Tutte e nove le città italiane della missione europea «100 climate-neutral and smart cities by 2030» hanno ormai ottenuto il Mission Label. Ma l’apertura delle città al digitale ha incontrato anche il suo primo, severo, limite giuridico: la sanzione del Garante privacy al Comune di Trento per i progetti di sorveglianza “intelligente” Marvel e Protector. Tra fondi europei e diritti fondamentali, entro quali confini può muoversi la smart city italiana?
Sono diverse le città italiane che si aprono al digitale. Ma come? Tra l'attuazione di progetti europei e le attività di ricerca universitaria, la smart city si sviluppa; e, come vedremo, si definisce parallelamente il suo contrappeso giuridico.
Missione città climaticamente neutre e intelligenti: il traguardo del Mission Label
Nel 2022 la Commissione europea annunciava i nomi delle città protagoniste della missione «100 climate-neutral and smart cities by 2030»: per l’Italia, Bergamo, Bologna, Firenze, Milano, Padova, Parma, Prato, Roma e Torino.
A distanza di quattro anni, il bilancio è tutt’altro che simbolico. Con gli annunci di ottobre 2025 la Commissione ha comunicato che il totale delle città etichettate ha ormai raggiunto quota 103, precisando che, delle 112 città che partecipano alla missione, 103 hanno finora ricevuto il label, di cui 10 assegnate nell’ottobre 2023, 23 nel marzo 2024, 20 nell’ottobre 2024 e 39 nel maggio 2025. Il Mission Label, che attesta la credibilità dei piani di neutralità climatica delle città (i c.d. Climate City Contract), apre l’accesso al Climate City Capital Hub e a una dotazione dedicata di prestiti di 2 miliardi di euro della Banca europea per gli investimenti.
Quanto alle italiane, il percorso si è completato per tutte e nove: Firenze e Parma etichettate nel marzo 2024; Bologna, Bergamo, Milano, Prato e Torino nell’ottobre 2024; Padova nel maggio 2025; Roma, da ultima, nell’ottobre 2025.
Trento città pilota: Marvel, Protector, Precrisis
Tra i diversi progetti di digitalizzazione urbana, uno in particolare aveva colpito la nostra attenzione: quello della città di Trento. Grazie ai fondi stanziati dall’Unione europea per lo sviluppo delle smart cities, Trento, in collaborazione con la Fondazione Bruno Kessler, è stata città pilota di tre progetti di ricerca: Marvel, Protector e Precrisis. Dal controllo del traffico alla prevenzione della microcriminalità, fino alla gestione dei flussi di persone nei grandi eventi, gli algoritmi di Intelligenza Artificiale avrebbero consentito al capoluogo trentino di raccogliere e analizzare grandi quantità di dati dagli spazi pubblici.
Già nel maggio 2023 il Comune aveva sentito la necessità di prendere pubblicamente posizione sui tre progetti, innanzi alle preoccupazioni, di orwelliana memoria, di chi paventava una videosorveglianza massiva realizzata a scapito dei diritti degli abitanti, celata dietro la giustificazione della sicurezza urbana.
La lezione del Garante: il provvedimento dell’11 gennaio 2024
Quelle preoccupazioni hanno trovato conferma nell’intervento dell’Autorità. Con il provvedimento dell’11 gennaio 2024 (doc. web n. 9977020), reso noto con comunicato del 25 gennaio 2024, il Garante per la protezione dei dati personali ha sanzionato il Comune di Trento con una sanzione di 50.000 euro, ordinando altresì di «cancellare i dati trattati in violazione di legge», in relazione ai trattamenti effettuati nell’ambito dei progetti Marvel e Protector.
Le censure dell’Autorità meritano di essere riportate testualmente. In primo luogo, il difetto di base giuridica: «il Comune di Trento, che non annovera la ricerca scientifica tra le proprie finalità istituzionali, non ha comprovato la sussistenza di alcun quadro giuridico idoneo a giustificare i trattamenti dei dati personali – relativi anche a reati e a categorie particolari». In secondo luogo, l’inadeguatezza delle misure: «si sono rivelate inoltre insufficienti le tecniche di anonimizzazione impiegate per ridurre i possibili rischi di reidentificazione». In terzo luogo, l’assenza della valutazione d’impatto: «il Comune non ha comprovato di aver effettuato una valutazione d’impatto prima di iniziare il trattamento».
Quanto all’oggetto, il progetto Marvel comportava il trattamento di filmati di videosorveglianza e di «audio ottenuto da microfoni appositamente collocati sulla pubblica via», mentre Protector includeva anche «la raccolta e l’analisi di messaggi e commenti d’odio pubblicati sui social». Ma è nel passaggio conclusivo che il provvedimento assume una portata che trascende il caso di specie: il Garante ha stigmatizzato «le massive e invasive modalità di trattamento poste in essere», osservando che «simili forme di sorveglianza negli spazi pubblici possono modificare il comportamento delle persone e condizionare anche l’esercizio delle libertà democratiche».
Né il caso trentino è rimasto isolato: la stessa Autorità ha successivamente aperto istruttorie su un progetto di videosorveglianza con riconoscimento facciale nelle stazioni della metropolitana di Roma e sulle telecamere “intelligenti” di Torino. La sorveglianza urbana algoritmica è, a tutta evidenza, entrata stabilmente nell’agenda dell’enforcement.
Conclusioni
Le due traiettorie che abbiamo descritto, quella dei Mission Label e quella del provvedimento trentino, non sono in contraddizione: sono le due facce della medesima medaglia. La città intelligente e climaticamente neutra è un obiettivo europeo finanziato e strutturato; ma l’intelligenza della città non può essere edificata sulla sorveglianza dei suoi abitanti. La ricerca scientifica, ha ricordato il Garante, non è una finalità istituzionale del Comune: chi tratta dati personali negli spazi pubblici deve poter esibire una base giuridica idonea, misure efficaci contro la reidentificazione e una valutazione d’impatto preventiva. A ciò si aggiunge oggi l’AI Act, con i divieti già applicabili dal 2 febbraio 2025 e la disciplina dei sistemi ad alto rischio all’orizzonte.
Alla luce di quanto esposto, ci si domanda se le città italiane sapranno tenere insieme le due anime della transizione, quella climatico-digitale e quella dei diritti, subordinando ogni trattamento di dati negli spazi pubblici a una base giuridica idonea, a misure efficaci contro la reidentificazione e a una valutazione d'impatto preventiva, così che l'innovazione urbana non si converta in sorveglianza dei suoi abitanti.
