Tecnologia, burocrazia ed economia del groviglio normativo
1. Premessa: nella selva delle norme.
Nel ginepraio normativo che avvolge pressoché ogni aspetto della vita pubblica e privata, con tutte le gravi implicazioni che ciò comporta, l’ansia diffusa di incorrere in un illecito – magari sanzionato da una delle più astruse disposizioni, siano esse di rango primario o derivanti da quella “soft law” prodotta in abbondanza dalle autorità amministrative di ogni ordine e grado – finisce per paralizzare ogni slancio della società civile. Non potevano mancare, inevitabilmente, ripercussioni anche nell’ecosistema digitale, pubblico e privato, latamente inteso, con costi crescenti e spesso sproporzionati rispetto agli effettivi benefici.
Fermo restando che sarebbe buona norma evitare il rischio di un’eterogenesi dei fini, confondendo gli scopi con i mezzi – giacché, come ammoniva il Manzoni, “non sempre quello che viene dopo è progresso” – è lecito interrogarsi se la spinta alla digitalizzazione massiva, in tutte le sue declinazioni, sia realmente orientata al benessere dell’uomo e della società, o non risponda piuttosto a finalità meno nobili, di natura mercantilistica o, peggio, di sorveglianza. Sorge il dubbio, legittimo, se stiamo davvero contribuendo ad accrescere il livello di conoscenza collettiva o, al contrario, non stiamo alimentando una progressiva forma di anestesia cognitiva. In tal senso è significativo il caso di alcuni Paesi del Nord Europa[1], che – dopo una prima entusiastica adesione alla didattica in formato digitale – stanno compiendo una vistosa inversione a U, avendo constatato gli effetti negativi sullo sviluppo degli alunni nel medio-lungo periodo.
Ciò che è certo è che, in questo periodo di transizione, fioccano, ad ogni livello, un florilegio di leggi, regolamenti, linee guida, asseritamente deputati a governare questa fase di complessità. Personalmente sono tutt’altro che ottimista che questa sia una sola fase, quanto invece il consolidamento di una tendenza nefasta, non solo per l’economia ma per lo stato di diritto.
2. A chi giova la complessità
E’ fin troppo evidente come vi siano soggetti utilmente impiegati nell’offerta di servizi asseritamente necessari, pur offrendo alla collettività un’utilità marginale non sempre apprezzabile. Ci riferiamo ai costi abnormi che si legano all’offerta di servizi e soluzioni software spacciate come risolutive quando non obbligatorie, ad attività di compliance formale, all’adeguamento normativo che in realtà genera una mostruosa produzione di carte e procedure inapplicabili, oltre al contenzioso che inevitabilmente ne consegue. Un fardello che grava su ogni attività, imprenditoriale o amministrativa, e che finisce per drenare una quantità spropositata di risorse economiche, le quali vengono poi inevitabilmente scaricate – a cascata – su consumatori e cittadini.
Dobbiamo essere consapevoli di come questo mostro si autoalimenti, dreni e fagociti risorse, ma soprattutto di come sia ormai divenuto una fetta strutturale di PIL, generatore di posti di lavoro pubblici e privati, prodotti e servizi che, semplicemente, sono diventati irrinunciabili. Il progresso tecnologico, continuo e galoppante – e no, non scriverò che l’asserita “intelligenza artificiale” ci ruberà il lavoro, per rispetto dell’intelligenza del lettore – ha nei fatti, e da decenni, già profondamente inciso sul tessuto occupazionale.
Lo aveva analizzato con drammatica lucidità John Steinbeck nel romanzo Furore (The Grapes of Wrath): l’industrializzazione e la meccanizzazione agricola avevano già allora spazzato via migliaia di posti di lavoro a basso valore aggiunto, inghiottendo intere comunità di braccianti nel vortice della disoccupazione e della marginalità. Lavoratori che in qualche modo dovevano essere assorbiti, dando poi avvio ad un’esplosione di servizi della cui reale necessità, promossa con grandi investimenti pubblicitari, è spesso lecito dubitare. Questo fenomeno, che ha coinvolto prevalentemente gli attori privati, ha conosciuto in Europa un grande protagonismo del settore pubblico, che lentamente ma inesorabilmente ha accresciuto le sue funzioni e conseguentemente i suoi costi. Ma ad una spirale analoga si sta assistendo anche nel settore terziario da anni: l’automazione e la digitalizzazione stanno progressivamente erodendo anche il lavoro impiegatizio, i ruoli di medio-bassa complessità (pensiamo ai data-entry), spingendo verso un nuovo avvitamento occupazionale nel settore a basso valore produttivo.
3. L’ipertrofia normativa come forma malata di welfare
Purtroppo nel contempo galoppiamo ancora dentro un’illusione scientemente coltivata dalla società del benessere e dei consumi: quella di poter prescindere dal lavoro manuale, di poterne fare a meno, quasi fosse qualcosa da superare piuttosto che da nobilitare.
Proprio nell’illusione di dover sostenere un presunto “diritto all’impiego impiegatizio” –che può anche legittimamente non realizzarsi mai – la burocrazia e la ipernormazione hanno finito per assumere, con esiti nefasti per la finanza pubblica e la produttività dei privati, una vera e propria funzione di welfare sociale indiretto acchiappavoti che si affianca ai sussidi propriamente detti: si sono consolidati labirinti normativi e tecnicismi autoreferenziali generatori di occupazione autogiustificante. Di questo l’Unione Europea, che piaccia o no, certamente concorre… E sia chiaro: nessuno auspica soluzioni semplici a problemi complessi. Si auspica tuttavia che problemi già complessi non siano resi assolutamente ingestibili…
Cosa accadrebbe, tuttavia, se si procedesse davvero a una razionalizzazione sistematica dell’intero panorama normativo e della struttura statale nel suo complesso? Una semplificazione autentica, non di facciata. La risposta, se affrontata senza ipocrisia, è tutt’altro che rassicurante: la disoccupazione aumenterebbe in maniera significativa, quantomeno per uno iato temporale sufficiente ad influenzare gli esiti elettorali di una legislatura. Infatti anche coloro che oggi sono occupati, nel pubblico e nel privato, in funzioni ridondanti o dalla dubbia utilità – pur non generando valore davvero percepibile per l’entità a cui erogano i servizi – percepiscono un reddito che alimenta i consumi, contribuisce alla fiscalità generale, sostiene interi comparti del terziario. Dunque, calcolare il reale delta tra il risparmio derivante da un taglio netto dell’inefficienza e il mancato gettito derivante da una riduzione di occupazione chiamiamola parassitaria è, di fatto, un’operazione complessa e incerta.
Quel che è certo, tuttavia, è che il mantenimento di questa pletora di impiegati, funzionari ed “esperti di troppo” – per usare un’efficace espressione di Ivan Illich – a mitigazione del caos normativo imperante, non rappresenta soltanto un fardello passivo, un peso morto. È qualcosa di più subdolo: un tirante all’indietro che rallenta ogni reale possibilità di riforma, ogni slancio di modernizzazione autentica, ogni tentativo di orientare la macchina pubblica e il tessuto industriale privato verso l’efficienza. La logica perversa dell’ipercomplessità e delle mille regole, infatti, non solo alimenta l’autoconservazione di chi la produce e la gestisce, ma scoraggia anche ogni tentativo di disboscamento, perché ogni ramo tagliato potrebbe essere un posto di lavoro in meno, un flusso fiscale in meno, un cliente in meno per i mille circuiti collaterali che orbitano intorno al “burocratismo industriale”.
4. Un’imposta mascherata
Vi è, inoltre, un effetto ancora più triste – e, per certi versi, degno di uno Stato biscazziere – che emerge con chiarezza da un’osservazione ulteriore: il groviglio normativo in cui siamo immersi appare, a parere di chi scrive, volutamente inestricabile, affinché possa diventare, all’occorrenza, una fonte sicura di sanzioni in sede di controlli, e allo stesso tempo un grappolo di zone grigie, dove gli amici degli amici possono ciò che ai nemici è vietato...
Ancora, a volte, il contemporaneo rispetto di norme formalmente contrapposte risulta nella pratica ai limiti dell’impossibile, il che garantisce una percentuale costante di infrazioni e, quindi, di sanzioni. Provate, ad esempio, a concorrere nell’implementazione di una procedura rispettosa delle indicazioni del Garante Privacy contenute nel provvedimento di giugno del corrente anno (n. 243/2025), sull’uso dei metadati dei dipendenti nel rapporto di lavoro, adottando al contempo un SOC (Security Operations Center) mediamente performante; cosa, peraltro, indispensabile se siete un soggetto ricadente nell’ambito della direttiva NIS2. La sensazione è quella di camminare sulle uova, appena separate dalle suole dall’assicurazione professionale: o assicuri i principi di minimizzazione e proporzionalità per il trattamento dati dei dipendenti, o assicuri con ragionevole tranquillità le regole di sicurezza informatica pretese dall’ecosistema normativo in tutte le sue declinazioni. Ciò sapendo che il giudizio di congruità, nei fatti, avverrà con valutazione ex post .
Il sistema è costruito, non so dire se con premeditazione ma di sicuro con accondiscendenza, in modo da produrre inevitabili violazioni incrociate, che garantiscono, a rotazione, un gettito sicuro in sede di contestazione.
Non si tratta di teoria del complotto, ma di constatazione empirica. Un meccanismo che finisce per funzionare, nei fatti, come un sistema di imposizione fiscale indiretta, sottratto a ogni logica trasparente di equità o di previsione. E sia chiaro: nessuna, sottolineo nessuna, simpatia per il business opaco e predatorio delle grandi multinazionali americane del Tech. Ma sul punto specifico Donald Trump, tra un’esternazione fuori luogo e l’altra, ha colto nel segno: normative come il GDPR, per quanto sacrosante nelle finalità che perseguono (questo ovviamente lui non lo afferma), non sono realmente applicabili a colossi digitali il cui modello di business non può in alcun modo pienamente conformarsi. In questo scenario prende forma uno strano gioco delle parti: sanzioni esemplari colpiscono ciclicamente le big tech, ma senza intaccare realmente un modello economico ben più redditizio che dovrebbe essere radicalmente interdetto (come molte associazioni no profit, con impeccabile logica giuridica, hanno evidenziato nelle competenti sedi). Si tratta, in ultima analisi, di una forma di tassazione parafiscale non così aliena nella sostanza degli effetti di un “dazio”, condotta al di fuori del perimetro regolatorio del WTO, e ammantata da un linguaggio tecnico-giuridico non meno predatorio degli stessi predoni che depreda.
5. Gli obblighi nascenti della società digitale.
Un esempio attuale e caldo, è dato dagli obblighi normativi multistrato in capo a enti pubblici e privati in tema di digitalizzazione e sicurezza informatica.
Nel panorama sempre più affollato della compliance normativa in materia, vero e proprio barattolo di miele per figure consulenziali spesso improvvisate, gli audit e le verifiche si moltiplicano non solo come attività proposta su base volontaria, ma financo come vera e propria necessità legale di compliance, puramente sulla carta, richiesta da una ipersaturazione di leggi, regolamenti, pareri, Faq, linee guida, spesso in irrisolvibile contrasto tra loro. Ma a ben guardare, spesso ciò che viene valutato non è la vera resilienza del sistema, bensì la sua aderenza formale a linee guida astratte, pareri, circolari, spesso avulse dal contesto operativo concreto dell’azienda. Domande ricorrenti come: “I dipendenti cambiano la password ogni sei mesi?”, “la sala server è chiusa a chiave?”, sembrano costituire il cuore pulsante di molte attività di auditing. Manca però, in troppi casi, ad esempio, una vera analisi tecnica e funzionale delle infrastrutture IT impiegate in rapporto all’attività dell’organizzazione. L’attenzione si concentra su ciò che è dichiarabile, documentabile e “barrabile” in una colonna di Excel, ma non su ciò che realmente riduce il rischio informatico in rapporto all’effettiva attività di impresa.
Questo approccio genera un paradosso: l’ossessione per la conformità formale, vista erroneamente come garanzia di non sanzionabilità, porta a trascurare la sicurezza sostanziale, a reprimere comportamenti virtuosi. Gli amministratori di sistema, già generalmente sottoutilizzati e ridotti spesso a correre a cambiare il toner esausto della stampante, anziché essere incentivati a proporre e sviluppare soluzioni realmente efficaci per una realtà che vivono e conoscono, nei pregi e nei limiti, si ritrovano imbrigliati in un ginepraio normativo che spesso penalizza la discrezionalità tecnica, anche quando questa potrebbe produrre risultati di gran lunga migliori, abdicando alle loro competenze.
Un esempio potrebbe essere la scelta delle modalità di gestione delle password. Nonostante il consenso crescente tra gli esperti di sicurezza informatica sull’inutilità (e anzi sulla pericolosità) del cambio frequente e forzato delle credenziali – che spinge gli utenti a scegliere combinazioni prevedibili e a trascriverle fisicamente su post-it che letteralmente sommergono lo schermo – molti audit continuano a insistere sulla rotazione periodica delle password come dogma indiscutibile. Le Linee guida Agid non se ne discostano... Secondo numerosi professionisti, una delle prassi più solide in materia di sicurezza informatica al contrario consiste nell’adozione di password lunghe e complesse, da modificare solo in caso di sospetto data breach o reale necessità. In molti casi, questa soluzione risulterebbe più efficace rispetto alla rotazione periodica di password brevi e complesse, soprattutto se consideriamo che la lunghezza incide positivamente sulla robustezza della password anche in assenza di simboli o numeri (una questione puramente matematica). Ad esempio la master password “finchelabarcavalascialaandare”, anche se utilizzata da tre anni, può risultare significativamente più sicura rispetto a una password come “$65!Pq7” utilizzata da tre mesi, soprattutto se quest’ultima è stata scritta su un post-it o salvata in chiaro sullo smartphone. La lunghezza e la memorizzabilità della passphrase, unite alla sua unicità, garantiscono un livello di sicurezza più elevato in assenza di segnali di compromissione. Tuttavia, questa soluzione — che può risultare più sicura — viene spesso rigettata da checklist standardizzate, redatte da figure con competenze informatiche talvolta limitate anche sotto il profilo teorico, generando così paradossali rilievi di non conformità, utili solo per parare il colpo nel caso di breach.
Ma, sempre restando nell’esempio citato, il rimedio per fare fronte ai costi da ipernormazione è forse peggiore del male. Considerando le esigenze di bilancio pubbliche (prima o poi i fondi dedicati PNRR esauriranno) e private (de “il tenuto conto dei costi di attuazione per il Titolare” di cui al primo comma dell’art. 25 del Gdpr, il Garante ha già chiarito di non tenere in nessun conto…) prolificano casi in cui tecnici informatici più spregiudicati, necessariamente infarinati dalla formazione di qualche ora in normative cogenti, convinti di una capacità di analisi giuridica – quasi che la laurea in Giurisprudenza non avesse una dignità, un percorso, una logica formativa propria - si propongono, con minimo rincaro di un compenso già pattuito, in soluzioni tecnoentusiastiche a problemi di diritto. Il tutto, ovviamente, condito da una pressoché totale ignoranza dello Statuto dei lavoratori, che esplode nei casi di accesso indiscriminato ai metadati, installazioni di log a strascico e controlli a distanza maldestri, che sfociano spesso in scenari disastrosi e giuridicamente irrimediabili. Quando l’ufficio legale viene finalmente contattato, il danno è già avvenuto e le contromisure risultano tardive e costose, molto costose.
I commerciali di soluzioni software complesse prosperano in questa giungla normativa (anche se, per onestà, ne conosco alcuni onesti come vescovi). Le soluzioni offerte, spesso assai costose, vengono presentate come garanzie di conformità chiavi in mano — anche quando, in realtà, non lo sono affatto. Il Cliente, ormai esausto dall’ennesimo adempimento, finisce per imputare a bilancio l’ennesimo costo imprevisto, aggrappandosi con fiducia al presunto potere salvifico dell’automazione.
6- È, in fondo, un problema di diritti ottriati.
Oltre a quanto già analizzato, emerge un ulteriore problema: siamo giunti a un problema che lambisce i fondamenti stessi dello Stato di diritto. Negli ultimi anni — e in modo accelerato durante la pandemia — si è affermata una visione iper-regolamentata dell’esistenza, che investe ogni aspetto della vita di persone fisiche e giuridiche. Una tendenza che ha favorito un atteggiamento passivo nei confronti del potere e una crescente inibizione verso tutto ciò che non è espressamente autorizzato. “Si può fare? Forse… Nel dubbio, meglio non fare nulla.”
Molti invocano, con urgenza, il recupero dell’autorevolezza dei ruoli e dei titoli professionali, la chiarezza nei confini delle competenze e l’apertura a una vera collaborazione interdisciplinare, strumenti fondamentali per governare la complessità con efficacia. Altri salutano con entusiasmo l’avanzare della digitalizzazione, auspicando che l’automazione dei compiti ripetitivi liberi il valore aggiunto delle risorse umane, a beneficio dello Stato e dell’economia di mercato.
Tutto vero. Ma così facendo, continuiamo a ignorare l’elefante nella stanza.
Abbiamo creato — scientemente o meno — un’economia della complessità e del bisogno indotto, dove la burocrazia genera welfare e dipendenza dal sovrano di turno. Un esercito di lavoratori per scavare delle buche. Un altro esercito per coprire quelle buche, a comando. Il re è già in mutande. E, in fin dei conti: "teniamo famiglia...".
[1] https://www.tecnicadellascuola.it/svezia-quando-la-digitalizzazione-e-eccessiva-e-complica-lapprendimento