Innovation Law Insights

Podcast

Ransomware e crimine – Una proposta per contrastare le estorsioni informatiche in Italia

In questo episodio di Diritto al Digitale, esploriamo l'audace iniziativa dell’Italia di criminalizzare il pagamento di riscatti in risposta alla crescente minaccia degli attacchi ransomware. Con l’Italia tra i principali obiettivi a livello globale, una nuova proposta di legge mira a colpire il modello economico dei criminali informatici vietando il pagamento di riscatti da parte degli operatori di infrastrutture critiche, imponendo l’obbligo di rapide notifiche in caso di violazione e riconoscendo il ransomware come una minaccia alla sicurezza nazionale. Puoi ascoltare l’episodio QUI.

 

Data Protection & Cybersecurity

Double Opt-In e Consenso Privacy per Finalità di Marketing: si evolve la posizione del Garante in Italia

Con il Provvedimento n. 330 del 4 giugno 2025 (il “Provvedimento”), il Garante per la protezione dei dati personali (il “Garante”) ha fornito importanti chiarimenti in merito ai requisiti per la raccolta del valido consenso al trattamento dei dati personali per finalità di marketing, concentrandosi in particolare sul meccanismo del cosiddetto double opt-in.

Sebbene tale meccanismo non sia espressamente previsto dal Regolamento (UE) 2016/679 (“GDPR”) né dal Decreto Legislativo n. 196/2003 (“Codice Privacy”), il Garante adotta criteri particolarmente rigorosi nella sua valutazione, identificando il double opt-in – e in particolare il complesso di garanzie che esso offre – come una misura minima per garantire la liceità della raccolta e la corretta documentazione del consenso al trattamento dei dati per finalità promozionali.

Il Meccanismo di Opt-In e il Double Opt-In

Per opt-in si intende l’azione positiva attraverso la quale l’utente manifesta esplicitamente la propria volontà di prestare il consenso. In contesti digitali, ciò avviene solitamente mediante la selezione volontaria di una casella non pre-spuntata in un form online, l’invio attivo di un modulo compilato o il clic su un apposito pulsante di conferma per il consenso.

Il double opt-in rappresenta una versione rafforzata di tale modello. Una volta completato il primo passaggio (e.g. invio del modulo), l’utente riceve un messaggio di verifica all’indirizzo e-mail o al numero di telefono fornito, contenente un link univoco o un codice. Solo completando questo secondo passaggio – i.e. cliccando sul link o inserendo il codice – il consenso può considerarsi pienamente confermato.

Il Double Opt-In come standard minimo secondo il Garante

Con il Provvedimento, il Garante rafforza ulteriormente il ruolo del double opt-in come best practice per la raccolta e documentazione del consenso privacy connesso a trattamenti di dati per finalità di marketing.

In particolare, mentre la sua idoneità a soddisfare i requisiti del consenso era già stata affermata in precedenti decisioni, attraverso il Provvedimento il Garante compie un ulteriore passo avanti, qualificando il double opt-in come una misura minima per rispettare gli obblighi previsti dal GDPR e dal Codice Privacy in materia di consenso per finalità di marketing.

Il Garante chiarisce tuttavia che la nozione di “misura minima” non si riferisce al double opt-in in quanto tale, ma al complesso di garanzie tecniche e probatorie che esso è in grado di offrire, tra cui:

• la verifica dell’effettiva disponibilità dell’indirizzo e-mail da parte dell’interessato;
• l’attribuzione univoca dell’azione di conferma al soggetto destinatario;
• la documentazione puntuale delle fasi tecniche e temporali del processo di acquisizione del consenso;
• la dimostrazione del chiaro collegamento tra l’espressione del consenso e la preventiva consultazione dell’informativa privacy.

Di conseguenza, il Garante riconosce la possibilità di adottare meccanismi alternativi, a condizione che questi siano in grado di garantire un livello equivalente di affidabilità tecnica e documentale, in particolare con riferimento alla certezza dell’attribuzione, all'identificabilità dell’interessato, alla verificabilità tecnica e al collegamento dimostrabile con l’informativa.

Il Provvedimento non elenca espressamente i meccanismi alternativi ritenuti validi. Tuttavia, si può ritenere che le soluzioni previste, ad esempio, dal Codice di Condotta in materia di Telemarketing e Teleselling – quali la conservazione dell’indirizzo IP e della marca temporale associata all’azione online dell’utente (e.g. spunta della casella di consenso), o l’invio di un messaggio di conferma (e.g SMS) all’utente – possano risultare sufficienti, a seconda del contesto, per dimostrare il consenso. Nel caso in esame, le misure adottate dalla società – limitate a log di base contenenti solo indirizzo IP, data e ora – sono state ritenute inidonee a provare la validità del consenso.

In ogni caso, pur rimanendo ammissibili soluzioni alternative che offrano garanzie equivalenti, il Provvedimento rafforza l’orientamento secondo cui il double opt-in rappresenta attualmente la soluzione più efficace per assicurare una raccolta del consenso conforme alle normative in materia di protezione dei dati personali.

Conclusioni

Il Provvedimento evidenzia l’importanza per i titolari del trattamento di adottare meccanismi in grado di documentare efficacemente la raccolta del consenso al trattamento dei dati personali per finalità di marketing.

Pur in assenza di un obbligo legislativo espresso, il meccanismo del double opt-in è stato riconosciuto dal Garante come best practice per garantire la validità del consenso raccolto. Tale riconoscimento potrebbe progressivamente condurre alla sua affermazione come standard di riferimento nel mercato italiano, in attesa di ulteriori chiarimenti su metodi alternativi in grado di offrire garanzie equivalenti.

In ogni caso, rimane essenziale per le organizzazioni che trattano dati personali per finalità promozionali esaminare con attenzione le proprie procedure di raccolta del consenso, assicurandosi che i meccanismi impiegati offrano garanzie analoghe a quelle fornite dal modello double opt-in.

Autore: Federico Toscani

 

Blockchain and Cryptocurrency

La proroga italiana del regime VASP per gli operatori crypto e le implicite tensioni nell’attuazione di MiCAR.

Il governo Italiano ha esteso in modo rilevante la durata del regime transitorio attualmente previsto per gli operatori di crypto che si qualificano quali Virtual Asset Service Providers (“VASP”) iscritti nel registro nazionale, con un impatto sull'attuazione del Regolamento (UE) 2023/1114 sui Mercati per le Cripto-Attività (“MiCAR”).

Le modifiche incidono radicalmente sul Decreto Legislativo 5 settembre 2024, n. 129 (di seguito, il “Decreto di Attuazione di MiCAR”), il quale ha implementato MiCAR.

La proroga riguarda:

• il termine per presentare l’istanza di autorizzazione ex art. 62 MiCAR;
• la durata dell’operatività transitoria; e
• una deroga condizionata in favore di soggetti appartenenti a gruppi societari, con istanza presentata anche in un altro Stato membro.

Il presente contributo analizza la disciplina vigente, i punti di modifica previsti dal decreto-legge e le possibili implicazioni sistemiche per i futuri prestatori di servizi per le cripto-attività ("CASP").

• L'architettura normativa del regime transitorio

L'articolo 45 del Decreto di Attuazione di MiCAR scandisce il regime transitorio applicabile ai soggetti già iscritti, alla data del 27 dicembre 2024, nella sezione speciale del registro VASP istituito presso l’OAM. Il dispositivo costituisce una norma ponte tra la disciplina nazionale previgente e il quadro armonizzato introdotto da MiCAR, articolando condizioni e termini entro cui i soggetti già operativi possono continuare a prestare servizi fino al completamento della procedura autorizzativa.

Secondo l'originaria formulazione, i soggetti giuridici che presentino istanza di autorizzazione entro il 30 giugno 2025, ai sensi dell’articolo 62 MiCAR, possono continuare a esercitare attività regolamentate fino al 30 dicembre 2025, o fino al rilascio o diniego dell’autorizzazione ex art. 63 MiCAR; se anteriore. La continuità operativa è subordinata a una serie di adempimenti formali, tra cui la comunicazione all’OAM dell’avvenuta presentazione dell’istanza, sia in Italia che in un altro Stato membro, nonché dell’esito della relativa procedura.

In caso di rigetto dell'istanza di autorizzazione, l’operatore è tenuto a cessare l’attività nei confronti della clientela italiana entro 60 giorni.

Il mancato rispetto del termine per la presentazione dell’istanza comporta, alla medesima data del 30 giugno 2025, la cessazione automatica dell’operatività e la conseguente cancellazione dal registro da parte dell’OAM. A ciò si aggiungono obblighi informativi verso i clienti, da assolvere entro il 31 maggio 2025, e vincoli di conservazione documentale decennali per le operazioni eseguite tra il 1° aprile 2025 e la data di cancellazione dal registro.

• Una proroga che ridefinisce il perimetro del regime transitorio

Le modifiche, preannunciate dall'OAM, non si limitano a un mero slittamento di scadenze: nel loro insieme, esse incidono su elementi strutturali dell’articolo 45 del Decreto di Attuazione di MiCAR.

La prima variazione riguarda il termine per la presentazione dell’istanza di autorizzazione ai sensi dell’art. 62 MiCAR, differito di sei mesi dal 30 giugno al 30 dicembre 2025. Di conseguenza, la cessazione automatica dell’operatività prevista per i soggetti inadempienti slitterà altrettanto, posticipando l’innesco del meccanismo di cancellazione di cui all'art. 45, comma 4, del Decreto di Attuazione di MiCAR.

Ancora più rilevante è la proroga del termine finale del regime transitorio: la possibilità di operare senza autorizzazione, che in precedenza si sarebbe esaurita il 30 dicembre 2025, viene ora estesa fino al 30 giugno 2026. La misura consente di riallineare il perimetro temporale dell’operatività provvisoria con la nuova scadenza per la presentazione delle istanze, evitando soluzioni di continuità tra le due fasi.

I soggetti appartenenti a un medesimo gruppo, inoltre, potranno continuare a operare in Italia pur senza aver presentato istanza, a condizione che un’altra entità del gruppo lo abbia fatto, anche in un diverso Stato membro.

Infine, la proroga dell’obbligo di trasmissione telematica dei dati all’OAM, che non si esaurirebbe più con l’invio del primo trimestre 2025 ma proseguirebbe fino al terzo, completa un quadro di progressivo adattamento.

Il sistema delineato sembra riflettere difficoltà strutturali nell’adeguamento operativo da parte degli operatori dell'industria decentralizzata, già chiamati a rispondere a requisiti autorizzativi e di governance particolarmente stringenti. Allo stesso tempo, la complessità applicativa del nuovo quadro potrebbe giustificare un margine di flessibilità anche per le Autorità competenti, in particolare Consob e Banca d’Italia, chiamate ad assorbire in tempi molto ristretti nuove competenze di vigilanza, istruttoria e supervisione.

• Una transizione che strategicamente si estende ma non si arresta

La proroga del regime transitorio per i VASP italiani non va letta come una semplice dilazione tecnica né come una deroga priva di cornice. Essa rappresenta, piuttosto, una decisione di ingegneria normativa, volta a modulare nel tempo l’impatto di un cambiamento strutturale profondo su un tessuto economico e istituzionale ancora in fase di assestamento.

In questo senso, la proroga si colloca su un delicato crinale.

• Da un lato, risponde a un’esigenza pratica: quella di garantire agli operatori già iscritti nel registro OAM, spesso di dimensioni contenute e dotati di strutture interne limitate, il tempo necessario per affrontare un iter autorizzativo particolarmente oneroso, che implica adeguamenti di rilievo su governance, compliance, controllo interno, continuità operativa e sicurezza informatica.
• Dall’altro lato, essa riflette una consapevolezza istituzionale: l’attuazione piena e coerente di MiCAR richiede un investimento non solo da parte dei soggetti vigilati, ma anche delle autorità competenti, chiamate a gestire nuove funzioni di autorizzazione e vigilanza in un settore ancora in fase di emersione e riconfigurazione.

A ciò si aggiunge la rilevanza, solo apparentemente tecnica, della deroga in favore dei gruppi transnazionali, che consente l’operatività in Italia anche in assenza di istanza locale, purché presentata da una consociata in altro Stato membro. Tale disposizione, coerente con il principio del passaporto europeo, solleva però interrogativi sull’effettiva armonizzazione dei criteri istruttori e sulla capacità dei sistemi nazionali di evitare arbitraggi regolatori interni all’Unione.

La posta in gioco, dunque, non è solo il rispetto dei termini, ma la qualità del processo di transizione: un passaggio da una disciplina nazionale di mera iscrizione a un regime autorizzativo europeo strutturato, che ambisce a uniformare il trattamento delle cripto-attività su scala continentale, pur lasciando agli Stati membri un margine nella fase attuativa.

In questo quadro, la proroga non mina la coerenza di MiCAR, ma ne evidenzia la flessibilità controllata: lo slittamento non sospende l’impianto europeo, né lo altera nella sostanza, ma si limita a dilatarne l’applicazione per esigenze di equilibrio. Tuttavia, si tratta di una flessibilità che chiama logicamente rigore applicativo. Perché non si traduca in una zona grigia permanente, occorrerà assicurare che questo tempo supplementare venga impiegato per consolidare le prassi di adeguamento, favorire una cultura regolatoria condivisa e, soprattutto, prevenire una stratificazione disomogenea di condizioni tra operatori nazionali e gruppi internazionali.

In definitiva, il rinvio non rappresenta una cesura, ma una pausa funzionale all’integrazione. Una finestra che consente al mercato di respirare, alle autorità di strutturarsi, e al legislatore di verificare, in corso d’opera, la reale capacità del sistema di recepire un modello che non è solo regolamentare ma anche culturale.

La vera sfida non è più il se, ma il come.

Sul medesimo argomento è possibile prendere visione del seguente episodio (in inglese): Web3, Blockchain and Their New Legal Challenges.

Autore: Giulio Napolitano

 

Intellectual Property

L’EUIPO pubblica uno studio sull’intelligenza artificiale generativa e il diritto d’autore

Nel maggio 2025, l’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO) ha pubblicato un articolato studio dedicato all’analisi dell’intelligenza artificiale generativa (GenAI) sotto il profilo del diritto d’autore. Il documento, commissionato all’Osservatorio dell’EUIPO, affronta in maniera sistematica le principali questioni giuridiche ed economiche legate allo sviluppo e all’utilizzo dei modelli GenAI nell’ambito del copyright, e propone alcune ipotesi operative per garantire un equilibrio tra tutela della creatività umana e promozione dell’innovazione tecnologica.

Lo studio si concentra su due momenti centrali della “filiera” dell’AI generativa: da un lato, l’uso delle opere dell’ingegno esistenti per l’addestramento dei modelli (input); dall’altro, la natura e la gestione dei contenuti prodotti dagli stessi sistemi (output). La prima fase solleva interrogativi fondamentali sulla legittimità dell’utilizzo dei dataset che contengono opere protette dal diritto d’autore, soprattutto in relazione alla disciplina europea sul text and data mining (TDM).

Addestramento dei modelli, text and data mining e diritto d’autore

La direttiva (UE) 2019/790 sul diritto d’autore nel mercato unico digitale (CDSM) ha introdotto due eccezioni specifiche che permettono l’utilizzo delle opere protette per attività di TDM, a certe condizioni. In ambito commerciale – ossia quello tipico delle applicazioni GenAI – è particolarmente rilevante l’eccezione prevista dall’articolo 4, che consente il TDM anche da parte di soggetti privati e a scopo di lucro, a meno che i titolari non si siano opposti esplicitamente.

Proprio questa clausola dell’opt-out costituisce, secondo l’EUIPO, uno dei punti più critici della disciplina attuale. Lo studio sottolinea infatti che, sebbene in teoria il diritto di esclusione sia garantito, nella pratica non esistono ancora meccanismi tecnici e normativi pienamente efficaci per farlo valere. I titolari dovrebbero poter esercitare l’opt-out “in modo appropriato”, ma non esiste ad oggi una definizione univoca di cosa si intenda per “appropriato”: alcuni si affidano a clausole nei termini d’uso online, altri all’inserimento di metadati, altri ancora all’uso di file robots.txt o intestazioni HTTP. Tuttavia, manca una prassi consolidata che garantisca l’effettiva esclusione delle opere.

Il rischio evidenziato è che l’opt-out diventi uno strumento di tutela meramente formale, difficilmente applicabile in concreto, specie considerando la natura automatizzata, dispersa e opaca della raccolta dati su scala industriale. Lo studio evidenzia inoltre come i contenuti, una volta caricati online, siano spesso copiati, rielaborati o aggregati da soggetti terzi, perdendo nel processo gli eventuali metadati di esclusione. Di conseguenza, anche i titolari che esercitano correttamente l’opt-out difficilmente hanno la garanzia che le loro opere vengano effettivamente escluse dai dataset.

Verso un opt-out realmente efficace?

Per affrontare queste criticità, l’EUIPO suggerisce l’adozione e la promozione di standard tecnici interoperabili, che consentano ai titolari di dichiarare in maniera chiara, leggibile da macchina e universalmente riconosciuta la loro volontà di non autorizzare il TDM. Tra le soluzioni indicate figurano sistemi di identificazione digitale delle opere, metadati standardizzati, strumenti di watermarking e tecnologie di tracciamento dei contenuti, come quelli sviluppati nell’ambito delle iniziative C2PA (Coalition for Content Provenance and Authenticity).

Parallelamente, lo studio propone una riflessione di più ampio respiro: l’opt-out, per quanto essenziale, dovrebbe essere solo una tappa verso la costruzione di un mercato organizzato delle licenze per il TDM. Se le condizioni tecniche e giuridiche lo permettessero, gli autori e i titolari dei diritti potrebbero non solo escludere l’uso delle loro opere, ma anche concederlo in modo trasparente e remunerato. Per arrivare a questo traguardo, però, è indispensabile sviluppare sistemi affidabili per la gestione dei diritti, la misurazione del contributo delle singole opere all’addestramento e la ripartizione equa dei ricavi.

Le criticità degli output

La fase dell’output non è meno problematica. Se da un lato l’AI Act introduce nuovi obblighi di trasparenza per segnalare contenuti generati artificialmente, dall’altro il confine tra opere originali, derivative o semplicemente “in stile” si fa sempre più sfumato. L’EUIPO analizza diversi strumenti tecnici per marcare, monitorare o identificare i contenuti creati dall’AI, come il watermarking, i metadati standardizzati, le tecnologie C2PA o le tecniche di prompt‑rewriting. Tuttavia, emerge con chiarezza che la sola tecnologia non basta: è necessario un contesto normativo e contrattuale che renda possibile far valere i diritti anche a valle della produzione, e che renda rintracciabili le fonti utilizzate durante l’addestramento.

Le licenze sui dataset

Uno degli aspetti più innovativi del documento è la riflessione sul potenziale emergere di un mercato strutturato per la concessione in licenza dei contenuti da utilizzare nei dataset di training. Alcuni operatori – come editori, autori o archivi digitali – stanno iniziando a considerare la concessione dei diritti per l’addestramento come una possibile fonte di ricavi, ma per rendere davvero operativo questo mercato servono regole certe, tariffe trasparenti, metriche affidabili e infrastrutture tecniche adeguate. Il rischio, altrimenti, è che il sistema rimanga sbilanciato a favore degli sviluppatori di modelli, lasciando i creatori privi di strumenti per negoziare un’equa remunerazione.

Il ruolo delle autorità pubbliche, e in particolare dell’EUIPO, emerge con forza nelle conclusioni dello studio. L’ufficio propone di agire da catalizzatore per la definizione di standard tecnici, linee guida operative, strumenti informativi e piattaforme collaborative. Tra le proposte più concrete vi è quella di istituire un “Copyright Knowledge Centre” a livello europeo, per promuovere la convergenza tra i vari attori coinvolti – sviluppatori, autori, editori, organismi di gestione collettiva, piattaforme tecnologiche – e sostenere l’adozione di prassi comuni, sia a livello giuridico che tecnologico.

Il documento si chiude con l’identificazione di sei aree prioritarie per lo sviluppo armonico del settore: la necessità di uniformare i meccanismi di opt‑out per l’addestramento, l’esigenza di distinguere in modo chiaro i contenuti artificiali da quelli umani, lo sviluppo di un mercato delle licenze efficiente, il rafforzamento del coordinamento tra pubblico e privato, la promozione di soluzioni innovative nel rispetto della creatività e la possibilità di far valere i diritti anche in fase di enforcement.

Lo studio non offre risposte definitive, ma piuttosto una mappa concettuale e pratica per orientarsi in un terreno ancora scivoloso e in rapida evoluzione.

Autrice: Lara Mastrangelo

 

Technology Media and Telecommunication

Relazione Annuale dell’AGCom per il 2025 sulle attività svolte in materia di Open Internet

Il 16 giugno scorso l’AGCom ha pubblicato la Relazione annuale sulle attività svolte in materia di Open Internet nel periodo compreso tra il 1° maggio 2024 e il 30 aprile 2025.

La Relazione annuale è adottata in attuazione del Regolamento (UE) 2015/2120 con il quale è stato introdotto nell’ordinamento europeo un insieme di regole in materia di net neutrality e che attribuisce alle autorità nazionali di regolamentazione specifiche competenze in materia di regolamentazione, vigilanza ed enforcement, per assicurare l’effettività, l’efficacia e la corretta applicazione delle norme per la salvaguardia del carattere aperto della rete Internet.

La Relazione contiene una descrizione generale delle attività svolte dall’AGCom per l’implementazione delle misure in materia di Open Internet (tra le quali, la realizzazione di approfondimenti e verifiche tramite l’acquisizione e l’analisi di informazioni provenienti dai principali Internet Service Providers (“ISPs”), l’attività di c.d. moral suasion e la partecipazione ai lavori dei gruppi di esperti del BEREC (e, segnatamente, del gruppo di lavoro Open Internet). In particolare, l'AGCom ha partecipato, in qualità di drafter, alle attività di monitoraggio dell’attuazione del Regolamento Open Internet, predisponendo il rapporto "BEREC Report on the implementation of the Open Internet Regulation 2024".

 Nella Relazione sono riportati gli esiti delle attività di regolamentazione e vigilanza dell’AGCom in materia di:

• libertà d’uso di apparecchiature terminali, in riferimento alla quale nella Relazione sono descritti gli interventi dell’AGCom e, in particolare, le attività di vigilanza e ispettiva intraprese dall'Autorità con l'obiettivo di garantire il diritto degli utenti di scegliere il terminale per l’accesso alla rete (come previsto dalla Delibera 348/18/CONS, come modificata dalla Delibera 34/20/CONS). A tale riguardo, nella Relazione l'AGCom ricorda di aver avviato, a febbraio scorso, il procedimento e la consultazione pubblica finalizzata alla definizione del punto terminale di rete (Network Termination Point) per i servizi di accesso alla rete Internet da postazione fissa (Delibera 31/25/CONS);
• pratiche commerciali e tecniche relative ai servizi di accesso a Internet. In particolare, la Relazione si sofferma sui seguenti aspetti: i) tipologia di misure di gestione del traffico implementate; ii) compatibilità delle predette misure con le eccezioni relative a obblighi normativi, tutela dell’integrità e sicurezza della rete e gestione di congestioni eccezionali o temporanee disciplinate dal Regolamento (UE) 2015/2120; iii) compatibilità delle misure di gestione del traffico implementate con la fornitura di servizi specializzati e relativo impatto sulla qualità del servizio di accesso ad Internet; iv) misure di trasparenza, sia in fase precontrattuale che di esecuzione dei relativi contratti.
• misure di gestione del traffico e fornitura di servizi specializzati. A tale riguardo, l’AGCom informa di aver monitorato le pratiche di gestione del traffico mediante l’acquisizione diretta di informazioni dai siti web dei principali ISPs, attraverso l’analisi di segnalazioni provenienti dagli utenti nonché attraverso specifiche richieste di informazioni indirizzate agli ISPs;
• misure di trasparenza, in linea con il dichiarato impegno dell’Autorità a garantire la trasparenza e la qualità dei servizi di connessione a Internet.

Inoltre, l’Autorità ricorda che l’articolo 5, co. 1 del Regolamento prevede il potere in capo alle Autorità nazionali di adottare le misure di enforcement attraverso la definizione di requisiti tecnici e altre misure adeguate e necessarie “qualora ciò risulti necessario a promuovere la costante disponibilità dell’accesso non discriminatorio a Internet a livelli qualitativi che siano al passo con il progresso tecnologico”.

Nella Relazione si fa, infine, riferimento ai poteri sanzionatori dell’Autorità (previsti dal Codice delle comunicazioni elettroniche in virtù dell’articolo 6 del Regolamento (UE) 2015/2120) in caso di violazioni delle disposizioni del Regolamento rilevanti, sottolineando come, nel periodo in esame, l'Autorità abbia avviato un procedimento istruttorio nei confronti di un operatore per non avere garantito agli utenti di offerte con velocità nominale a 2,5 Gbps la possibilità di ottenere le medesime prestazioni utilizzando un proprio router per il servizio Internet. Tale procedimento è stato sospeso in considerazione dell'approvazione da parte dall'Autorità di una proposta di impegni da attuarsi entro 12 mesi.

Su un simile argomento può essere interessante l’articolo “Relazione Annuale dell’AGCom per il 2023 sulle attività svolte in materia di Open Internet”.

Autori: Massimo D’Andrea, Flaminia Perna, Matilde Losa

 

Space law

La proposta per il nuovo EU Space Act e l'approvazione della legge italiana sullo spazio: innovazione o potenziale conflitto?

Il 25 giugno 2025 la Commissione europea ha presentato una proposta di regolamento volta a istituire un quadro comune per le attività spaziali nell’Unione. Si tratta del primo tentativo di creare un mercato interno per i servizi e le infrastrutture spaziali, superando l’attuale frammentazione normativa derivante da una molteplicità di leggi nazionali. L’iniziativa, denominata provvisoriamente EU Space Act, mira a definire regole uniformi per garantire sicurezza operativa, robustezza delle infrastrutture e sostenibilità ambientale, con l’obiettivo di consolidare il ruolo dell’Europa nel contesto globale della space economy.

La proposta si fonda sull’esigenza di assicurare condizioni giuridiche definite e coerenti per un comparto in rapida espansione, caratterizzato da un crescente numero di attori e da rilevanti implicazioni economiche, tecnologiche e geopolitiche. Il nuovo quadro normativo si applicherà sia agli operatori stabiliti nell’Unione, sia agli operatori extra-UE, con requisiti calibrati in funzione della dimensione aziendale e del livello di rischio. La scelta dello strumento del regolamento, che garantisce applicazione diretta e uniforme, segna un cambio di approccio rispetto alle richieste di alcuni Stati membri favorevoli a un modello più flessibile.

Tre ambiti di intervento: sicurezza, resilienza, impatto ambientale

Il testo si articola attorno a tre direttrici principali. Sul piano della sicurezza, viene introdotto un sistema di autorizzazione armonizzato per il lancio e la gestione di oggetti spaziali, insieme a obblighi specifici per la prevenzione dei detriti e il tracciamento degli asset in orbita. La resilienza viene affrontata mediante l’introduzione di misure dedicate alla protezione cibernetica e alla gestione dei rischi lungo l’intero ciclo di vita delle infrastrutture spaziali. In tema di sostenibilità, la proposta prevede l’adozione di standard tecnici comuni per valutare e limitare l’impatto ambientale delle attività spaziali, anche attraverso l’impiego di tecnologie abilitanti come la manutenzione in orbita e la rimozione dei rifiuti spaziali.

Un percorso graduale  verso una governance europea dello spazio

L’iniziativa rientra tra le priorità della Commissione, decisa a contrastare gli effetti dell'attuale frammentazione normativa, che ostacola la competitività delle catene del valore transfrontaliere nell'EU impedendo progetti comuni e aggravando l'impatto ambientale delle attività spaziali.. L’obiettivo è promuovere una governance comune che consenta all’Unione di affrontare in modo coordinato le sfide della crescente congestione orbitale, della protezione degli asset strategici e della sostenibilità industriale.

Il testo propone un periodo transitorio di due anni prima dell’applicazione del regolamento, al fine di consentire agli operatori e agli Stati membri di adeguarsi alle nuove disposizioni. La Commissione ha annunciato l’intenzione di accompagnare questa fase con misure di supporto, in particolare per le piccole e medie imprese, mediante strumenti dedicati alla semplificazione amministrativa, all’accesso alle infrastrutture di test e alla preparazione delle richieste autorizzative. L’adozione definitiva del regolamento richiederà ora un confronto formale tra Parlamento europeo e Consiglio nell’ambito della procedura legislativa ordinaria.

Aggiornamenti nazionali: la Legge sullo Spazio pubblicato in Gazzetta Ufficiale

Nel frattempo, in Italia, l'iter legislativo della proposta di legge relativa ad una normativa nazionale per la regolamentazione delle attività spaziali si è concluso il 24 giugno, con la pubblicazione in Gazzetta Ufficiale della L. n. 89 del 2025 (di seguito "Legge sullo Spazio").

La Legge sullo Spazio disciplina, in primo luogo, il regime autorizzatorio per le attività spaziali operate da imprese italiane, ma anche da imprese straniere all'interno dello spazio italiano. Per operare nello spazio, le imprese private devono infatti ottenere un’autorizzazione che certifichi il rispetto di specifici requisiti oggettivi legati alla sicurezza, alla resilienza e alla sostenibilità ambientale della singola operazione, e soggettivi, che riguardano la condotta dell’operatore, le competenze tecniche, la solidità finanziaria e la presenza di una adeguata copertura assicurativa. La Legge sullo Spazio introduce inoltre, accanto alla responsabilità degli Stati come definita dai trattati internazionali, anche una responsabilità oggettiva in capo ai singoli operatori spaziali per i danni causati a persone e beni sulla Terra, nonché agli aeromobili in volo. Il regime di responsabilità è inoltre fortemente collegato all’introduzione di un’assicurazione obbligatoria che copra fino a 100 milioni di euro per sinistro, con riduzioni per startup innovative e progetti di ricerca.

È inoltre prevista la creazione di un Fondo per l’Economia dello Spazio da 35 milioni di euro per il 2025, per favorire lo sviluppo del mercato di prodotti e servizi basati su tecnologie spaziali, anche da parte di startup e PMI.

EU Space Act e Legge sullo Spazio: potenziale conflitto?

La concomitanza tra la definitiva approvazione della Legge sullo Spazio in Italia e l'avvio del percorso legislativo sullo EU Space Act sollevano dubbi sul potenziale conflitto tra la normativa nazionale e la futura legge europea. In entrambi i casi, le regole sulle attività spaziali seguono il principio di territorialità, con la conseguente applicazione anche nel caso di operatori stranieri che svolgono le proprie attività in aree sottoposte alla sovranità dello Stato italiano o dell'UE. Ciò comporterà un ulteriore ostacolo non solo per le imprese italiane, ma anche per l'ingresso nel mercato italiano delle imprese straniere che, una volta entrato in vigore l'EU Space Act dovranno orientarsi tra disposizioni sovranazionali e normative locali. Inoltre, l'attuale ruolo dell'Agenzia Spaziale Italiana come autorità di vigilanza e regolazione potrebbe scontrarsi con un quadro normativo europeo più centralizzato. È comunque giusto ricordare che diversi Paesi europei si sono già dotati di una legge che regolamenti le attività spaziali, il che rende l'approvazione della Legge sullo Spazio un passaggio necessario per garantire una maggiore competitività dell'Italia in un settore in forte crescita come quello dell'economia aerospaziale. Allo stesso tempo, i tempi di approvazione dell'EU Space Act si prospettano molto lunghi: sebbene vi sia un ampio consenso sull'importanza del settore spaziale per la competitività e l'autonomia strategica dell'EU, gli Stati membri mantengono opinioni diverse sulla base giuridica e sul modello normativo più appropriati per l'intervento del legislatore UE.

In attesa di comprendere l'entità dell'intervento di coordinamento che si renderà eventualmente necessario per allineare la Legge sullo Spazio al futuro EU Space Act, la neo-approvata normativa nazionale può già fornire regole chiare e aggiornate, essenziali per orientarsi in un settore in rapido sviluppo come quello della new space economy.

Su un argomento simile, potrebbe essere di interesse "Disegno di legge sulla New Space Economy: la nuova frontiera del diritto e degli investimenti per lo Spazio in Italia".

Autori: Marianna Riedo, Gabriele Cattaneo

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.