Vai al contenuto
Avanet
Data Act: cosa devono attuare ora i team IT

Data Act: cosa devono attuare ora i team IT

Il Data Act sarà applicabile dal 12.09.2025. Rompe i silos dei dati, obbliga produttori e operatori a garantire l’accesso ai dati e interviene in profondità nei processi, dall’IoT al cloud. Chi armonizza per tempo inventario dei dati, interfacce e controlli di sicurezza ne trae un vantaggio concreto.

Breve panoramica

  • Applicabilità dal 12.09.2025, obbligo di progettazione per i nuovi prodotti dal 12.09.2026.
  • Gli utenti ottengono accesso ai dati di prodotto e ai dati di servizio; su richiesta è possibile la condivisione con terzi. I gatekeeper sono esclusi.
  • Cloud switching e multi-cloud vengono rafforzati; sono previste regole su condizioni e corrispettivi equi.
  • Nessuna base giuridica autonoma per i dati personali; il GDPR resta prevalente.
  • L’UE raccomanda clausole contrattuali tipo; le bozze sono disponibili, ma in parte la versione finale è ancora in evoluzione.

Perché il tema è rilevante ora

Con l’inizio dell’applicazione del Data Act il 12.09.2025 termina il periodo di preparazione. Le aziende devono mettere a disposizione accessi ai dati, tutelarli contrattualmente e proteggerli tecnicamente. I ritardi non riguardano solo la compliance, ma anche i modelli di business: manutenzione, servizi post-vendita e offerte basate sui dati dipenderanno in futuro da flussi di dati trasparenti e sicuri.

In aggiunta al Data Act entra in vigore anche il Cyber Resilience Act, un ulteriore regolamento UE che introduce nuovi obblighi per i produttori e ha effetti diretti sul funzionamento sicuro di soluzioni come Sophos Firewall.

Cosa cambia o cosa c’è di nuovo

  • Accesso ai dati: gli utenti di prodotti connessi ottengono accesso ai dati grezzi e ad alcuni dati elaborati generati durante l’utilizzo. Su richiesta deve essere possibile la messa a disposizione diretta a terzi. I gatekeeper ai sensi del DMA sono esclusi come destinatari.
  • Design del prodotto: dal 12.09.2026 i prodotti connessi devono essere progettati in modo che i dati siano disponibili direttamente per impostazione predefinita.
  • Cambio cloud: il Data Act riduce gli effetti di lock-in, promuove il multi-cloud e disciplina condizioni eque per il cambio.
  • Regole contrattuali: diventano obbligatori i contratti di licenza dei dati tra titolare dei dati e utente. L’UE pubblica clausole modello non vincolanti a supporto.

Panoramica tecnica

Termini e ruoli

  • Titolare dei dati: soggetto che ha il controllo dell’accesso ai dati di prodotto o di servizio, spesso il produttore o l’operatore. Anche i fornitori di servizi con responsabilità operative possono essere titolari dei dati. In futuro dovranno stabilire processi per consentire agli utenti l’accesso senza ritardi.
  • Utente: utilizzatore legittimo del prodotto o del servizio, incluse le aziende. Rientrano anche operatori di flotte, agricoltori o clienti finali che lavorano con dispositivi connessi. Gli utenti non ricevono solo un diritto di informazione, ma un diritto immediato di accesso ai propri dati.
  • Terzi: destinatari dei dati autorizzati dagli utenti, ma non gatekeeper. Possono essere partner di assistenza, officine indipendenti, istituti di ricerca o fornitori software. Devono essere integrati tramite interfacce sicure.

Tipi di dati

  • Inclusi: dati di prodotto e relativi dati di servizio derivanti dall’utilizzo, inclusi dati dei sensori, messaggi di stato, dati di localizzazione e metadati. Sono inclusi anche dataset elaborati, se destinati al riutilizzo.
  • Non inclusi: dati di contenuto come documenti, immagini o comunicazioni. Questi restano fuori dall’ambito di applicazione.
  • Interfaccia con il GDPR: spesso è possibile un riferimento a persone fisiche; il Data Act non crea una base giuridica propria. Ogni divulgazione deve essere anche conforme al GDPR, inclusa la verifica della base giuridica e, se necessario, del consenso.

Interfacce

  • Accesso diretto preferito; in alternativa messa a disposizione standardizzata, leggibile da macchina e possibilmente in tempo reale. Per le aziende questo significa predisporre API, funzioni di esportazione dei dati e processi chiaramente documentati. Anche monitoraggio, autenticazione e verifica delle autorizzazioni fanno parte dell’architettura delle interfacce.

Guida pratica

Preparazione

  1. Inventario dei dati: elencare sistemi, prodotti, sensori e schemi dati. Anticipare eventuali riferimenti personali, verificare i livelli di aggregazione. Considerare anche fonti dati esterne, sistemi di archivio e dati di backup.
  2. Classificazione: separare dati di prodotto e di servizio dai dati di contenuto. Associare a ogni dataset riferimento GDPR e basi giuridiche. Creare inoltre documentazione su categorie e cicli di vita.
  3. Contratti: preparare clausole di licenza dei dati per contratti nuovi ed esistenti; verificare i draft MCT e adattarli se necessario. Integrare linee guida interne e formazione per chi gestisce i contratti.

Implementazione

  1. Interfacce: stabilire API o export, implementare AuthN/AuthZ, documentare i formati di output. Predisporre anche versioning e ambienti di test.
  2. Autorizzazione di terzi: definire processi per consenso o verifica delle autorizzazioni; integrare stabilmente il controllo gatekeeper. Usare inoltre modelli di accesso basati sui ruoli e token a tempo limitato.
  3. Cloud switching: pianificare percorsi di migrazione, trasferimento dati e mapping; definire strategie multi-cloud. Prevedere migrazioni di test e verifiche delle prestazioni.
  4. Protezione dei segreti commerciali: valutare filtri per segreti commerciali, minimizzazione e pseudonimizzazione. Verificare procedure tecniche come data masking o differential privacy.
  5. Change management: documentare e comunicare processi per aggiornamenti e modifiche alle interfacce.

Validazione

  • Casi di test: self-service utente, autorizzazione a terzi, revoca, scenari di errore. Includere anche casi limite e test di carico.
  • Logging: documentare in modo verificabile output, destinatari, orari e base giuridica. Implementare archiviazione audit-proof e report periodici.
  • Test di sicurezza: API pen test, rate limiting, rilevamento anomalie. Valutare scansioni automatizzate delle vulnerabilità e programmi bug bounty.
  • Controlli di compliance: audit interni per garantire conformità a GDPR e Data Act.

Rollback e monitoraggio

  • Percorso di rollback in caso di condivisioni errate. Documentare scenari di ripristino e incident response.
  • Monitoraggio dei flussi di dati in uscita tramite firewall, IDS e SIEM; alert in caso di anomalie di volume o di pattern. Implementare inoltre dashboard in tempo reale e processi di escalation per i security team.

Raccomandazioni e best practice

Misure raccomandate

  • Inventario e categorizzazione dei dati come passaggio obbligatorio.
  • Approccio API-first con schemi coerenti.
  • Least privilege e consenso granulare.
  • Automatizzare il gatekeeper check.
  • Logging e prove audit-proof.
  • Testare per tempo il multi-cloud switching.

Tabella sintetica di assegnazione

MisuraScopoNota
Inventario dei datiTrasparenza e scopeBase per la verifica GDPR
Review MCTChiarezza contrattualeUsare i draft UE, adattare localmente
API rate limitsProtezione dagli abusiCombinare firewall e API gateway
Filtro gatekeeperComplianceConfronto con le liste DMA
Regole di correlazione SIEMTracciabilitàIntegrazione nei playbook esistenti
Design dal 2026Sicurezza futuraAccesso diretto by design

Impatto su Sophos e altre piattaforme

  • Firewall policy: nuovi endpoint dati e admin API richiedono regole, TLS inspection dopo valutazione del rischio e Threat Feeds per il rilevamento delle anomalie. È inoltre consigliata una segmentazione stretta e l’uso di regole Application Control per accessi basati su API.
  • Zero Trust: zone segmentate e mTLS per accessi di terzi. In aggiunta, rotazione regolare dei certificati e integrazione con identity provider esistenti per controllare autorizzazioni granulari.
  • SIEM/EDR: correlare gli eventi relativi alle condivisioni di dati, in particolare volumi o destinatari insoliti. Use case estesi dovrebbero coprire anche errori API, tentativi di autenticazione e interrogazioni non autorizzate.
  • Cloud: per scenari di switching, stabilire controlli egress e checklist contrattuali di exit. Considerare inoltre pianificazione della capacità, test automatizzati dei processi di uscita e policy per classificazione e cifratura dei dati.
  • Backup e archiviazione: i dati condivisi ai sensi del Data Act dovrebbero essere protetti da strategie coerenti di backup e archiviazione. Questo consente il recovery in caso di condivisioni errate o abusi.
  • Reporting: i team IT dovrebbero creare report periodici sui flussi di dati in uscita e trasmetterli a compliance e management. In questo modo si garantiscono trasparenza e tracciabilità.

Domande frequenti

Come si distinguono i dati personali da quelli non personali?

Si verificano contesto e possibilità di collegamento. I dati di localizzazione e di utilizzo sono spesso riconducibili a persone fisiche. Senza una base giuridica GDPR adeguata, nessuna divulgazione.

Bisogna fornire dati a qualsiasi terzo?

Solo su richiesta dell’utente e nel rispetto dei requisiti. I gatekeeper sono esclusi.

Da quando è obbligatorio l’accesso diretto?

Per nuovi prodotti e servizi immessi sul mercato dal 12.09.2026. Fino ad allora deve funzionare la messa a disposizione su richiesta.

Esistono clausole modello?

Sì, l’UE sta elaborando MCT non vincolanti e cloud SCC; è disponibile una dichiarazione dell’EDPB sulla bozza.

Che ruolo ha il cloud switching?

Il Data Act promuove il cambio di fornitore e il multi-cloud. I corrispettivi devono essere equi e non discriminatori.

Conclusione

Il Data Act sposta il controllo sui dati di prodotto e di servizio verso gli utenti e apre mercati per servizi legati a manutenzione, analisi e integrazione. Per i team IT significa lavorare su tre fronti: inventario dei dati e aspetti legali, interfacce sicure e monitoraggio operativo. Nascono inoltre nuove responsabilità in compliance management, documentazione dei processi e formazione dei collaboratori. Anche l’interazione con i servizi cloud e l’integrazione nelle architetture di sicurezza esistenti devono essere pianificate per tempo. Chi standardizza, automatizza e introduce controlli in anticipo riduce impegno e rischio e si posiziona al tempo stesso per futuri sviluppi normativi e nuovi modelli di business nel contesto data-driven.

Riferimenti

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.