Doppia rilevanza per la tecnologia e le TIC.
Le imprese del settore tecnologico e delle TIC devono affrontare una serie di aspetti rilevanti concentrati in ambiti quali il consumo energetico, la forza lavoro, i diritti dei consumatori e degli utenti finali e la condotta aziendale, a cui si aggiungono le disposizioni relative ai data center contenute nell’AI Act, nel GDPR, nel DSA e nella direttiva sull’efficienza energetica. La presente guida settoriale illustra gli IRO rilevanti tipici, il quadro normativo di riferimento e le insidie del DMA riscontrate nelle comunicazioni presentate nella prima fase.
Il punto d'incontro tra tecnologia e tematiche rilevanti nel settore delle TIC.
Tutti i 10 temi ESRS sono riportati su una mappa a doppia materialità calibrata sul settore. Clicca su un tema qualsiasi per visualizzare gli IRO specifici, la motivazione del punteggio e la mappatura delle informazioni divulgate. Passa dallo scenario tipico a quello intensificato: quest'ultimo riflette l'esposizione a carichi di lavoro di IA ad alta intensità, a grandi piattaforme rivolte ai consumatori o alla produzione di hardware.
12 IRO illustrativi per il settore della tecnologia e delle TIC.
Impatti, rischi e opportunità derivanti dall'attuale ESRS e dall'EFRAG IG 1, contestualizzati al settore tecnologico e alle operazioni e alla catena del valore delle TIC. Filtra per categoria.
Consumo energetico dei data center
L'aumento dei carichi di lavoro legati all'intelligenza artificiale sta facendo crescere il consumo energetico dei data center a ritmi a due cifre. Si tratta del principale fattore di impatto ambientale per le iniziative legate al cloud, alle piattaforme e all'intelligenza artificiale.
Pregiudizi algoritmici e discriminazione nei sistemi di intelligenza artificiale
I sistemi di IA impiegati in decisioni di grande rilevanza (credito, assunzioni, assistenza sanitaria) possono penalizzare sistematicamente i gruppi protetti. Impatto relativo alle informazioni di cui alla sezione 4, con riferimento normativo alla legge sull'IA.
Sicurezza online, in particolare per i minori
Le piattaforme utilizzate dai minori hanno effetti comprovati sulla salute mentale, sull'esposizione a contenuti dannosi e su un design che favorisce la dipendenza. Il DSA rafforza il quadro normativo.
Salute mentale e burnout dei lavoratori
Le culture lavorative che prevedono una disponibilità costante nel settore comportano effetti documentati sulla salute mentale. La rilevanza di tali effetti è ponderata in base alla gravità ai sensi della norma ESRS S1-14.
Conformità alla legge sull'IA per i sistemi ad alto rischio
Valutazione della conformità, sistemi di gestione dei rischi, governance dei dati e requisiti di supervisione umana per l'IA ad alto rischio. Rilevanza finanziaria diretta S4 e G1.
Applicazione del GDPR ed esposizione al rischio di violazioni dei dati
Sanzioni pecuniarie fino al 4% del fatturato globale in caso di violazioni gravi. Obbligo di notifica delle violazioni dei dati e regime di ricorso individuale. Fattore determinante per l'impatto diretto sui consumatori.
Designazione dei gatekeeper ai sensi del DMA e obblighi delle piattaforme ai sensi del DSA
Gli obblighi previsti dal Gatekeeper e dal VLOP comportano restrizioni significative al modello operativo. Le sanzioni per inadempienza ammontano a oltre il 10% del fatturato globale.
Richiesta di divulgazione a cascata delle emissioni di Scope 3 da parte dei clienti
I clienti aziendali richiedono sempre più spesso fattori di emissione verificati per ogni singolo servizio. La mancata fornitura di tali dati comporta il rischio di perdere contratti e di vedere ridursi il portafoglio clienti.
Data center alimentati da contratti di acquisto di energia rinnovabile (PPA)
I contratti PPA diretti con i produttori di energia rinnovabile consentono sia di ridurre le emissioni sia di coprire il rischio di variazione dei costi dell'energia elettrica. In caso di capacità aggiuntiva, si ottiene il vantaggio dell'allineamento alla tassonomia.
Certificazioni relative all'IA affidabile e alla privacy by design
La certificazione ufficiale rispetto ai nuovi quadri normativi in materia di fiducia nell'IA e agli standard di "privacy by design" favorisce la preferenza degli acquirenti aziendali, in particolare nel settore pubblico dell'Unione Europea.
Hardware IT circolare e dispositivi come servizio
I programmi di ricondizionamento, ritiro e "device-as-a-service" riducono l'impatto dei rifiuti elettronici, creando al contempo modelli di ricavi ricorrenti che garantiscono margini stabili.
La rendicontazione sul capitale umano come elemento di differenziazione per gli investitori
La rendicontazione di alta qualità secondo lo standard ESRS S1 in materia di diversità, equità e inclusione (DEI), remunerazione e indicatori relativi al capitale umano è sempre più apprezzata dagli investitori istituzionali nelle operazioni di fusione e acquisizione (M&A) e nelle offerte pubbliche iniziali (IPO) nel settore tecnologico.
Normative dell'UE che si intersecano con il DMA.
Questi regolamenti UE correlati definiscono quali impatti ed effetti finanziari possano essere considerati rilevanti per un'impresa manifatturiera. Essi devono essere considerati come fonti probatorie nell'ambito del DMA.
Legge dell'UE sull'intelligenza artificiale
Regolamentazione basata sul rischio dei sistemi di intelligenza artificiale. I sistemi ad alto rischio sono soggetti a requisiti di valutazione della conformità e di governance continua. Obblighi previsti dal modello GPAI a partire dall'agosto 2025. Contributi fondamentali da parte di S4 e G1.
Regolamento generale sulla protezione dei dati
Protezione dei dati personali e diritti degli interessati. Rafforzamento dell'applicazione delle norme grazie al regolamento sulla cooperazione transfrontaliera. Importanza fondamentale della norma S4 per le imprese che trattano dati dei consumatori.
Legge sui servizi digitali
Obblighi delle piattaforme e dei servizi di intermediazione, valutazione del rischio sistemico VLOP. Rischio diretto S4 e rilevanza della governance G1 per le piattaforme.
Legge sui mercati digitali
Obblighi dei gatekeeper relativi ai servizi fondamentali della piattaforma. Interoperabilità, portabilità dei dati e restrizioni alla preferenza dei propri servizi. Rilevanza diretta del Gruppo 1 per le imprese designate.
Direttiva sull'efficienza energetica — disposizioni relative ai centri dati
Obblighi di rendicontazione per i data center e principio di priorità dell'efficienza energetica. Soglia di rendicontazione a partire da una capacità di 500 kW. Inserimento diretto dei dati E1 per gli operatori di cloud e piattaforme.
Direttiva sui rifiuti di apparecchiature elettriche ed elettroniche
Responsabilità estesa del produttore per i prodotti elettronici. Obiettivi di raccolta e riciclaggio. Materialità diretta E5 per le aziende del settore hardware.
Sono stati rilevati sei errori DMA nei documenti relativi alla tecnologia e alle TIC della Fase 1.
Modelli tratti dalla revisione dell'attuazione del 2025 dell'EFRAG e da un'analisi delle relazioni tecnologiche e sulle TIC relative alla CSRD della Fase 1 già pubblicate. Da considerare come una lista di controllo preliminare prima dell'approvazione del DMA.
Emissioni dei data center riportate esclusivamente in base alla sede
Sono richiesti sia le emissioni di Scope 2 basate sulla localizzazione che quelle basate sul mercato. Gli accordi di acquisto di energia (PPA) che non soddisfano i criteri di delimitazione basati sul mercato non vengono conteggiati ai fini della riduzione delle emissioni di Scope 2 basate sul mercato.
L'etica dell'IA è trattata come un'informativa a sé stante, non come S4
La parzialità e l'equità dei sistemi di intelligenza artificiale costituiscono un impatto relativo all'informazione nell'ambito dell'S4 che riguarda i consumatori e gli utenti finali. Tale aspetto influisce sul punteggio S4, non solo nell'ambito di una sezione separata dedicata all'IA responsabile.
Sottostima delle emissioni di hardware di Scope 3, categoria 1
Il carbonio incorporato nell'hardware acquistato (server, router, dispositivi degli utenti finali) rappresenta spesso la componente principale delle emissioni di Scope 3 per le imprese del settore ICT. Gli indicatori basati sulla spesa sottostimano notevolmente il quadro reale.
Il personale addetto alla moderazione dei contenuti dei fornitori non è stato valutato ai sensi della Sezione 2
La moderazione dei contenuti in outsourcing è una questione relativa alla forza lavoro nella catena del valore, con gravi conseguenze psicologiche ben documentate. La valutazione S2 deve estendersi anche a questi fornitori.
L'impatto degli algoritmi e dell'intelligenza artificiale sugli utenti vulnerabili non è stato valutato ai sensi dell'articolo 4
Sia il DSA che l'AI Act si concentrano sui risultati relativi agli utenti vulnerabili (minori, persone con disabilità, minoranze linguistiche). Il punteggio previsto dall'articolo 4 deve riflettere l'impatto differenziale sui vari segmenti di utenti.
La trasparenza fiscale non figura nelle informazioni fornite dal G1
La linea guida ESRS G1-1 e la direttiva UE sul CbC pubblico convergono sulle aspettative in materia di trasparenza fiscale. Le pratiche fiscali che si discostano dalla sostanza economica costituiscono un rischio di governance di tipo G1.