Nel 2026 non si possono più tenere chiusi i dati dei propri clienti.
È la traduzione sobria di ciò che entra in vigore il 12 settembre 2026: l’articolo 3(1) del regolamento (UE) 2023/2854 — il Data Act europeo. Da quel giorno, chiunque costruisca un sensore, colleghi una macchina, distribuisca un’app che genera dati deve ricordare, fin dal primo schizzo, che quei dati appartengono all’utente — e devono restare raggiungibili per lui.
Non è un tema nuovo. È una data di scadenza.
Cosa valeva prima, cosa vale da settembre
Il regolamento è in vigore dal gennaio 2024. Il primo blocco di obblighi è arrivato il 12 settembre 2025: diritto di accesso ai dati per gli utenti di prodotti esistenti, condizioni eque di cambio cloud, tutela dalle clausole abusive nei contratti B2B. La maggior parte delle piccole strutture non lo ha sentito: la pressione veniva dall’alto della filiera, dove i grandi fabbricanti hanno dovuto reagire. Le PMI a valle ne hanno tratto vantaggio senza accorgersene.
Il 12 settembre 2026 cambia il destinatario.
Da quel giorno l’obbligo di progettazione vale per ogni nuovo prodotto connesso immesso sul mercato dell’UE. „Data by design" è la formula ufficiale. Tradotto: se il suo prodotto genera dati — e oggi quasi ogni prodotto lo fa, dal regolatore di riscaldamento al sistema di officina — allora l’acquirente deve essere tecnicamente in grado di accedervi senza chiederle il permesso.
Sembra accademico. È una bomba.
Cosa significa per tre case tipiche
Costruttore di macchine con componente IoT. Chi vorrà vendere nel 2027 una centralina d’officina connessa dovrà aver deciso entro settembre 2026: quali dati produce il dispositivo? Chi può raggiungerli? Come ci accede l’acquirente senza passare dal nostro backend? Chi non risolve, ha un prodotto che non è più vendibile legalmente nell’UE — non perché arriva un ispettore, ma perché il primo grande cliente lo chiede nel capitolato.
Software house con servizio cloud. Cosa accade se un cliente dice: „Mi prendo due anni di dati macchina e vado altrove"? Se la risposta è „tecnicamente solo con il piano Premium", da settembre 2026 lei è esposto. Il Data Act vieta le barriere artificiali al cambio. I dati appartengono al cliente, non al contratto.
Software associativo, gestione di studi, IT di officina. La soglia è più bassa di quanto si pensi. Non appena il suo software produce dati per altre imprese — dati di soci, di pazienti, di ordini — lei fa parte della filiera. L’obbligo non si ferma ai grandi nomi industriali. Si ferma all’ultimo bit prodotto da una persona o da una macchina nel prodotto.
Perché si incontra con il CLOUD Act
Il Data Act dice: i dati appartengono all’utente. Il CLOUD Act del 2018 dice: le autorità statunitensi possono accedere ai dati controllati da imprese statunitensi, ovunque si trovi il server. Schrems II dice dal 2020: il diritto statunitense non offre un livello di protezione adeguato ai dati europei.
Se nel 2026 lei costruisce un prodotto connesso e ne deposita i dati presso un hyperscaler statunitense — anche in „regione UE" — il suo cliente si trova davanti a un conflitto che non può risolvere da solo. Il suo diritto d’accesso incontra il diritto di un’autorità straniera di interromperlo. Decide l’architettura, non il contratto.
È precisamente la trappola in cui sono caduti molti piccoli operatori negli ultimi cinque anni. Hanno scelto grandi piattaforme statunitensi perché era veloce ed economico. Hanno legato così la propria architettura dei dati a un regime giuridico in tensione con il Data Act. A settembre 2026, quella tensione diventa visibile — non in tribunale, ma nel prossimo capitolato del cliente.
Cosa rende possibile un’architettura diversa
Una spina dorsale operativa che gira su server che lei controlla non è una dichiarazione politica. È una risposta tecnica a una domanda giuridica. I dati dei suoi clienti stanno dove lei può raggiungerli — non dove può raggiungerli un procuratore di un altro Paese. Le interfacce sono documentate. Le esportazioni sono integrate. Il cambio di fornitore è possibile perché il formato è aperto — non perché una clausola lo promette.
È la forma di chiarezza che il Data Act chiede all’economia europea nel 2026. Non come gesto. Come condizione per continuare a vendere.
La domanda onesta
Si immagini che a ottobre 2026 un grande cliente le chieda durante un audit: „Dove stanno esattamente i nostri dati, e ci arriviamo senza passare da lei?" Qual è la sua risposta?
Se la risposta è „sì", tutto bene. Se la risposta è una spiegazione, dovrebbe iniziare oggi.
E adesso?
Cosa fa Tycho Platform di diverso — spina dorsale operativa sul suo server →
Tre domande, una risposta — il check di libertà digitale →
Leggi anche: L’Europa risponde al CLOUD Act →
Questo articolo descrive il regolamento (UE) 2023/2854 nella versione applicabile dal 12 settembre 2026. Non sostituisce una consulenza legale. Per una situazione concreta si rivolga a un avvocato specializzato in diritto delle tecnologie.