Innovation Law Insights

Artificial Intelligence

L’uso dell’Intelligenza Artificiale nelle frodi assicurative

L’intelligenza artificiale (IA) offre numerosi vantaggi: può migliorare l’efficienza, aiutare a prendere decisioni migliori e stimolare l’innovazione in molti settori. Tuttavia, questi benefici si accompagnano a rischi significativi, in particolare la possibilità di un utilizzo illecito per fini fraudolenti o ingannevoli.

Come ogni tecnologia ricca di potenziale, l’IA può essere impiegata per scopi leciti o illeciti. Per questo, è fondamentale un sistema di governance solido e consapevole, in grado di massimizzare i benefici e contenere i rischi di abuso.

Roberto Copia, Direttore del Servizio Ispettorato dell’IVASS, ha affrontato questo tema in occasione del 4° Congresso Nazionale dell’Associazione CODICI, tenutosi il 17 maggio 2025, evidenziando una crescente preoccupazione a livello etico: se da un lato l’IA può aumentare l’efficienza del settore assicurativo, dall’altro fornisce strumenti sempre più sofisticati a coloro che intendono mettere in atto frodi di vario genere.

IA e assicurazioni: un’alleanza inscindibile

L’IA è ormai uno strumento imprescindibile per il settore assicurativo. Le sue applicazioni spaziano dalla valutazione del rischio allo sviluppo dei prodotti, dalla gestione dei sinistri alla prevenzione delle frodi. Algoritmi predittivi, reti neurali e modelli di apprendimento automatico consentono di elaborare grandi volumi di dati, migliorando l’accuratezza nella sottoscrizione, accelerando la liquidazione dei sinistri e rafforzando le capacità antifrode degli assicuratori.

Tuttavia, questi stessi strumenti, potenti, scalabili e sempre più accessibili, sono oggi impiegati in modo crescente anche dai malintenzionati. Come ha osservato Copia, “coloro che intendono commettere frodi sono abili innovatori e quasi sempre un passo avanti rispetto a coloro che sono chiamati a contrastarli”.

Frodi assicurative nell’era dell’IA: un salto in avanti nella sofisticazione criminale

Le frodi assicurative rappresentano da sempre un problema strutturale del settore. Oggi, però, stiamo assistendo ad un salto qualitativo. Non si tratta più soltanto di danni materiali simulati (art. 642 c.p.) o richieste fittizie. Le frodi moderne sono digitali, automatizzate e altamente sofisticate. L’IA è diventata un potente strumento per chi manipola dati, falsifica documenti o crea identità digitali contraffatte.

Un esempio emblematico è la truffa del “Ghost Broker”: siti web che appaiono altamente verosimili, spesso costruiti con tecniche avanzate di ingegneria sociale, loghi reali e dati sottratti a ignari intermediari. L’IA consente a questi portali fraudolenti di apparire sempre più credibili, grazie a chatbot che simulano l’assistenza clienti, profiling automatizzato delle vittime e offerte false ma altamente personalizzate. Il risultato è un’esperienza utente apparentemente perfetta. Ma l’acquirente resta privo di copertura assicurativa, prendendone conoscenza solo in occasione di controlli o del verificarsi di un sinistro.

I costi della frode: ben più che un danno economico

I dati evidenziano una tendenza preoccupante. Secondo Forbes, le frodi assicurative generano costi globali stimati in circa 300 miliardi di dollari l’anno.

In Italia, il quadro è altrettanto allarmante: secondo il Rapporto Antifrode IVASS 2023, la quota di sinistri sospetti nel settore RC auto è passata in un solo anno dal 16% al 21%.

Ma gli effetti delle frodi assicurative vanno ben oltre le perdite economiche subite dalle compagnie. A livello sistemico, le conseguenze sono ancora più gravi. La sicurezza pubblica è compromessa quando veicoli privi di copertura assicurativa circolano sulle strade, mettendo a rischio le persone, che dovranno ricorrere al Fondo di Garanzia per le Vittime della Strada, finanziato dagli assicurati.

Anche il danno reputazionale è rilevante: la fiducia del pubblico verso compagnie e intermediari legittimi è a rischio erosione, soprattutto nei casi di furto d’identità, reato previsto dall’art. 494 c.p.

L’aumento delle frodi mina inoltre la fiducia nei canali digitali, rallentando la transizione verso servizi assicurativi più efficienti e accessibili online. E le vittime non mancano: spesso si tratta di giovani digitalmente competenti ma ignari delle dinamiche assicurative, e dunque più esposti alle truffe.

Il ruolo dell’AI Act e la risposta istituzionale

Per fronteggiare queste sfide, l’UE ha adottato il Regolamento (UE) 2024/1689 (AI Act), pietra angolare della governance  e regolamentazione dell’IA nel mercato interno. Sebbene il suo obiettivo primario sia quello di garantire sicurezza e tutela dei diritti fondamentali attraverso un approccio basato sul rischio, l’AI Act ha implicazioni rilevanti anche per il settore assicurativo, in particolare in materia di prevenzione delle frodi e gestione del rischio.

Alcuni sistemi IA, come quelli per il riconoscimento biometrico, il credit scoring o l’analisi delle emozioni, sono classificati come "ad alto rischio" e devono rispettare requisiti rigorosi in termini di valutazione del rischio, trasparenza, tracciabilità e supervisione umana. Sebbene i “sistemi di IA utilizzati per rilevare frodi finanziarie” non rientrino automaticamente tra quelli ad alto rischio, potrebbero esserlo se integrati con altre funzionalità o sistemi ad alto rischio. Ciò apre la strada a una maggiore vigilanza sia sugli strumenti IA utilizzati dalle compagnie, sia su quelli impiegati illecitamente dai truffatori.

Il Regolamento introduce inoltre obblighi specifici per i sistemi capaci di generare contenuti sintetici (deepfake, imitazioni realistiche di persone), elementi frequenti nelle truffe da ghost broker e nei furti di identità. Fornitori e utenti di tali sistemi dovranno assicurare trasparenza, watermark digitali e documentazione idonea, migliorando la tracciabilità degli usi illeciti. Inoltre, l’AI Act impone agli Stati membri e alle autorità competenti l’obbligo di monitorare l’uso dei sistemi ad alto rischio e di coordinarsi a livello europeo.

Ciò rappresenta un’opportunità per autorità nazionali come l’IVASS di assumere un ruolo proattivo, non solo nella vigilanza del settore, ma anche nella segnalazione e repressione degli abusi dell’IA in ambito assicurativo.

L’IVASS, in collaborazione con le forze dell’ordine, ha già adottato diverse contromisure contro le frodi digitali: oscuramento di siti fraudolenti, campagne informative, analisi di rete, banche dati centralizzate dei sinistri, white list e utilizzo di strumenti IA per rilevare pattern sospetti. Nonostante questi sforzi, le risposte istituzionali faticano a tenere il passo con l’evoluzione delle tecniche fraudolente. Parallelamente, molte compagnie stanno investendo in sistemi di rilevamento anomalie e tecnologie di verifica incrociata. Tuttavia, le denunce penali restano limitate, e la frode è ancora spesso considerata un costo inevitabile del fare impresa.

Verso un nuovo paradigma: responsabilità, consapevolezza e diritto

Affrontare questa sfida richiede soluzioni tecniche ma anche un cambiamento culturale. Il quadro normativo deve recuperare terreno rispetto alla rapida diffusione dell’IA generativa, soprattutto quando è impiegata per fini illeciti come la contraffazione, la frode o il furto d’identità. Guardando al futuro, paiono essenziali alcune azioni chiave:

• Meccanismi di responsabilità automatica: i sistemi IA devono non solo rilevare anomalie, ma anche certificare e documentare l’attività fraudolenta a supporto di procedimenti giudiziari.
• Rafforzamento della collaborazione pubblico-privato: serve una maggiore condivisione dei dati e analisi congiunte dei rischi tra regolatori e operatori privati.
• Educazione digitale obbligatoria: come già avviene nel settore bancario, i consumatori dovrebbero ricevere una formazione obbligatoria sull’uso sicuro e consapevole delle piattaforme assicurative digitali.
• Un quadro normativo armonizzato a livello UE: è necessario un approccio europeo coordinato contro il ghost broking e le frodi assicurative digitali, che integri gli obiettivi del DSA con l’attività di vigilanza settoriale.

Autore: Giacomo Lusardi

 

Blockchain and Cryptocurrency

Il Genius Act è davvero così geniale? Stablecoin, sovranità e divisione monetaria globale

Man mano che le stablecoin si evolvono da strumenti speculativi a pilastri dell'infrastruttura finanziaria sono sempre più coinvolte nel fuoco incrociato tra filosofie normative e geopolitica monetaria. In questo panorama in evoluzione, gli Stati Uniti e l'Unione Europea offrono due risposte nettamente divergenti.

Il Guiding and Establishing National Innovation for U.S. Stablecoins Act (di seguito, "Genius Act"), firmato il 18 luglio 2025 dal Presidente degli Stati Uniti d'America ("USA"), sancisce un approccio di deregolamentazione che incoraggia l'innovazione privata basata sul dollaro su scala globale, una visione che il Parlamento europeo ha provocatoriamente etichettato come "criptomercantilismo".

Al contrario, il regolamento 2023/1114 sui mercati delle cripto-attività ("MiCAR") dell'Unione europea ("UE") segna un'affermazione difensiva ma strategica della sovranità monetaria, inserendo le attività digitali in un quadro di vincoli, anche afferenti al diritto pubblico, soglie di vigilanza e controllo da parte della banca centrale.

Basandosi sullo studio del Parlamento europeo EP760.274/2025 (lo "Studio del PE") e su una serie di analisi transatlantiche, il presente articolo confronta le architetture normative del Genius Act e di MiCAR, il loro trattamento degli emittenti di stablecoin, i regimi di riserva, i poteri di vigilanza e, in ultima analisi, le loro visioni opposte sulla moneta digitale.

1. Criptomercantilismo: l'offensiva digitale del dollaro

Nella nuova architettura della finanza digitale, la sovranità monetaria dipende sempre più dalla capacità degli Stati di plasmare, o resistere, alle infrastrutture monetarie transfrontaliere. Gli USA hanno adottato una strategia assertiva nota come "criptomercantilismo", un termine coniato dal Parlamento europeo per descrivere la promozione delle stablecoin sostenute dal dollaro come strumenti di espansione geopolitica.

Evocando il mercantilismo classico, in cui il potere derivava dall'esportazione e dall'accumulo di riserve, il suo analogo digitale sostituisce le merci con token ancorati al dollaro integrati nelle reti di pagamento globali. Il Presidente Trump sta incoraggiando apertamente lo sviluppo di stablecoin sostenute dal dollaro in tutto il mondo, presentandole come strumenti per rafforzare il dominio del dollaro. I funzionari del Tesoro hanno confermato che queste monete contribuirebbero a preservare il ruolo del dollaro come valuta di riserva mondiale.

Questa strategia ha due obiettivi.

1. In primo luogo, integrare il dollaro nelle economie digitali emergenti, in particolare nelle regioni con infrastrutture bancarie deboli, dove le società di criptovalute con sede negli Stati Uniti promuovono le stablecoin come strumenti di inclusione.
2. In secondo luogo, generare domanda di debito statunitense: richiedendo che le stablecoin siano garantite da attività in dollari a basso rischio, in particolare titoli del Tesoro, il criptomercantilismo trasforma l'emissione privata in una leva finanziaria pubblica.

Il Genius Act istituzionalizza questa visione. Prevede un regime di licenze permissivo sia per le banche che per gli istituti non bancari, consente di detenere riserve in un'ampia gamma di attività denominate in dollari e non impone restrizioni territoriali, consentendo così la circolazione globale. I giganti tecnologici statunitensi favoriscono ulteriormente questa diffusione integrando i pagamenti in stablecoin nei loro ecosistemi, offrendo incentivi come cashback e punti fedeltà.

Per l'UE, ciò rappresenta una sfida esistenziale. Come avvertito dallo studio del PE, il rischio non risiede solo nella disintermediazione interna, ma anche nell'erosione del ruolo internazionale dell'euro e nell'indebolimento della governance monetaria dell'UE. In quest'ottica, MiCAR non è solo una regolamentazione finanziaria: è un atto di autodifesa monetaria.

2. MiCAR vs Genius Act: architetture divergenti della moneta digitale

L'UE e gli Stati Uniti hanno risposto all'ascesa delle stablecoin con due modelli normativi fondamentalmente diversi.

1. MiCAR, in vigore da luglio 2024, adotta una logica di diritto pubblico: mira a contenere i rischi sistemici, preservare la sovranità monetaria ed integrare le stablecoin in un ecosistema finanziario strettamente supervisionato.
2. Il Genius Act, in vigore da pochi giorni, riflette una filosofia di deregolamentazione: incoraggia l'innovazione monetaria privata e rafforza il dominio globale del dollaro.

Come evidenziato nell'allegato I dello studio del Parlamento europeo, i due quadri normativi divergono su sette aspetti fondamentali:

1. Ammissibilità degli emittenti: MiCAR limita l'emissione agli istituti di credito o agli istituti di moneta elettronica, mentre il Genius Act apre il mercato a soggetti non bancari autorizzati dallo Stato o dalle autorità federali, compresi i giganti della centralizzazione tecnologica.
2. Rimborso: entrambi prevedono un rimborso in valuta fiat 1:1. Tuttavia, il MiCAR consente l'intervento delle autorità di vigilanza (ad esempio, i redemption gate), mentre il Genius Act si affida a meccanismi post-fallimento come la priorità in caso di fallimento.
3. Designazione sistemica: il MiCAR identifica gli emittenti "significativi" e li sottopone a obblighi più severi. Il Genius Act applica un approccio unico per tutti, ignorando la stratificazione del rischio sistemico.
4. Riserve: il MiCAR richiede riserve di alta qualità ed a basso rischio con regole di custodia rigorose. Il Genius Act consente tipi di attività più ampi, aumentando la flessibilità ma aumentando l'esposizione a shock di liquidità o di credito.
5. Vigilanza: il MiCAR centralizza la vigilanza tramite l'Autorità Bancaria Europea ("ABE") e le autorità nazionali. Il Genius Act frammenta la vigilanza tra attori statali e federali, con un'applicazione proattiva limitata.
6. Extraterritorialità: il MiCAR vieta le stablecoin di paesi terzi a meno che non siano autorizzate nell'UE. Il Genius Act promuove l'equivalenza transfrontaliera e l'esportazione delle norme, rafforzando la portata del dollaro.
7. Garanzie monetarie: il MiCAR conferisce alla Banca centrale europea ("BCE") il potere di limitare i token non in euro che minacciano l'area dell'euro. Il Genius Act non contiene tali garanzie e sostiene implicitamente la dollarizzazione globale.

Queste differenze non sono solo tecniche. Esse riflettono visioni opposte: una cerca di contenere l'influenza della moneta digitale privata, l'altra di proiettarla a livello globale. Il MiCAR è un modello di contenimento normativo. Il Genius Act è un progetto di espansione monetaria.

3. Rischi sistemici e firewall monetario europeo

Le stablecoin sostenute dal dollaro non solo mettono in discussione i quadri normativi, ma minacciano piuttosto di erodere la sovranità monetaria oltre i confini degli Stati Uniti. Come sottolineato dallo studio del PE del 2025, questi rischi riguardano sia la fragilità finanziaria interna che lo spostamento monetario esterno.

I. Vulnerabilità interne

Anche se completamente garantite, le stablecoin rimangono vulnerabili alle tensioni del mercato. Riserve illiquide o opache possono innescare corse speculative, mentre le promesse di rimborso possono crollare sotto pressione, come hanno dimostrato i precedenti episodi di sganciamento di Tether e Circle. Inoltre, la riallocazione delle riserve alla ricerca di rendimenti, in particolare dall'UE verso gli Stati Uniti, potrebbe alimentare il contagio finanziario e compromettere la trasmissione monetaria all'interno dell'eurozona. Con il trasferimento dei fondi degli utenti verso stablecoin non bancarie, le banche tradizionali potrebbero trovarsi ad affrontare vincoli di liquidità, compromettendo la loro capacità di prestito.

II. Dollarizzazione transfrontaliera

L'uso diffuso di stablecoin ancorate al dollaro statunitense all'interno dell'UE potrebbe portare a una dollarizzazione digitale di fatto. Ciò esporrebbe gli utenti alla volatilità dei tassi di cambio, limiterebbe l'autonomia politica della BCE e indebolirebbe il ruolo internazionale dell'euro. Inoltre, gli emittenti non autorizzati di paesi terzi creano lacune nell'applicazione delle norme e aprono la porta a vulnerabilità in materia di antiriciclaggio e lotta al finanziamento del terrorismo, soprattutto in assenza di un allineamento normativo a livello globale.

III. La risposta del MiCAR: difesa monetaria preventiva

Il MiCAR affronta queste minacce attraverso un doppio meccanismo di salvaguardia:

• Soglie quantitative, ai sensi degli articoli 23 e 58: volumi giornalieri superiori a 1 milione di transazioni o 200 milioni di euro determinano l’intervento di vigilanza.
• Potere discrezionale della BCE, ai sensi dell’articolo 24, paragrafo 3: indipendentemente dai parametri, la BCE può vietare l’emissione di token ancorati a valute estere che minacciano la stabilità monetaria.

In quest'ottica, il MiCAR va oltre la vigilanza prudenziale. Agisce come un firewall monetario, preservando l'integrità dell'euro in un mondo digitalizzato e dollarizzato.

4. Dalla difesa normativa alla sovranità monetaria digitale

Di fronte all'ambizione extraterritoriale del Genius Act, la risposta dell'UE va ben oltre il MiCAR. Essa riflette una strategia più ampia volta a riaffermare la sovranità monetaria digitale, non imitando modelli di deregolamentazione, ma combinando innovazione monetaria pubblica, coerenza normativa e leadership multilaterale.

I. L'euro digitale come ancora di sovranità

Al centro c'è l'euro digitale: una moneta emessa dalla banca centrale progettata per preservare il denaro pubblico di fronte alle alternative private basate sul dollaro. A differenza delle stablecoin, è una passività della banca centrale priva di rischio, integrata in un sistema di controllo democratico e in un'infrastruttura che tutela la privacy. Fondamentalmente, il suo obiettivo non è quello di competere a livello globale, ma di garantire la resilienza monetaria interna, fungendo da "ancora monetaria", come descritto dal membro del consiglio direttivo della BCE Fabio Panetta.

L'integrazione con l'infrastruttura europea dei servizi blockchain ("EBSI") rafforza ulteriormente l'autonomia, promuovendo un'architettura digitale sovrana slegata dalle piattaforme dominate dagli Stati Uniti.

II. Gli standard normativi come leva strategica

L'UE ha sempre rifiutato di abbassare i propri standard per attirare gli emittenti di stablecoin. MiCAR respinge le scorciatoie concesse ai paesi terzi in materia di licenze e sancisce soglie di conformità elevate. Questa posizione non è difensiva, ma deliberata: afferma che gli standard normativi sono vettori di sovranità, che consentono all'UE di plasmare le norme globali anziché seguirle.

III. Multilateralismo anziché concorrenza normativa

Infine, l'UE promuove il proprio modello attraverso forum internazionali quali l'FSB e l'IOSCO. Pur essendo aperta all'equivalenza, la subordina a una convergenza sostanziale, in particolare per quanto riguarda la copertura delle riserve, i diritti di rimborso ed i poteri di vigilanza. Questa strategia multilaterale è in linea con il più ampio orientamento dell'UE verso l'autonomia strategica: dal liberalismo di mercato alla regolamentazione basata su principi.

Nel settore delle stablecoin, come in quello dell'IA o della governance dei dati, l'ambizione dell'UE è chiara: definire le regole della sovranità digitale non in base alla scala, ma alla struttura.

5. Genialità o arroganza? Ridefiniamo il divario normativo

Sebbene spesso descritti come risposte parallele a una sfida comune, MiCAR ed il Genius Act incarnano due visioni fondamentalmente opposte del futuro della moneta. Il Genius Act, nel nome e nella struttura, riflette una forma di arroganza normativa: presuppone che gli attori privati possano emettere in modo sicuro moneta denominata in dollari su scala globale con una supervisione minima, trasformando le stablecoin in strumenti di mercantilismo digitale e di leva geopolitica.

MiCAR, al contrario, non è un semplice statuto finanziario, ma una costituzione monetaria. Afferma che il denaro è un'infrastruttura pubblica, che deve rimanere integrata nei quadri giuridici, istituzionali e democratici. In questa visione, l'innovazione è benvenuta, ma solo quando rispetta la logica dell'ordine monetario ed il primato del diritto sovrano sul codice privato.

Questa divergenza riflette più di una semplice filosofia normativa. Rivela una frattura geopolitica: tra l'egemonia del dollaro e la sovranità digitale europea, tra reti governate da incentivi di mercato e sistemi governati dall'autorità pubblica. La regolamentazione delle stablecoin non è quindi più una questione tecnica, ma una questione costituzionale per l'era digitale.

Opponendosi alla deriva deregolamentatrice del Genius Act, l'Europa manifesta la sua ambizione di proporre un modello alternativo di finanza digitale, che privilegi la sovranità rispetto alla scala, il diritto rispetto al codice e la stabilità pubblica rispetto all'espansione privata. Non è ancora chiaro se questa visione prevarrà. Ma nella contesa per il futuro del denaro, il genio da solo non basta. Ciò che conta è essere sovrani e conoscere esattamente cosa ciò comporti.

Autori: Andrea Pantaleo, Giulio Napolitano

 

Data Protection & Cybersecurity

Protezione dei minori online: le Linee guida della Commissione UE

Nel luglio 2024, la Commissione Europea ha adottato le Linee guida sulla protezione dei minori online (le "Linee guida"). Le Linee guida, emanate ai sensi dell’articolo 28, paragrafo 4, del Regolamento (UE) 2022/2065 (il "Digital Services Act" o "DSA"), definiscono le misure che i fornitori di piattaforme online accessibili ai minori dovrebbero adottare per garantire un elevato livello di privacy, sicurezza e protezione per i minori online.

Sebbene non siano giuridicamente vincolanti, le Linee guida rappresentano un punto di riferimento fondamentale per i fornitori, in quanto delineano le migliori pratiche utili a supportare la conformità agli obblighi stabiliti dal DSA. Costituiscono quindi un importante benchmark per tutte le piattaforme online i cui servizi o contenuti possano essere accessibili ai minori.

Ambito di applicazione

Le Linee guida si applicano a tutte le piattaforme online (es. social network, servizi di condivisione di contenuti, piattaforme di streaming video) accessibili ai minori.

Secondo la Commissione Europea, una piattaforma è considerata accessibile ai minori non solo quando è esplicitamente rivolta a loro, ma anche ogni volta in cui il fornitore sia consapevole che alcuni utenti del servizio sono minori. In particolare, la Commissione chiarisce che una piattaforma non può essere considerata non accessibile ai minori solo in virtù di dichiarazioni contenute nei suoi termini e condizioni. In assenza di meccanismi efficaci e verificabili di verifica dell’età, il fornitore è presunto consapevole che i minori possano accedere ai suoi servizi.

Ad esempio, una piattaforma che diffonde contenuti per adulti sarà considerata accessibile ai minori se non ha implementato misure efficaci per impedirne l’accesso.

Misure principali

1. Valutazione dei rischi

La Commissione UE raccomanda ai fornitori di piattaforme online di condurre una valutazione completa dei rischi per determinare come attuare le misure previste dall’art. 28 del DSA. Tale valutazione – da eseguire periodicamente – dovrebbe identificare i potenziali rischi legati all’uso da parte dei minori e guidare la scelta delle misure di mitigazione più appropriate.

A tal fine, la Commissione incoraggia l’utilizzo di modelli esistenti per le valutazioni di impatto sui diritti dell’infanzia, come quelli dell’UNICEF o del CEN-CENELEC.

2. Meccanismi di verifica dell’età

I fornitori devono adottare meccanismi di verifica dell’età affidabili, proporzionati al livello di rischio e che tutelino la privacy degli utenti. Il metodo scelto deve basarsi su una valutazione pubblica dei rischi associati al servizio e ai contenuti.

In particolare, la Commissione raccomanda:

• Verifica dell’età per accedere a funzionalità o contenuti ad alto rischio (es. pornografia, gioco d’azzardo, chat dal vivo, condivisione di immagini/video, messaggistica anonima). È consigliato l’uso di sistemi verificabili, idealmente basati su documenti d’identità o portafogli digitali rilasciati dal governo, che permettano la conferma dell’età senza rivelare i dati personali alla piattaforma. È suggerito l’uso di metodi double-blind, dove né la piattaforma né il verificatore possono collegare l’identità dell’utente al servizio.
• La stima dell’età può essere utilizzata per l’accesso a contenuti a rischio più basso, solo quando la valutazione dei rischi ne giustifica l’uso.

3. Progettazione dei servizi e delle interfacce

La progettazione dei servizi online deve riflettere un elevato standard di tutela dei minori. In particolare:

• Impostazioni predefinite orientate alla privacy: I profili dei minori devono essere automaticamente configurati con il massimo livello di protezione (es. visibilità limitata del profilo, restrizioni ai contatti non autorizzati, disattivazione di funzionalità rischiose come geolocalizzazione o profilazione comportamentale).
• Facilità di ripristino delle impostazioni: I minori devono poter ripristinare facilmente le impostazioni predefinite e ricevere avvisi chiari quando tentano di ridurle.
• Scelte di design dell’interfaccia: Le interfacce devono consentire ai minori di decidere facilmente come interagire con il servizio, senza pressioni. Le funzionalità AI (es. chatbot, filtri, strumenti generativi) non devono essere abilitate di default.
• Sistemi di raccomandazione: Devono:
  • evitare l’uso di dati comportamentali esterni alla piattaforma;
  • prevenire l’esposizione ripetuta a contenuti dannosi o sensibili.
• Prevenzione del nudging: Evitare meccanismi che spingano i minori a rivelare informazioni personali o a ridurre il proprio livello di protezione.

4. Trasparenza e moderazione

I minori devono essere protetti da contenuti dannosi e pratiche manipolative.

• Contenuti dannosi: Devono essere evitati contenuti come:
  • pubblicità nascosta,
  • tecniche subliminali,
  • design manipolativi (es. dark patterns) che inducono a spese eccessive o uso compulsivo.
• Moderazione dei contenuti:
  • Inclusione esplicita di rischi per la privacy e sicurezza dei minori;
  • Presenza di supervisione umana oltre all’automazione;
  • Formazione adeguata del personale;
  • Disponibilità continua degli strumenti di moderazione.
• Uso di sistemi AI: Devono essere implementate misure tecniche per evitare la generazione o diffusione di contenuti dannosi per i minori (es. filtri per bloccare prompt rischiosi identificati nelle policy interne).

5. Supporto utenti e strumenti di segnalazione

Per una protezione efficace, devono essere presenti strumenti semplici e accessibili per i minori:

• Meccanismi di segnalazione: Devono essere progettati in modo "child-friendly", per consentire ai minori di segnalare contenuti o comportamenti inappropriati.
• Feedback sui contenuti: I minori devono poter inviare osservazioni sui contenuti visti.
• Supporto utenti: Devono essere presenti strumenti facilmente accessibili per ottenere aiuto (es. bloccare o silenziare altri utenti).
• Strumenti per i tutori: Devono essere previsti controlli parentali che rispettino i diritti e l’autonomia dei minori (es. impostazioni predefinite, limiti di tempo, controllo delle comunicazioni, spese, attività).

6. Governance e responsabilità

I fornitori devono integrare i diritti e la protezione dei minori nelle proprie strutture organizzative:

• Nominare una figura o team responsabile della sicurezza dei minori;
• Fornire formazione continua al personale;
• Documentare e pubblicare regolarmente:
  • valutazione dei rischi specifici per i minori,
  • misure adottate,
  • aggiornamenti sui metodi di verifica dell’età e strumenti di sicurezza.

Conclusioni

Le Linee guida forniscono un quadro chiaro e strutturato per migliorare la privacy, la sicurezza e la protezione dei minori online. Pur non essendo vincolanti, costituiscono un riferimento essenziale per dimostrare la conformità all’art. 28 del Digital Services Act.

Le piattaforme accessibili ai minori sono quindi incoraggiate a valutare criticamente il proprio livello di conformità, individuare eventuali miglioramenti o azioni correttive, e garantire che le misure di protezione siano adeguate ed efficaci.

Autore: Federico Toscani

 

Intellectual Property

Influencer sotto controllo: AGCOM approva le Linee guida e il Codice di Condotta per un web più trasparente e responsabile

Con comunicato del 24 luglio 2025, il Consiglio dell'Autorità per le garanzie nelle comunicazioni ("Agcom") ha dichiarato di aver approvato in via definitiva le Linee guida e il Codice di Condotta per gli influencer.

Si tratta del risultato di un percorso articolato, iniziato con un Tavolo tecnico e arricchito dalla consultazione pubblica prevista dalla delibera 472/24/CONS. L’obiettivo è chiaro: regolare un settore in continua espansione, garantendo che anche gli influencer rispettino le regole previste dal le regole previste dal Testo unico sui servizi di media audiovisivi ("TUSMA"). Non si tratta solo di contenuti creativi: chi pubblica video e post sulle piattaforme social ha una responsabilità editoriale, e deve quindi rispondere di ciò che diffonde online.

Il Codice di Condotta approvato da Agcom, sviluppato in collaborazione con aziende, esperti e attori dell’influencer marketing, punta a rendere trasparenti e riconoscibili le comunicazioni, assicurando comportamenti corretti nei confronti del pubblico.

Il testo approvato definisce in modo chiaro i criteri e i comportamenti a cui gli influencer interessati dovranno attenersi: correttezza e imparzialità dell’informazione, rispetto della dignità umana, contrasto ai discorsi d’odio, protezione dei minori e tutela del diritto d’autore. Particolare enfasi è posta sulla trasparenza dei contenuti sponsorizzati e delle comunicazioni commerciali, che dovranno essere sempre chiaramente identificabili secondo quanto stabilito anche dal regolamento "Digital Chart", promosso dall’Istituto dell’Autodisciplina Pubblicitaria (IAP).

Le nuove regole si applicano agli influencer "rilevanti", ovvero coloro che raggiungono almeno 500.000 follower oppure un milione di visualizzazioni medie mensili su una piattaforma. Per questi soggetti, Agcom predisporrà un elenco pubblico consultabile online. A loro saranno imposti obblighi precisi, che includono la chiarezza nei rapporti pubblicitari, la tutela dei soggetti vulnerabili, il rispetto della legalità e la trasparenza delle fonti. La supervisione sarà affidata a strumenti di monitoraggio e verifica continui, con un sistema sanzionatorio ben delineato: le multe potranno arrivare fino a 250.000 euro per violazioni delle disposizioni, con un tetto massimo di 600.000 euro nei casi più gravi, come quelli che compromettono la tutela dei minori.

Queste nuove norme rappresentano un impegno concreto per un ecosistema online più sicuro, trasparente e affidabile, sia per i cittadini che per il mercato. In un mondo in cui l’influenza digitale ha un impatto sempre più forte, la parola d’ordine è responsabilità.

Su un simile argomento può essere interessante l'articolo "AGCOM: Nuove Linee Guida sugli influencer".

Autrice: Rebecca Rossi

 

Technology Media and Telecommunication

Avvio di una consultazione pubblica sulla prima revisione del Digital Markets Act

Lo scorso 3 luglio la Commissione Europea ha avviato una consultazione pubblica in vista della prima revisione del Digital Markets Act ("DMA"), prevista entro il 3 maggio 2026.

L'obiettivo della consultazione è quello di raccogliere feedback e dati dai partecipanti per verificare l’efficacia del DMA nel conseguimento dei suoi obiettivi volti a garantire mercati digitali contendibili ed equi. La Commissione desidera in particolare raccogliere riscontri in merito alla capacità del DMA di far fronte alle sfide emergenti, come quelle poste dall'introduzione di servizi basati sull'IA. La Commissione utilizzerà i commenti ricevuti nel contesto della consultazione pubblica per preparare una relazione che valuti l’impatto e l'efficacia del DMA e determini se siano necessarie misure di modifica e/o integrazione dell'apparato normativo posto dal DMA.

La relazione risultante all'esito della consultazione pubblica sarà presentata al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo.

La consultazione pubblica si pone in linea di continuità con i precedenti interventi della Commissione che, già nel 2023 e nel 2024, aveva avviato consultazioni pubbliche al fine di verificare il raggiungimento degli obiettivi posti dal DMA.

I soggetti cui si rivolge la consultazione pubblica sono principalmente gli utenti professionali (soprattutto PMI), gli utenti finali dei servizi digitali rientranti nel campo di applicazione del DMA e le associazioni che rappresentano gli utenti.

Nell'ambito della consultazione pubblica la Commissione si propone di valutare in particolare quattro profili principali:

1. se gli obiettivi del DMA siano stati raggiunti;
2. l’impatto del DMA sugli utenti professionali, in particolare le PMI, e sugli utenti finali;
3. se l’obbligo di interoperabilità – ossia l'obbligo previsto dall'art. 7 del DMA che impone ai gatekeepers che forniscono servizi di comunicazione interpersonale indipendenti dal numero, di rendere le funzionalità di base dei propri servizi interoperabili con i servizi di un altro fornitore che offre o intende offrire tali servizi nell'Unione – possa essere esteso anche ai servizi di social networking online;
4. se sia necessario modificare le disposizioni pose dal DMA con particolare riferimento agli obblighi in capo ai gatekeepers.

Di seguito alcune delle domande poste nell'ambito della consultazione pubblica, alle quali i partecipanti sono chiamati a rispondere:

• in relazione ai servizi di piattaforma di base (cd. core platform services), se i partecipanti hanno "commenti o osservazioni in merito all'attuale elenco dei servizi di piattaforma di base";
• se vi sono "commenti o osservazioni sul processo di designazione [dei gatekeepers] (ad es., con riferimento ai criteri quantitativi e qualitativi applicabili, e alle confutazioni) come delineato dal DMA, ivi incluse le soglie rilevanti";
• se vi sono "commenti o osservazioni sull'attuale elenco di obblighi (segnatamente, articoli da 5 a 7, 11, 14 e 15 del DMA) che i gatekeepers devono osservare";
• se i partecipanti hanno "commenti o osservazioni sugli strumenti a disposizione della Commissione garantire l'applicazione del DMA", per esempio per quanto riguarda l'adeguatezza e l'efficienza degli stessi;
• se vi sono "commenti o osservazioni riguardo al quadro procedurale previsto dal DMA (ad esempio, protezione delle informazioni riservate, procedura di accesso agli atti)".

I soggetti interessati a partecipare alla consultazione pubblica dovranno trasmettere i loro contributi entro il 24 settembre 2025.

Su un simile argomento può essere interessante l’articolo “L’AGCM ha avviato una consultazione pubblica sullo schema di regolamento sulle forme di collaborazione e cooperazione previste per l’attuazione del Digital Markets Act”.

Autori: Massimo D'Andrea, Flaminia Perna, Arianna Porretti

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.