Una proposta di undici pagine

Nel marzo 1989, un ricercatore del CERN consegnò al suo responsabile una proposta di undici pagine. Il capo la rilesse e scrisse sul frontespizio quattro parole: "Vague, but exciting."¹

Non era un manifesto. Era una soluzione tecnica a un problema pratico — evitare che le informazioni si perdessero ogni volta che un collega lasciava il laboratorio. La conclusione era sobria: costruire un sistema di informazioni collegato, dove la portabilità contasse più dell'eleganza grafica. Niente di più.

Da quella proposta nacque il World Wide Web. E intorno al Web, nei due decenni successivi, si costruì una narrativa molto più grande del documento originale. La promessa della democratizzazione del sapere. L'abbattimento delle gerarchie. L'accesso universale all'informazione come strumento di liberazione collettiva.

Quella promessa non era scritta nelle undici pagine del 1989. Ma divenne il racconto dominante di un'intera epoca. E come tutti i racconti dominanti, nascondeva qualcosa che non voleva essere visto.

La tecnica non è mai stata neutrale. Ogni strumento potente tende a concentrarsi nelle mani di chi ha le competenze e le risorse per controllarlo — non di chi ne beneficia in modo diffuso.

Quando uno strumento diventa l'ambiente stesso in cui si vive e si lavora, smette di essere un mezzo e diventa una condizione. Chi lo abita senza capirlo non lo usa — ne è usato. La tecnica non tende a uno scopo, non promuove un senso, non apre scenari di salvezza: "la tecnica funziona."² E poiché funziona indipendentemente da chi la comprende, il potere si concentra naturalmente in chi la governa — non in chi la subisce.

Questo non è un problema nuovo. È la sua scala che è nuova.

La posta in gioco non era tecnica

Chi si è occupato a lungo di protezione dei dati e libertà civili nell'era digitale ha capito presto che la posta in gioco non era mai stata tecnica. Era politica. "Noi pensiamo di discutere soltanto di protezione dei dati, ma in realtà ci occupiamo del destino delle nostre società, del loro presente e soprattutto del loro futuro."³

La privacy non è una questione burocratica. È la condizione perché una persona possa ancora agire nel mondo come soggetto — non essere semplicemente agita da forze che non sa nominare. E "la semplice disponibilità di una tecnologia non legittima qualsiasi sua utilizzazione, che deve essere valutata in base a valori diversi da quelli offerti dalla tecnologia stessa."³

Ma c'è qualcosa di più profondo da capire. Non basta sapere che il sistema può essere usato contro di noi. Bisogna capire cosa accade quando non si è più in grado di leggerlo.

Il meccanismo che il Novecento ha già incontrato

Il Novecento ha già incontrato questa condizione — in forme più brutali, ma con la stessa radice. Chi ha studiato le origini dei regimi totalitari ha identificato un meccanismo preciso: quei regimi non si sono imposti su maggioranze resistenti e consapevoli. Si sono imposti su masse già frantumate, già incapaci di orientarsi.

"The truth is that the masses grew out of the fragments of a highly atomized society whose competitive structure and concomitant loneliness of the individual had been held in check only through membership in a class. The chief characteristic of the mass man is not brutality and backwardness, but his isolation and lack of normal social relationships."

L'isolamento di cui si parla non è fisico. È la perdita degli strumenti collettivi per leggere il mondo — le categorie condivise, i legami stabili, la comprensione del sistema in cui si vive. Una volta persi quelli, si perde anche la capacità di distinguere ciò che è vero da ciò che è conveniente credere, ciò che ci tutela da ciò che ci danneggia.

E quando quella capacità viene meno su scala di massa, il terreno è già pronto per chi offre certezze semplici in un sistema incomprensibile. "What prepares men for totalitarian domination in the non-totalitarian world is the fact that loneliness, once a borderline experience usually suffered in certain marginal social conditions like old age, has become an everyday experience of the evergrowing masses of our century."

La solitudine di cui si parla qui non è emotiva. È epistemica. È la condizione di chi abita un sistema di regole, poteri e asimmetrie senza avere gli strumenti per leggerlo. Chi non sa dove si trova non può difendersi. Non perché non voglia — ma perché non vede il confine tra ciò che lo protegge e ciò che lo espone.

Il Web non ha prodotto totalitarismo. Ma ha riprodotto, su scala globale e in forme inedite, quella stessa condizione di frammentazione epistemica. Miliardi di persone abitano un sistema — tecnologico, normativo, economico — che non comprendono. Non sanno quali regole li governano. Non sanno quando quelle regole vengono violate a loro danno. E spesso non sanno nemmeno che esiste un rimedio.

Questa non è una riflessione astratta. È una premessa operativa. Perché quella stessa condizione produce conseguenze concrete, misurabili, costose. Per i cittadini. Per le imprese. Per chiunque firmi un contratto, apra un sito, assuma un dipendente, venda un prodotto in un mercato digitale senza confini.

Le conseguenze per le imprese

Le grandi trasformazioni non avvisano. Arrivano attraverso dettagli tecnici che sembrano irrilevanti — finché non lo sono più.

Nel 2016 i tribunali italiani aprirono le porte al processo civile telematico. Gli atti giudiziari dovevano essere depositati digitalmente, le notifiche effettuate via PEC, i fascicoli gestiti su piattaforme ministeriali. Era una riforma necessaria. Quello che nessuno aveva calibrato con sufficienza era il costo dell'ignoranza del sistema.

Nei primi anni di applicazione, cause vennero perse non nel merito — non perché la parte avesse torto — ma per vizi procedurali tecnici invisibili a chi non conosceva le specifiche del sistema. Un formato file non conforme. Una PEC con parametri errati. Un deposito effettuato nei termini ma rifiutato per un malfunzionamento della piattaforma non documentato in tempo. Il diritto era lì. Gli strumenti per esercitarlo no — perché nessuno li conosceva abbastanza da usarli correttamente nel momento che contava.

Principio chiave

Il sistema non aveva aspettato che le persone capissero. Era già in vigore. Questa non è una storia del passato — è il modo in cui funzionano tutti i sistemi normativi nell'era digitale.

Prendete il commercio elettronico. Un imprenditore italiano che vende i propri prodotti attraverso una piattaforma digitale a clienti tedeschi, francesi, spagnoli non opera in un mercato senza regole. Opera in un sistema di regole molto preciso — ma stratificato, asimmetrico, e invisibile a chi non lo conosce. Il diritto del consumo del paese di destinazione si applica al contratto. Il GDPR si applica al trattamento dei dati del cliente. La normativa IVA OSS si applica alle transazioni transfrontaliere. Le regole sulle pratiche commerciali scorrette si applicano alle descrizioni dei prodotti. Chi vende oltre confine senza conoscere il sistema normativo che regola quelle transazioni non riesce a vedere gli effetti del proprio operato finché non si materializzano — e quando si materializzano, spesso è già tardi per mitigarli.

La distanza tra operare in un sistema e comprenderlo non è mai stata così costosa.

La stessa logica vale per chi usa strumenti di intelligenza artificiale nei propri processi aziendali. L'AI Act è applicabile. Non distingue tra chi lo conosce e chi non lo conosce. Chi usa un sistema di selezione automatica del personale, un chatbot che interagisce con i clienti, un algoritmo che determina prezzi o condizioni contrattuali è soggetto a obblighi precisi — di trasparenza, di valutazione del rischio, di documentazione. La norma non aspetta che l'impresa se ne accorga.

Il dato che non si vede

E mentre le imprese si adattano a questa nuova realtà, alcune scoperte arrivano troppo tardi — e da direzioni inaspettate.

Nel 2024 il Garante per la protezione dei dati personali ha ricevuto 2.204 notifiche di data breach. Di queste, 1.706 provenivano dal settore privato: PMI, professionisti, grandi aziende di telecomunicazioni, energia, banche. Un dato in crescita costante — erano 2.037 nel 2023 e 1.351 nel 2022.

Ma il dato più significativo non è quello che si vede. È quello che non si vede.

Il GDPR impone al titolare del trattamento di notificare al Garante una violazione dei dati personali entro 72 ore dalla scoperta. Non dalla violazione — dalla scoperta. Molte imprese non notificano non perché violino consapevolmente la norma. Non notificano perché non sanno di aver subito una violazione. Non sanno cosa costituisce tecnicamente un data breach. Non sanno che l'accesso non autorizzato a una casella email aziendale, la perdita di un dispositivo con dati di clienti, un invio massivo di comunicazioni a destinatari sbagliati sono tutti eventi che possono integrare l'obbligo di notifica. Quando il Garante interviene — spesso mesi dopo, spesso a seguito di un reclamo di terzi — l'impresa scopre di aver violato una norma che non sapeva di dover rispettare, in una forma che non sapeva di dover riconoscere.

Non è malafede. È la stessa condizione di cui parlavamo nella prima parte — applicata a un contesto operativo concreto.

Il caso EURIBOR: quando il danno è reale ma il rimedio sembra irraggiungibile

Tra il 2005 e il 2008, quattro banche europee manipolarono il tasso EURIBOR per favorire le proprie posizioni nei derivati finanziari. La Commissione Europea accertò il cartello con decisione C(2013) 8712 del 4 dicembre 2013 e comminò sanzioni per oltre un miliardo di euro. La Corte di Cassazione italiana, con ordinanza n. 34889 del 13 dicembre 2023, dichiarò nulli i tassi dei contratti indicizzati all'EURIBOR nel periodo della manipolazione.

La maggior parte dei mutuatari italiani non sapeva cosa fosse l'EURIBOR. Ma anche chi lo sapeva, nella maggior parte dei casi, non avrebbe agito. Non perché ignorasse che esisteva un rimedio — ma perché non pensava che valesse la pena cercarlo. Il costo di capire il meccanismo, trovare il professionista giusto, sostenere un contenzioso di anni contro una banca, superava nella percezione comune qualsiasi beneficio atteso. Il danno era reale. Il rimedio era lì. Ma era strutturalmente accessibile solo a chi aveva già le competenze — o le risorse — per navigarlo senza subirne il peso.

Il passato non insegna automaticamente. Insegna solo a chi ha gli strumenti per leggerlo.

La costante non cambia con la tecnologia, non cambia con il settore, non cambia con le dimensioni dell'impresa. Chi non conosce le regole del sistema in cui opera non è semplicemente meno efficiente. È strutturalmente più vulnerabile — perché non vede il danno mentre accade, non sa a chi rivolgersi quando accade, e spesso non sa nemmeno che è accaduto.

Il sistema digitale del 2026 non è meno complesso del mercato finanziario del 2008. È più complesso. E si muove più velocemente. Le norme cambiano. Le piattaforme cambiano. I requisiti tecnici cambiano. Chi presidia quella complessità per conto delle imprese non è più solo il commercialista o il consulente del lavoro. È anche chi conosce il quadro normativo digitale — e sa tradurlo in decisioni operative concrete prima che le conseguenze si manifestino.

Non si tratta di avere sempre la risposta giusta. Si tratta di sapere quando fare la domanda giusta — e a chi.

Conoscere non basta più

C'è una differenza sottile ma decisiva tra non conoscere le regole e non poterle interpretare.

Il primo è un problema di informazione — si risolve studiando, cercando, aggiornandosi. Il secondo è qualcosa di più profondo. Il sistema in cui oggi si svolge ogni attività economica rilevante non è più leggibile attraverso una sola lente. Una norma non produce effetti solo giuridici. Produce effetti economici — sul mercato, sulla concorrenza, sul valore di un'impresa. Produce effetti sociali — sui comportamenti, sulle aspettative, sui rapporti di forza tra soggetti che non si siedono mai allo stesso tavolo ma interagiscono comunque, attraverso piattaforme, algoritmi, contratti standard che nessuno legge e che tutti sottoscrivono.

Conoscere il diritto non basta più. Conoscere l'economia non basta. Conoscere la tecnologia non basta. Quello che serve — e che manca strutturalmente nella formazione di chi gestisce un'impresa, di chi prende decisioni, di chi firma contratti — è la capacità di intersecare questi piani simultaneamente. Di vedere una norma come un fatto economico. Di leggere un mercato come un sistema di regole implicite. Di capire che un algoritmo non è solo uno strumento tecnico ma un dispositivo che distribuisce potere, risorse, responsabilità tra soggetti che spesso non sanno di essere in relazione.

Questa capacità non si acquisisce una volta per tutte. Si costruisce — e si aggiorna continuamente, perché il sistema si muove più velocemente di qualsiasi aggiornamento periodico.

Arendt descriveva la condizione delle masse del Novecento come uprootedness — sradicamento. Non la mancanza di un luogo fisico, ma la mancanza di un posto nel mondo riconosciuto e garantito dagli altri. Quella condizione non richiedeva violenza per perpetuarsi. Richiedeva semplicemente che le persone continuassero a non avere gli strumenti per leggere il sistema in cui vivevano — e che quel sistema continuasse a produrre effetti indipendentemente dalla loro comprensione.

Il parallelo non è retorico. È strutturale.

Chi opera nel sistema digitale del 2026 senza la capacità di incrociare diritto, economia e società non è semplicemente meno informato. È in una posizione in cui il sistema produce effetti su di lui che lui non vede, non anticipa, non riesce a contestare — non per mancanza di intelligenza, ma per mancanza degli strumenti interpretativi necessari a leggere quella complessità.

La promessa originaria della rete era la democratizzazione dell'accesso all'informazione. Quella promessa si è in parte avverata — le informazioni ci sono, sono disponibili, sono gratuite. Ma l'accesso all'informazione non produce automaticamente la capacità di interpretarla. E nell'economia della conoscenza, la distanza tra chi ha quella capacità e chi non ce l'ha è diventata — silenziosamente, progressivamente — una delle forme più concrete di disuguaglianza del nostro tempo.

Note bibliografiche

  1. T. Berners-Lee, Information Management: A Proposal, CERN, marzo 1989. Annotazione del responsabile Mike Sendall sul frontespizio originale. Testo disponibile su w3.org.
  2. U. Galimberti, Psiche e techne. L'uomo nell'età della tecnica, Feltrinelli, 1999.
  3. S. Rodotà, Privacy, libertà, dignità, discorso conclusivo della 26ª Conferenza internazionale sulla protezione dei dati, settembre 2004. Testo disponibile su garanteprivacy.it.
  4. H. Arendt, The Origins of Totalitarianism, Harcourt, 1951, cap. X, p. 317.
  5. H. Arendt, The Origins of Totalitarianism, Harcourt, 1951, cap. XIII, p. 478.
  6. Garante per la protezione dei dati personali, Relazione sull'attività 2024, presentata alla Camera dei Deputati il 15 luglio 2025. Disponibile su garanteprivacy.it, doc-web n. 10150195.
Avv. Alessio Mantegazza
Avv. Alessio Mantegazza
Avvocato · Legal Tech Consultant · Formatore aziendale
Specializzato in GDPR, AI Act, NIS2, D.Lgs. 231/01 e fiscalità digitale. Lavoro con imprese e professionisti che operano in contesti normativi complessi. Roma e Milano.
Richiedi una consulenza →