Vai al contenuto
Cerca

Glossario

Glossario

Le parole che usiamo su Sovrani Digitali, spiegate in modo che siano chiare anche a chi non lavora nel settore. In aggiornamento.

A

AI Act

Legge europea del 2024 sull'intelligenza artificiale. Divide i sistemi di AI in fasce di pericolosità: quelli inaccettabili (per esempio il punteggio sociale come in Cina) sono vietati, quelli ad alto rischio (riconoscimento facciale, decisioni automatiche su lavoro o credito) hanno regole stringenti, quelli a basso rischio sono liberi. Chi vende AI in Europa deve adeguarsi: in caso contrario, multe fino al 7% del fatturato mondiale.

Age verification europea (specifica)

La specifica tecnica con cui l'Unione Europea definisce come deve funzionare la verifica dell'età online. È pensata come soluzione-ponte: serve ad attuare l'articolo 28 del DSA, che obbliga le piattaforme a misure di protezione dei minori, in attesa che i wallet di identità digitale europea (EUDI Wallet) siano disponibili a fine 2026. Il documento è pubblicato su un repository GitHub aperto. Le scelte fatte lì decidono cosa potranno e non potranno fare le 27 app nazionali che ogni Stato membro produrrà.

B

Bossware

Programmi che monitorano i lavoratori dipendenti tramite il loro PC: tempo passato davanti allo schermo, app aperte, parole digitate, schermate registrate ogni X minuti. Comuni in USA, dove sono legali. In Europa il GDPR e lo Statuto dei Lavoratori li limitano fortemente: serve quasi sempre accordo sindacale e informativa preventiva. Se il tuo datore di lavoro li usa senza dirtelo, sta probabilmente violando la legge.

C

CBDC

Sigla per "Central Bank Digital Currency" — moneta digitale emessa direttamente dalla Banca Centrale (per noi la BCE), non dalle banche commerciali. Differenza con i normali soldi sul conto: la banca centrale può vedere ogni tua spesa, può mettere scadenze sul denaro ("questi 100 euro li devi spendere entro un mese o spariscono") e può bloccarli selettivamente. La BCE sta lavorando all'euro digitale, previsto dal 2029.

CLOUD Act

Legge americana del 2018 che obbliga aziende USA come Microsoft, Google, Amazon e Apple a consegnare i dati dei clienti alle autorità statunitensi quando glielo chiedono, anche se quei dati sono fisicamente archiviati in Europa. È il motivo principale per cui un'azienda europea che usa cloud americano non è davvero a norma GDPR, anche con i data center in Irlanda o Francia.

Cloud repatriation

Riportare i dati e i programmi aziendali dal cloud americano (Azure di Microsoft, AWS di Amazon, Google Cloud) a server controllati da te o da un fornitore italiano/europeo. Si fa per tre motivi: i prezzi del cloud sono cresciuti molto negli anni, i dati restano sotto giurisdizione USA, le performance dipendono dalla connessione internet. Sempre più aziende scelgono di tornare a casa.

D

Dark pattern

Trucchi grafici che ti spingono a scelte che non vorresti fare. Esempi: il bottone "Accetta tutti i cookie" colorato grande e in evidenza, mentre "Rifiuta" è in piccolo grigio fuori vista. L'iscrizione a una prova gratuita che si rinnova in automatico e per disdire devi telefonare. La domanda capziosa "Sei sicuro di voler perdere tutti questi vantaggi?" quando provi a cancellare l'abbonamento. Dal 2024 vietati in Europa dal DSA, ma trovarne è ancora facile.

DMA — Digital Markets Act

Legge europea del 2022 che obbliga le grandi piattaforme digitali (Apple, Google, Meta, Amazon, Microsoft, TikTok) a giocare pulito. Esempi concreti: Apple deve permettere agli sviluppatori di vendere app fuori dall'App Store, WhatsApp deve diventare compatibile con Telegram e Signal, Google Search non può favorire i suoi servizi nei risultati. La legge inizia a mostrare effetti concreti dal 2024.

DSA — Digital Services Act

Sorella del DMA, sempre del 2022. Si concentra sul contenuto delle grandi piattaforme online: obbliga a rimuovere contenuti illegali in tempi brevi, a spiegare come funzionano gli algoritmi che ti mostrano i post, a vietare i dark pattern, a non profilare i minori per la pubblicità. Si applica a Facebook, Instagram, TikTok, X, YouTube, Amazon, Google e oltre venti piattaforme molto usate.

E

Enshittification

Termine inventato dal giornalista Cory Doctorow nel 2022 per descrivere il ciclo di vita tipico delle piattaforme online. Fase 1: la piattaforma è gratuita e fantastica per attirare utenti (Facebook nel 2008, Google nel 2005). Fase 2: peggiora per gli utenti pur di favorire chi paga (inserzionisti, venditori). Fase 3: peggiora anche per chi paga, pur di estrarre più soldi possibile per gli azionisti. Vale per Facebook, Twitter/X, Uber, Amazon, Airbnb, Reddit. Tradotto liberamente: "il processo per cui ogni piattaforma di internet finisce per fare schifo".

F

FOSS

Sigla per "Free and Open Source Software" — software libero e open source. È software che chiunque può usare gratis, ma soprattutto può vedere come è fatto dentro, modificarlo, e ridistribuirlo. La parola "free" qui significa "libero", non "gratis": riguarda il controllo sul software, non il prezzo. Esempi famosi: Linux (sistema operativo), LibreOffice (alternativa a Microsoft Office), Nextcloud (alternativa a Google Drive), Firefox (browser).

G

GDPR

Sigla per "General Data Protection Regulation" — la legge europea che protegge i tuoi dati personali. In vigore dal 25 maggio 2018, ha introdotto: il diritto di sapere quali dati hai presso un'azienda e di chiederli indietro, il diritto di farli cancellare ("diritto all'oblio"), l'obbligo per le aziende di chiederti consenso esplicito prima di tracciarti, multe fino al 4% del fatturato mondiale per chi viola le regole. È il motivo per cui i siti ti chiedono "accetti i cookie?".

Google Play Integrity

Una API proprietaria di Google che attesta se un dispositivo Android è "autentico": sistema operativo originale, non modificato. Le app la usano per impedire frodi e manipolazioni. Il problema: se un'app europea di identità o verifica dell'età dipende da Play Integrity, Google diventa parte dell'infrastruttura. Chi usa un sistema operativo Android alternativo (per scelta di privacy o software libero) viene escluso. È una delle poche soluzioni anti-manipolazione mature su Android, ma il prezzo è cedere il controllo dell'infrastruttura a un soggetto privato extra-europeo.

L

Lock-in

Quando un fornitore ti rende difficile o costoso cambiare. Esempio classico: usi Microsoft 365 da cinque anni, hai migliaia di file in formato proprietario, l'integrazione con il gestionale è stata fatta su misura, il personale è formato solo su quello strumento. Anche se Microsoft raddoppia i prezzi, cambiare ti costa di più che restare. È una trappola progettata, non un caso. Vale per cloud, software gestionali, social network, servizi finanziari.

O

On-premises

"On-premises" significa "nei locali fisici dell'organizzazione". Cioè i server stanno in azienda — un armadio in stanza tecnica, un piccolo computer dietro la scrivania — non in un data center remoto. È l'alternativa al cloud per chi vuole avere fisicamente in mano i propri dati. Tipico di studi medici, avvocati, notai, scuole, ospedali, pubblica amministrazione: settori in cui i vincoli normativi obbligano a sapere esattamente dove stanno i dati.

P

PMI

Sigla per "Piccole e Medie Imprese". Definizione europea: aziende fino a 250 dipendenti e 50 milioni di fatturato. In Italia rappresentano il 99% delle imprese e il 76% degli occupati nel settore privato. Sono il destinatario tipico dei servizi di sovranità digitale di fascia media: troppo grandi per usare solo strumenti pensati per i privati, troppo piccole per permettersi un reparto informatico interno.

Pull request, issue (GitHub)

Sono i due strumenti con cui chiunque può proporre modifiche o segnalare problemi a un progetto pubblico ospitato su GitHub. Una issue segnala un problema o suggerisce un miglioramento. Una pull request (PR) propone una modifica concreta al codice o al testo: chi gestisce il progetto può accettarla, rifiutarla o lasciarla in sospeso. Quando un ente pubblico, come la Commissione Europea, ospita un documento normativo su GitHub, issue e pull request diventano canale di partecipazione tracciato: ogni proposta resta pubblica con data, ora e autore.

R

Right to repair

"Diritto alla riparazione". È la possibilità concreta di far riparare i tuoi prodotti elettronici (smartphone, laptop, lavatrice, frigorifero) invece di doverli buttare al primo guasto. Significa: pezzi di ricambio disponibili a prezzi ragionevoli per anni, manuali tecnici accessibili, attrezzi standard che chiunque può comprare. Regolamento europeo 2024/1799, in vigore da giugno 2025: i produttori sono obbligati a offrire la riparazione anche dopo la scadenza della garanzia.

S

Self-hosting

Tenere dati e software su computer che controlli tu, non su quelli di Google, Microsoft o Amazon. Esempio concreto: invece di archiviare i file su Google Drive, li metti su un server (un computer dedicato) che è in azienda o presso un fornitore italiano che hai scelto. Vantaggio: il fornitore non può cambiarti i prezzi all'improvviso, cancellarti l'account, o passare i dati alle autorità americane senza dirtelo. Self-hosting non significa "fai da te a casa": significa "controlli chi gestisce i tuoi strumenti".

Sovranità digitale

Avere il controllo dei tuoi strumenti digitali, in modo che nessun fornitore esterno possa decidere al posto tuo. Significa poter rispondere "sì" a tre domande: dove sono i miei dati e chi può vederli? Posso portarli via quando voglio? Se domani il fornitore chiude o raddoppia il prezzo, ho un'alternativa pronta? Se le risposte sono "non lo so", "no", "no", non hai sovranità: stai pagando il privilegio di usare strumenti altrui.

Sovranità tecnica

Le pratiche concrete che realizzano la sovranità digitale: scegliere fornitori europei o italiani al posto di quelli americani, usare software open source di cui esiste il codice pubblico, avere copie locali dei dati importanti, fare verifiche periodiche per controllare che la situazione non sia peggiorata. È sovranità digitale "che si fa", non "che si dice".

Specifica (tecnica)

Documento ufficiale che fissa nei dettagli come deve funzionare un sistema, un'app o un protocollo informatico. Non è una legge, ma diventa vincolante per chiunque voglia produrre qualcosa che la rispetti. Esempio: la specifica europea della verifica dell'età definisce quali dati possono essere chiesti, come sono trasmessi, come sono firmati. Chi sviluppa un'app per uno Stato membro deve adeguarsi punto per punto. Le specifiche tecniche sono spesso più decisive dei regolamenti che le richiamano: il diavolo, in informatica, sta in quei dettagli.

Standard Contractual Clauses (SCC)

Letteralmente "clausole contrattuali standard". Sono modelli di contratto preparati dalla Commissione Europea per le aziende che mandano dati personali fuori dall'Unione Europea. Servono come garanzia legale che i dati saranno trattati come se fossero rimasti in Europa. I cloud americani le citano spesso come prova di essere a norma GDPR. Problema: la Corte di Giustizia europea ha stabilito nel 2020 (sentenza Schrems II) che da sole non bastano, perché la legge USA continua a permettere alle autorità statunitensi di accedere ai dati come fa il CLOUD Act.

U

Unlinkability

Principio di privacy per cui due usi diversi della stessa identità o credenziale non devono poter essere collegati alla stessa persona. Esempio pratico: se dimostri di essere maggiorenne sul sito A e poi sul sito B, nessuno (nemmeno chi ha emesso la prova) deve poter dedurre che A e B sono stati visitati dalla stessa persona. Senza unlinkability, ogni verifica lascia una traccia correlabile e diventa la base per profilare la navigazione. È uno dei pilastri della privacy by design nei sistemi di identità digitale.

V

VPN

Sigla per "Virtual Private Network". Funziona come un tunnel cifrato tra il tuo dispositivo e un server lontano: tutto quello che fai su internet passa di lì. Tre usi tipici: connetterti alla rete dell'azienda da casa o in trasferta in modo sicuro (uso classico aziendale), guardare contenuti di Netflix di un altro paese (uso consumer), nascondere il tuo indirizzo internet al sito che stai visitando. Una cosa importante che molti dimenticano: la VPN sposta la fiducia dal tuo operatore telefonico al fornitore VPN, che a sua volta vede tutto il tuo traffico. Non rende anonimi.

W

Working group (Commissione UE)

Un gruppo di lavoro tecnico, composto da funzionari della Commissione Europea, esperti degli Stati membri e talvolta consulenti esterni, che redige le specifiche tecniche di un regolamento. Lavora per lo più in sedi non pubbliche (riunioni interne, mailing list chiuse, consultazioni a invito). Quando un working group sceglie di pubblicare la propria specifica su GitHub, accetta implicitamente il feedback pubblico come parte del processo. Cosa fa, e cosa non fa, di quel feedback diventa parte della trasparenza del processo decisionale.

Z

Zero-knowledge proof (ZKP)

Una tecnica crittografica che permette di dimostrare un fatto senza rivelare nient'altro. Esempio: provare di avere più di 18 anni senza mostrare la data di nascita, il nome, il documento o qualsiasi altro dato. La differenza con la privacy "by policy": un divieto contrattuale ("non conservo i tuoi dati") richiede di fidarsi di chi lo dichiara. Una ZKP rende l'informazione sensibile crittograficamente non trasmessa: non c'è bisogno di fidarsi, perché il dato non è mai stato condiviso. È la base della cosiddetta privacy by design.