, ad esempio, quando candidati o dipendenti vengono selezionati dal reparto HR con strumenti di IA.

  3. Difesa contro autorità e tribunali

    In terzo luogo, gli avvocati devono attualmente supportare le prime aziende a difendersi davanti alle autorità o addirittura in tribunale, a causa di violazioni delle regole riscontrate.

La prudenza è sempre meglio della negligenza, afferma Riede: “Le aziende che considerano la conformità come un vantaggio competitivo e che vogliono essere esemplari in questo settore sono avvantaggiate”. Meno consigliabile è l'atteggiamento di "attendere e vedere": chi evita gli investimenti in questo settore potrebbe dover pagare un prezzo elevato. Questo è confermato anche da Fellner: “La pressione della responsabilità aumenta perché i legislatori ampliano gli obblighi di vigilanza e di diligenza, le autorità di vigilanza applicano le norme in modo più rigoroso e aumentano le sanzioni. Chi è negligente in questo ambito rischia multe salate.”