Indice dei contenuti
- Che cosa si intende per Smart City (e perché la definizione conta)
- Dati urbani e potere: open data, riuso e data governance
- Privacy e spazio pubblico: sensoristica, videosorveglianza e DPIA
- Interoperabilità e identità digitale: la smart city come ecosistema pubblico
- Cybersicurezza e resilienza: dall’IoT urbano alla continuità dei servizi essenziali
- Algoritmi urbani e responsabilità: dall’efficienza alla legittimità
Le Smart Cities vengono spesso raccontate come città più efficienti, sostenibili e tecnologicamente avanzate. Sensori intelligenti, piattaforme digitali, dati urbani in tempo reale e algoritmi promettono di migliorare mobilità, sicurezza, ambiente e servizi pubblici. Ma dietro questa narrazione positiva si nasconde una questione molto più profonda: una smart city non è solo un progetto tecnologico, è prima di tutto un progetto giuridico, politico e sociale.
Ogni scelta infrastrutturale incide su privacy, diritti fondamentali, governance dei dati, cybersicurezza e legittimità dell’azione pubblica.
In questo articolo manterremo un approccio critico e giuridico, pensato per un pubblico attento alla cyber security, alla protezione dei dati e alla trasformazione digitale della Pubblica Amministrazione.
Che cosa si intende per Smart City (e perché la definizione conta)
Una Smart City è comunemente definita come una città che utilizza tecnologie digitali per rendere più efficienti le reti e i servizi tradizionali, migliorando la qualità della vita di cittadini e imprese e favorendo la sostenibilità ambientale. Tuttavia, questa definizione apparentemente neutra è tutt’altro che innocua.
Definire cosa sia una smart city significa stabilire chi decide, quali dati vengono raccolti, per quali finalità e con quali limiti. Non è la città in sé a essere “smart”, ma la relazione tra infrastrutture digitali, flussi informativi e processi decisionali.
Dal punto di vista tecnologico, la smart city nasce dall’integrazione di Internet of Things (IoT), intelligenza artificiale, connettività avanzata (5G e oltre), big data, cloud computing e sistemi di analisi predittiva. Ma dal punto di vista giuridico diventa immediatamente un laboratorio di diritti fondamentali, perché coinvolge dati in tempo reale, mobilità intelligente, videosorveglianza, identità digitale e accesso ai servizi pubblici.
Gli standard internazionali, come la ISO 37122, cercano di misurare l’“intelligenza urbana” attraverso indicatori verificabili. Questo aspetto è cruciale: ogni innovazione pubblica deve essere misurabile, controllabile e contestabile. È qui che il diritto entra in gioco, trasformando la smart city da semplice progetto di efficientamento amministrativo a spazio di sperimentazione democratica.
Dati urbani e potere: open data, riuso e data governance
Il vero cuore delle smart cities non è l’hardware, ma il dato. Sensori, piattaforme e applicazioni producono enormi quantità di dati urbani, e la questione centrale diventa: chi governa questi dati e con quali regole?
Il diritto europeo ha costruito un sistema multilivello che intreccia open data, condivisione fiduciaria e riequilibrio dei rapporti di potere tra chi genera dati e chi li sfrutta economicamente o amministrativamente.
La direttiva Open Data spinge gli Stati membri a valorizzare l’informazione del settore pubblico, favorendo il riuso, l’accesso tramite API e condizioni non discriminatorie. Senza regole tecniche chiare e realmente applicabili, però, l’apertura dei dati rischia di restare una dichiarazione di principio. In questo senso, gli open data diventano uno strumento di accountability democratica, capace di rafforzare trasparenza ed efficienza della Pubblica Amministrazione.
Accanto agli open data, l’Unione Europea ha introdotto nuovi strumenti di data governance. Il Data Governance Act crea cornici giuridiche per la condivisione sicura dei dati, disciplinando il riutilizzo delle informazioni detenute dalle PA, i servizi di intermediazione e le iniziative di data altruism. L’obiettivo è favorire una data economy europea basata sulla fiducia, evitando che la condivisione dei dati diventi un moltiplicatore di rischi.
Il Data Act, invece, affronta uno dei nodi più critici delle smart cities: l’accesso ai dati generati dai dispositivi connessi. Se una città installa sensori intelligenti ma non può accedere ai dati prodotti, perde di fatto la sovranità sulla propria infrastruttura digitale. Il regolamento mira a contrastare il vendor lock-in, favorendo la portabilità dei dati e riequilibrando i rapporti tra fornitori tecnologici ed enti pubblici, anche se restano ampi margini interpretativi che richiederanno prassi applicative consolidate.
Privacy e spazio pubblico: sensoristica, videosorveglianza e DPIA
Quando l’intelligenza urbana si traduce in osservazione sistematica dello spazio pubblico, la questione non è più solo tecnologica ma profondamente costituzionale. La Carta dei diritti fondamentali dell’Unione Europea tutela la vita privata e la protezione dei dati come diritti autonomi, non sacrificabili in nome dell’innovazione.
Il GDPR resta il riferimento centrale. Nelle smart cities, la nozione di dato personale si espande naturalmente: immagini, targhe, dati di localizzazione, pattern comportamentali. Per gli enti pubblici la sfida è applicare i principi di liceità, minimizzazione, limitazione delle finalità e conservazione non ex post, ma by design.
Tecnologie come videosorveglianza, sensori ambientali e contatori intelligenti devono essere progettate secondo i principi di privacy by design e privacy by default, limitando la raccolta dei dati allo stretto necessario e adottando misure di sicurezza adeguate come la cifratura. La DPIA (valutazione d’impatto) non è un adempimento formale, ma lo spazio in cui l’ente deve esplicitare rischi, alternative e responsabilità, soprattutto quando utilizza tecnologie nuove o invasive.
Le Linee guida dell’EDPB sui dispositivi video e la prassi del Garante Privacy italiano mostrano una regola chiave: più aumenta la capacità di osservazione, più deve crescere la capacità di giustificazione giuridica e di controllo democratico.
Interoperabilità e identità digitale: la smart city come ecosistema pubblico
Una smart city non è una somma di progetti isolati, ma un ecosistema pubblico. In questo contesto, interoperabilità e standard diventano garanzie sostanziali per i cittadini. Senza interoperabilità, i servizi digitali si frammentano e la continuità operativa viene meno, con effetti diretti sull’accesso ai diritti.
L’Interoperable Europe Act fornisce una base giuridica per la cooperazione tra amministrazioni, puntando a un sistema europeo di servizi pubblici digitali pienamente interoperabili entro il 2030. Sul piano dell’accesso, eIDAS 2 rafforza il quadro dell’identità digitale europea, riducendo le barriere tecnologiche e aumentando sicurezza e tutela dei dati personali.
A livello nazionale, il Codice dell’Amministrazione Digitale resta centrale: digitalizzare non significa solo informatizzare procedure, ma rendere leggibili, trasparenti e impugnabili le catene decisionali, in linea con i principi di buon andamento e trasparenza amministrativa.
Cybersicurezza e resilienza: dall’IoT urbano alla continuità dei servizi essenziali
La smart city è una superficie d’attacco estesa. Ogni dispositivo IoT, ogni piattaforma e ogni integrazione rappresentano un potenziale punto di vulnerabilità. Per questo la cybersicurezza non è un tema tecnico marginale, ma una componente essenziale della sicurezza urbana.
La direttiva NIS2 innalza gli obblighi di gestione del rischio per soggetti essenziali e importanti, coinvolgendo direttamente settori chiave delle smart cities come energia, trasporti e servizi digitali. A questo si affianca la direttiva CER, che guarda alla resilienza complessiva dei soggetti critici, e il Cyber Resilience Act, che introduce requisiti di sicurezza lungo tutta la supply chain dei prodotti digitali.
In questo quadro, la sicurezza non si esaurisce con l’installazione di tecnologie avanzate, ma richiede aggiornamenti continui, gestione delle vulnerabilità e responsabilità chiare tra produttori, fornitori ed enti pubblici.
Algoritmi urbani e responsabilità: dall’efficienza alla legittimità
Quando una smart city utilizza algoritmi e sistemi di intelligenza artificiale per classificare, prevedere o automatizzare decisioni, la questione centrale diventa la legittimità dell’azione pubblica. Gli algoritmi possono influenzare politiche urbane, controlli, priorità e distribuzione delle risorse, con effetti concreti sulle persone.
L’AI Act introduce una classificazione del rischio e obblighi stringenti: tracciabilità, controllo umano, qualità dei dati, documentazione e sicurezza. Nelle smart cities, questi requisiti non sono mera compliance normativa, ma condizioni di validità democratica delle decisioni pubbliche. L’efficienza algoritmica, senza responsabilità e controllo, rischia di erodere la fiducia dei cittadini e di compromettere i diritti fondamentali.
Conclusione
Le Smart Cities non sono semplicemente città più tecnologiche, ma spazi in cui dati, infrastrutture e diritti fondamentali si intrecciano in modo indissolubile. Governare una smart city significa governare il potere che nasce dai dati, garantendo trasparenza, sicurezza, privacy e responsabilità democratica. Solo così l’innovazione urbana può diventare non solo efficiente, ma anche legittima e sostenibile nel lungo periodo.
Fonti normative
Smart City e politiche europee
- Commissione Europea – Smart Cities
https://commission.europa.eu/eu-regional-and-urban-development/topics/cities-and-urban-development/city-initiatives/smart-cities_en - Commissione Europea – Smart Cities and Communities
https://digital-strategy.ec.europa.eu/en/policies/smart-cities-and-communities - We Are Project – Guida alla trasformazione urbana
https://www.weareproject.com/tech-insight/smat_city_guida_alla_trasformazione_urbana/ - ISO 37122 – Indicators for Smart Cities
https://www.iso.org/obp/ui/en/#iso:std:iso:37122:ed-1:v1:en - INI Corbaf – Smart city e sorveglianza
https://www.inicorbaf.it/index.php/dismissioni-del-patrimonio-immobiliare-dello-stato?view=article&id=315:smart-city-e-sorveglianza-creano-il-rischio-la-privacy-e-le-liberta-civili&catid=8
Open Data e Data Governance
- Direttiva (UE) 2019/1024 – Open Data
https://eur-lex.europa.eu/eli/dir/2019/1024/ - Decreto legislativo 8 novembre 2021, n. 200
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2021-11-08;200 - Forum PA – Open data e accountability
https://www.forumpa.it/pa-digitale/open-data-cosa-sono-come-sfruttarli-e-stato-dellarte-in-italia/ - Regolamento (UE) 2022/868 – Data Governance Act
https://eur-lex.europa.eu/eli/reg/2022/868 - Agenda Digitale – Data Governance Act e data economy
https://www.agendadigitale.eu/sicurezza/privacy/la-data-economy-alla-prova-del-data-governance-act-lo-scenario/ - Regolamento (UE) 2023/2854 – Data Act
https://eur-lex.europa.eu/eli/reg/2023/2854 - Altalex – Analisi sul Data Act
https://www.altalex.com/documents/news/2025/10/31/nuovo-data-act-trasparenza-interoperabilita-servizi-trattamento-dati
Privacy, GDPR e videosorveglianza
- Carta dei diritti fondamentali dell’Unione Europea
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:12012P/TXT - Regolamento (UE) 2016/679 – GDPR
https://eur-lex.europa.eu/eli/reg/2016/679 - Kireti – Data protection nelle smart city
https://www.kireti.it/data-protection-nelle-smart-city-come-conciliare-uso-dei-dati-e-privacy/ - EDPB – Linee guida 3/2019 sui dispositivi video
https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en - Garante Privacy – Provvedimento videosorveglianza 8 aprile 2010
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1712680
Interoperabilità e identità digitale
- Regolamento (UE) 2024/903 – Interoperable Europe Act
https://eur-lex.europa.eu/eli/reg/2024/903/ - IRPA – Interoperable Europe Act
https://www.irpa.eu/interoperable-europe-act-lunione-europea-alla-sfida-dellinteroperabilita-per-il-miglioramento-dei-servizi-pubblici-digitali/ - Regolamento (UE) 2024/1183 – eIDAS 2
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R1183 - Agenda Digitale – Guida a eIDAS 2
https://www.agendadigitale.eu/cittadinanza-digitale/identita-digitale/regolamento-eidas-2-0-la-guida-tutto-cio-che-bisogna-sapere/ - Decreto legislativo 7 marzo 2005, n. 82 – Codice dell’Amministrazione Digitale
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82
Cybersicurezza e resilienza
- Direttiva (UE) 2022/2555 – NIS2
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:02022L2555-20221227 - Decreto legislativo 4 settembre 2024, n. 138 (recepimento NIS2)
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138 - Gazzetta Ufficiale – d.lgs. 138/2024
https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG - Direttiva (UE) 2022/2557 – CER
https://eur-lex.europa.eu/eli/dir/2022/2557/oj - Decreto legislativo 4 settembre 2024, n. 134 (attuazione CER)
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;134 - Regolamento (UE) 2024/2847 – Cyber Resilience Act
https://eur-lex.europa.eu/eli/reg/2024/2847 - Regolamento (UE) 2019/881 – Cyber Security Act
https://eur-lex.europa.eu/eli/reg/2019/881/oj
Algoritmi e Intelligenza Artificiale
- Regolamento (UE) 2024/1689 – AI Act
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ%3AL_202401689
