La sentenza della Corte di Giustizia dell’Unione europea del febbraio 2025 sul credit scoring automatizzato non riguarda solo le banche. È, in realtà, un segnale diretto a tutto il sistema economico che vive di algoritmi e dati. La Corte ha chiarito che laddove una decisione automatizzata produce effetti significativi sulla vita di una persona, come la concessione di un prestito, la valutazione della solvibilità o l’accesso a un servizio, siamo di fronte a un trattamento di dati personali disciplinato dall’articolo 22 del GDPR.

Ciò implica che non basta fornire un’informativa tecnica sull’uso dell’IA: occorre che l’interessato comprenda realmente la logica e le conseguenze della decisione, e che sia garantita la possibilità di un intervento umano capace di verificare e, se necessario, correggere il risultato. È un cambio di prospettiva profondo. La trasparenza non può più essere solo formale, ma deve diventare sostanziale.

Sentenza UE e Art. 22 GDPR: quando la decisione automatica diventa responsabilità sostanziale

Questo principio, nato in ambito creditizio, si estende ben oltre il settore bancario. Riguarda chiunque utilizzi sistemi di intelligenza artificiale per profilare, classificare o prevedere comportamenti umani: assicurazioni, piattaforme di e-commerce, società di selezione del personale, agenzie immobiliari e, soprattutto, chi si occupa di marketing digitale. Ogni volta che un algoritmo decide quali offerte mostrare, a chi inviare una newsletter o come segmentare un pubblico, sta elaborando dati personali e costruendo profili che possono influenzare scelte economiche e perfino reputazionali.

Per le piccole imprese, spesso affascinate dalle promesse dell’IA “chiavi in mano”, questa sentenza è un richiamo alla cautela. Anche un semplice software di marketing automatizzato, se gestisce dati di clienti e li usa per personalizzare comunicazioni o offerte, rientra pienamente nel perimetro del GDPR. La leggerezza con cui molte PMI adottano strumenti di profilazione senza comprenderne il funzionamento reale — o senza sapere dove e come vengano trattati i dati — espone a rischi legali che non possono più essere ignorati.

Il messaggio, dunque, è chiaro: la Corte ha stabilito un principio che trasforma il modo di intendere l’uso dell’intelligenza artificiale nel business. Non è più solo una questione di innovazione tecnologica, ma di responsabilità giuridica e culturale. Ogni impresa, grande o piccola, dovrà imparare a governare i propri algoritmi con la stessa consapevolezza con cui amministra le proprie risorse economiche.

DORA e Cybermetrica: dagli obblighi delle banche alla modernizzazione delle PMI 

Le piccole e medie imprese saranno probabilmente le più esposte a questa nuova ondata regolatoria. Dovranno confrontarsi con parametri e obblighi nati per soggetti di dimensioni e complessità ben maggiori, come quelli imposti dal DORA. È facile prevedere che molte realtà imprenditoriali troveranno difficoltà ad applicare in modo diretto queste regole, spesso pensate per istituti finanziari e infrastrutture critiche.

Tuttavia, la prospettiva giusta non è quella della resistenza, ma dell’adattamento: prendere tali standard come punto di riferimento, non come ostacolo. In quest’ottica, il DORA e l’intero impianto europeo di resilienza digitale possono diventare strumenti di modernizzazione della gestione aziendale. Se interpretati con intelligenza, rappresentano una guida per introdurre procedure più ordinate, sistemi di controllo più affidabili e una cultura del rischio finalmente misurabile.
È qui che può trovare applicazione la Cybermetrica: un approccio che consente di tradurre le norme tecniche e i principi di compliance in parametri operativi, misurando il livello di sicurezza, la maturità digitale e la capacità di risposta dell’impresa.

L’obiettivo non è solo essere conformi, ma diventare prevedibili, resilienti e più consapevoli del proprio perimetro digitale.