Innovation Law Insights

Evento

La DLA Piper AI Academy arriva a Milano

Dopo Londra, Parigi e Lussemburgo, DLA Piper lancia la sua AI Academy a Milano. La prima sessione in presenza si terrà il 12 novembre 2025 presso il nostro ufficio di Milano, offrendo approfondimenti esclusivi sugli aspetti legali, tecnici ed etici dell’intelligenza artificiale. Il programma è pensato per i professionisti che si occupano di governance e gestione dei rischi legati all’AI, e combina indicazioni pratiche, casi di studio e opportunità di networking in un contesto ristretto.

Tariffa Early-bird: €1,900 + IVA (include una giornata intera in presenza e tre webinar di follow-up).

Per dettagli o iscrizioni, contattare Silvia Molignani.

 

Data protection and Cybersecurity

Il Referente CSIRT: una nuova figura nel quadro normativo NIS2

Con la Determinazione n. 333017 (la "Determinazione") l’Agenzia per la Cybersicurezza Nazionale ("ACN") ha introdotto una nuova figura all’interno del quadro regolamentare del NIS2: il Referente CSIRT.

Sebbene tale figura non sia espressamente prevista né dalla Direttiva NIS2 né dal Decreto Legislativo n. 138 del 4 settembre 2024 (“Decreto NIS2”), tutti i soggetti rientranti nell’ambito di applicazione del Decreto NIS2 e registrati sul portale ACN sono tenuti a nominare un Referente CSIRT e a comunicarne la nomina ad ACN tramite il portale entro il 31 dicembre 2025.

Chi è il Referente CSIRT e quali sono le sue funzioni

Ai sensi dell’articolo 7 della Determinazione, il Referente CSIRT è una persona fisica designata dal Punto di Contatto dell’organizzazione, con i seguenti compiti principali:

1. mantenere i rapporti con CSIRT Italia, l’autorità nazionale responsabile della gestione operativa degli incidenti di cybersicurezza;
2. trasmettere le notifiche di incidenti significativi ai sensi degli articoli 25 e 26 del Decreto NIS2.

Il Referente CSIRT è dunque una figura tecnica e specializzata, responsabile della gestione operativa degli aspetti legati alla conformità al Decreto NIS2 con riferimento alle disposizioni in materia di notifica degli incidenti significativi.

In particolare, è incaricato di inviare le notifiche e di mantenere la comunicazione con CSIRT Italia, sia nella fase successiva alla notifica (ad esempio, per rispondere a richieste di chiarimenti o informazioni aggiuntive), sia nell’ambito di comunicazioni più ampie con il CSIRT durante la normale attività aziendale.

Il ruolo è complementare a quello del Punto di Contatto, che conserva la responsabilità generale delle comunicazioni con ACN e dell’attuazione delle disposizioni del Decreto NIS2. Il Referente CSIRT, invece, si concentra esclusivamente sugli aspetti operativi e tecnici connessi alla gestione e alla notifica degli incidenti, senza coinvolgimento negli altri obblighi di conformità previsti dal Decreto NIS2.

Chi può essere nominato

L’articolo 7 della Determinazione prevede che il Referente CSIRT debba essere una persona fisica in possesso di:

• conoscenze di base in materia di cybersicurezza e gestione degli incidenti; e
• approfondita conoscenza dei sistemi informativi e delle reti dell’organizzazione.

A differenza del Punto di Contatto – che non è tenuto a possedere competenze tecniche – il Referente CSIRT deve soddisfare requisiti specifici di competenza tecnica e conoscenza operativa.

Emergono due principali questioni interpretative riguardanti tale ruolo.

1. Il livello di competenza richiesto: La Determinazione fa riferimento a competenze “di base” in materia di cybersicurezza, il che lascia intendere che, sebbene non la funzione non possa essere assegnata a soggetti privi di qualsiasi formazione o esperienza nel settore, non sia necessario un profilo altamente specialistico. Tuttavia, considerata la natura critica del ruolo e la sensibilità dei temi trattati, è consigliabile affidare l’incarico a un professionista adeguatamente formato ed esperto, in grado di gestire eventuali incidenti significativi in modo efficace.
2. La possibilità di nominare un soggetto esterno all’organizzazione: La Determinazione non specifica se il Referente CSIRT debba necessariamente essere un dipendente dell'organizzazione o possa essere un consulente esterno. In assenza di divieti espliciti, si può ragionevolmente ritenere che la funzione possa essere affidata anche a un consulente o collaboratore esterno, a condizione che:

• possieda una conoscenza approfondita dei sistemi informativi dell’organizzazione, e
• dimostri una familiarità e capacità operativa concreta con tali sistemi.

Pertanto, qualora il ruolo venga assegnato a un fornitore esterno di servizi di cybersicurezza, è essenziale che questi abbia già una conoscenza approfondita dell’infrastruttura dell’organizzazione. L’incarico non può essere attribuito “da zero” a un soggetto terzo privo di familiarità pregressa con l’ambiente IT aziendale.

Sostituto del Referente CSIRT

La Determinazione prevede inoltre la possibilità di designare uno o più sostituti, per garantire continuità operativa e tempestività nelle comunicazioni in caso di indisponibilità del referente principale.

Considerata l’imprevedibilità degli incidenti informatici, è fortemente raccomandato nominare più Referenti CSIRT, organizzando turni di lavoro e periodi di assenza in modo da assicurare che vi sia sempre almeno un referente disponibile a svolgere le proprie funzioni.

Prossimi Passi

L’introduzione del Referente CSIRT rappresenta un nuovo elemento organizzativo all’interno del sistema di conformità NIS2, che si affianca al ruolo del Punto di Contatto.

Le organizzazioni devono ora:

• Valutare attentamente a chi assegnare il ruolo, assicurandosi che la persona designata soddisfi i requisiti tecnici previsti dalla Determinazione;
• Formalizzare la nomina del Referente CSIRT, definendone le funzioni e integrando il ruolo nella governance aziendale della cybersicurezza;
• Garantire la disponibilità continuativa della persona designata, elemento essenziale per una corretta gestione e notifica degli incidenti.

A partire dal 20 novembre, sarà possibile creare l’account utente del Referente CSIRT direttamente tramite il portale ACN. Tale operazione dovrà essere effettuata dal Punto di Contatto, responsabile dell’inserimento dei dati richiesti e del completamento della procedura di creazione dell’account.

Conclusione

L’introduzione del Referente CSIRT segna un passo significativo verso una governance della cybersicurezza più strutturata ed efficiente nell’ambito del quadro normativo NIS2.

Le organizzazioni dovrebbero considerare questa novità non solo come un adempimento normativo, ma come un’opportunità per potenziare le proprie capacità di risposta agli incidenti e rafforzare la resilienza complessiva dei propri sistemi informativi.

Autore: Federico Toscani

 

Intellectual Property

La nuova legge italiana sull’AI e il reato di diffusione di deepfake 

La legge italiana sull’AI, approvata definitivamente il 17 settembre 2025 ed entrata in vigore il 10 ottobre 2025, introduce un nuovo reato volto a sanzionare la pubblicazione e la diffusione di deep fake.

Deepfake: definizione e rischi 

Con "deepfake" si intende, secondo la definizione dell'AI Act, "un'immagine o un contenuto audio o video generato o manipolato dall'IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona".

La rilevanza sociale e, oggi, penale dei deepfake nasce da molteplici fattori. Una ragione è tecnica: è sempre più difficile – se non impossibile – distinguere un’immagine reale da una generata artificialmente. Altre ragioni derivano dai contesti di utilizzo: molto spesso, infatti, i deepfake vengono impiegati per creare i cosiddetti deep nude, ossia immagini sessualmente esplicite in cui l’AI rimuove artificialmente gli indumenti di una persona, senza che questa abbia acconsentito. 

I deepfake a contenuto pornografico sono emersi su Internet intorno al 2018, in particolare su Reddit, e nel tempo sono stati rimossi da molti siti. Inizialmente hanno coinvolto soprattutto personaggi famosi, ma oggi l’uso di tali contenuti si è diffuso in maniera sempre più ampia. 

Dal punto di vista normativo, l’AI Act prevede che i deployer di sistemi AI informino quando un contenuto audiovisivo è generato o manipolato artificialmente. La nuova legge italiana, invece, si concentra su chi effettivamente diffonde tali contenuti, sanzionandone la pubblicazione senza consenso. 

Il nuovo reato di diffusione illecita di contenuti AI 

La legge sull’AI introduce, all’art. 612-quater c.p., il reato di "Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale".

La norma punisce la pubblicazione, la cessione e la diffusione di "immagini, video o voci falsificati o alterati mediante l'impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità" quando (i) tale condivisione cagiona un danno ingiusto alla persona offesa e (ii) il contenuto viene diffuso senza il consenso di questa. 

Il delitto è punito con la reclusione da uno a cinque anni ed è procedibile a querela della persona offesa, tranne nel caso in cui il fatto(a) sia connesso con altro delitto per il quale si deve procedere d'ufficio ovvero(b) sia commesso nei confronti di persona incapace per età o per infermità, o (c) di una pubblica autorità a causa delle funzioni esercitate»: in tali casi si procede d'ufficio. 

Responsabilità e conseguenze pratiche 

Il fenomeno dei deepfake si colloca all’incrocio tra diversi ambiti del diritto.

La diffusione di contenuti manipolati può infatti costituire, contemporaneamente, una violazione del diritto all’immagine e della privacy, un illecito diffamatorio, e al ricorrerei dei requisiti appena menzionati, il nuovo reato ex art. 612-quater c.p.

Le vittime, inoltre, subiscono spesso danni economici e reputazionali gravi e duraturi, legati alla perdita di controllo sulla propria identità digitale.

Al contempo, le conseguenze pratiche sono (e saranno sempre più) rilevanti anche per le imprese e per le piattaforme online, chiamate a implementare sistemi di monitoraggio e segnalazione più rigorosi (ad esempio grazie all'introduzione del Digital Services Act). 

Conclusioni 

Sebbene la nuova fattispecie rappresenti un passo in avanti nella tutela delle vittime, sono state sollevate diverse questioni interpretative e applicative, a partire dal fatto che la punibilità richiede che la diffusione abbia effettivamente causato un “danno ingiusto”, lasciando escluse le ipotesi in cui il pregiudizio sia solo potenziale. Inoltre, sarà necessario osservare come il requisito per cui le immagini devono essere “idonee a indurre in inganno sulla loro genuinità” verrà interpretato dalla giurisprudenza. 

La nuova incriminazione segna quindi un passo significativo verso l’adattamento del diritto penale all’era dell’intelligenza artificiale, ma resta solo uno degli strumenti necessari per affrontare un fenomeno complesso come quello dei deepfake.

È fondamentale che autorità, imprese tecnologiche e forze dell'ordine collaborino per sviluppare soluzioni tecniche, regolamentari ed etiche capaci di prevenire gli abusi e garantire una tutela effettiva dei diritti delle persone. 

Autrice: Lara Mastrangelo

 

Gaming and Gambling

Disallineamenti VoP nel Gioco Online: Cosa Devono Sapere gli Operatori

I disallineamenti del sistema di Verifica del Beneficiario ("VoP") nel gioco online possono bloccare i pagamenti ai sensi del Regolamento (UE) 2024/886 ("Regolamento sui Pagamenti Istantanei").

A partire dal 9 ottobre 2025, il Regolamento sui Pagamenti Istantanei richiederà a tutti i prestatori di servizi di pagamento ("PSP") di utilizzare il sistema VoP.

Ciò significa che, prima di qualsiasi trasferimento – inclusi depositi e prelievi di gioco – il nome e l’IBAN del beneficiario dovranno essere verificati come corrispondenti al reale titolare del conto.

Per l’industria del gioco d’azzardo, questo introduce una nuova sfida operativa: i disallineamenti VoP nel gioco online. Infatti, anche una piccola discrepanza, come l’assenza di un secondo nome o un errore di battitura, può ritardare o bloccare un pagamento. Per gli operatori di gioco a distanza, tali disallineamenti rappresentano non solo ostacoli tecnici, ma anche rischi di conformità e reputazionali che devono essere gestiti con attenzione.

Comprendere i Disallineamenti VoP nel Gioco Online

Un disallineamento VoP si verifica quando il prestatore di servizi di pagamento rileva che il nome e l’IBAN inseriti dal soggetto che effettua il pagamento non corrispondono esattamente ai dati del beneficiario detenuti dalla banca.

In base al Regolamento sui Pagamenti Istantanei, tutti i PSP – incluse banche, istituti di pagamento e istituti di moneta elettronica – devono effettuare questa verifica sia per i trasferimenti istantanei sia per quelli standard.

Impatto sugli Operatori di Gioco

• Prelievi bloccati: i trasferimenti verso i giocatori possono essere ritardati o rifiutati.
• Aumento delle contestazioni: i giocatori potrebbero reclamare vincite non ricevute.
• Stress operativo: verifiche manuali e follow-up rallentano l’elaborazione dei pagamenti.
• Questioni di responsabilità: se un operatore autorizza un pagamento dopo un avviso VoP, può essere ritenuto responsabile per eventuali perdite.

In sintesi, i disallineamenti VoP nel gioco online impongono agli operatori di adattare i propri sistemi tecnici e le procedure interne per rimanere conformi ed efficienti.

Rischi AML e KYC Dietro i Disallineamenti VoP

Sebbene la regola VoP sia orientata alla prevenzione delle frodi, essa si interseca anche con gli obblighi in materia di antiriciclaggio ("AML") e conoscenza del cliente ("KYC").

Le autorità di vigilanza considerano i pagamenti verso conti di terzi o beneficiari non corrispondenti come indicatori di anomalia, potenziali segnali di uso improprio dell’identità o tentativi di riciclaggio di denaro.

Buone Pratiche per Allineare i Controlli AML e VoP

• Applicare la regola del pagamento 1:1: le vincite devono essere inviate solo su conti intestati allo stesso giocatore verificato.
• Documentare le eccezioni: se si consente un trasferimento verso un altro conto, l’operatore deve verificare il rapporto e assicurarsi che non vi siano segnali d’allarme.
• Monitorare costantemente: l’individuazione di disallineamenti ricorrenti può aiutare a rilevare takeover di account o uso di prestanomi.
• Analizzare congiuntamente gli avvisi VoP: i team di compliance e pagamenti dovrebbero esaminare insieme le discrepanze per determinare se siano operative o sospette.

Ignorare i disallineamenti VoP nel gioco online può comportare violazioni AML, esposizione a controversie contrattuali e danni reputazionali, soprattutto nelle giurisdizioni ad alto rischio.

Prepararsi al Regolamento sui Pagamenti Istantanei

Sebbene l’implementazione tecnica del VoP sia responsabilità dei PSP, gli operatori di gioco online devono assicurarsi che i propri sistemi e framework di conformità siano allineati al nuovo regime.

Passaggi Operativi per gli Operatori

• Integrare gli avvisi VoP nei sistemi di pagamento per segnalare automaticamente le discrepanze.
• Aggiornare i contratti con i PSP per chiarire ruoli e responsabilità in caso di transazioni disallineate.
• Verificare l’accuratezza dei dati dei giocatori in fase di registrazione e nei controlli KYC periodici.
• Testare i flussi interni tramite simulazioni prima della scadenza di ottobre 2025.
• Formare i team operativi per distinguere tra disallineamenti innocui e attività sospette.

Così facendo, gli operatori potranno ridurre l’impatto operativo dei disallineamenti VoP nel gioco online e rafforzare il proprio livello di conformità.

Trasformare la Conformità in un Vantaggio Competitivo

L’introduzione del sistema di VoP non deve essere vista solo come un onere normativo. Infatti, gestita strategicamente, può migliorare la trasparenza dei pagamenti, ridurre le frodi e aumentare la fiducia dei giocatori.

Gli operatori che affrontano proattivamente i disallineamenti VoP nel gioco online si distingueranno per affidabilità e impegno nella tutela dei fondi dei giocatori. In un settore sempre più definito da fiducia e conformità, l’adattamento anticipato si tradurrà in operazioni più fluide e reputazione più solida.

Conclusione

Il Regolamento sui Pagamenti Istantanei ridefinisce il modo in cui i pagamenti vengono verificati in tutta Europa. Per il settore del gioco d’azzardo, i disallineamenti VoP rappresentano una sfida inevitabile - ma anche un’opportunità per rafforzare i controlli AML e modernizzare i sistemi interni.

Collaborando con i PSP, migliorando l’accuratezza dei dati e formando il personale alla gestione degli avvisi di verifica, gli operatori di gioco remoto potranno garantire la conformità, mantenere pagamenti fluidi e rafforzare la fiducia dei giocatori.

Autore: Vincenzo Giuffrè

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A .) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.