Innovation Law Insights

DLA Piper AI Journal – Diritto Intelligente

Un sincero ringraziamento ai nostri clienti e al nostro team per aver affrontato insieme un anno in cui l’AI è passata da essere una sfida “sperimentale” a essere una sfida centrale, sia da un punto di vista normativo sia come business. Il nostro regalo di Natale è il numero di dicembre di Diritto Intelligente, la rivista di diritto dell’AI del team di Intellectual property and Technology di DLA Piper in Italia: un’analisi chiara e concreta sulla fase di addestramento dell’AI e il legittimo interesse, la semplificazione digitale europea, la gestione dei rischi dell’AI e casi reali in cui il diritto incontra la realtà.

Pensatelo come una lettura delle festività per chi ama il GDPR, l’AI Act e i framework di governance - prima di una breve pausa e di un 2026 che speriamo sia più semplice e più saggio. Trovi il numero QUI.

 

Legal Break

Governance dell’IA – AI Act dell’UE, privacy e innovazione con Oliver Patel di AstraZeneca

Questo episodio di Legal Leaders Insights di Diritto al Digitale esplora come l’intelligenza artificiale stia trasformando il settore farmaceutico e delle scienze della vita, aumentando al contempo la complessità normativa e di governance. Giulio Coraggio di DLA Piper e Oliver Patel, Head of Enterprise AI Governance di AstraZeneca, discutono di come la governance dell’IA funzioni nella pratica, dell’interazione tra innovazione dell’IA, privacy e proprietà intellettuale, e dell’impatto concreto dell’AI Act dell’Unione Europea, con un focus su come abilitare un’IA responsabile senza rallentare l’innovazione. Puoi vedere l’episodio QUI.

 

Privacy and Cybersecurity 

ACN chiarisce la nozione di “stabilimento principale” nel Decreto NIS2

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato sul proprio sito la versione aggiornata delle FAQ nn. 2.8, 2.10, 3.1 e 3.15, fornendo importanti chiarimenti interpretativi in merito alla definizione di “stabilimento principale” prevista dall’art. 5 del Decreto legislativo n. 138/2024, attuativo della Direttiva NIS2 (Decreto NIS2).

L’aggiornamento assume particolare rilevanza per i soggetti operanti in ambito digitale e tecnologico, poiché incide direttamente sull’individuazione della giurisdizione nazionale competente.

Quadro normativo

L’art. 5, comma 1, lett. a) del Decreto NIS2 stabilisce, come regola generale, che sono soggette alla giurisdizione italiana le società esercenti una delle attività rilevanti aventi sede legale in Italia. La successiva lett. b) del medesimo comma introduce tuttavia una disciplina specifica per alcune categorie di soggetti (ad esempio, i fornitori di servizi di cloud computing e i fornitori di servizi gestiti) per i quali la giurisdizione deve essere determinata facendo riferimento al concetto di stabilimento principale.

In particolare, ai sensi del art. 5, comma 2, del Decreto NIS2, per stabilimento principale nell’Unione europea si intende:

• lo Stato membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica;
• qualora non sia possibile individuare tale Stato membro o qualora le decisioni non siano adottate nell’Unione, lo Stato membro in cui sono effettuate le operazioni di sicurezza informatica;
• ove neppure tale criterio sia applicabile, lo Stato membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell’Unione europea.

L’interpretazione di ACN

Con l’ultimo aggiornamento delle FAQ, ACN ha chiarito, sull'assunto che il Decreto NIS2 si applichi alla singola persona giuridica, che lo stabilimento principale deve essere individuato esclusivamente tra le sedi della medesima persona giuridica, senza che assumano rilievo le imprese a questa collegate o le relative sedi.

Seguendo tale interpretazione, dunque, una società priva di una sede operativa, anche secondaria, in Italia, non potrà essere soggetta alla giurisdizione italiana, anche nel caso in cui l’Italia possa astrattamente qualificarsi come stabilimento principale, ad esempio perché ivi sono adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica da parte della società controllante. Il criterio dello stabilimento principale, infatti, può operare solo nell’ipotesi in cui la società disponga di una pluralità di sedi in diversi Stati membri o di branch prive di autonomia giuridica, e una di queste soddisfi i requisiti di cui all'art. 5, comma 2, del Decreto NIS2. Diversamente, nel caso di società collegate prive di una sede in Italia, seguendo tale interpretazione, queste non potranno essere assoggettate alla giurisdizione italiana ai fini dell’applicazione del Decreto NIS2.

Conclusioni

L’aggiornamento delle FAQ chiarisce l’orientamento interpretativo adottato da ACN in relazione alla nozione di stabilimento principale ai fini dell’applicazione del Decreto NIS2, precisando che la valutazione deve essere effettuata con riferimento alla singola persona giuridica.

Autore: Federico Toscani

 

Intellectual Property

La nuova Common Practice EUIPO sulla distintività degli slogan

Nel mese di novembre, l'EUIPO ha adottato la prassi CP17 sulla distintività degli slogan. Il documento nasce da un lavoro congiunto tra uffici e associazioni e si propone di offrire criteri condivisi e prevedibili per valutare quando uno slogan possa svolgere, oltre alla funzione promozionale, anche quella essenziale di indicatore di origine commerciale.

Gli slogan rappresentano da sempre una categoria particolare di segni: frasi brevi, facilmente memorizzabili, spesso cariche di messaggi pubblicitari, emotivi o valoriali. Proprio per questa loro natura ibrida, collocata tra comunicazione commerciale e segno distintivo, la loro registrabilità come marchio ha generato nel tempo un contenzioso significativo e decisioni non sempre perfettamente allineate tra i diversi uffici. La Common Practice CP17 interviene in questo contesto, senza modificare il quadro normativo di riferimento – fondato sull’articolo 7, paragrafo 1, lettera b) del Regolamento sul marchio dell’Unione europea e sull’articolo 4 della Direttiva marchi – ma chiarendo come tali norme debbano essere applicate agli slogan.

Infatti, come noto, i criteri alla base della registrazione degli slogan come marchi sono alquanto severi. Infatti, benché la Corte di Giustizia (causa C-398/08) abbia stabilito che tutti i segni devono essere valutati alla luce degli stessi principi, nella pratica può risultare più difficile per uno slogan essere percepito immediatamente come marchio. Il punto centrale resta sempre la capacità del segno di distinguere i prodotti o servizi di un’impresa da quelli di altre imprese, tenendo conto sia dei prodotti o servizi rivendicati sia della percezione del pubblico di riferimento.

La Common Practice chiarisce inoltre che non esiste una definizione normativa di “slogan”, ma che il concetto si è formato attraverso la giurisprudenza. Gli slogan possono avere una funzione promozionale molto marcata e, allo stesso tempo, essere idonei a indicare l’origine commerciale. Per essere registrabile, tuttavia, uno slogan deve presentare almeno un minimo di originalità o risonanza tale da richiedere al pubblico uno sforzo interpretativo, oppure da innescare un processo cognitivo, anche leggero. Non è necessario che lo slogan sia particolarmente fantasioso o sorprendente, ma deve andare oltre il mero messaggio elogiativo, descrittivo o motivazionale.

In quest’ottica, la prassi individua una serie di fattori, non esaustivi, che possono orientare la valutazione della distintività. Tra questi figurano, ad esempio, la presenza di più significati, il gioco di parole, l’introduzione di elementi di sorpresa o di intrigante ambiguità concettuale, un certo grado di originalità o risonanza, nonché l’uso di strutture sintattiche o espedienti linguistici non usuali. È importante sottolineare che nessuno di questi elementi è di per sé decisivo: la valutazione deve essere complessiva e caso per caso. Uno slogan può risultare distintivo anche se soddisfa uno solo di questi criteri, così come può risultare privo di distintività nonostante la presenza di uno di essi.

Un altro aspetto rilevante riguarda ciò che, invece, non rientra nell’ambito della Common Practice. La prassi si concentra esclusivamente sugli slogan come marchi denominativi e sull’esame della distintività intrinseca, lasciando fuori, ad esempio, le questioni relative alla distintività acquisita attraverso l’uso, agli altri motivi assoluti di rifiuto o agli aspetti procedurali propri dei singoli uffici. Questo approccio mirato consente di mantenere il documento chiaro e operativo, senza sovrapporsi ad ambiti già disciplinati altrove.

Particolarmente utile da un punto di vista pratico è l’ampia sezione dedicata agli esempi. Attraverso casi concreti, molti dei quali tratti dalla giurisprudenza dell’Unione, la prassi mostra come slogan percepiti come semplici inviti, affermazioni di valore o messaggi motivazionali vengano considerati privi di distintività, perché il pubblico li coglie solo come pubblicità. Al contrario, slogan che suscitano una riflessione, pongono una sorta di “enigma” semantico o utilizzano un linguaggio inatteso possono essere percepiti come veri e propri indicatori di origine e, quindi, ammessi alla registrazione.

Per i titolari di marchi e i consulenti in materia, la pubblicazione dell'EUIPO rappresenta uno strumento utile per valutare in modo più consapevole le possibilità di registrazione di uno slogan e per orientare le scelte creative fin dalle prime fasi. Per gli uffici, la prassi contribuisce a una maggiore coerenza decisionale e a una prevedibilità che rafforza la certezza del diritto nel mercato interno.

In un contesto economico in cui la comunicazione assume un ruolo sempre più strategico, la chiarezza sui confini tra slogan pubblicitario e marchio distintivo è fondamentale. La CP17 si inserisce proprio in questo spazio, ricordando che non ogni frase efficace dal punto di vista del marketing è anche, automaticamente, un marchio registrabile, ma che con il giusto equilibrio tra messaggio e originalità lo slogan può diventare un vero segno distintivo riconosciuto e tutelato a livello europeo.

Autrice: Noemi Canova

 

Technology Media and Communication

AGCom: nuove misure attuative anti-spoofing riguardanti le chiamate con CLI di rete mobile

Con Delibera n. 271/25/CONS, pubblicata il 19 novembre scorso, l'AGCom ha adottato una serie di disposizioni attuative delle misure di cui alla Delibera n. 106/25/CONS, finalizzate al contrasto del fenomeno del c.d. spoofing, ossia la pratica consistente nella manipolazione e nell'alterazione dell’informazione relativa all’identità del chiamante ("Calling Line Identity" o "CLI"), che impedisce l’identificazione e la richiamabilità del soggetto originatore di una chiamata telefonica.

La Delibera in commento integra la Delibera n. 106/25/CONS, con la quale l’Autorità, lo scorso giugno, ha introdotto il "Regolamento recante disposizioni a tutela degli utenti finali in materia di trasparenza nell'offerta di servizi di comunicazioni elettroniche e nella presentazione del numero chiamante (CLI)", prevedendo, tra l'altro, misure tecniche per il blocco delle chiamate provenienti dall’estero con numero telefonico (CLI) alterato.

La Delibera 106/25/CONS ha, inoltre, istituito un tavolo tecnico finalizzato ad analizzare la fattibilità di misure per il blocco delle chiamate da numeri fissi e mobili non in uso agli utenti finali, nell'ambito del quale gli operatori hanno rappresentato la necessità di ricevere chiarimenti da parte dell'AGCom circa la gestione di talune specifiche casistiche relative alle chiamate provenienti dall’estero, non espressamente disciplinate dalla delibera, tra cui:

1. chiamate internazionali provenienti da numerazioni per servizi mobili e personali di tipo specializzato (come servizi mobili satellitari);
2. chiamate internazionali provenienti da numerazioni utilizzate per servizi di comunicazione da macchina a macchina, c.d. machine-to-machine o M2M;

• le chiamate internazionali provenienti da numeri mobili corrispondenti ad operatori che non hanno implementato le c.d. API (Application Program Interface, ossia interfacce informatiche che consentono lo scambio automatizzato di messaggi) di cui alla Delibera n. 106/25/CONS, necessarie per verificare se l'utente chiamante si trovi effettivamente in roaming internazionale.

Per rispondere a tali esigenze applicative, la Delibera n. 271/25/CONS definisce le modalità attuative delle misure di blocco delle chiamate di spoofing per i casi di cui sopra, che non sono esplicitamente contemplati dalla Delibera n. 106/25/CONS. Tra le misure previste dalla Delibera 271/25/CONS si trovano le seguenti:

1. l'estensione degli obblighi introdotti dalla Delibera n. 106/25/CONS anche ai fornitori di servizi mobili e personali di tipo specializzato e ai servizi di comunicazione da macchina a macchina, c.d. machine-to-machine (M2M) (art. 1);
2. l'introduzione di una procedura per il blocco delle chiamate provenienti dall’estero con CLI di operatori mobili che non hanno implementato le misure previste dalla Delibera n. 106/25/CONS che consentono di verificare se il numero chiamante corrisponda a un utente che si trovi effettivamente in roaming internazionale (art. 2).

Su un simile argomento può essere interessante l’articolo “AGCom adotta il nuovo Regolamento in materia di trasparenza nell’offerta dei servizi di comunicazione elettronica e nella presentazione del numero chiamante”.

Autori: Massimo D'Andrea, Matilde Losa

 

Legal Design

Legal Design Tricks Piccoli segreti per utilizzare il Legal Design nella tua quotidianità  

Trick #12: Come spiegare l'IA?

La nuova legge italiana sull’Intelligenza Artificiale è entrata in vigore: parla di principi, responsabilità e… trasparenza.

Ma cosa significa davvero “trasparenza” nel contesto dell’IA? E come possiamo trasformarla in strumento utile per le persone?

In questo episodio di Legal Design Tricks esploriamo cosa prevedono le norme europee e italiane in materia di IA sulla trasparenza e la spiegabilità, e scopriamo come il legal design può renderle comprensibili e applicabili nella pratica.

1. Cosa prevedono le norme sull’IA in materia di trasparenza

AI Act

Il Regolamento europeo sull’Intelligenza Artificiale (AI Act) introduce obblighi di trasparenza sia per chi fornisce sia per chi utilizza sistemi di IA.

Ad esempio,

• 50: gli utenti devono essere informati in modo chiaro e riconoscibile quando interagiscono con un sistema di IA.
• 13: i sistemi ad alto rischio devono essere progettati per garantire trasparenza e spiegabilità, tracciabilità, documentando logiche, processi decisionali e dataset di riferimento.
• Anche per i sistemi a rischio limitato, l’informazione all’utente resta centrale: sapere che dietro una decisione o un contenuto c’è un algoritmo è un diritto, non un optional.

Legge Italiana n. 132/2025

L’Italia è il primo Paese europeo ad aver adottato una legge nazionale sull’IA. Oltre a recepire i principi dell’AI Act, introduce obblighi specifici di trasparenza, tracciabilità e supervisione umana.

In particolare:

• Le informazioni relative all’uso di sistemi di IA devono essere rese con linguaggio chiaro, semplice e accessibile
• Devono permettere all’utente di comprendere i rischi, la logica del funzionamento e gli effetti delle decisioni automatizzate
• L’utente deve poter chiedere chiarimenti o una revisione umana della decisione,
• Nei contesti sensibili (es. lavoro, sanità, PA), la supervisione umana è obbligatoria.

In altre parole: la trasparenza non è solo “dire che c’è un algoritmo”, ma spiegare come funziona e come incide sulle persone.

2. Explainability: la trasparenza che diventa comprensione

La spiegabilità (explainability) è la dimensione qualitativa della trasparenza: non basta rendere visibile il processo, bisogna renderlo comprensibile.

• Un sistema è trasparente quando comunica che esiste.
• È spiegabile quando permette di capire perché ha prodotto un certo risultato.

Nel diritto, questo significa dare alle persone la possibilità di comprendere:

• la logica che guida una decisione automatizzata;
• gli elementi che l’IA ha considerato nel suo output; e
• i limiti e margini di intervento umano.

L’AI Act, infatti, richiede che i sistemi ad alto rischio forniscano spiegazioni adeguate al contesto, proporzionate al pubblico di riferimento: un giudice, un medico o un utente comune non hanno lo stesso bisogno (né lo stesso linguaggio tecnico).

3. Dal principio alla pratica: le implicazioni per il Legal Design

I principi di trasparenza e spiegabilità aprono un enorme spazio d’azione per il legal design.

Ecco tre leve operative per trasformare un obbligo normativo in un’esperienza per l'utente chiara e di fiducia.

1. a) Informare per creare fiducia

L’obbligo di informare può diventare un’occasione per costruire trasparenza e reputazione.

Le informative sull’IA non devono essere muri di testo: racconta cosa fa, perché lo fa e cosa può (o non può) fare l’utente con icone, schemi o micro-frasi per descrivere funzioni e limiti.

Esempio: “Questo sistema utilizza IA per individuare anomalie nei dati dei dipendenti → l’output è sempre rivisto da un analista umano → puoi chiedere la revisione entro 3 giorni.”

1. b) Comunicare nel momento giusto

L’utente non deve essere sommerso da informazioni tutte in una volta.

Mostra solo ciò che serve, quando serve: tooltip, pop-up o messaggi contestuali possono rendere chiare le azioni dell’IA senza interrompere l’esperienza.

Poco, chiaro, puntuale: è la regola d’oro del legal design per garantire la trasparenza.

1. c) Progettare diritti “navigabili”

Sapere che si ha un diritto non basta: bisogna poterlo esercitare facilmente.

Crea flussi semplici e guidati per richieste di revisione o chiarimenti sull’uso dell’IA.

Esempio: “1. Identifica l’output automatizzato → 2. Vai alla sezione Revisione IA → 3. Compila il form → 4. Ricevi conferma e tracking della richiesta.”

In questo modo, oltre ad essere conforme alla legge, progetti un’esperienza centrata sulle persone.

Lo sapevi?

La normativa italiana riprende il concetto di “trasparenza algoritmica” molteplici volte.
Un segnale chiaro: non basta essere conformi, bisogna essere comprensibili.

Già con il “Decreto Trasparenza” del 2022, l’Italia aveva introdotto nuovi obblighi informativi nei rapporti di lavoro per l’uso di strumenti automatizzati.

Con la Legge Italiana sull'AI, questo principio evolve in un vero e proprio diritto alla trasparenza e alla spiegabilità digitale – due facce della stessa medaglia: conoscere e comprendere.

Hai visto come la legge sull’IA non è solo un insieme di obblighi tecnici? Si tratta invece di un invito a ripensare come comunichiamo il diritto e come rendiamo intelligibili le tecnologie che usiamo ogni giorno.

Il legal design è il ponte tra regole complesse e comprensione concreta. E spiegare l’IA – con chiarezza, linguaggio umano e strumenti visuali – è il primo passo per renderla davvero etica.

Autrice: Deborah Paracchini

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, , Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA)

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A.) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.