{"id":168889,"date":"2025-08-08T07:47:00","date_gmt":"2025-08-08T06:47:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/legge-dati-accesso-cloud-switching-sicurezza\/"},"modified":"2025-09-18T14:19:46","modified_gmt":"2025-09-18T13:19:46","slug":"legge-dati-accesso-cloud-switching-sicurezza","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/it\/blog\/legge-dati-accesso-cloud-switching-sicurezza\/","title":{"rendered":"Data Act: cosa devono implementare ora i team IT"},"content":{"rendered":"\n<p>Il Data Act sar\u00e0 in vigore dal 12 settembre 2025. Abbatte i silos di dati, obbliga i produttori e gli operatori a fornire l&#8217;accesso ai dati e ha un profondo impatto sui processi, dall&#8217;IoT al cloud. Potrai trarre vantaggio dall&#8217;armonizzazione dell&#8217;inventario dei dati, delle interfacce e dei controlli di sicurezza fin dalle prime fasi.  <\/p>\n\n<p><strong>Breve panoramica<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Applicabilit\u00e0 dal 12\/09\/2025, obbligo di progettazione per i nuovi prodotti dal 12\/09\/2026.<\/li>\n\n\n\n<li>Gli utenti hanno accesso ai dati dei prodotti e dei servizi; la divulgazione a terzi \u00e8 possibile su richiesta. I gatekeeper sono esclusi. <\/li>\n\n\n\n<li>Il cloud switching e il multi-cloud vengono rafforzati; i requisiti per condizioni e tariffe eque.<\/li>\n\n\n\n<li>Non esiste una base giuridica indipendente per i dati personali; il GDPR ha la precedenza.<\/li>\n\n\n\n<li>L&#8217;UE raccomanda clausole contrattuali modello; sono disponibili bozze, finalizzate ma ancora in evoluzione.<\/li>\n<\/ul>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Argomenti<\/h2><nav><ul><li class=\"\"><a href=\"#warum-das-thema-jetzt-relevant-ist\">Perch\u00e9 l&#8217;argomento \u00e8 attuale<\/a><\/li><li class=\"\"><a href=\"#was-sich-andert-oder-was-neu-ist\">Cosa sta cambiando o cosa \u00e8 nuovo<\/a><\/li><li class=\"\"><a href=\"#technischer-uberblick\">Panoramica tecnica<\/a><\/li><li class=\"\"><a href=\"#praxisleitfaden\">Guida pratica<\/a><\/li><li class=\"\"><a href=\"#empfehlungen-und-best-practices\">Raccomandazioni e buone pratiche<\/a><\/li><li class=\"\"><a href=\"#auswirkungen-auf-sophos-und-andere-plattformen\">Impatto su Sophos e altre piattaforme<\/a><\/li><li class=\"\"><a href=\"#haufige-fragen\">Domande frequenti<\/a><ul><li class=\"\"><a href=\"#faq-question-1758009456184\">Devi fornire dati a tutte le terze parti?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758009465013\">Quando \u00e8 obbligatorio l&#8217;accesso diretto?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758009477051\">Esistono clausole modello?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758009483756\">Che ruolo ha il cloud switching?<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#fazit\">Conclusione<\/a><\/li><li class=\"\"><a href=\"#quellen\">Fonti<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-das-thema-jetzt-relevant-ist\">Perch\u00e9 l&#8217;argomento \u00e8 attuale<\/h2>\n\n<p>Il periodo di grazia termina con l&#8217;entrata in vigore del Data Act il 12 settembre 2025. Le aziende devono fornire, garantire contrattualmente e proteggere tecnicamente l&#8217;accesso ai dati. I ritardi non riguardano solo la conformit\u00e0, ma anche i modelli di business: La manutenzione, i servizi post-vendita e le offerte basate sui dati dipenderanno in futuro da flussi di dati trasparenti e sicuri.  <\/p>\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Oltre al Data Act, il <a href=\"https:\/\/www.avanet.com\/it\/blog\/cyber-resilience-act-sophos-firewall\/\">Cyber Resilience Act<\/a> \u00e8 un altro regolamento dell&#8217;UE che comporta nuovi obblighi per i produttori e ha un impatto diretto sul funzionamento sicuro di soluzioni come Sophos Firewall.<\/p>\n<\/blockquote>\n\n<h2 class=\"wp-block-heading\" id=\"was-sich-andert-oder-was-neu-ist\">Cosa sta cambiando o cosa \u00e8 nuovo<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Accesso ai dati: gli utenti dei prodotti collegati in rete hanno accesso ai dati grezzi e ad alcuni dati elaborati generati durante l&#8217;uso. La fornitura diretta a terzi \u00e8 richiesta su richiesta. I gatekeeper secondo il DMA sono esclusi come destinatari.  <\/li>\n\n\n\n<li>Progettazione dei prodotti: a partire dal 12 settembre 2026, i prodotti connessi dovranno essere progettati in modo tale da rendere i dati direttamente disponibili come standard.<\/li>\n\n\n\n<li>Passaggio al cloud: il Data Act riduce gli effetti di lock-in, promuove il multi-cloud e regolamenta condizioni eque nel passaggio al cloud.<\/li>\n\n\n\n<li>Regole contrattuali: Gli accordi di licenza dei dati tra proprietari e utenti diventano obbligatori. L&#8217;UE pubblica dei modelli di clausole non vincolanti a supporto. <\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Panoramica tecnica<\/h2>\n\n<p><strong>Termini e ruoli<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Proprietario dei dati: entit\u00e0 con l&#8217;autorit\u00e0 di accedere ai dati di un prodotto o di un servizio, spesso il produttore o l&#8217;operatore. Anche i fornitori di servizi con responsabilit\u00e0 operative possono essere proprietari dei dati. In futuro, dovranno stabilire processi per consentire agli utenti di accedere senza ritardi.  <\/li>\n\n\n\n<li>Utenti: utenti legittimi del prodotto o del servizio, comprese le aziende. Sono compresi anche gli operatori di flotte, gli agricoltori o i clienti finali che lavorano con dispositivi collegati in rete. Agli utenti non viene riconosciuto solo il diritto all&#8217;informazione, ma anche il diritto di accesso diretto ai propri dati.   <\/li>\n\n\n\n<li>Terze parti: destinatari di dati autorizzati dagli utenti, ma non gatekeeper. Le terze parti possono essere partner di servizi, laboratori indipendenti, istituti di ricerca o fornitori di software. Devono essere integrate tramite interfacce sicure.  <\/li>\n<\/ul>\n\n<p><strong>Tipi di dati<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Catturati: Dati del prodotto e dati di servizio associati all&#8217;utilizzo, compresi i dati dei sensori, i messaggi di stato, i dati sulla posizione e i metadati. Sono inclusi anche i record di dati elaborati se destinati a un uso successivo. <\/li>\n\n\n\n<li>Non registrati: Dati di contenuto come documenti, immagini o comunicazioni. Questi rimangono al di fuori dell&#8217;ambito di applicazione. <\/li>\n\n\n\n<li>Interfaccia GDPR: il riferimento personale \u00e8 spesso possibile; la legge sui dati non crea una propria base giuridica. Qualsiasi divulgazione deve essere conforme al GDPR, compresa la verifica della base giuridica e, se necessario, del consenso. <\/li>\n<\/ul>\n\n<p><strong>Interfacce<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>\u00c8 preferibile un accesso diretto, altrimenti una fornitura standardizzata, leggibile dal computer e preferibilmente in tempo reale. Per le aziende, questo significa creare API, funzioni di esportazione dei dati e processi chiaramente documentati. Anche i controlli di monitoraggio, autenticazione e autorizzazione fanno parte dell&#8217;architettura dell&#8217;interfaccia.  <\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"praxisleitfaden\">Guida pratica<\/h2>\n\n<p><strong>Preparazione<\/strong><\/p>\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Inventario dei dati: elenca sistemi, prodotti, sensori e schemi di dati. Prevedere riferimenti personali, verificare il grado di aggregazione. Occorre tenere conto anche delle fonti di dati esterne, dei sistemi di archivio e dei dati di backup.  <\/li>\n\n\n\n<li>Classificazione: separa i dati relativi a prodotti e servizi da quelli relativi ai contenuti. Assegnare il riferimento GDPR e la base legale per ogni record di dati. Creare una documentazione aggiuntiva delle categorie e dei cicli di vita.  <\/li>\n\n\n\n<li>Contratti: Preparare le clausole di licenza dei dati per i contratti nuovi ed esistenti; controllare le bozze di MCT e adattarle se necessario. Inoltre, crea linee guida interne e formazione per i responsabili dei contratti. <\/li>\n<\/ol>\n\n<p><strong>Realizzazione<\/strong><\/p>\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Interfacce: Stabilire API o esportazioni, implementare AuthN\/AuthZ, documentare i formati di output. Fornisci anche ambienti di versioning e di test. <\/li>\n\n\n\n<li>Autorizzazione di terze parti: imposta processi per il controllo del consenso e dell&#8217;autorizzazione; integra saldamente i controlli del gatekeeper. Inoltre, utilizza modelli di accesso basati sui ruoli e token limitati nel tempo. <\/li>\n\n\n\n<li>Commutazione del cloud: pianificare i percorsi di commutazione, il trasferimento e la mappatura dei dati; definire strategie multi-cloud. Pianificare migrazioni di prova e controlli delle prestazioni. <\/li>\n\n\n\n<li>Protezione dei segreti: valuta i filtri per i segreti commerciali, la minimizzazione e la pseudonimizzazione. Verifica le procedure tecniche come il mascheramento dei dati o la privacy differenziale. <\/li>\n\n\n\n<li>Gestione delle modifiche: documenta e comunica i processi per gli aggiornamenti e le modifiche alle interfacce.<\/li>\n<\/ol>\n\n<p><strong>Convalida<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Casi di test: Self-service dell&#8217;utente, rilascio da parte di terzi, cancellazione, scenari di errore. Include anche casi limite e test di carico. <\/li>\n\n\n\n<li>Registrazione: documenta le spese, i destinatari, i tempi, la base legale in modo verificabile. Implementa un&#8217;archiviazione a prova di audit e rapporti periodici. <\/li>\n\n\n\n<li>Test di sicurezza: pen-test API, limitazione della velocit\u00e0, rilevamento delle anomalie. Considera le scansioni automatizzate delle vulnerabilit\u00e0 e i programmi di bug bounty. <\/li>\n\n\n\n<li>Controlli di conformit\u00e0: Audit interni per garantire la conformit\u00e0 al GDPR e al Data Act.<\/li>\n<\/ul>\n\n<p><strong>Rollback e monitoraggio<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Percorso di rollback per i rilasci errati. Documenta gli scenari per il ripristino e la risposta agli incidenti. <\/li>\n\n\n\n<li>Monitoraggio dei flussi di dati in uscita tramite firewall, IDS e SIEM; avvisi in caso di deviazioni del volume o dei modelli. Inoltre, implementa dashboard in tempo reale e processi di escalation per i team di sicurezza. <\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"empfehlungen-und-best-practices\">Raccomandazioni e buone pratiche<\/h2>\n\n<p><strong>Misure consigliate<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Inventario e categorizzazione dei dati come passo obbligatorio.<\/li>\n\n\n\n<li>Approccio API-first con schemi coerenti.<\/li>\n\n\n\n<li>Consenso con il minimo privilegio e finemente granulare.<\/li>\n\n\n\n<li>Automatizza il controllo del gatekeeper.<\/li>\n\n\n\n<li>Registrazione e prove a prova di audit.<\/li>\n\n\n\n<li>Testa il passaggio al multi-cloud fin dalle prime fasi.<\/li>\n<\/ul>\n\n<p><strong>Tabella di allocazione compatta<\/strong><\/p>\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><th>Misura<\/th><th>Scopo<\/th><th>Nota<\/th><\/tr><tr><td>Inventario dei dati<\/td><td>Trasparenza e ambito di applicazione<\/td><td>Base per l&#8217;audit GDPR<\/td><\/tr><tr><td>Recensione di MCT<\/td><td>Chiarezza contrattuale<\/td><td>Usa le bozze dell&#8217;UE e adattale a livello locale<\/td><\/tr><tr><td>Limiti del tasso API<\/td><td>Protezione contro gli abusi<\/td><td>Combinare firewall e gateway API<\/td><\/tr><tr><td>Filtro gatekeeper<\/td><td>Conformit\u00e0<\/td><td>Confronto con gli elenchi DMA<\/td><\/tr><tr><td>Regole di correlazione SIEM<\/td><td>Tracciabilit\u00e0<\/td><td>Integrazione nei playbook esistenti<\/td><\/tr><tr><td>Design dal 2026<\/td><td>Sicurezza futura<\/td><td>Accesso diretto per design<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-sophos-und-andere-plattformen\">Impatto su Sophos e altre piattaforme<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Criteri del firewall: i nuovi endpoint di dati e le API di amministrazione richiedono regole, ispezione TLS dopo la valutazione dei rischi, feed di minacce per il rilevamento delle anomalie. Inoltre, si raccomanda una segmentazione a maglie strette e l&#8217;uso di regole di controllo delle applicazioni per l&#8217;accesso basato su API. <\/li>\n\n\n\n<li>Zero Trust: zone segmentate e mTLS per l&#8217;accesso di terze parti. Inoltre, rotazione regolare dei certificati e integrazione con i fornitori di identit\u00e0 esistenti per controllare le autorizzazioni granulari. <\/li>\n\n\n\n<li>SIEM\/EDR: correla gli eventi ai rilasci di dati, in particolare i volumi o i destinatari insoliti. I casi d&#8217;uso estesi dovrebbero riguardare anche gli errori API, i tentativi di autenticazione e le query non autorizzate. <\/li>\n\n\n\n<li>Cloud: stabilisci controlli di uscita e liste di controllo contrattuali di uscita per gli scenari di switch. Inoltre, considera la pianificazione della capacit\u00e0, i test automatizzati dei processi di uscita e le politiche di classificazione e crittografia dei dati. <\/li>\n\n\n\n<li>Backup e archiviazione: i dati rilasciati ai sensi del Data Act devono essere protetti da strategie di backup e archiviazione coerenti. Ci\u00f2 consente il ripristino in caso di rilascio errato o di uso improprio. <\/li>\n\n\n\n<li>Reporting: i team IT devono creare report regolari sui flussi di dati in uscita e trasmetterli ai livelli di compliance e di gestione. Questo garantisce trasparenza e tracciabilit\u00e0. <\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-fragen\">Domande frequenti<\/h2>\n\n<p>Come distinguere tra dati personali e non personali<br \/>Vengono controllati i contesti e la collegabilit\u00e0. I dati relativi all&#8217;ubicazione e all&#8217;utilizzo sono spesso dati personali. Nessuna divulgazione senza un&#8217;adeguata base giuridica GDPR.  <\/p>\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1758009456184\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Devi fornire dati a tutte le terze parti?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Solo su richiesta dell&#8217;utente e in conformit\u00e0 ai requisiti. I gatekeeper sono esclusi. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758009465013\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quando \u00e8 obbligatorio l&#8217;accesso diretto?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Per i nuovi prodotti e servizi che verranno immessi sul mercato a partire dal 12\/09\/2026. Fino ad allora, la fornitura deve avvenire su richiesta. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758009477051\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Esistono clausole modello?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>S\u00ec, l&#8217;UE sta sviluppando MCT e SCC cloud non vincolanti; \u00e8 disponibile una dichiarazione dell&#8217;EDPB sulla bozza.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758009483756\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Che ruolo ha il cloud switching?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>La legge promuove lo switching e il multi-cloud. Le tariffe devono essere eque e non discriminatorie. <\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusione<\/h2>\n\n<p>Il Data Act sposta il controllo sui dati di prodotti e servizi all&#8217;utente e apre i mercati per i servizi di manutenzione, analisi e integrazione. Per i team IT questo significa lavorare su tre fronti: Inventario e legge dei dati, interfacce sicure e monitoraggio operativo. Inoltre, sorgono nuove responsabilit\u00e0 nelle aree della gestione della conformit\u00e0, della documentazione dei processi e della formazione dei dipendenti. Anche l&#8217;interazione con i servizi cloud e l&#8217;integrazione nelle architetture di sicurezza esistenti devono essere pianificate in una fase iniziale. Chi standardizza, automatizza e implementa le misure di sicurezza in una fase iniziale ridurr\u00e0 i costi e i rischi, posizionandosi al contempo per i futuri sviluppi normativi e per i nuovi modelli di business in un ambiente guidato dai dati.    <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"quellen\">Fonti<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/eur-lex.europa.eu\/eli\/reg\/2023\/2854\/oj\" target=\"_blank\" rel=\"noopener\">EUR-Lex: Regolamento (UE) 2023\/2854 Legge sui dati personali<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digitalpolicyalert.org\/event\/31904-european-data-protection-board-released-statement-42025-on-final-report-on-b2b-data-sharing-and-cloud-computing-contracts\" target=\"_blank\" rel=\"noopener\">Dichiarazione dell&#8217;EDPB sui Data Act MCT<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/data-act\" target=\"_blank\" rel=\"noopener\">Commissione europea, pagina dedicata al Data Act<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/eur-lex.europa.eu\/eli\/reg\/2023\/2854\/oj\" target=\"_blank\" rel=\"noopener\">EUR-Lex, Regolamento (UE) 2023\/2854<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/library\/data-act-explained\" target=\"_blank\" rel=\"noopener\">CE, Data Act spiegato, commutazione e termini equi<\/a><\/li>\n<\/ul>\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il Data Act sar\u00e0 in vigore dal 12 settembre 2025. Abbatte i silos di dati, obbliga i produttori e gli operatori a fornire l&#8217;accesso ai dati e ha un profondo impatto sui processi, dall&#8217;IoT al cloud. Potrai trarre vantaggio dall&#8217;armonizzazione dell&#8217;inventario dei dati, delle interfacce e dei controlli di sicurezza fin dalle prime fasi. Breve [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":168844,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[375],"tags":[],"class_list":["post-168889","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/168889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/comments?post=168889"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/168889\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media\/168844"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=168889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/categories?post=168889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/tags?post=168889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}