La tua organizzazione è pronta per l’ondata normativa del 2026 e degli anni successivi?
In soli due anni, il panorama normativo europeo ha subìto una trasformazione senza precedenti. GDPR, eIDAS 2.0, DORA, NIS2, AI Act, AMLR: questi quadri normativi stanno ridefinendo profondamente il significato della conformità per le organizzazioni nel 2026 e negli anni a venire.
Le scadenze si sovrappongono, gli obblighi si moltiplicano e l’impatto coinvolge ormai molteplici funzioni aziendali.
Di fronte a questa inflazione normativa, i decisori si trovano spesso nella stessa situazione: sanno di dover essere conformi, ma faticano a capire cosa sia urgente, cosa possa attendere e, soprattutto, quali siano concretamente le implicazioni per la propria organizzazione. Non è una questione di competenza. È una questione di volume e complessità.
Questo articolo ha l’obiettivo di decodificare le normative attuali e future. Per ciascun quadro normativo chiave: una spiegazione chiara, una timeline e un impatto concreto sul business.
La conformità normativa è ormai una questione da consiglio di amministrazione.
Due anni di accelerazione normativa, e siamo solo all’inizio
Per comprendere la portata di questo cambiamento è necessario partire dal contesto. L’Unione Europea ha scelto deliberatamente di regolamentare in modo deciso per proteggere la propria sovranità digitale. Questi quadri normativi non sono concepiti soltanto per governare la tecnologia: mirano a costruire una vera infrastruttura europea della fiducia digitale, fondata sulla protezione dei dati, sulla sicurezza delle transazioni digitali, sull’interoperabilità dei servizi e sulla resilienza delle infrastrutture critiche.
Il risultato è un’accelerazione normativa che sta costringendo le organizzazioni a trasformare processi, governance e modelli operativi. Chi continua a considerare la conformità come un progetto occasionale o reattivo, gestito in compartimenti separati tra uffici legali, IT e business, sta accumulando un ritardo strutturale. E questo ritardo ha un costo reale: secondo il Ponemon Institute, la non conformità costa in media 2,71 volte più della conformità, ovvero 14,82 milioni di dollari contro 5,47 milioni di dollari all’anno.
Ecco i quattro quadri normativi che strutturano gli obblighi delle organizzazioni europee fino al 2027 e oltre:
Cosa cambia per le organizzazioni con ciascun regolamento
eIDAS 2.0: verso un’identità digitale europea interoperabile
eIDAS 2.0 è molto più di un aggiornamento tecnico. Definisce una nuova architettura della fiducia digitale in Europa, con al centro l’EU Digital Identity Wallet (EUDI Wallet), che dovrà essere implementato in tutti gli Stati membri entro la fine del 2026 e adottato dai soggetti regolamentati entro il 2027 per l’autenticazione forte degli utenti.
Per le aziende, questo significa nuovi requisiti per i servizi fiduciari e per i fornitori di firme elettroniche conformi. Solo i Qualified Trust Service Provider (QTSP), certificati secondo il diritto europeo e sottoposti a verifiche rispetto agli standard eIDAS, possono garantire la piena validità giuridica delle firme digitali e delle prove che esse producono. Non si tratta più di un’opzione: è un prerequisito per operare sul mercato. Fornitori come DocuSign o Adobe possono fornire firme elettroniche qualificate (QES) avvalendosi principalmente di QTSP di terze parti. Per le organizzazioni che operano in settori regolamentati, questa dipendenza da una catena di fiducia esterna comporta una maggiore complessità e un livello di responsabilità che esula dal rapporto con il loro fornitore principale.
L’impatto va ben oltre la firma elettronica. eIDAS 2.0 ridefinisce i requisiti per la verifica dell’identità e per i percorsi digitali dei clienti. Le organizzazioni dovranno accettare e verificare identità certificate digitalmente su scala europea, rendendo i processi di onboarding più affidabili, più rapidi e pienamente interoperabili tra gli Stati membri. Per le organizzazioni presenti in più mercati europei, si tratta di un cambiamento strutturale rilevante, in grado di standardizzare i percorsi cliente, automatizzare i controlli documentali e rendere più sicuro l’onboarding senza introdurre attriti.
Namirial: un partner di riferimento per la transizione verso eIDAS 2.0. In qualità di Qualified Trust Service Provider (QTSP) ai sensi della normativa europea, Namirial supporta i propri clienti nell’adozione dei nuovi requisiti eIDAS 2.0: firme qualificate, sigilli elettronici, marcature temporali certificate e verifica remota dell’identità. Le nostre soluzioni sono interoperabili con i sistemi europei di identità digitale e progettate nativamente per integrarsi con l’EUDI Wallet. Perché la conformità dovrebbe accelerare l’esperienza, non ostacolarla.
DORA: la resilienza operativa digitale diventa un obbligo legale
Applicabile dal 17 gennaio 2025, DORA (Digital Operational Resilience Act) riguarda direttamente il settore finanziario: istituti di credito, imprese di investimento, compagnie assicurative, fondi pensione e fornitori ICT che supportano funzioni critiche. Il suo obiettivo è chiaro: garantire che le organizzazioni finanziarie possano mantenere operative le funzioni essenziali in caso di interruzioni ICT, indipendentemente dal fatto che siano causate internamente o da terze parti.
In pratica, DORA impone controlli più rigorosi sui rischi ICT, test regolari di resilienza e una gestione attiva dei fornitori tecnologici esterni. I vertici aziendali assumono una responsabilità personale in caso di inadempienze. Non si tratta più di una questione esclusivamente IT: è un tema di governance al massimo livello.
Le soluzioni Namirial progettate per DORA. Namirial garantisce una disponibilità infrastrutturale del >99% grazie ad architetture ridondate, meccanismi di failover automatico e monitoraggio proattivo. La nostra organizzazione soddisfa i requisiti di notifica degli incidenti entro 24 ore previsti da DORA, con supporto di livello premium e un impegno alla risoluzione. In qualità di QTSP certificato ISO 27001, Namirial offre ai clienti del settore finanziario tracciabilità completa, archivi legali a prova di manomissione e piena reversibilità dei dati, tutti elementi essenziali per soddisfare i requisiti di gestione del rischio di terze parti previsti dall’articolo 30 di DORA.
AI Act: governare l’AI o accettarne i rischi
L’AI Act è entrato in vigore nell’agosto 2024 e sarà applicato progressivamente fino al 2027, forse 2028. Il suo principio fondamentale è la classificazione dei sistemi di intelligenza artificiale in base al livello di rischio. Ciò che molte organizzazioni ancora sottovalutano è che le tecnologie di verifica dell’identità, i motori di valutazione del rischio e gli strumenti di analisi documentale rientrano direttamente nel suo ambito di applicazione. Classificati come sistemi ad alto rischio, devono rispettare quattro requisiti non negoziabili:
- Trasparenza algoritmica: le decisioni devono essere spiegabili e documentate
- Supervisione umana: è richiesto il controllo umano per qualsiasi decisione automatizzata ad alto rischio
- Monitoraggio dei bias: gli algoritmi devono essere verificati per prevenire esiti discriminatori
- Tracciabilità completa: dati, modelli e decisioni devono rimanere permanentemente verificabili
L’AI responsabile secondo Namirial. Namirial integra l’intelligenza artificiale in ogni fase del ciclo di vita delle transazioni digitali: verifica intelligente dell’identità (liveness detection, analisi biometrica), controlli antifrode sui documenti, valutazione del rischio KYC. In linea con i principi dell’AI Act e del GDPR, i nostri modelli sono trasparenti, verificabili e progettati per supportare, non sostituire, il giudizio umano. Ogni decisione automatizzata resta spiegabile e tracciabile.
AMLR / AMLD6: il KYC diventa più rigoroso e automatizzato
Adottata nel maggio 2024 e applicabile da luglio 2027, la nuova normativa antiriciclaggio impone un KYC rafforzato, compreso l’uso dei servizi eIDAS forniti da fornitori di servizi fiduciari qualificati, delle identità elettroniche (eID) e degli EUDI Wallet, monitoraggio continuo del cliente lungo tutta la relazione e maggiore automazione dei controlli. La scadenza può sembrare lontana, ma le organizzazioni che non hanno ancora iniziato il proprio percorso di adeguamento stanno già accumulando un ritardo che sarà difficile recuperare.
KYC con Namirial. Namirial supporta le organizzazioni nei nuovi processi KYC conformi alle normative: con diversi metodi di identificazione, profili di rischio dei clienti, aggiornamento automatico delle valutazioni di rischio e avvisi di conformità in tempo reale. La nostra soluzione di verifica dell’identità copre documenti provenienti da oltre 200 paesi, utilizza l’intelligenza artificiale, integra più di 25 eID ed è già in grado di accettare i futuri portafogli di identità digitali europei. Dall’onboarding iniziale alla sorveglianza continua, Namirial automatizza l’intero ciclo di conformità AML.
La conformità è una questione da consiglio di amministrazione
La conformità non è più una funzione di supporto confinata agli uffici legali o IT. È diventata una priorità strategica al massimo livello dell’organizzazione, per tre ragioni fondamentali.
La prima riguarda la crescente responsabilità personale dei dirigenti. Diversi quadri normativi, tra cui NIS2, DORA e AI Act, rafforzano direttamente la responsabilità individuale degli organi di governo in caso di inadempienza. Non si tratta più di una responsabilità collettiva e astratta: è un’esposizione personale per i vertici aziendali.
La seconda riguarda l’impatto diretto sul modello di business. L’accesso al mercato europeo dipende ormai dalla capacità di dimostrare la conformità. Nei settori altamente regolamentati, come servizi finanziari, assicurazioni, sanità, energia e telecomunicazioni, la conformità è diventata un criterio decisivo nella selezione di fornitori e partner.
La terza riguarda il rischio sistemico della non conformità. Sanzioni finanziarie, danni reputazionali e interruzioni operative possono avere un impatto duraturo sull’organizzazione e sui suoi risultati economici.
La domanda che le organizzazioni devono porsi oggi è: «Siamo strutturati per integrare la conformità come leva di performance e resilienza?»
Due approcci di fronte all’accelerazione normativa
In questo contesto, le organizzazioni si trovano davanti a una scelta strategica chiara, con conseguenze molto concrete sulla loro competitività nel medio termine.
L’approccio reattivo: affrontare la conformità caso per caso, considerandola un centro di costo e gestendola in silos. Questo approccio porta tipicamente a scadenze mancate, progetti di adeguamento avviati sotto pressione, costi elevati e significativi rischi operativi.
Compliance by Design: integrare la conformità fin dall’inizio nei processi aziendali, nelle architetture IT e nei percorsi cliente, invece di aggiungerla successivamente. Le organizzazioni che adottano questo approccio migliorano l’efficienza, riducono i costi di conformità e rafforzano la fiducia di partner, clienti e autorità di regolamentazione. Anticipano i cambiamenti mentre i concorrenti si limitano a reagire.
Non si tratta di una distinzione teorica. Secondo diverse analisi di settore, le istituzioni che adottano soluzioni RegTech possono ridurre i costi operativi della conformità dal 20% al 40% (LexisNexis Risk Solutions, True Cost of Financial Crime Compliance Report 2023).
Namirial: un partner con Compliance by Design. La nostra architettura modulare API-first consente alle organizzazioni di collegare processi di identità, firma, gestione documentale e conformità con il minimo attrito. Integrando sovranità europea, trasparenza e automazione in ogni workflow, Namirial trasforma la conformità in un catalizzatore dell’innovazione, non in un vincolo. Il completamento del mercato unico europeo potrebbe generare fino a 1.000 miliardi di euro di crescita aggiuntiva nel prossimo decennio. Le organizzazioni che adottano oggi un modello integrato di fiducia digitale saranno quelle meglio posizionate per cogliere questa opportunità.
I 3 errori da evitare nella preparazione ai cambiamenti normativi
1. Trattare ogni regolamento separatamente. È il riflesso più comune e più costoso. Un progetto eIDAS gestito dall’IT, un’iniziativa DORA guidata dal CISO, un programma AI Act affidato all’ufficio legale: il risultato è un accumulo di ridondanze, punti ciechi e costi finali molto più elevati rispetto a quelli di un approccio integrato. Questi quadri normativi condividono gli stessi requisiti fondamentali: tracciabilità, verificabilità e sovranità, e meritano quindi un approccio coerente.
2. Aspettare una notifica di controllo o di enforcement. Le organizzazioni che avviano progetti di conformità sotto la pressione di un audit o di una notifica regolatoria pagano molte volte il prezzo dell’inazione: costi di remediation elevati, rischi operativi significativi e perdita di credibilità nei confronti delle autorità di vigilanza. Anticipare è una necessità strategica.
3. Affidare i dati a un fornitore al di fuori della giurisdizione europea. Il CLOUD Act statunitense del 2018 consente alle autorità americane di accedere ai dati detenuti da aziende soggette alla loro giurisdizione, indipendentemente dal luogo in cui tali dati siano archiviati. In un contesto in cui eIDAS 2.0 e GDPR rafforzano i requisiti di sovranità, collaborare con un fornitore non certificato secondo il diritto europeo rappresenta un rischio normativo e geopolitico significativo. Non si tratta di una preoccupazione teorica: fornitori come DocuSign sono società costituite secondo il diritto statunitense e soggette al CLOUD Act. Ciò significa che dati sensibili relativi all’identità e documenti firmati elaborati attraverso le loro piattaforme possono essere accessibili alle autorità statunitensi, indipendentemente dal luogo in cui tali file sono fisicamente conservati. Con eIDAS 2.0 che innalza ulteriormente gli standard di validità giuridica, le organizzazioni dovrebbero chiedersi se il proprio fornitore controlli l’intera catena della fiducia o la deleghi a terzi.
Namirial: un QTSP soggetto alla giurisdizione europea. In qualità di Qualified Trust Service Provider verificato secondo gli standard eIDAS e certificato ISO 27001, Namirial garantisce che i dati sensibili relativi all’identità e alle firme restino sotto giurisdizione europea. La nostra infrastruttura è progettata secondo principi di sovranità digitale e protegge i clienti dai rischi derivanti da normative extraterritoriali come il CLOUD Act statunitense.
In conclusione: a che punto è la tua organizzazione?
La vera domanda che i decisori devono porsi oggi non è: «Siamo conformi?», bensì: «Siamo strutturati per assorbire l’inflazione normativa già in corso?»
Le organizzazioni europee dispongono di un vantaggio che molti ancora sottovalutano. Il quadro normativo europeo non è un peso amministrativo: è un potente standard di fiducia digitale, sempre più riconosciuto come criterio determinante nelle relazioni commerciali internazionali. Le organizzazioni che lo considerano un asset strategico, anziché un centro di costo, costruiscono un vantaggio competitivo strutturale e duraturo.
Namirial: il tuo partner per la fiducia digitale nel 2026 e oltre.
In qualità di QTSP certificato e leader europeo nelle soluzioni di Digital Transaction Management (DTM), Namirial supporta le organizzazioni nel rispetto degli obblighi normativi legati a eIDAS 2.0, DORA, AI Act e AMLR. Le nostre soluzioni coprono l’intero ciclo di vita delle transazioni digitali, dalla verifica dell’identità all’archiviazione a valore legale, affinché la conformità diventi un acceleratore di crescita responsabile.
Per approfondire, scarica il white paper “Building the Future of Digital Trust” e valuta il livello di maturità della tua organizzazione attraverso il Compliance Maturity Framework.
