Innovazione e diritto: le novità della settimana

Artificial Intelligence

Quali sono gli obblighi di cybersecurity previsti dall’EU AI Act?

L’articolo 15 dell’EU AI Act richiede che i sistemi di intelligenza artificiale ad alto rischio soddisfino un livello adeguato di accuratezza, robustezza, sicurezza e cybersecurity.

Un report dettagliato del servizio per la scienza e la conoscenza della Commissione europea, offre spunti di riflessione e analizza gli obblighi previsti dall’EU AI Act in termini di cybersicurezza.

Infatti, come qualsiasi altra legge dell’UE, l’AI Act è basata su principi e le aziende dovranno dimostrare la conformità attraverso la documentazione a sostegno delle loro pratiche. L’articolo 9.1 della versione dell’AI Act approvata dal Parlamento europeo prevede solo che:

I sistemi di intelligenza artificiale ad alto rischio devono essere progettati e sviluppati secondo il principio della sicurezza per progettazione e per impostazione predefinita. Alla luce dello scopo che si prefiggono, devono raggiungere un livello adeguato di accuratezza, robustezza, sicurezza e cybersicurezza e funzionare in modo coerente sotto questi aspetti per tutto il loro ciclo di vita. La conformità a questi requisiti comprende l’implementazione di misure all’avanguardia, in base allo specifico segmento di mercato o ambito di applicazione.

Gli obblighi derivanti dall’articolo 9 dell’AI Act si sono concretizzati in quattro principi guida:

1. L’AI Act si concentra sui sistemi di intelligenza artificiale

Un sistema di intelligenza artifciale è definito dall’articolo 3, paragrafo 1, ed è un software che contiene diversi modelli di AI e componenti integrali come interfacce e database. È fondamentale comprendere che i modelli di AI, sebbene essenziali, non rappresentano il sistema di AI nel suo complesso. Gli obblighi di cybersecurity previsti dall’AI Act si applicano all’intero sistema di AI, non solo ai suoi componenti interni.

Questo obbligo sembra ovvio, ma non è sempre così. Spesso vediamo clienti che immettono sul mercato sistemi di AI che combinano diversi modelli di AI, anche di fornitori diversi, che vengono poi incorporati in un unico sistema di AI. Normalmente, si tende a concentrarsi sui singoli moduli piuttosto che sulla loro interazione, il che potrebbe lasciare spazio a potenziali bug che potrebbero essere sfruttati durante un attacco informatico.

2. La conformità alla legge sull’AI richiede necessariamente una valutazione del rischio di cybersecurity

Per garantire che un sistema di AI sia ad alto rischio è necessaria una meticolosa valutazione del rischio di cybersecurity, che colleghi i requisiti a livello di sistema ai singoli componenti. Questo compito comporta l’identificazione e la gestione di rischi specifici, traducendo i requisiti generali di cybersecurity della normativa in mandati specifici per i componenti del sistema.

La valutazione del rischio di cybersecurity fa parte del sistema di gestione del rischio di cui all’articolo 9 della legge sull’AI. Questo requisito ricorda alle aziende quanto sia importante la capacità di documentare la conformità piuttosto che limitarsi a eseguire le attività richieste. Ci capita continuamente di consigliare clienti che eseguono le attività richieste, ma non hanno una procedura che le regolamenta e non documentano gli esiti delle valutazioni. Questo approccio non è in linea con l’AI Act che, come il GDPR, si basa sul principio di responsabilità e richiede alle aziende di fornire prove delle loro attività di conformità.

3. La sicurezza dei sistemi di AI richiede un approccio integrato e continuo che utilizzi pratiche collaudate e controlli specifici per l'AI

La creazione di sistemi di AI solidi richiede l’integrazione delle pratiche di cybersecurity esistenti con misure specifiche per l’AI, incarnando un approccio olistico basato su principi di sicurezza approfondita e di security by design che devono essere applicati durante l’intero ciclo di vita del prodotto.

Questo requisito è fondamentale per i sistemi di AI che imparano continuamente dal loro utilizzo e possono quindi generare bug e punti deboli potenzialmente sfruttabili dagli attori delle minacce informatiche. Gli hacker hanno infatti degli spider che monitorano continuamente i sistemi cercando di individuare una “porta” che possa essere sfruttata.

4. Lo stato dell’arte della sicurezza dei modelli di intelligenza artificiale presenta dei limiti

Data la molteplicità della diversa maturità delle attuali tecnologie di AI, è indispensabile riconoscere che non tutte sono adatte a scenari ad alto rischio, a meno che non vengano affrontate le loro carenze in termini di cybersecurity. Soprattutto per le tecnologie emergenti, la conformità può essere raggiunta solo adottando l’approccio olistico precedentemente menzionato, a causa delle limitazioni intrinseche.

L’adozione di standard approvati può generare una presunzione di conformità. Tuttavia, è fondamentale ricordare che le aziende non possono garantire che non si verifichi alcun attacco informatico, ma devono dimostrare di aver eseguito tutto ciò che è necessario per garantire la conformità. E questo aspetto è rilevante anche per difendere l’azienda in relazione a potenziali richieste di risarcimento.

Per aiutare le aziende a garantire la conformità dei loro sistemi di intelligenza artificiale, DLA Piper ha sviluppato PRISCA AI Compliance, una soluzione tecnologica legale che facilita la valutazione della maturità dei sistemi di intelligenza artificiale. Per saperne di più QUI.

Inoltre, su un argomento simile, potete trovare interessante il seguente articolo “Report ENISA sulla cybersicurezza dell’intelligenza artificiale e la sua standardizzazione”.

 

Data Protection & Cybersecurity

CyberItalia: Cosa cambia dalla Direttiva NIS 1 alla NIS 2 in pillole

Questo secondo articolo della rubrica CyberItalia presenta un focus schematico su cosa cambia dalla Direttiva NIS 1, la prima normativa europea volta ad armonizzare le regole in materia di cybersicurezza tra Stati membri, alla nuova Direttiva NIS 2, che sostituisce la NIS 1 con l’obiettivo di raggiungere un livello comune ed elevato di cybersicurezza e resilienza in UE.

La Direttiva NIS 1 (Direttiva (UE) 2016/1148), acronimo di “Network and Information Security”, viene adottata nel 2016 e rappresenta la prima misura legislativa a livello europeo con l’obiettivo di innalzare la cooperazione tra gli Stati membri e creare un primo livello di armonizzazione in materia di sicurezza cibernetica.

Quando? Adottata il 6 luglio 2016, con recepimento entro il 9 maggio 2018 (in Italia dal d.lgs. 65/2018, “Decreto NIS”). La Direttiva NIS 1 è stata abrogata con l’entrata in vigore della Direttiva NIS 2 (vedi sotto).

A chi si rivolge? La Direttiva NIS 1 individua due categorie di soggetti a cui sono rivolte previsioni specifiche:

• Operatori di servizi essenziali (OSE): soggetti pubblici o privati che rivestono un ruolo importante per la società e l’economia e forniscono servizi essenziali (comunemente identificate come “infrastrutture critiche”). Gli OSE devono essere individuati direttamente dagli Stati membri all’interno dei settori critici (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali) in base all’essenzialità del servizio e le conseguenze sulla fornitura del servizio che potrebbe causare un incidente.
• Fornitori di servizi digitali (FSD): Società che forniscono servizi di e-commerce, cloud computing o motori di ricerca (a meno che non siano PMI).

La Direttiva NIS 1 lascia però liberi gli Stati di ampliare i settori / le categorie di soggetti a cui gli obblighi in materia cyber devono applicarsi.

Cosa prevede? Con riferimento agli Stati, la Direttiva NIS 1 richiede che questi: (i) adottino una strategia nazionale di in materia di sicurezza cibernetica che definisca obiettivi strategici e priorità, politiche adeguate e misure di regolamentazione a livello nazionale; (ii) assicurino la cooperazione internazionale e la collaborazione con l’ENISA (European Union for Network and Information Security Agency) attraverso meccanismi individuati; (iii) designino autorità nazionali competenti, punti di contatto e il CSIRT (Computer Security Incident Response Team), responsabili della sicurezza monitoraggio degli incidenti a livello nazionale.

Con riferimento a OSE e FSD, la Direttiva NIS 1 impone essenzialmente due ordini di obblighi:

• Misure di sicurezza - adozione di misure di sicurezza adeguate e proporzionate alla gestione dei rischi e alla prevenzione e minimizzazione dell’impatto degli incidenti di sicurezza (con alcune misure più specifiche nel contesto dei FSD).
• Segnalazione incidenti – notifica senza indebito ritardo alle autorità competenti o al CSIRT di incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati (in base al numero di utenti interessati, durata e diffusione geografica).

La Direttiva NIS 1 incoraggia, inoltre, la segnalazione di incidenti con impatto rilevante anche da parte di quei soggetti non identificati come OSE e non FSD, sotto forma di notifica su base volontaria.

La Direttiva NIS 2 (Direttiva (UE) 2022/2555) risponde all’esigenza di aggiornare e rafforzare il quadro normativo previsto dalla Direttiva NIS 1. Le importanti divergenze nell’attuazione degli obblighi previsti dalla Direttiva NIS hanno infatti determinato livelli disomogenei di sicurezza e vulnerabilità tra gli Stati membri, con possibili impatti sull’intera UE.

Obiettivo della Direttiva NIS 2 – che abroga la Direttiva NIS 1 – è quello di eliminare le divergenze tra ordinamenti, rafforzando gli obblighi di cybersecurity, ampliando il numero di settori e soggetti coinvolti e aumentando la cooperazione tra gli Stati per raggiungere maggiore uniformità di applicazione.

Quando? Adottata il 14 ottobre 2022, attualmente in vigore ma da recepire nella legislazione nazionale entro il 17 ottobre 2024.

A chi si rivolge? La Direttiva NIS 2 supera la distinzione tra OSE e FSD prevista dalla NIS 1. Al loro posto, introduce alcuni criteri uniformi per identificare le due nuove categorie di soggetti che saranno soggette agli obblighi della direttiva ossia:

• Soggetti “essenziali” e
• Soggetti “importanti”

Tali soggetti devono essere individuarsi nei settori ritenuti “essenziali”, che comprendono sia i settori già individuati dalla Direttiva NIS 1, sia un ulteriore elenco di settori “ad alta criticità” (es. servizi sanitari, servizi postali, settore alimentare e di macchinari/apparecchiature, ulteriori servizi digitali). Viene inoltre applicato un criterio dimensionale, che esclude dall’ambito di applicazione le piccole e medie imprese, salve alcune eccezioni che dipendono dalla criticità del servizio fornito (es. comunicazione elettronica o servizi fiduciari).

Spetterà comunque agli Stati definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.

Cosa prevede? La Direttiva NIS 2 rafforza sostanzialmente gli obblighi già presenti all’interno della Direttiva NIS 1, quindi in particolare:

• Misure di sicurezza - previsione di un approccio “multirischio” nell’adozione di misure di sicurezza tecniche, operative e organizzative adeguate e proporzionate per (i) gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e (ii) prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi. La Direttiva NIS 2 fornisce un elenco minimo delle misure di sicurezza che devono essere implementate.
• Segnalazione incidenti – rafforzamento degli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT secondo uno schema a più fasi con tempistiche predefinite (ridotte a 24 ore dalla conoscenza per l’invio di un “early warning”, seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza).
• Ove opportuno, viene prevista la notifica senza indebito ritardo degli incidenti significativi anche nei confronti dei destinatari dei servizi stessi.

A queste previsioni, si aggiungono le prescrizioni rivolte agli Stati membri, circa la necessità di prevedere misure di vigilanza e esecuzione a cui sottoporre i soggetti essenziali e importanti (es. audit mirati e ispezioni), nonché nuovi obblighi di condivisione delle informazioni sulla cybersicurezza.

Per un approfondimento sulle Direttive NIS 1 e NIS 2 si rimanda a: “La Direttiva NIS2 pubblicata - novità in materia cybersecurity”.

La Cassazione fissa alcuni importanti principi in tema di sanzioni privacy ai sensi del GDPR

Attraverso l’ordinanza n. 27189/2023, la Suprema Corte di Cassazione fissa alcuni importanti principi in tema di sanzioni privacy per violazione del GDPR, e non solo.

• La vicenda oggetto dell’ordinanza della Cassazione sulle sanzioni privacy

Con sentenza 3276/2022, il Tribunale di Milano si era pronunciato rispetto al provvedimento n. 234 del 2021 col quale il Garante per la protezione dei dati personali (il “Garante”) aveva irrogato la sanzione amministrativa di 2.600.000,00 EUR ad una società per avere violato distinte norme del Regolamento 2016/679-UE (il “GDPR”) quanto ai dati personali dei cd. rider, annullando il provvedimento per eccessività della sanzione inflitta.

In particolare, il Tribunale avrebbe motivato la sua sentenza affermando che la decisione del Garante, per quanto fosse legittima sotto i profili della possibilità di intervento contro la società, non lo fosse invece per quanto riguardava il piano della sanzione. Difatti, il provvedimento aveva dichiarato di voler tenere conto delle "condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019" (chiuso con perdite di esercizio), e tuttavia aveva poi quantificato la sanzione in ragione della violazione più grave (ex art. 83, par. 5, lett. a), del GDPR) in misura pari al 7,29% del fatturato annuale dell’opponente, e quindi in misura decisamente superiore al parametro del 4% menzionato dalla citata norma, e ancor maggiore rispetto alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati.

Inoltre, il Tribunale, aveva ritenuto che il giudice ordinario non avesse in ogni caso la “possibilità [...] di modificare l’entità della pena pecuniaria”, non essendo tale potere attribuito dalla normativa nazionale in tema di dati personali.

Per le ragioni di cui sopra, il Garante ha pertanto proposto ricorso per cassazione sostenendo principalmente la violazione o falsa applicazione, tra le altre cose, dell’art. 83 del GDPR e dell’art. 166 del codice privacy, ritenendo che la sanzione fosse invece stata irrogata nella misura consentita dal parametro edittale applicabile.

• I principi fissati dalla Corte di Cassazione sulle sanzioni GDPR

La Cassazione, accogliendo i motivi di ricorso del Garante, esprime, tra le altre cose, i seguenti principi di diritto nella determinazione delle sanzioni ai sensi del GDPR.

In primo luogo, la Suprema Corte ritiene che la violazione delle disposizioni del GDPR comporti una sanzione che in generale non deve superare “l’importo specificato per la violazione più grave”. Infatti, secondo la Cassazione, l’art. 83 del GDPR stabilisce due tipologie di sanzioni amministrative alternative:

1. fino a 10.000.000 EUR o fino a 20.000.000 EUR, oppure
2. fino al 2% o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, “se superiore”.

La sanzione amministrative della “percentuale” (2% o 4%) è però un riferimento proporzionale che, per le imprese, “non ha funzione mitigatoria del limite edittale ordinariamente stabilito in misura variabile tra il minimo e il massimo”. Secondo la Cassazione, questo significa che la sanzione “percentuale” opera solo come ulteriore limite al limite edittale “ordinario” (20.000.000,00 EUR). E questo, sempre secondo la Cassazione, si trarrebbe dalla locuzione finale della norma (“se superiore”), che è riferita alla sanzione pecuniaria “numerica”.

Ciò sembra significare che, fintanto che la sanzione non supera il massimo edittale di 20.000.000,00 EUR, non bisogna guardare alla percentuale rispetto al fatturato annuo (che, nel caso di specie, seppur riguardasse il 7,29% del fatturato annuale della società, si sarebbe attestata a “soli” 2.600.000,00 EUR).

In secondo luogo, la Cassazione si esprime in riferimento al terzo motivo di ricorso presentato dal Garante, ossia il fatto che “il tribunale ha ritenuto di non avere la possibilità di modificare l’entità della sanzione pecuniaria ove anche ritenuta esorbitante”. Su questo la Cassazione ritiene che, con la sentenza che accoglie l’opposizione rispetto ad un provvedimento amministrativo come quello del Garante, il giudice può annullare in tutto in parte l’ordinanza o “modificarla anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.

Da ciò ne deriva che, con questa ordinanza, la Cassazione afferma che le sanzioni irrogate dal Garante non sono statiche, ma potrebbero subire delle modifiche anche dal giudice ordinario, qualora questo lo ritenesse necessario.

• Rilevanza dell’ordinanza per la compliance privacy delle aziende

L’ordinanza della Corte di Cassazione sancisce degli importanti principi per le aziende in tema di sanzioni irrogate dal Garante, attraverso provvedimenti amministrativi. Innanzitutto, la Suprema Corte cristallizza il principio per cui la sanzione massima non è determinata nella sanzione “percentuale”, ma nella sanzione “numerica”. Questo significa che una società potrebbe essere sanzionata per una cifra superiore a quella del 4% del suo fatturato mondiale annuo (fino ad un massimo di 20.000.000 EUR), fintanto che la sanzione è effettiva, proporzionata e dissuasiva. Inoltre, il giudice ordinario, secondo la Cassazione, ben può modificare una sanzione irrogata dal Garante, qualora lo ritenga necessario.

Su un argomento simile può essere interessante l’articolo “La violazione della normativa privacy non integra sempre un reato secondo la Cassazione”.

Il Garante Privacy vara il decalogo sull’uso dell’Intelligenza Artificiale

Il decalogo del Garante privacy sull’intelligenza artificiale definisce principi che possono essere applicabili sia alle aziende pubbliche che private.

I sistemi di intelligenza artificiale (AI) stanno assumendo un ruolo sempre più preponderante nell’ambito dei servizi sanitari, tuttavia, l’utilizzo dell’AI in questo ambito può risultare particolarmente rischioso. È per questo che il Garante Privacy ha recentemente deciso di varare un decalogo per la realizzazione di servizi sanitari a livello nazionale attraverso sistemi di AI.

Di seguito i punti più rilevanti del decalogo a nostro giudizio:

1. La base giuridica per il trattamento dei dati personali deve essere l’interesse pubblico, che richiede una legge specifica che consenta l’utilizzo dell’AI e che definisca in dettaglio i requisiti da soddisfare. Normalmente questo requisito viene soddisfatto con un decreto ministeriale molto dettagliato che definisce anche le misure tecniche da rispettare;

2. Bisogna essere in grado di dimostrare che la soluzione è stata creata in linea con i principi della privacy by design. Questo requisito viene normalmente soddisfatto attraverso documenti e valutazioni redatti durante lo sviluppo del prodotto;

3. La logica e le metriche alla base dell’algoritmo devono essere rese note nell’informativa sulla privacy e nella DPIA. Anche se si tratta di un obbligo per il titolare del trattamento, probabilmente le informazioni dovranno essere prestate dal fornitore sul quale di conseguenza ricade l’obbligo;

4. I dati utilizzati per addestrare l’algoritmo devono essere accurati e aggiornati. Il problema dell’AI generativa è che è possibile istruire l’algoritmo a non considerare informazioni specifiche nella valutazione, ma una volta che l’algoritmo ha appreso le informazioni che non possono essere rimosse;

5. Il titolare del trattamento deve fornire una DPIA molto dettagliata che deve comprendere una analisi del rischio e dell’assenza di discriminazioni che ricorda molto quanto previsto dall’AI Act; e

6. È necessario dimostrare l’adeguatezza delle misure di sicurezza implementate per proteggere i dati trattati.

Su un argomento simile può essere interessante l’articolo “Le implicazioni dell’intelligenza artificiale nel settore dei dispositivi medici”.

 

Intellectual Property

La Corte d’Appello di Milano si pronuncia sul risarcimento dei danni per contraffazione di marchio figurativo

La Corte d’Appello di Milano è stata recentemente chiamata a decidere su una causa legata alla presunta contraffazione di un marchio figurativo che includeva sia una parte denominativa che una figurativa, ritraente l’immagine di un cane bassotto.

Il marchio oggetto di contraffazione viene utilizzato da oltre trent’anni per promuovere capi di abbigliamento e accessori. Nella propria decisione, la Corte d’Appello ha svolto diverse valutazioni relative alla validità del marchio registrato, alla predominante capacità distintiva della parte grafica rispetto a quella denominativa, alla forza o alla debolezza del marchio e alla sua notorietà. Tali valutazioni sono state determinanti al fine di stabilire se vi fosse effettivamente una illecita contraffazione e se il titolare del marchio avesse pertanto diritto a un risarcimento dei danni causati dalla contraffazione.

• I criteri normativi per il risarcimento dei danni da contraffazione

L’articolo 125 del Codice della Proprietà Industriale (“cpi”) stabilisce le basi per il calcolo del risarcimento dei danni da contraffazione e prevede espressamente che: “Il risarcimento dovuto al danneggiato è liquidato secondo le disposizioni degli articoli 1223, 1226 e 1227 del codice civile, tenuto conto di tutti gli aspetti pertinenti, quali le conseguenze economiche negative, compreso il mancato guadagno, del titolare del diritto leso, i benefici realizzati dall’autore della violazione e, nei casi appropriati, elementi diversi da quelli economici, come il danno morale arrecato al titolare del diritto dalla violazione. La sentenza che provvede sul risarcimento dei danni può farne la liquidazione in una somma globale stabilita in base agli atti della causa e alle presunzioni che ne derivano. In questo caso il lucro cessante è comunque determinato in un importo non inferiore a quello dei canoni che l’autore della violazione avrebbe dovuto pagare, qualora avesse ottenuto una licenza dal titolare del diritto leso. In ogni caso il titolare del diritto leso può chiedere la restituzione degli utili realizzati dall’autore della violazione, in alternativa al risarcimento del lucro cessante o nella misura in cui essi eccedono tale risarcimento”.

L’articolo 125 cpi richiama l’articolo 1223 del Codice Civile, il quale fornisce parametri indiretti per calcolare il danno, tra cui le conseguenze economiche negative e il mancato guadagno del titolare del diritto leso.

Il danno risarcibile a seguito della contraffazione comprende il danno emergente e il lucro cessante. Il danno emergente consiste nelle spese vanificate dall’illecito e nelle spese affrontate per rimediare alla contraffazione, tra cui rientrano le spese affrontate per contrastare la contraffazione, le spese di pubblicità, marketing, monitoraggio del mercato e, più in generale, le spese legali.

Il lucro cessante, è invece il mancato profitto del titolare del diritto di proprietà intellettuale, ed è dato dalla differenza tra i flussi di vendita effettivi e quelli che il titolare avrebbe avuto senza la contraffazione. Tale valore risulta dalla differenza tra i flussi di vendita effettivi e quelli che il titolare avrebbe ottenuto senza la contraffazione.

L’articolo 125 cpi, comma 2, poi, detta una regola speciale di liquidazione equitativa del lucro cessante, consentendo che il giudice liquidi il danno “in una somma globale stabilita in base agli atti della causa e alle presunzioni che ne derivano”. Tale criterio è detto criterio del giusto prezzo del consenso o della giusta royalty, vale a dire del compenso che il contraffattore avrebbe pagato al titolare se avesse chiesto ed ottenuto una licenza per utilizzare l’altrui privativa industriale. Tale criterio opera come ulteriore elemento di valutazione equitativa “semplificata” del lucro cessante, qualora il titolare della privativa non sia riuscito a dimostrare l’effettivo mancato guadagno, e come fissazione di un limite minimo o residuale di ammontare del risarcimento.

È evidente che anche in caso di valutazione equitativa sarà necessario fornire la c.d. prova ontologica del danno, ovvero la prova che un danno, se pure non quantificabile con esattezza, si sia verificato.

• La decisione della Corte d’Appello di Milano

Nel caso oggetto della recente decisione, la Corte d’Appello di Milano ha valutato la contraffazione di un marchio di moda da parte del marchio di una società operante nel medesimo settore. La Corte ha riconosciuto che il primo marchio è dotato di una capacità distintiva significativa e che è un marchio noto sul mercato. Ha inoltre stabilito che l’uso del marchio della società concorrente ha creato un evidente rischio di confusione con il primo marchio.

In merito al calcolo del risarcimento dei danni, la Corte ha tenuto conto delle spese legali e delle spese sostenute dal titolare del marchio per proteggere il proprio marchio, nonché dei costi sostenuti per contrastare la contraffazione. Al fine di quantificare il lucro cessante, la Corte ha utilizzato criteri equitativi basati su presunzioni derivate dalla documentazione prodotta in atti, comprese le percentuali di ricavo di mercato e la giusta royalty applicata.

In conclusione, la Corte d’Appello di Milano ha rigettato l’appello proposto e ha confermato la sentenza del tribunale di primo grado, che aveva correttamente riconosciuto la contraffazione e aveva calcolato il risarcimento dei danni in base ai criteri normativi e alle presunzioni adeguate.

Su un simile argomento può essere di interesse: “Cassazione su controversia marchio sneakers casa di moda”.

UPC: la divisione centrale di Monaco si pronuncia sull’accesso al Registro da parte di terzi

La possibilità per i terzi di accedere al Registro UPC e consultare le decisioni e gli atti del procedimento è disciplinata dalle Rules of Procedure e, per la precisione, dalla Rule 262.

La norma in parola, da un lato, prevede la libera pubblicazione delle sentenze e delle ordinanze della Corte (punto a); dall’altro, subordina l’accesso alle memorie di parte e alle prove depositate nel corso dei procedimenti a una richiesta motivata dei soggetti interessati (punto b).

Tuttavia, le Rules of Procedure non specificano i motivi che possono giustificare l’accoglimento della richiesta, lasciando all’interprete l’onere di definirne i contorni. Sul punto, due decisioni della divisione centrale di Monaco, rese a distanza di un solo giorno l’una dall’altra, hanno fornito alcune prime indicazioni.

Nel primo caso, il richiedente aveva presentato l’istanza nell’interesse di un cliente, di cui non è stato rivelato il nome, interessato al brevetto oggetto di causa e alla sua validità. Nel secondo caso, l’istanza era stata presentata per finalità di studio e formazione.

In entrambe le decisioni, la Corte ha chiarito che, affinché possa giustificare l’accesso alle memorie o prove del procedimento, il motivo invocato dal terzo ai sensi della Rule 262 (b) deve essere legittimo, concreto e verificabile, attesa anche la distinzione tra la pubblicità dei procedimenti, sancita dall’Art. 45 UPCA, e la pubblicità degli atti delle parti.

In applicazione del principio enunciato, la Corte ha escluso che il mero interesse personale o professionale di una persona sia sufficiente a garantire al terzo l’accesso agli atti, rigettando dunque entrambe le richieste.

Su un simile argomento può essere interessante l’articolo “La prima udienza pubblica davanti al Tribunale Unificato dei Brevetti”.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.