Il 28 ottobre 2025, la 18ª Sessione del Comitato Permanente della 14ª Assemblea Nazionale del Popolo ha approvato la Decisione del Comitato Permanente dell’Assemblea Nazionale del Popolo sull’emendamento della Legge sulla cybersicurezza della Repubblica Popolare Cinese.
L’emendamento comprende 14 disposizioni e mira a chiarire il ruolo della cybersicurezza nel più ampio contesto della sicurezza nazionale, a includere nuove tecnologie come l’intelligenza artificiale nell’ambito regolatorio e a rafforzare il sistema di responsabilità giuridica.
La nuova legge entrerà in vigore il 1° gennaio 2026, segnando una nuova fase di governance della cybersicurezza in Cina, più sistematica e precisa. Il presente articolo illustra i principali emendamenti e fornisce indicazioni pratiche per le imprese straniere operanti in Cina.
I. Panoramica delle modifiche e valutazione complessiva dell’impatto
Questo emendamento rappresenta la prima revisione sostanziale della Legge sulla cybersicurezza dalla sua entrata in vigore nel 2017 e intende rispondere alle nuove sfide in materia di sicurezza derivanti dal rapido sviluppo delle tecnologie digitali.
Gli articoli modificati sono distribuiti principalmente nei capitoli relativi alle Disposizioni generali, al Supporto e alla promozione della cybersicurezza, alla Sicurezza delle operazioni di rete, alla Sicurezza delle informazioni di rete e alla Responsabilità giuridica. In particolare, ben dieci modifiche riguardano la sezione sulla responsabilità giuridica, evidenziando la chiara intenzione del legislatore di rafforzare l’efficacia regolatoria attraverso un inasprimento delle conseguenze legali.
Per le imprese straniere operanti in Cina, l’emendamento non introduce obblighi completamente nuovi, ma rappresenta un approfondimento, una precisazione e un rafforzamento del quadro normativo esistente. I suoi effetti principali risiedono in: una maggiore operatività e prevedibilità delle norme giuridiche, una più chiara articolazione e specificità dei requisiti di compliance e un aumento significativo della certezza e della gravità dei costi derivanti dalle violazioni. Comprendere tali cambiamenti consente alle imprese di trasformare la pressione della compliance in un’opportunità per migliorare la governance e rafforzare le capacità di gestione del rischio.
II. Inclusione dell’intelligenza artificiale nell’ambito di regolamentazione
La nuova Legge sulla cybersicurezza introduce l’Articolo 20, che stabilisce: “Lo Stato sostiene la ricerca e lo sviluppo delle teorie di base e delle tecnologie chiave, quali gli algoritmi dell’intelligenza artificiale, promuove la costruzione di infrastrutture come le risorse di dati di addestramento e la capacità di calcolo, migliora le norme etiche per l’intelligenza artificiale, rafforza il monitoraggio e la valutazione dei rischi e la supervisione della sicurezza, e promuove l’applicazione e lo sviluppo sano dell’intelligenza artificiale. Lo Stato sostiene l’innovazione nei metodi di gestione della sicurezza delle reti, utilizza nuove tecnologie come l’intelligenza artificiale e innalza il livello di protezione della sicurezza delle reti.”
Questa disposizione, per la prima volta a livello legislativo, definisce esplicitamente l’intelligenza artificiale come una componente importante dell’infrastruttura digitale (inclusi algoritmi, risorse di dati di addestramento e capacità di calcolo) e stabilisce un orientamento regolatorio in cui “incoraggiamento all’innovazione” e “sviluppo regolamentato” procedono in parallelo.
Per le imprese che sviluppano o applicano tecnologie di IA, ciò implica integrare la compliance lungo l’intero ciclo di vita del prodotto e istituire meccanismi di controllo interno, in particolare in relazione a trasparenza degli algoritmi, governance dei dati, valutazione etica e monitoraggio continuo dei rischi.
III. Aumento significativo della gravità delle sanzioni
L’Articolo 61 modificato integra e aggiorna i precedenti articoli 59 e 60, prevedendo quattro livelli di sanzioni in base alle conseguenze delle violazioni:
- per violazioni generali, ammenda da 10.000 a 50.000 RMB;
- in caso di rifiuto di apportare correzioni o qualora siano arrecati danni, ammenda da 50.000 a 500.000 RMB, e ammenda da 10.000 a 100.000 RMB per i soggetti direttamente responsabili;
- in caso di danni gravi, ammenda da 500.000 a 2 milioni di RMB, ammenda da 50.000 a 200.000 RMB per le persone fisiche responsabili, nonché possibile sospensione dell’attività, sospensione per rettifica o revoca di licenze o permessi;
- in caso di danni particolarmente gravi, ammenda da 2 a 10 milioni di RMB, ammenda da 200.000 a 1 milione di RMB per le persone fisiche responsabili, e applicazione di misure quali la sospensione dell’attività o la revoca di certificati o licenze.
L’articolo modificato innalza in modo significativo i limiti massimi delle sanzioni per condotte quali l’inadempimento degli obblighi di protezione della sicurezza da parte degli operatori di rete e le violazioni da parte degli operatori di infrastrutture informative critiche, introducendo un meccanismo sanzionatorio graduato in funzione della gravità delle conseguenze. Tale struttura delimita i confini della responsabilità in modo particolarmente chiaro.
IV. Maggiore armonizzazione delle norme
Un altro aspetto rilevante delle modifiche è il rafforzamento sistematico della responsabilità, ottenuto attraverso una più chiara integrazione e connessione tra diverse normative, creando un sistema di responsabilità più rigoroso.
Il nuovo comma aggiunto all’Articolo 42 stabilisce che:
“Quando gli operatori di rete trattano dati personali, devono rispettare la presente legge e le disposizioni del Codice Civile della Repubblica Popolare Cinese, della Legge sulla protezione delle informazioni personali della Repubblica Popolare Cinese e di altre leggi e regolamenti amministrativi.”
Ciò chiarisce i requisiti di coordinamento tra le varie leggi in materia di trattamento dei dati personali e garantisce la coerenza nella tutela dei diritti relativi alle informazioni personali. Le imprese sono quindi tenute a implementare una gestione integrata della compliance, assicurando che ogni attività di trattamento dei dati soddisfi molteplici standard giuridici.
In linea con l’obiettivo di unificare la tutela dei diritti sulle informazioni personali, la Legge sulla cybersicurezza modificata ha inoltre accorpato i precedenti Articoli 64, 66 e 70 nel nuovo Articolo 71, il cui secondo comma prevede che “in caso di violazione dei diritti sulle informazioni personali, il trattamento e le sanzioni saranno effettuati conformemente alle leggi e ai regolamenti amministrativi pertinenti”, creando un’armonizzazione con le disposizioni sanzionatorie contenute nella Legge sulla protezione delle informazioni personali ed evitando zone grigie nell’applicazione della legge.
V. Responsabilità più dettagliate per gli operatori di infrastrutture critiche
Il nuovo Articolo 67 modifica il precedente articolo 65 stabilendo che: Qualora un operatore di infrastrutture informatiche critiche utilizzi prodotti o servizi di rete che non sono stati sottoposti a revisione di sicurezza o che non hanno superato tale revisione, le autorità competenti ordinano la cessazione dell’uso e infliggono un’ammenda compresa tra una e dieci volte l’importo dell’appalto, mentre alle persone direttamente responsabili viene inflitta un’ammenda compresa tra 10.000 e 100.000 RMB.
Questo emendamento collega l’ammontare delle sanzioni al valore dell’approvvigionamento, allineando la responsabilità alla dimensione dell’attività economica. Ciò implica che le imprese — in particolare quelle che potrebbero essere qualificate come operatori di infrastrutture informatiche critiche — debbano considerare la revisione della sicurezza informatica come una componente centrale della gestione della supply chain nell’acquisto di apparecchiature o servizi di rete fondamentali. Nella selezione dei fornitori (in particolare dei fornitori di servizi cloud), le capacità di sicurezza e compliance dovrebbero costituire criteri di valutazione essenziali, con una chiara definizione delle responsabilità nei contratti.
Conclusioni
Nel complesso, gli emendamenti alla Legge sulla cybersicurezza promuovono la governance della cybersicurezza in Cina verso una fase più matura e raffinata, attraverso un rafforzamento della posizione strategica, l’inclusione della regolamentazione delle nuove tecnologie e l’inasprimento delle responsabilità: enfatizzando la sicurezza senza rinunciare allo sviluppo, chiarendo le responsabilità e, al contempo, prevedendo meccanismi di flessibilità.
Per le imprese straniere operanti in Cina, questo emendamento rappresenta più una chiarificazione del quadro giuridico che un irrigidimento della normativa, contribuendo alla creazione di un contesto imprenditoriale con regole più chiare e un’applicazione del diritto più prevedibile. Le imprese dovranno mantenere solide capacità di governance delle reti e dei dati, monitorare costantemente l’evoluzione delle politiche e garantire uno sviluppo sostenibile, stabile e di lungo periodo delle proprie attività in Cina.
