Innovation Law Insights

Data Protection & Cybersecurity

Aggiornamento delle Categorie di Notifica degli Incidenti Cyber per i Soggetti del Perimetro di Sicurezza Nazionale Cibernetica

Il 1° agosto 2025 è stato pubblicato nella Gazzetta Ufficiale il DPCM n. 111 del 4 giugno 2025 (di seguito, il “DPCM”), il quale aggiorna l’elenco degli incidenti informatici che i soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica sono tenuti a notificare. Il DPCM costituisce un punto di riferimento centrale per i soggetti designati quali parte del Perimetro, in quanto individua con chiarezza le tipologie di incidenti soggette all’obbligo di notifica al CSIRT.

Quadro Normativo

Il Perimetro di Sicurezza Nazionale Cibernetica (di seguito, il “Perimetro”), istituito attraverso il Decreto-Legge n. 105/2019 (convertito nella Legge n. 133/2019), impone stringenti obblighi in capo a soggetti pubblici e privati da cui dipende l'esercizio di una funzione essenziale o la fornitura di un servizio essenziale per lo Stato e dal cui malfunzionamento, interruzione, anche parziali o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. Tali soggetti operano in settori critici quali energia, finanza, trasporti, comunicazioni, difesa e sanità.

Gli obblighi previsti dal Perimetro comprendono l’identificazione e la protezione degli asset informatici critici, nonché la tempestiva notifica al CSIRT Italia di qualsiasi incidente che possa compromettere la riservatezza, l’integrità o la disponibilità delle infrastrutture digitali.

Incidenti da Notificare

Il DPCM aggiorna la classificazione degli incidenti informatici contenuta nell’Allegato A del precedente DPCM n. 81/2021. In particolare, il DPCM definisce le seguenti macro-categorie di incidenti che devono essere segnalati:

1. Infezione (Initial exploitation): include eventi come l'esecuzione di malware tramite e-mail di phishing, lo sfruttamento di vulnerabilità note nei servizi esposti o l’esecuzione remota di codice non autorizzata (ad esempio, ICP-A-1). Questi rappresentano spesso le fasi iniziali di un attacco più ampio.
2. Guasto (Fault): include il degrado o la perdita dei livelli di servizio attesi in termini di risorse di calcolo, larghezza di banda e backup, nonché la perdita o compromissione delle credenziali utente e delle chiavi crittografiche.
3. Installazione (Establish Persistence): riguarda attività connesse all’installazione di codice malevolo o a metodi volti a mantenere accessi non autorizzati. Ad esempio, l’escalation di privilegi non autorizzata all’interno dei sistemi interni o il dispiegamento di tecniche per ottenere permessi di livello superiore o per eludere i sistemi di sicurezza (e.g. ICP-A-11, ICP-A-12).
4. Movimenti Laterali (Lateral Movement): comprende attività finalizzate a muoversi all’interno della rete o a raccogliere informazioni, come il furto di credenziali o l’uso di tecniche per accedere o eseguire codice su diversi sistemi interni (e.g. ICP-A-15, ICP-A-17).
5. Azioni sugli Obiettivi (Actions on objs): riguarda l’utilizzo di tecniche volte a raccogliere o esfiltrare dati dai sistemi compromessi (e.g. ICP-A-18, ICP-A-19), tipicamente dopo aver stabilito una presenza persistente.

Un’aggiunta significativa introdotta dal DPCM è l’inclusione esplicita - nella categoria ICP-A-20 - degli incidenti che comportano "accessi non autorizzati o con abusi dei privilegi concessi", indipendentemente dall’intento dell’attore o dall’obiettivo perseguito. Rientrano in questa categoria tutti i casi, identificati mediante indicatori qualitativi o quantitativi, in cui l’accesso alle risorse digitali avviene:

• senza alcuna autorizzazione legittima; o
• attraverso l’uso improprio di credenziali autorizzate, ad esempio nei casi di movimenti laterali da parte di personale interno, uso di privilegi eccessivi o accesso oltre i compiti operativi assegnati.

Gli indicatori qualitativi possono includere, ad esempio, accessi effettuati in orari insoliti, accesso a dati o sistemi non correlati al ruolo dell’utente o schemi anomali quali l’uso di interfacce a riga di comando nascoste o tecniche di persistenza. Gli indicatori quantitativi possono invece riguardare volumi insolitamente elevati di interrogazioni sui dati, tentativi di autenticazione inattesi o uso sproporzionato di funzioni amministrative.

È interessante notare che un evento può rientrare nella categoria sopra menzionata anche qualora l’accesso sia stato effettuato da un dipendente o da un soggetto comunque autorizzato, nel caso in cui ciò comporti una perdita di riservatezza o si discosti dai comportamenti operativi previsti, come identificato tramite indicatori qualitativi o quantitativi.

In altre parole, lo scopo perseguito o l’identità dell’attore non sono rilevanti; qualsiasi accesso al di fuori delle autorizzazioni esistenti è sufficiente a far scattare l’obbligo di notifica.

L’introduzione di questa categoria risponde alla crescente rilevanza operativa delle minacce interne e delle intrusioni basate su credenziali, entrambe comunemente utilizzate come fasi preliminari di campagne di attacco complesse. L'obiettivo è dunque di innalzare il livello di attenzione e valutare attentamente anche tentativi preliminari di accesso.

Conclusioni

Il DPCM rafforza la centralità degli obblighi di notifica ed espande l’ambito di applicazione del Perimetro, con l’obiettivo primario di anticipare le minacce informatiche emergenti attraverso requisiti di segnalazione più ampi e precisi.

Autore: Federico Toscani

 

Data Protection & Cybersecurity

Dal laboratorio alla norma: l’infrastruttura delle tecnologie quantistiche come nuovo spazio di sovranità

Le tecnologie quantistiche non sono più solo una promessa futuribile ma un terreno di competizione geopolitica, industriale e normativa.

La svolta è stata sancita dalla Dichiarazione europea sulle tecnologie quantistiche (di seguito, la "Dichiarazione quantistica"), che ha definito una visione politica condivisa per costruire un’infrastruttura quantistica europea interoperabile e sicura.

A valle di tale impegno, la Commissione europea ha annunciato una Strategia europea per le tecnologie quantistiche (di seguito, la "Strategia quantistica europea"), formalizzata nella Comunicazione COM(2025) 363 della Commissione al Parlamento e al Consiglio, e ha anticipato l’adozione di un Quantum Act per armonizzare programmi, investimenti e standard tra Stati membri.

L’Italia si è inserita attivamente in questo processo con la presentazione ufficiale della Strategia nazionale per le tecnologie quantistiche (di seguito, la "Strategia quantistica italiana") il 31 luglio 2025, frutto del lavoro congiunto di Agenzia per la Cybersicurezza Nazionale (ACN), Ministero dell'Università e della Ricerca (MUR), Ministero delle Imprese e del Made in Italy (MIMIT), Ministero della Difesa e Dipartimento per la trasformazione digitale. La strategia delinea obiettivi chiari che si sostengono su diversi pilastri, dalla ricerca scientifica all’accelerazione della transizione industriale, dalla formazione di nuove competenze alla sicurezza nazionale.

1. Dalla meccanica quantistica al qubit

Le tecnologie quantistiche (“TQ”) rappresentano un insieme di soluzioni hardware e software basate sui principi della meccanica quantistica, una branca della fisica che studia il comportamento delle particelle subatomiche. A differenza delle tecnologie digitali classiche, che elaborano informazioni in bit (unità binarie che valgono 0 o 1), le tecnologie quantistiche utilizzano i qubit: unità di informazione che possono esistere simultaneamente in più stati, grazie a fenomeni fisici come la sovrapposizione e l’entanglement quantistico. Questa caratteristica le rende capaci di trattare quantità di dati e simulazioni fisiche inaccessibili anche ai supercomputer tradizionali.

Le TQ non si riferiscono a un’unica invenzione, ma costituiscono un ecosistema articolato che si sviluppa lungo cinque grandi aree applicative, riconosciute anche dalla Strategia quantistica italiana:

• Calcolo quantistico: computer che sfruttano i qubit per risolvere problemi computazionali complessi (come la simulazione molecolare, l’ottimizzazione logistica o la crittoanalisi) con una velocità esponenziale rispetto ai sistemi classici;
• Simulazione quantistica: dispositivi specializzati che riproducono il comportamento di sistemi fisici, chimici o biologici troppo complessi per i metodi convenzionali;
• Comunicazione quantistica: tecnologie di trasmissione dei dati fondate su meccanismi come la distribuzione quantistica delle chiavi (Quantum Key Distribution - QKD), in grado di garantire un livello di sicurezza teoricamente inespugnabile;
• Metrologia quantistica: strumenti ultra-precisi per la misurazione del tempo, della gravità o delle costanti fisiche fondamentali, con applicazioni in campo scientifico, aerospaziale e finanziario;
• Sensoristica quantistica: sensori avanzati capaci di rilevare variazioni impercettibili di campo magnetico, rotazione, posizione o temperatura, utili in medicina, difesa e geofisica.

A partire dal 2018, l’Unione europea ha investito massicciamente in queste aree attraverso iniziative come il Quantum Manifesto, la Quantum Technologies Flagship, il programma EuroHPC-JU per il supercalcolo e il progetto EuroQCI per l’infrastruttura europea di comunicazione quantistica. Tuttavia, con l’aumentare della competizione geopolitica globale - in particolare con Stati Uniti, Cina, Regno Unito e Israele - la posta in gioco si è spostata dal solo sviluppo tecnologico alla costruzione di una sovranità quantistica europea fondata su infrastrutture proprie, standard interoperabili e regole comuni.

Da qui l’elaborazione della Strategia quantistica europea e della Strategia quantistica italiana, che mirano a trasformare queste tecnologie in un vantaggio competitivo sicuro, condiviso e sostenibile.

2. La strategia europea: verso un'infrastruttura quantistica sovrana

La Commissione europea ha recentemente formalizzato la prima Strategia europea per le tecnologie quantistiche, segnando un cambio di passo decisivo nella governance tecnologica unionale. Obiettivo dichiarato è trasformare l’Europa in un attore globale di riferimento nel settore quantistico, dotandola di un ecosistema industriale integrato, interoperabile e sovrano.

La strategia si fonda su un principio cardine: non esiste leadership tecnologica senza capacità autonoma di progettare, sviluppare e utilizzare tecnologie quantistiche in settori strategici, quali la cybersicurezza, la difesa, l’energia, la sanità, la finanza e lo spazio.

Di qui l’ambizione di realizzare un’infrastruttura quantistica paneuropea distribuita - di calcolo, comunicazione e rilevamento - che sia pienamente interoperabile tra Stati membri e resiliente rispetto alle dipendenze extra-UE.

Il documento individua diverse direttrici operative, tra cui, a titolo esemplificativo:

• Sviluppo di infrastrutture quantistiche paneuropee, attraverso l’estensione dell’iniziativa EuroHPC e l’integrazione delle reti EuroQCI, per creare un ambiente unificato di supercalcolo, sensing e comunicazione quantistica sicura.
• Allineamento normativo e armonizzazione dei programmi nazionali, da realizzarsi attraverso il futuro Quantum Act, uno strumento legislativo che definirà regole comuni per investimenti, interoperabilità e certificazione.
• Sostegno mirato alla transizione industriale, con particolare attenzione alle PMI deep-tech, alla manifattura europea di componenti quantistici e alla creazione di un mercato interno per applicazioni ad alto valore strategico.
• Formazione e attrazione dei talenti, mediante la promozione di curricula specializzati, dottorati industriali e schemi di mobilità intra-UE, anche per contenere la fuga di cervelli verso gli ecosistemi extraeuropei.
• Sviluppo di un quadro di fiducia tecnologica, basato su standard europei, certificazione di sicurezza e approcci crittografici post-quantistici in linea con le raccomandazioni di ENISA e del Regolamento (UE) 2019/881 (Cybersecurity Act).

In definitiva, la strategia sottolinea l’urgenza di definire uno strumento europeo di standardizzazione tecnica per evitare frammentazioni tra Stati membri e prevenire forme di quantum dependence da soggetti terzi.

3. La strategia italiana: un ecosistema in costruzione tra eccellenze e fragilità

L’Italia ha formalizzato la propria Strategia nazionale per le tecnologie quantistiche il 31 luglio 2025, inserendosi nel solco tracciato a livello europeo e riconoscendo il valore sistemico delle TQ per la sicurezza, la competitività e la sovranità digitale. Il documento fotografa uno scenario dinamico, ma ancora fragile, e propone una roadmap multilivello per rafforzare l’intero ecosistema.

• Dal punto di vista scientifico, l’Italia vanta eccellenze riconosciute a livello internazionale e una presenza attiva su tutti i pilastri delle tecnologie quantistiche. Tuttavia, l’analisi strategica evidenzia una significativa disomogeneità di maturità tecnologica tra i diversi ambiti: mentre sensoristica e comunicazione registrano livelli di sviluppo avanzati, il settore del calcolo quantistico e della simulazione mostra un fabbisogno urgente di accesso ad infrastrutture adeguate.
• Osservando il quadro finanziario, i fondi pubblici stanziati tra il 2021 e il 2024 ammontano a circa 227,4 milioni di euro, cifra rilevante ma ancora inferiore rispetto agli investimenti pianificati dai principali competitor europei e internazionali. Il numero limitato di startup deep-tech operanti nel settore, rispetto a Paesi come Stati Uniti, Francia, Germania o Regno Unito, segnala inoltre una carenza strutturale nella mobilitazione di capitali privati e nel trasferimento tecnologico.
• Guardando all'ingegneria normativo-programmatica, la strategia italiana identifica ordini d'intervento sulla falsa riga delle direttrici individuate a livello unionale ma un’attenzione particolare è rivolta alla necessità di costruire un modello di governance chiaro, trasparente e multilivello, capace di coordinare i diversi stakeholder.
• La strategia riconosce infine che standardizzazione e certificazione rappresentano fattori abilitanti essenziali per garantire l’interoperabilità e la sicurezza delle soluzioni sviluppate.

In quest’ottica, l’Italia punta a contribuire attivamente alla definizione di standard europei comuni, rafforzando il dialogo con gli organismi europei di normazione tecnica e posizionandosi come attore proattivo nella costruzione dell’infrastruttura quantistica europea.

4. Convergenze strategiche e divari sistemici: Italia ed Europa verso una governance quantistica integrata?

La Strategia quantistica italiana, pur muovendosi lungo direttrici coerenti con la visione delineata nella Strategia quantistica europea e ispirata alla cornice politica della Dichiarazione Quantistica, riflette ancora un’impostazione prevalentemente adattiva, più che realmente convergente all’ambizione del regolatore europeo.

In entrambi i documenti, le tecnologie quantistiche sono qualificate come leve strategiche per la sovranità digitale, l’autonomia industriale e la sicurezza nazionale. La comune impostazione multidimensionale prevede un impegno su infrastrutture, ricerca, formazione, sviluppo industriale e cybersicurezza, con un chiaro riferimento alla necessità di investire nei quattro pilastri fondamentali: calcolo, comunicazione, metrologia e sensoristica quantistica.

Tuttavia, l’allineamento si arresta al piano dei principi, mentre diverge significativamente sotto il profilo operativo e strutturale.

• In primo luogo, la Strategia quantistica europea propone un modello di coordinamento multilivello, in cui la Commissione assume un ruolo propulsivo per armonizzare investimenti, standard e programmi nazionali. L’obiettivo è quello di costruire un mercato interno delle tecnologie quantistiche, fondato su un’infrastruttura interoperabile e su un tessuto normativo unitario; da consolidare attraverso il Quantum Act. La strategia nazionale, pur evocando la necessità di sinergie pubblico-private e il raccordo con i programmi europei, rimane ancorata a una logica ministeriale e a un’aggregazione di progettualità esistenti. L’assenza di una governance unica e permanente, dotata di autonomia strategica e di capacità di attuazione trasversale, rischia di indebolire la coerenza e l’impatto dell’intervento nazionale.
• In secondo luogo, il divario si manifesta nella capacità di mobilitare risorse. Mentre il documento europeo prospetta un rafforzamento dei partenariati pubblico-privato e un incremento degli investimenti su scala continentale (anche attraverso strumenti dedicati come EuroHPC-JU), la strategia italiana parte da una base ancora modesta e non prevede strumenti fiscali o regolatori dedicati per attrarre capitali privati, né misure di de-risking per le startup deep-tech attive nel settore.
• Un ulteriore scarto riguarda il profilo normativo e standardizzativo. La Commissione prevede esplicitamente lo sviluppo di un framework regolatorio unitario, capace di garantire la sicurezza, l’interoperabilità e la certificabilità dei sistemi quantistici. La strategia nazionale, al contrario, non affronta in modo sistematico la dimensione regolatoria, né propone un’agenda normativa per l’adozione di standard condivisi, lasciando irrisolte questioni cruciali come la gestione dei rischi tecnologici, la sicurezza nei settori critici o la governance dei dati sensibili.

In sintesi, l’Italia ha delineato una strategia solida nei presupposti e coerente nelle finalità, ma l’effettivo allineamento con la traiettoria europea richiederà un salto qualitativo sia in termini di capacità di governo del sistema, sia di ambizione giuridico-istituzionale. Senza un’integrazione più organica nelle strutture e negli strumenti europei, il rischio è che la strategia nazionale resti periferica rispetto al disegno di un’autentica sovranità quantistica europea.

Su un argomento simile può essere d’interesse l’episodio del podcast su “Quantum Computing: Potenzialità Infinite e Rischi Legali”.

Autore: Giulio Napolitano

 

Intellectual Property

Marchi di lusso e principio di esaurimento: tutela dell’aura distintiva e limiti alla rivendita non autorizzata

Con ordinanza del 9 giugno 2025 (R.G. n. 10346/2025), il Tribunale di Milano si è pronunciato su un delicato bilanciamento tra libertà di circolazione delle merci e tutela della funzione reputazionale del marchio, riaffermando - in linea con la giurisprudenza europea - che l’aura di lusso di un brand rappresenta un bene giuridico autonomamente tutelabile.

La vicenda trae origine da un ricorso cautelare ex art. 700 c.p.c. promosso congiuntamente da due società, rispettivamente titolare del marchio e licenziataria esclusiva per il territorio italiano, volto a ottenere l’inibitoria della commercializzazione di prodotti recanti il marchio stesso presso canali distributivi non autorizzati.

Secondo le ricorrenti, la modalità di rivendita adottata da alcuni operatori terzi, estranei alla rete selettiva, risultava idonea a compromettere gravemente l’immagine distintiva e il posizionamento reputazionale del marchio, fondato su una strategia distributiva selettiva e controllata.

Il principio di esaurimento, come noto, trova fondamento nell’art. 5 c.p.i. e nell’art. 15 del Reg. UE 2017/1001. Secondo tale disposizione, il titolare non può opporsi alla commercializzazione successiva di un prodotto regolarmente immesso sul mercato dell’Unione, a meno che sussistano "motivi legittimi" che giustifichino l’opposizione.

Tali motivi legittimi, come chiarito dalla Corte di Giustizia (tra le altre, cause C-337/95 Dior, C-59/08 Copad), possono consistere in condotte commerciali che compromettono la qualità percepita del prodotto o ledono l'immagine del marchio, specie ove quest’ultimo sia connotato da una dimensione di lusso o esclusività.

Nel caso di specie, le resistenti avevano posto in essere pratiche commerciali considerate inadeguate rispetto agli standard imposti dalla rete selettiva, tra cui:

• esposizione promiscua dei prodotti di cosmetica accanto a detersivi e generi alimentari;
• assenza di personale qualificato;
• vendita in ambienti disordinati e privi di reparti specifici (es. assenza di corner profumeria);
• distribuzione “sotto banco”;
• deterioramento del packaging originario.

Tali modalità sono state ritenute idonee a incidere negativamente sulla percezione qualitativa del marchio, compromettendone non solo la funzione distintiva, ma anche quella pubblicitaria e di investimento, come da consolidata dottrina e giurisprudenza unionale.

Nel respingere il reclamo delle parti resistenti, il Tribunale ha richiamato il consolidato orientamento della CGUE in tema di tutela del marchio di prestigio, ritenendo che le modalità di commercializzazione documentate integrassero un “pregiudizio concreto e attuale” all’identità del marchio, tale da legittimare l’opposizione alla rivendita ai sensi dell’art. 5, comma 2, c.p.i.

Significativamente, il Collegio ha chiarito che la protezione accordata al marchio non è limitata alla sola garanzia d’origine, ma si estende anche alla sua capacità di comunicare un’immagine selettiva, costruita attraverso precise scelte distributive, promozionali e di posizionamento.

Il valore immateriale del marchio - soprattutto nei mercati del lusso - è strettamente legato alla coerenza dell’esperienza d’acquisto, la cui compromissione, anche solo indiretta, può fondare un interesse giuridicamente rilevante a impedire la rivendita non autorizzata.

Le resistenti avevano formulato diverse eccezioni, tra cui:

• la presunta nullità della clausola contrattuale di divieto di rivendita extra rete (artt. 1341-1342 c.c.);
• l’illegittimità del sistema di distribuzione selettiva per violazione dei criteri “Metro”;
• l’insussistenza di un pregiudizio attuale e concreto;
• la carenza di legittimazione attiva della distributrice esclusiva.

Il Tribunale ha respinto ogni doglianza, sottolineando che:

• il motivo legittimo di cui all’art. 5 c.p.i. prescinde dalla validità della clausola contrattuale, essendo ancorato a un pregiudizio oggettivo alla reputazione del marchio;
• la legittimazione attiva può essere riconosciuta anche al distributore esclusivo, ove parte integrante della rete selettiva;
• l’istruttoria cautelare ha fornito elementi probatori atti a dimostrare una lesione effettiva e non meramente potenziale.

La pronuncia del Tribunale di Milano conferma un principio cardine nella materia del diritto dei marchi: l’esaurimento non è assoluto, e cede quando l’interesse alla tutela dell’identità commerciale e reputazionale del segno distintivo è leso da pratiche distributive incoerenti.

In particolare, per i marchi di lusso, la selettività distributiva non è solo una strategia di marketing, ma diviene elemento funzionale alla conservazione del valore immateriale del brand. La coerenza tra marchio e contesto distributivo, lungi dall’essere una questione meramente estetica, assume rilievo giuridico ai fini dell’art. 5, comma 2, c.p.i.

La decisione in esame si colloca nel solco della giurisprudenza europea che, pur tutelando la libera circolazione, riconosce alla funzione pubblicitaria e d’investimento del marchio un ruolo determinante nella valutazione dell’interesse alla sua protezione post-vendita.

Autrice: Maria Vittoria Pessina

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.