Il paradosso del piccolo, visto da Pescara #
Lavoro in una piccola-media impresa tech a Pescara. Siamo una dozzina, non cinquanta, non duecento. Facciamo software per clienti diversi, dalla pubblica amministrazione a piattaforme SAAS, e la cosa che ci tiene in piedi, da sempre, è una specie di ossessione per la solidità. Architetture pensate, codice che regge, sistemi che non si sbriciolano quando qualcuno ci mette dentro dati veri, soldi veri, decisioni vere.
Eppure, negli ultimi mesi, mi sono ritrovato a pensare una cosa un po’ amara: è un momento brutale per avere idee. Non perché manchi la creatività, anzi. Il problema è che spesso la creatività arriva insieme a una sensazione di impotenza.
La sindrome del “l’hanno già fatto” #
Succede così, con una regolarità quasi comica.
Lunedì mattina, brainstorming. Qualcuno butta lì un’idea. Ci accendiamo, iniziamo a immaginare come farla bene, quale sarebbe l’architettura giusta, dove stanno i rischi, come la venderemmo senza raccontarcela.
Poi arriva mercoledì sera. Scroll su LinkedIn, o su Hacker News, e lì c’è l’annuncio: Google, Microsoft, OpenAI, oppure una startup appena finanziata con cifre che noi vediamo solo nei round raccontati nei podcast, ha appena presentato la stessa cosa. O qualcosa di sufficientemente simile da rendere la nostra idea, agli occhi del mercato, un clone in ritardo.
Non è nemmeno una questione di “ci hanno copiato”. È più banale e più deprimente: loro hanno la scala. E in questa fase storica, la scala sembra contare più di tutto.
Mi chiedo spesso se non stiamo entrando in un’epoca in cui l’innovazione, quella vera, diventa quasi un lusso riservato a chi può permettersi di sbagliare velocemente e in pubblico.
Quando non ti battono perché sono migliori, ma perché sono più veloci #
Fin qui sarebbe già frustrante. Ma c’è un livello ulteriore, più difficile da digerire.
Perché non sempre ti battono sul tempo con un prodotto migliore. A volte ti battono con qualcosa di mediocre, spedito in fretta, con test minimi e una fiducia quasi arrogante nel fatto che il brand reggerà comunque.
Il “vibe coding”, che fino a poco fa sembrava un gioco da indie hacker, è entrato nelle enterprise. E non parlo del junior che usa copilot per scrivere un componente. Parlo di team interi che generano pezzi enormi di applicazione con prompt, fanno due prove al volo e poi mettono tutto in produzione.
Negli ultimi mesi ho visto piattaforme con falle che fanno venire i brividi. Xss che si becca in cinque minuti, api senza rate limiting, flussi di pagamento senza idempotenza, gestione dei dati personali che probabilmente farebbe impallidire chiunque abbia mai fatto il DPO sul serio.
Eppure sono lì. Sul mercato. Con utenti. Con fatturato.
Il messaggio implicito, che ti arriva addosso anche se non vuoi ascoltarlo, è questo: la qualità non conta, conta la velocità.
E se la qualità non conta, allora noi piccoli, che sulla qualità ci costruiamo la reputazione e spesso pure la sopravvivenza, che spazio abbiamo?
L’epifania di Bruxelles (che non mi aspettavo) #
Qui arriva la parte che, fino a un paio d’anni fa, non avrei mai pensato di scrivere.
Per molto tempo ho guardato alla regolamentazione europea con fastidio. Il GDPR nel 2018 mi era sembrato un macigno: tanta fatica per chi già lavorava bene, mentre i grandi continuavano a fare i loro comodi e, al massimo, pagavano multe che per loro erano spiccioli.
Poi però ho iniziato a guardare il quadro che si sta formando adesso. E ho avuto una sensazione strana, quasi controintuitiva: forse Bruxelles è una delle poche armi che ci restano.
Non perché “la burocrazia è bella”, ci mancherebbe. Ma perché quello che sta prendendo forma non è un regolamento isolato. È un ecosistema normativo integrato che cambia il metro con cui si compete.
Se l’Europa è fatta al 80% di PMI, e se vuole che queste PMI sopravvivano nell’era dell’AI, allora deve fare una cosa semplice e difficilissima: evitare che la dimensione sia l’unico vantaggio competitivo.
E, nel bene e nel male, è esattamente quello che sta provando a fare.
Sette norme, un’unica direzione #
Le elenco, sì, ma con un’idea precisa: non leggerle come “sette obblighi”. Prova a leggerle come una strategia industriale.
AI Act, il grande livellatore verso l’alto #
L’AI Act è in vigore dal 1° agosto 2024, con applicazione progressiva. Divieti da febbraio 2025, obblighi per sistemi ad alto rischio da agosto 2026.
La cosa interessante è che non dice “non fate AI”. Dice “fatela bene”. Classifica i sistemi per rischio, e dove il rischio è alto chiede cose che, a dirla tutta, dovrebbero essere normali: gestione del rischio, qualità dei dati, supervisione umana, documentazione, trasparenza.
Per una PMI che già lavora in modo ordinato, la compliance è spesso un delta gestibile. Non gratis, certo. Ma gestibile.
Per chi ha messo in produzione un sistema critico costruito in tre settimane senza sapere davvero cosa fa, diventa un abisso. Devi ripensare processi, governance, architettura. Devi rallentare.
Ed è qui che l’AI Act diventa, paradossalmente, pro PMI. Non perché protegge i piccoli in quanto piccoli, ma perché premia chi ha già una cultura del “facciamolo bene”.
C’è anche un punto che mi interessa molto sui modelli general purpose: obblighi di trasparenza e documentazione per i provider, soprattutto per i modelli con rischio sistemico. Tradotto: se io costruisco un prodotto su un modello fondazionale, ho più diritto a sapere limiti, rischi e contorni. Oggi spesso lo capisci solo leggendo paper e post aziendali.
Cyber Resilience Act, la fine del “funziona, non toccarlo” #
Il CRA è in vigore dal 10 dicembre 2024. Obblighi di segnalazione da settembre 2026, piena applicazione da dicembre 2027.
Qui la musica cambia davvero: se metti sul mercato europeo un prodotto con elementi digitali, sei responsabile della sicurezza lungo il ciclo di vita. Aggiornamenti di sicurezza per almeno cinque anni, gestione documentata delle vulnerabilità, segnalazioni rapide, e soprattutto sbom.
Lo sbom, detto senza romanticismi, è un inventario: sapere cosa c’è dentro il tuo software, incluse le dipendenze. Quando esce una CVE critica, non devi fare archeologia. Lo sai.
E sai chi spesso è già strutturato così? Le PMI che hanno stack moderni, pipeline decenti, dipendenze tracciate.
Chi invece soffre? Le organizzazioni enormi con anni di debito tecnico, applicazioni legacy intoccabili, componenti fermi al 2016, e nessuno che abbia davvero la mappa del territorio.
Il CRA rende la manutenzione una cosa non più “se avanza tempo”, ma un dovere. E improvvisamente l’attenzione maniacale agli aggiornamenti smette di essere una fissazione personale e diventa una postura competitiva.
Product Liability Directive, il software non è più intoccabile #
La nuova PLD è stata adottata nel 2024 e gli stati membri devono recepirla entro dicembre 2026.
Qui confesso che un po’ di paura ce l’ho. Perché estende la responsabilità da prodotto difettoso anche al software. E in alcuni casi introduce meccanismi come l’inversione dell’onere della prova: se c’è un nesso plausibile tra difetto e danno, il produttore deve dimostrare che il prodotto non era difettoso.
Ora, immagina un’azienda che ha spedito un’app finanziaria senza test seri, senza code review, senza documentazione. Se succede un danno, come lo dimostra?
Una PMI che lavora con CI, test automatici, review tracciabili, decisioni architetturali annotate, changelog e release note, si ritrova con una cosa preziosa che non aveva chiamato così: un fascicolo difensivo.
La PLD, nel concreto, trasforma la qualità del processo in uno scudo legale.
European Accessibility Act, il web non è solo per chi ci vede bene #
L’EAA si applica già dal 28 giugno 2025.
Accessibilità significa WCAG 2.1 AA come riferimento: semantica, contrasto, tastiera, screen reader, alternative testuali. Non la “pagina bella”, la pagina usabile anche da chi ha disabilità.
Chi ha sempre trattato l’accessibilità come requisito, parte avvantaggiato. Chi ha costruito interfacce splendide e inutilizzabili con uno screen reader, deve correre.
E qui c’è un’opportunità molto concreta: l’accessibilità diventa un servizio. Audit, remediation, design system accessibili. C’è anche l’esenzione per le microimprese, che è un dettaglio interessante: puoi essere abbastanza piccolo da non essere obbligato in certi casi, ma abbastanza competente da aiutare gli altri.
NIS2, la cybersecurity non è più opzionale #
La NIS2 doveva essere recepita entro ottobre 2024, e in italia il recepimento è arrivato. L’applicazione è progressiva.
La parte che colpisce le PMI non è solo “se rientri o no”. È l’effetto supply chain. Se il tuo cliente è soggetto NIS2, ti chiederà garanzie. Procedure. Incident response. Misure.
La sicurezza diventa un prerequisito commerciale. Se non dimostri una postura seria, non lavori con certi clienti. Punto.
E anche qui, chi ha investito prima, magari con fatica e senza gloria, si ritrova avanti.
Data Act, i dati generati sono anche tuoi #
Il Data Act è in vigore dall’11 gennaio 2024 e si applica dal 12 settembre 2025.
Il concetto, detto semplice, è questo: i dati generati dall’uso di un prodotto connesso devono essere accessibili all’utente e, su richiesta, condivisibili con terze parti.
Per chi vive di lock-in, è una scossa. Per le PMI può essere un varco enorme: se i dati devono essere portabili, qualcuno deve costruire le infrastrutture, le API, i connettori, i formati.
È quasi una norma anti-lock-in. E molte PMI, banalmente, non hanno mai avuto la forza di fare lock-in aggressivo. Ora quella “mancanza” può diventare un vantaggio.
DMA e DSA, i gatekeeper con regole diverse #
Il DMA è pienamente applicabile da marzo 2024, il DSA da febbraio 2024.
Qui il punto è politico ma molto concreto: i gatekeeper non possono più giocare con la stessa impunità di prima. Interoperabilità, divieti di auto-preferenza, più trasparenza.
È sufficiente? Probabilmente no. Mi aspetto scappatoie, interpretazioni creative, avvocati molto ben pagati.
Però cambia un principio: essere grandi non ti dà automaticamente il diritto di barare.
Messo insieme, non è compliance: è un cambio di metrica #
Se guardo queste norme come un insieme, vedo un messaggio abbastanza chiaro.
Nel mercato europeo, l’idea è che vinca chi fa le cose bene.
Bene significa: AI trasparente e supervisionata, software mantenuto e sicuro, responsabilità reale quando fai danni, accessibilità come requisito, cybersecurity come pratica quotidiana, dati meno bloccati, piattaforme dominanti più controllate.
E, quasi senza volerlo, questa direzione valorizza alcune caratteristiche tipiche delle PMI serie: attenzione al dettaglio, vicinanza al cliente, stack più aggiornati, meno legacy intoccabile, meno incentivi al “buttiamo fuori e poi si vede”.
Però la realtà non è tutta rosa #
Sarebbe disonesto dire che la compliance è gratis. Costa tempo, costa soldi, costa focus. E in una azienda di medie (o piccole) dimensioni ogni ora spesa su documentazione e processi è un’ora che non va su prodotto.
C’è anche un rischio reale: che la compliance diventi, ancora una volta, un vantaggio dei grandi, quelli che possono permettersi dipartimenti legali e piattaforme di governance.
Ma qui, forse, l’Europa ha capito un punto: la proporzionalità. Molte norme distinguono per rischio e dimensione. E poi c’è un’altra strada, che mi sembra molto concreta: trasformare la compliance in servizio.
Se capisci davvero CRA, AI Act, NIS2, EAA, non solo come “spunte”, ma come implicazioni tecniche, puoi venderlo. Sbom, audit, hardening, governance AI, assessment di accessibilità. La compliance smette di essere solo un costo e diventa una competenza di mercato.
Quello che farei lunedì mattina, davvero #
Non voglio chiudere con la morale. Preferisco chiudere con cose pratiche, perché forse è lì che le PMI possono aiutarsi a vicenda.
Noi stiamo provando a costruire un framework interno unico, non sette processi separati. Per forza, siamo piccoli. E questa volta essere piccoli è un vantaggio, perché non possiamo permetterci silos. La documentazione che serve per il CRA aiuta anche con la PLD. Lo sbom serve per CRA, ma diventa anche una base utile per richieste in stile NIS2. La logica risk-based dell’AI Act si incastra bene con l’approccio del GDPR.
Stiamo anche cercando di trattare la compliance come prodotto, non solo come adempimento. Se un cliente deve adeguarsi, qualcuno deve accompagnarlo. E se lo accompagni bene, non stai vendendo “burocrazia”. Stai vendendo riduzione del rischio, continuità operativa, reputazione.
Poi c’è la formazione. Non quella fatta di slide e basta. Formazione per capire il perché delle regole, perché se capisci il perché, la checklist serve meno. Ragioni meglio quando arriva il caso strano, quello che non è scritto da nessuna parte.
E infine la rete. Template, processi, lesson learned condivisi. La compliance non è un gioco a somma zero. Se il tuo ecosistema è più solido, lo sei anche tu.
Forse è questo il punto: non dobbiamo chiedere scusa per essere piccoli #
Non ho illusioni. Le big tech investiranno in compliance, troveranno modi per adattarsi, faranno lobbying, cercheranno interpretazioni favorevoli.
Però qualcosa è cambiato: l’Europa sta dicendo che, nel suo mercato, la velocità senza responsabilità non è più un superpotere.
E per chi, come noi, ha sempre costruito con cura non per virtù ma per necessità, questa è una notizia strana e bella. Forse non dobbiamo diventare più grandi. Forse dobbiamo solo continuare a fare le cose con attenzione e responsabilità.
Solo che adesso, finalmente, c’è qualcuno che prova a far contare questa scelta.