Il sistema cinese di regolamentazione dell’economia digitale e dei dati è oggi strutturato attraverso un tripode normativo che comprende la Cybersecurity Law (CSL), la Data Security Law (DSL) e la Personal Information Protection Law (PIPL). Queste tre norme non agiscono come compartimenti stagni, ma formano un’architettura integrata nella quale la sicurezza delle infrastrutture digitali, il trattamento dei dati personali e la gestione dei dati considerati “importanti” o “core” operano secondo logiche coordinate. Le iniziative amministrative più recenti, tra cui il rafforzamento del ruolo dei responsabili della protezione dei dati e il loro obbligo di registrazione presso la Cyberspace Administration of China, mostrano come il legislatore cinese stia perseguendo una progressiva armonizzazione di questo ecosistema. Gli emendamenti alla Cybersecurity Law, approvati nel 2025 e destinati a entrare in vigore all’inizio del 2026, si collocano nel solco di questa evoluzione e mirano a consolidare l’efficacia dell’intero sistema.
Quadro normativo
La Cybersecurity Law del 2017 rappresenta la base dell’ordinamento cinese in materia di sicurezza delle reti informatiche. La riforma del 2025 ne aggiorna aspetti centrali, rispondendo all’esigenza di elevare gli standard di protezione e di rafforzare la capacità regolatoria dello Stato in un contesto tecnologico sempre più complesso. La riforma rivela un chiaro intento politico: assicurare che gli operatori economici, nazionali e stranieri, adottino misure più mature di gestione dei rischi, soprattutto in relazione all’uso di sistemi di intelligenza artificiale e alla protezione dei dati che coinvolgono utenti o infrastrutture cinesi. Il rafforzamento del ruolo della Cyberspace Administration of China, insieme all’estensione della responsabilità per soggetti esteri, conferma la volontà di rendere più omogeneo ed efficace il sistema già delineato da CSL, DSL e PIPL.
Aspetti chiave della riforma
– Estensione della responsabilità extraterritoriale
Uno dei punti più innovativi riguarda la chiarificazione dell’applicabilità della legge a soggetti stabiliti fuori dal territorio cinese quando i loro servizi o le loro operazioni incidono sulla sicurezza delle reti o dei dati connessi alla Cina. Tale estensione rappresenta un’evoluzione significativa, poiché amplia il perimetro della compliance e richiede alle imprese straniere di valutare con maggiore attenzione l’impatto delle proprie attività digitali sul mercato cinese.
– Integrazione della governance dell’intelligenza artificiale
Le modifiche introducono all’interno della Cybersecurity Law riferimenti espliciti alla necessità di esercitare un controllo più accurato sui sistemi basati su algoritmi. Sono richieste misure che assicurino la robustezza tecnica, la trasparenza e la gestione dei rischi, con l’obiettivo di evitare utilizzi impropri dei modelli e di prevenire effetti che possano compromettere la sicurezza delle reti o i diritti degli utenti. Questo elemento dimostra la crescente centralità dell’AI all’interno del diritto delle tecnologie in Cina.
– Rafforzamento del sistema sanzionatorio
La riforma introduce un aumento significativo delle sanzioni, che diventano più elevate e più proporzionate alla gravità delle violazioni. Le autorità potranno intervenire in maniera più incisiva nei confronti degli operatori che non adottano misure adeguate di sicurezza, prevedendo anche la possibilità di sospendere servizi o attività nei casi più critici. Questo cambiamento rispecchia la volontà di disporre di un apparato deterrente capace di promuovere comportamenti più responsabili.
Implicazioni pratiche
– Adeguamento della governance interna e allineamento con CSL, DSL e PIPL
L’entrata in vigore degli emendamenti impone alle imprese straniere di rivalutare il proprio assetto interno, verificando che le politiche e le procedure già adottate in materia di trattamento dei dati personali e di gestione dei dati importanti siano coerenti con i nuovi requisiti della Cybersecurity Law. Questo comporta un riesame delle strutture di controllo, dei ruoli interni e dei processi di documentazione delle attività rilevanti.
– Revisione dei flussi di dati e delle interazioni con il mercato cinese
L’estensione delle responsabilità anche ai soggetti esteri rende necessario mappare con precisione i flussi di dati che coinvolgono utenti o infrastrutture situati in Cina. È essenziale comprendere il livello di esposizione al rischio regolatorio e predisporre meccanismi contrattuali e tecnici che permettano di dimostrare la conformità alle richieste delle autorità cinesi.
– Introduzione di procedure strutturate di controllo dei sistemi AI
Le imprese che utilizzano strumenti di intelligenza artificiale devono adottare modelli organizzativi che consentano di individuare i rischi algoritmici rilevanti e di predisporre misure idonee a prevenirli o mitigarli. Ciò richiede un approccio integrato che coinvolga funzioni legali, tecniche e di gestione del rischio, con l’obiettivo di assicurare una tracciabilità completa delle attività svolte attraverso sistemi AI.
Conclusioni
La riforma della Cybersecurity Law costituisce un tassello importante nella costruzione di un sistema normativo orientato alla tutela della sicurezza digitale in senso ampio. Il legislatore cinese ha scelto di rafforzare i poteri dell’autorità competente e di innalzare il livello degli obblighi per gli operatori, ponendo al centro la responsabilità nella gestione dei dati, delle reti e delle tecnologie basate su AI. Per gli operatori stranieri, ciò implica l’adozione di una strategia di compliance più matura, capace di integrare diversi livelli di regolazione e di rispondere alle crescenti aspettative delle autorità cinesi.
A cura dell’avv. Luigi Zunarelli – luigi.zunarelli@studiozunarelli.com