Innovation Law Insights

Artificial Intelligence

Linee Guida GPAI ai sensi dell'AI Act – Cosa Ogni Azienda Deve Sapere Prima di agosto 2025

Le Linee Guida GPAI della Commissione Europea ai sensi dell'AI Act sono arrivate – e stanno per cambiare radicalmente il modo in cui i modelli di intelligenza artificiale per finalità generali (GPAI) vengono sviluppati, distribuiti e regolamentati nell'Unione Europea. Se lavori con modelli linguistici di grandi dimensioni, sistemi di IA generativa o fornisci strumenti di IA a clienti nell’UE, queste linee guida stabiliscono le regole che dovrai seguire a partire dal 2 agosto 2025.

Questo articolo ti guida tra definizioni chiave, obblighi, esenzioni e scadenze applicative – per evitare sorprese.

Perché le Linee Guida GPAI dell’AI Act sono importanti

Il pacchetto di linee guida GPAI ai sensi dell'AI Act rappresenta una pietra miliare: per la prima volta, l’UE chiarisce come intende interpretare e applicare gli obblighi per i fornitori di IA per finalità generali (GPAI). Le linee guida si applicano a:

• Sviluppatori di modelli di fondazione
• Fornitori di API
• Distributori di IA open source
• Aziende che integrano GPAI in strumenti downstream
• Qualsiasi impresa che modifica o personalizza modelli di base

Alcune domande che ogni azienda dovrebbe porsi:

• La tua attuale strategia in materia di IA presume che le regole si applichino solo ai sistemi ad alto rischio, e non ai modelli per finalità generali?
• Sei sicuro di non essere considerato un fornitore di GPAI secondo le nuove definizioni?

Cosa si intende per modello di IA per finalità generali?

L’AI Act definisce un modello GPAI come un modello che mostra una “generalità significativa” e che può “eseguire in modo competente un’ampia gamma di compiti distinti”. Ciò suona vago – ma le linee guida GPAI specificano una soglia concreta.

Un modello è presunto essere un GPAI se:

• È stato addestrato usando più di 10²³ FLOPs
• È in grado di generare linguaggio (testo/audio) o immagini/video a partire da testo

Si tratta di un aumento significativo rispetto alla proposta iniziale di 10²² FLOPs. Secondo la Commissione Europea, 10²³ FLOPs è il calcolo tipico richiesto per addestrare un modello con almeno 1 miliardo di parametri. Tuttavia, i modelli addestrati per scopi ristretti – anche con elevata capacità computazionale – non sono considerati GPAI. Ad esempio, un modello speech-to-text addestrato con 10²⁴ FLOPs non rientra se svolge solo quel compito.

Domande ancora senza risposta:

• L’utilizzo dei FLOPs come indicatore della generalità è troppo semplicistico?
• L’UE dovrebbe considerare benchmark alternativi, come le prestazioni reali su più domini?

Chi è un fornitore di GPAI?

Secondo le linee guida, sei considerato un fornitore GPAI se:

• sviluppi un modello GPAI direttamente; oppure
• lo fai sviluppare e lo immetti sul mercato UE a tuo nome, sia a pagamento che gratuitamente.

Non ha importanza se il modello è distribuito tramite:

• API
• Librerie software
• Repository pubblici
• Servizi cloud
• App mobili o web

Anche se la tua azienda ha sede fuori dall’UE, queste regole si applicano non appena il modello entra nel mercato europeo. In tal caso, devi nominare un rappresentante UE.

Domande aperte:

• Se un modello statunitense viene usato in un prodotto distribuito nell’UE, chi è il fornitore responsabile?
• Come sarà applicata la normativa per modelli globali accessibili da utenti UE?

Obblighi chiave per i fornitori GPAI

A partire dal 2 agosto 2025, i fornitori GPAI devono:

• Mantenere documentazione tecnica aggiornata

Deve includere architettura del modello, fasi di addestramento, test e valutazione (Art. 53(1)(a)).

• Fornire informazioni agli utenti downstream

Soprattutto a chi integra il modello nei propri sistemi IA (Art. 53(1)(b)).

• Adottare una policy sul copyright

Per rispettare la normativa UE sul copyright, incluse l'opt-out di cui all'Art. 4(3) della Direttiva 2019/790 (Art. 53(1)(c)).

• Pubblicare un riepilogo dei dati di addestramento

Questo riepilogo deve essere pubblico e indicare il contenuto usato per l’addestramento (Art. 53(1)(d)).

Domande ancora aperte:

• Quanto deve essere dettagliato il riepilogo dei dati per essere conforme?
• La conformità sul copyright costringerà a rimuovere retroattivamente i dati?

Requisiti aggiuntivi per modelli GPAI con rischio sistemico

Alcuni modelli GPAI saranno soggetti a regole più rigide a causa del loro potenziale impatto sulla sicurezza pubblica, sui diritti o sul mercato interno.

Un modello è presunto a rischio sistemico se:

• È stato addestrato con più di 10²⁵ FLOPs; oppure
• Ha capacità comparabili ai modelli più avanzati sul mercato

In questi casi, devi:

Condurre test avversariali e valutazioni del modello

Monitorare e segnalare incidenti gravi

Implementare protezioni robuste in materia di cybersecurity

Notificare l’Ufficio per l'AI prima e durante l’addestramento

Domande aperte:

• I modelli a rischio sistemico dovrebbero essere sottoposti ad audit esterni?
• Come la Commissione terrà aggiornato il valore soglia dei FLOPs rispetto all’evoluzione dei modelli?

Fine-Tuning o Modifica dei Modelli? Potresti Essere il Nuovo Fornitore

Le linee guida GPAI affrontano anche il tema dei modificatori downstream – aziende o individui che adattano un modello di base (ad esempio, tramite fine-tuning, quantizzazione o distillazione).

Se la tua modifica utilizza più di un terzo del calcolo (compute) utilizzato per addestrare il modello originario, diventi un fornitore di un nuovo modello GPAI.

Questo significa che:

• Sei completamente soggetto all’AI Act
• Devi rispettare subito gli obblighi – niente periodo di transizione di due anni

Alcune domande che ogni azienda dovrebbe porsi:

• Come possono gli attori downstream, inclusa la tua azienda, stimare l’uso computazionale originale se non viene reso pubblico?
• Questo scoraggerà innovazione ed esperimenti di valore?

L’Eccezione per i Modelli Open-Source: Non Così Aperta come Sembra

Non tutti i modelli open-source sono esenti.

Per qualificarsi, il tuo modello deve:

• Essere rilasciato con una licenza open-source gratuita che consenta accesso, uso, modifica e redistribuzione
• Non essere monetizzato
• Includere accesso pubblico ai pesi del modello, all’architettura e alle informazioni sull’utilizzo

Cosa ti squalifica:

• Limitare l’uso a scopi di ricerca o non commerciali
• Paywall, pubblicità o commissioni d’uso
• Richiedere licenze commerciali per l’uso su larga scala

Anche i modelli esenti devono comunque:

• Rispettare le norme sul copyright
• Pubblicare un riepilogo dei dati di addestramento

Domande che non trovano risposta nelle Linee Guida GPAI dell’AI Act:

• Le aziende saranno costrette a cambiare licenza o ritirare i modelli open-source?
• L’ecosistema open-source può sopravvivere senza opzioni di monetizzazione sostenibili?

Clausola di Transizione: Periodo transitorio per i Modelli Esistenti

Se hai già immesso un modello GPAI nel mercato UE prima del 2 agosto 2025, hai tempo fino al 2 agosto 2027 per adeguarti.

Non è necessario riaddestrare o far “disimparare” al modello – a patto che:

• Non si possano recuperare i dati di addestramento; oppure
• Il riaddestramento comporti un onere sproporzionato.

Inoltre, devi dichiarare e giustificare questa situazione nella documentazione.

Alcune domande che ogni azienda dovrebbe porsi:

• Quali modifiche a un modello GPAI lo rendono un “nuovo” modello, che non può più beneficiare della clausola di transizione?
• Questa clausola favorirà una trasparenza selettiva?
• Potranno concorrenti o autorità contestare la portata delle giustificazioni?

Codice di Condotta GPAI: Un Percorso Volontario verso la Conformità

Il Codice di Condotta GPAI, pubblicato il 10 luglio 2025, offre una via volontaria per dimostrare la conformità agli Articoli 53 e 55.

Firmare il codice comporta alcuni vantaggi:

• Fiducia normativa e minore pressione regolatoria
• Multe potenzialmente più basse
• Reputazione pubblica in tema di sviluppo responsabile

Tuttavia:

• Devi implementare le misure, non solo firmare
• La non conformità al codice può danneggiare la credibilità

Alcune domande che ogni azienda dovrebbe porsi:

• Firmare il codice diventerà di fatto obbligatorio?
• I codici di condotta dovrebbero essere sostituiti da standard formali?

Scadenze Chiave per l’Applicazione

• 2 agosto 2025: entrano in vigore gli obblighi per i fornitori GPAI
• 2 agosto 2026: diventano attive le sanzioni e i poteri di enforcement
• 2 agosto 2027: scadenza per i modelli legacy per conformarsi

Le sanzioni possono arrivare a 15 milioni di euro o al 3% del fatturato globale – a seconda di quale sia superiore.

Domande che non trovano risposta nelle Linee Guida GPAI dell’AI Act:

• L’Ufficio per l'AI darà priorità all’enforcement in base al settore, alla scala o al rischio?
• Come si coordinerà l’UE con i regolatori extra-UE sulla conformità transfrontaliera?

Considerazioni Finali: La Conformità GPAI come Vantaggio Strategico

Le linee guida GPAI dell’AI Act non sono solo regolamentazione – rappresentano un cambiamento più ampio verso uno sviluppo responsabile dell’intelligenza artificiale.

La conformità non è più una questione legale da back office: è una leva strategica per generare fiducia, differenziazione competitiva e attrattività per gli investimenti.

Le organizzazioni che iniziano a prepararsi ora – mappando i propri modelli, documentando i processi di addestramento e allineandosi al Codice di Condotta – non solo eviteranno sanzioni, ma si posizioneranno come leader nella nuova economia dell’IA.

Discutiamone

• Conosci il profilo computazionale dei tuoi modelli di IA?
• Hai mappato quali potrebbero rientrare tra i GPAI?
• Il tuo attuale approccio a licenze o monetizzazione è conforme?
• Sei pronto a firmare il Codice di Condotta?

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

Gli accordi di condivisione delle informazioni sulla sicurezza informatica

L'articolo 17 del Decreto Legislativo n. 138/2024 (il "Decreto NIS2") stabilisce che le entità essenziali ed importanti nonché soggetti terzi, quali fornitori di servizi, possano scambiarsi, su base volontaria, informazioni sulla sicurezza informatica. Tale disposizione è stata oggetto di una lettura estensiva da parte dell'Agenzia per la Cybersicurezza Nazionale (ACN), la quale ha fornito chiarimenti attraverso le FAQ pubblicate sul proprio sito istituzionale.

Il contenuto dell'articolo 17 del Decreto NIS2

Il citato articolo 17 stabilisce che i soggetti rientranti nell'ambito di applicazione della normativa NIS2 possano condividere, su base volontaria, un ampio ventaglio di informazioni inerenti alla cybersicurezza. Tra queste rientrano, a titolo esemplificativo,

• informazioni relative a minacce informatiche, quasi-incidenti e vulnerabilità,
• tecniche, procedure e tattiche avversarie,
• indicatori di compromissione,
• informazioni specifiche sugli attori delle minacce,
• allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica.

L'obiettivo di tale condivisione è duplice. da un lato (i) prevenire, rilevare e rispondere agli incidenti informatici, anche tramite il contenimento e recupero in caso di compromissione, dall'altro (ii) aumentare il livello di sicurezza informatica, promuovendo la consapevolezza sui rischi e ostacolando la diffusione delle minacce, sostenendo attività di difesa, divulgando informazioni di vulnerabilità, promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati.

In questo contesto i soggetti essenziali ed importanti sono chiamati, in sede di aggiornamento annuale delle informazioni attraverso il portale ACN, a notificare all'autorità la eventuale adesione o cessazione di tali accordi. Questo consente all'autorità di avere una visione aggiornata e strutturata del grado di cooperazione informativa nel settore della sicurezza cibernetica.

I chiarimenti di ACN sull'articolo 17 del Decreto NIS2

In questo contesto ACN ha recentemente pubblicato nuovi chiarimenti attraverso la FAQ ACI.4 disponibile nella sezione "Aggiornamento Annuale" del proprio sito. Secondo quanto indicato da ACN "Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, e nelle more della costituzione di un consenso a livello Unionale," rientra tra le attività di condivisione di informazioni sulla sicurezza inforamtiva, anche "lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica."

La stessa FAQ fornisce elenco (non esaustivo) di tipologie contrattuali che, secondo l'interpretazione di ACN, configurano accordi di condivisione informativa soggetti a notifica. In particolare, rientrerebbero in tale ambito i contratti aventi ad oggetti i seguenti servizi:

• NOC (Network Operation Centre);
• MDR (Managed Detection and Response);
• SOC (Security Operation Centre);
• CSOC (Cyber Security Operation Centre);
• CERT (Computer Emergency Response Team);
• VA/PT (Vulnerability Assessment e Penetration Test);
• Red Teaming;
• Cyber Threat Intel.

Al contrario, non sono considerati accordi di condivisione – e pertanto esclusi dall'obbligo di notifica - i contratti relativi a forniture che non hanno oggetto servizi di sicurezza informatica e in cui, su base volontaria o in forza di clausole contrattuali, il fornitore segnali al cliente eventuali eventi di sicurezza informatica di interesse del cliente stesso.

Con riferimento agli accordi ritenuti rilevanti, ACN specifica che sarà sufficiente notificare un estratto di tali accordi indicando:

• le parti dell'accordo,
• l'oggetto dell'accordo;
• le clausole che prevedono lo scambio di informazioni sulla sicurezza informatica e quelle che disciplinano i relativi obblighi delle parti.

In una ottica di attuazione progressiva delle prescrizioni del decreto NIS, ACN chiarisce inoltre che, in occasione dell’aggiornamento annuale 2025 (in scadenza il prossimo 31 luglio 2025), sarà richiesta unicamente la notifica degli accordi in vigore e sottoscritti a partire dal 16 ottobre 2024, data di entrata in vigore del decreto NIS2. Gli accordi stipulati precedentemente a tale data restano esclusi. Alcune perplessità sulla interpretazione di ACN

L'interpretazione proposta da ACN solleva alcune perplessità, sia sul piano sistematico che su quello dell'allineamento con il quadro normativo europeo. Infatti la lettura estensive di ACN

• non trova, ad oggi riscontro, in posizioni analoghe da parte di altre autorità nazionali europee (sebbene si debba considerare che solo una parte limitata di stati membri ha ancora recepito la Direttiva NIS2);
• non appare coerente con il tenore letterale dell'art. 17, che fa riferimento a uno scambio volontario di informazioni sulla cybersicurezza e non a un obbligo strutturale o contrattuale derivante da prestazioni specialistiche;
• è in apparente contraddizione con quanto riportato dalla stessa ACN nella FAQ ACI.2 dove la condivisione di informazioni è qualificata come best practice, non come elemento necessario o obbligatorio per garantire un adeguato a garantire un livello adeguato di cybersicurezza.

Al contrario, molti – se non tutti i- i servivi elencati nella FAQ ACI.4 (SOC, CSOC, MDR, VA/PT, Red Teaming, ecc.) sembrano configurarsi come prestazioni professionali specialistiche, funzionali per loro stessa natura al rafforzamento delle difese cibernetiche. Per tale motivo, difficilmente potrebbero essere ricondotti a un'attività di condivisione volontaria di informazioni nel senso dell'art. 17 del Decreto NIS2, soprattutto nel caso di entità essenziali e importanti, per le quali tali servizi rappresentano una componente strutturale del proprio assetto di sicurezza.

Cosa fare?

In questa fase di incertezza circa l’effettiva riconducibilità di alcune tipologie contrattuali alla definizione di accordi di condivisione delle informazioni sulla sicurezza informatica, è opportuno procedere a una verifica puntuale dei contratti appartenenti alle categorie sopra indicate, stipulati successivamente al 16 ottobre 2024. Solo in presenza di tali contratti, sarà necessario analizzarne il contenuto, individuando esclusivamente le clausole che prevedono lo scambio di informazioni sulla sicurezza informatica, nonché quelle che disciplinano gli obblighi reciproci delle parti in relazione a tale condivisione.

Autrice: Giulia Zappaterra

 

Intellectual Property

SHEIN nel mirino della Commissione UE: sotto indagine per violazioni della normativa a tutela dei consumatori

A seguito di un'indagine congiunta a livello europeo, la Commissione UE e la Rete di cooperazione per la tutela dei consumatori ("CPC"), composta dalle autorità nazionali competenti degli Stati membri, hanno notificato al marketplace SHEIN una serie di pratiche commerciali ritenute non conformi alla normativa europea a tutela dei consumatori. L'azione contro SHEIN, coordinata dalla Commissione UE con il coinvolgimento attivo delle autorità di Belgio, Francia, Irlanda e Paesi Bassi, ha fatto emergere numerose criticità nell'esperienza d'acquisto offerta dalla piattaforma.

Le pratiche commerciali contestate coprono l'intero percorso d'acquisto online e includono:

• Sconti ingannevoli: SHEIN viene accusata di pubblicizzare riduzioni di prezzo basate su valori di riferimento non reali, generando l’impressione di offerte più vantaggiose di quanto siano effettivamente;
• Tattiche di vendita aggressive: la piattaforma utilizzerebbe tecniche aggressive mettendo i propri utenti sotto pressione, spingendoli ad effettuare acquisti immediati (es. indicando scadenze di acquisto false);
• Informazioni ingannevoli su diritti di recesso e rimborso: i consumatori riceverebbero indicazioni incomplete, errate o fuorvianti sui propri diritti e riscontrerebbero difficoltà nella gestione di resi e rimborsi;
• Etichette fuorvianti: alcuni prodotti riporterebbero diciture che suggeriscono caratteristiche “speciali” quando, in realtà, si tratta di requisiti di legge;
• Greenwashing: sarebbero state individuate dichiarazioni esagerate o ingannevoli sui benefici ambientali dei prodotti;
• Scarsa accessibilità ai contatti: gli strumenti per contattare SHEIN in caso di domande o reclami non sarebbero facilmente reperibili o utilizzabili da parte degli utenti della piattaforma.

La rete CPC ha richiesto a SHEIN di fornire chiarimenti ulteriori per verificare la conformità della piattaforma ad altre disposizioni del diritto europeo, come l'obbligo di garantire la trasparenza nella presentazione di recensioni, classifiche e valutazioni, nonché la chiarezza nella distinzione di ruoli e responsabilità contrattuali tra SHEIN e venditori terzi. Un’attenzione particolare è rivolta anche ai casi in cui tali venditori terzi non siano professionisti, con potenziali limitazioni dei diritti dei consumatori.

Questa iniziativa promossa dalla rete CPC, e coordinata dalla Commissione UE, si affianca all'indagine in corso ai sensi del Digital Services Act, condotta dalla stessa Commissione UE. Entrambe le azioni mirano a garantire un ambiente online sicuro e affidabile in cui i diritti dei consumatori siano tutelati.

A SHEIN è stato dato un mese di tempo per fornire una risposta formale alla rete CPC e proporre impegni concreti per correggere le criticità individuate. In assenza di una risposta soddisfacente, le autorità nazionali potranno avviare azioni di enforcement per garantire la conformità alla normativa a tutela dei consumatori, compresa l'imposizione di sanzioni proporzionate al fatturato dell’azienda nei diversi Stati membri.

Su un argomento simile può essere d’interesse l’articolo SHEIN nel mirino di AGCM per pubblicità ingannevole sulla sostenibilità dei capi.

Autrice: Carolina Battistella

 

Intellectual Property

Dall'UPC all'EPO: verso un'interpretazione coerente delle rivendicazioni brevettuali

Il 18 giugno scorso, l'Enlarged Board of Appeal (EBA) dell’EPO, adito dal Technical Board of Appeal (TBA), ha emesso una decisione molto attesa sull'interpretazione delle rivendicazioni brevettuali e sul ruolo che rivestono in tale contesto la descrizione e i disegni; si tratta della decisione G 1/24, disponibile a questo indirizzo.

In particolare, i quesiti posti dall'organo rimettente e ritenuti ammissibili sono stati due: quale sia la base giuridica da adottare nell'interpretazione delle rivendicazioni ai fini della valutazione della brevettabilità ex artt. 52-57 EPC e se, in questo ambito, la consultazione della descrizione e dei disegni debba avvenire sistematicamente oppure solo nei casi in cui il testo delle rivendicazioni risulti ambiguo.

Tali questioni affondano le radici in un annoso contrasto giurisprudenziale in merito, soprattutto, al ruolo dell'art. 69 EPC e l'art. 1 del relativo Protocollo interpretativo, a mente dei quali la descrizione e i disegni devono essere presi in considerazione per interpretare le rivendicazioni. Si tratta di capire se tale attività di interpretazione debba essere compiuta in ogni caso o solo quando le rivendicazioni presentino margini di ambiguità.

Sul punto, l'Enlarged Board ha anzitutto ribadito il principio ormai pacifico secondo cui le rivendicazioni costituiscono il punto di partenza per verificare se un'invenzione sia o meno brevettabile. Il Collegio ha poi specificato che la descrizione e i disegni costituiscono un fondamentale ausilio interpretativo per definire l'ambito di protezione di una privativa e che devono essere pertanto presi in considerazione sempre, e non solo in caso di incertezza interpretativa nel tenore letterale delle rivendicazioni.

Così affermando, il Board ha respinto la corrente giurisprudenziale che limitava il ricorso alla descrizione ai soli casi di ambiguità linguistica. Tale orientamento, infatti, è stato giudicato dall'EBA contrario alla giurisprudenza di molti tribunali nazionali e, soprattutto, della Corte d'Appello dell'Unified Patent Court, che si era da ultimo espressa in questi termini nel caso Nanostring Technologies v. 10x Genomics (di cui avevamo parlato qui).

La portata di questa pronuncia si preannuncia significativa ed è senz'altro un segno della progressiva armonizzazione tra EPO e UPC, verso un'interpretazione normativa sempre più uniforme a garanzia della certezza giuridica per gli operatori del settore brevettuale.

Autrice: Laura Gastaldi

 

Life Sciences

Il Ministero della Salute aggiorna le linee guida sulla pubblicità dei dispositivi medici

Dal 27 giugno 2025 sono disponibili sul sito del Ministero della Salute le nuove Linee Guida sulla pubblicità sanitaria dei dispositivi medici, dei dispositivi medico-diagnostici in vitro e dei presidi medico-chirurgici. Il documento, datato 4 aprile 2025, rappresenta un aggiornamento atteso da tempo e nasce con l’obiettivo di fornire chiarimenti in merito alla normativa vigente, regolando le modalità operative per svolgere la pubblicità in linea con l’evoluzione tecnologica e la comunicazione digitale.

Un quadro semplificato e aggiornato

I principi cardine restano invariati: trasparenza, correttezza e veridicità dei messaggi pubblicitari, in linea con gli articoli 7 dei Regolamenti europei (UE) 2017/745 (MDR) e (UE) 2017/746 (IVDR). La novità consiste nell’introduzione di indicazioni operative e disposizioni specifiche per la comunicazione online e sui social media, oggi centrali per il settore.

Le nuove linee guida sostituiscono le precedenti (2010-2020), razionalizzando il quadro e introducendo strumenti più moderni per affrontare la digitalizzazione della pubblicità sanitaria.

Il Ministero della Salute ha predisposto il documento in collaborazione con le principali associazioni di categoria, perseguendo due obiettivi: agevolare gli operatori con regole chiare e omogenee e rafforzare la tutela della salute pubblica attraverso controlli rigorosi e una maggiore tracciabilità dei contenuti diffusi online.

Le principali novità: procedure e social media

Le linee guida dettagliano la procedura di autorizzazione ministeriale, indicando documentazione e modalità di pagamento e confermando la possibilità di estendere un’autorizzazione già rilasciata ad altri mezzi di diffusione, purché il messaggio resti identico.

Vengono inoltre ribadite le regole per l’informazione rivolta ai soli operatori sanitari, che non necessita di autorizzazione purché l’accesso sia limitato ad aree riservate tramite disclaimer, pop-up o sistemi equivalenti. Le linee guida richiamano altresì i principi affermati dalla giurisprudenza in materia di utilizzo di testimonial e chiariscono quali fattispecie di pubblicità dei presidi medico-chirurgici non richiedono autorizzazione preventiva (mentre per i dispositivi medici si rinvia al decreto ministeriale del 26 gennaio 2023).

Ampio spazio è dedicato alla pubblicità online, con focus su siti istituzionali, siti di prodotto e tematici, fino ai social media. In allegato sono incluse schede operative per i canali già noti (Facebook, Instagram, YouTube) e, per la prima volta, TikTok. È inoltre ammesso l’uso di altri social, previa autorizzazione del Ministero.

L’inserimento di TikTok riflette la crescente rilevanza della piattaforma nelle strategie di marketing. Tuttavia, per evitare fenomeni di viralità incontrollata e interazioni improprie, il Ministero ha fissato condizioni rigorose. Sono consentite tre tipologie di profili:

• aziendali-istituzionali: non richiedono autorizzazione ministeriale, purché non contengano messaggi pubblicitari relativi a dispositivi medici, diagnostici in vitro o presidi medico-chirurgici;
• di prodotto o brand: ammessi solo con la disattivazione delle funzioni interattive (“commenta”, “duetto”, “stitch”, “condividi”, reazioni come “like” ed emoticon). Ogni contenuto, inclusi quelli scientifici, deve essere preventivamente autorizzato dal Ministero, salvo i contenuti relativi a prodotti non soggetti ad autorizzazione;
• tematici aziendali: possono essere creati senza autorizzazione se privi di contenuti pubblicitari; in caso contrario, valgono le stesse restrizioni dei profili di prodotto o brand.

Oltre alla gestione dei singoli post, il Ministero della Salute introduce la possibilità di richiedere l’autorizzazione per campagne pubblicitarie, composte da un massimo di dieci contenuti (di cui non più di tre video), con pagamento di una tariffa ministeriale per ciascuna richiesta.

Un aspetto centrale è il divieto delle funzioni che rendono la comunicazione interattiva o potenzialmente virale. L’obiettivo è mantenere la comunicazione su un piano informativo e promozionale trasparente, riducendo i rischi di uso improprio dei contenuti.

Un aggiornamento necessario

Con le nuove linee guida, il Ministero della Salute ha inteso modernizzare il quadro regolatorio per la pubblicità sanitaria, cercando di adattarlo alle dinamiche della comunicazione digitale e ai canali ormai centrali nella promozione dei dispositivi medici.

Si tratta di un intervento che semplifica alcune procedure e offre indicazioni operative più aderenti al contesto attuale. Tuttavia, l’approccio rimane in parte ancorato a logiche tradizionali, segno di un equilibrio ancora da trovare tra le esigenze di controllo e le peculiarità di un ecosistema digitale in continua evoluzione. Sarà il confronto con la pratica quotidiana a rivelare se queste regole sapranno davvero accompagnare – e non solo rincorrere – il cambiamento.

Autori: Nicola Landolfi e Nadia Feola

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.