Abstract_Lights_P_0152

23 aprile 202517 minuti di lettura

Innovation Law Insights

23 aprile 2025
Podcast

NIS 2 – Il conto alla rovescia per la conformità in Italia è ufficialmente iniziato

La conformità NIS in Italia non è più facoltativa: con le notifiche formali inviate dall’Autorità per la sicurezza informatica nazionale (ACN) alle entità interessate, è ufficialmente iniziata la corsa per adempiere agli obblighi normativi in materia di sicurezza informatica.

Ascolta l’episodio del podcast dedicato all’argomento QUI.

Legal Leaders Insights | Dario Evangelista, Vice consigliere generale presso Betsson nel settore del gioco d’azzardo

In questa puntata di Legal Leaders Insights, Giulio Coraggio dà il benvenuto a Dario Evangelista, General Counsel di Betsson Group, per esplorare come i team legali possono guidare l’innovazione rimanendo conformi nel mondo in rapida evoluzione dell’iGaming.

Puoi ascoltare l’episodio QUI.

 

Artificial Intelligence

Sfide legali dell'AI, Deepfake e il NO FAKES Act

I deepfake generati dall'AI determinano significative sfide legali in materia di diritti della personalità e autenticità dei contenuti nell'industria creativa. L'industria deve quindi bilanciare l'innovazione tecnologica e la tutela dei diritti della personalità.

Il quadro giuridico in USA: il NO FAKES Act

Dopo essere stato introdotto per la prima volta nel 2023 e poi ripresentato nel 2024 senza riuscire a superare l’iter parlamentare, il disegno di legge federale NO FAKES Act – acronimo di Nurture Originals, Foster Art, and Keep Entertainment Safe – è tornato al centro del dibattito legislativo statunitense. Promosso in forma bipartisan, il provvedimento mira a istituire una disciplina uniforme per tutelare il diritto all’immagine e alla voce dei singoli individui a fronte dell’avanzata delle tecnologie di AI generativa.

La nuova versione del disegno di legge, frutto di mesi di trattative con stakeholder dei settori tech e media, si propone di arginare l’uso non autorizzato di deepfake e repliche digitali, ponendo rimedio a un panorama attualmente frammentato a livello statale, atteso che l'immagine di una persona e i diritti della personalità sono tendenzialmente disciplinati da leggi statali, mentre manca una tutela uniforme a livello federale. Il NO FAKES Act, se approvato, introdurrebbe un diritto d’azione privato a livello federale e definirebbe regole più chiare per la rimozione dei contenuti illeciti.

I punti chiave del NO FAKES Act

L'ultima versione introduce tutele giuridiche essenziali e meccanismi di enforcement:

  • Obblighi per i servizi online: Le piattaforme non saranno ritenute responsabili per l’hosting di repliche digitali illecite se rimuovono tempestivamente il contenuto a seguito di segnalazione e ne informano l’autore del caricamento. Tuttavia, sono escluse da queste protezioni le piattaforme “progettate o promosse” appositamente per creare deepfake.
  • Poteri di indagine per i titolari dei diritti: Sarà possibile ottenere, tramite provvedimento giudiziario, le informazioni identificative di utenti anonimi che abbiano caricato contenuti in violazione del diritto all’immagine.
  • Safe harbor con condizioni più stringenti: I provider potranno beneficiare di esenzioni da responsabilità solo se implementano meccanismi efficaci per rimuovere contenuti illeciti e sospendere utenti recidivi.
  • Tecnologie di fingerprinting: Le piattaforme dovranno adottare strumenti di identificazione digitale (come hash crittografici) per impedire la ri-pubblicazione di contenuti già segnalati e rimossi.
  • Definizione estesa di “servizio online”: Il campo di applicazione si allarga a motori di ricerca, reti pubblicitarie, marketplace e servizi di cloud, a patto che registrino un agente presso l’Ufficio del Copyright.
  • Sistema sanzionatorio graduato: Sono previste sanzioni da 5.000 dollari per singola violazione, fino a 750.000 dollari per contenuto, nei confronti delle piattaforme che non dimostrano sforzi di buona fede nel rispettare la normativa.
  • Nessun obbligo di monitoraggio proattivo: In linea con il DMCA, le piattaforme non avranno l’obbligo di monitorare attivamente i contenuti, ma dovranno agire prontamente in seguito a una segnalazione valida per mantenere le protezioni previste.

Rispetto alle versioni precedenti, la riformulazione del NO FAKES Act ha guadagnato l’appoggio di attori chiave tra cui aziende tech e operatori dell’industria dell’intrattenimento, come le major discografiche e la Recording Industry Association. Tuttavia, il disegno di legge continua a suscitare preoccupazioni da parte di gruppi a tutela delle libertà civili, che temono effetti eccessivamente restrittivi sulla libertà di espressione.

La risposta dell'Italia: la posizione dell'ANAD sui Deepfake AI

La riproposizione del NO FAKES Act si inserisce in un contesto più ampio e delicato, specialmente in un settore in cui il dibattito è più acceso che mai. A destare preoccupazione è, ad esempio, l’uso di software per la clonazione e la manipolazione vocale. Ad esempio, uno di essi è stato recentemente impiegato nel film The Brutalist per perfezionare la pronuncia ungherese dei due attori principali, manipolandone la voce.

Nello specifico, di recente l’ANAD – Associazione Nazionale Attori Doppiatori ha contestato l'uso di tecnologie capaci di campionare le voci di attori e doppiatori, quando ciò non sia fatto previo loro consenso e nel rispetto di regole precise e condivise. In particolare, è stata sottolineata la necessità di riconoscere la voce come dato biometrico, equiparabile a un’impronta digitale, per garantirne una tutela il più ampia possibile.

In Italia, l'industria del doppiaggio è da sempre molto sviluppata ed è infatti una delle prime che si è mossa anche sotto il profilo normativo. Infatti, in occasione della stesura del nuovo contratto collettivo nazionale, nel giugno 2024, è stata inserita nel una clausola volta a disciplinare gli usi – leciti o meno – delle voci degli attori da parte di sistemi di AI.

Come l'AI Act disciplina i deepfake

L'AI Act definisce un “deepfake” all'articolo 3 (60), come “un'immagine o un contenuto audio o video generato o manipolato dall'IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona;”. L'articolo 50 dell'AI Act introduce obblighi di trasparenza

  • per i Provider: i soggetti che sviluppano sistemi di IA in grado di generare contenuti sintetici (come immagini, audio o video) devono garantire che i risultati siano chiaramente contrassegnati come generati o manipolati artificialmente. Ciò comporta l'integrazione di soluzioni tecniche come filigrane, metadati o marcatori crittografici per indicare la natura artificiale del contenuto;

e

  • per i Deployer: le organizzazioni o gli individui che utilizzano tali sistemi di IA in contesti professionali sono tenuti a rivelare che il contenuto è stato generato o manipolato artificialmente. Tale indicazione deve essere chiara e fornita al più tardi al momento della prima interazione o esposizione al contenuto

Esistono eccezioni a questo obbligo di trasparenza che si applicano, tra l'altro, ai

  • contenuti artistici o satirici: se il contenuto generato dall'IA è evidentemente parte di un'opera artistica, creativa, satirica o di fantasia, l'indicazione può essere fornita in modo tale da non ostacolare il godimento o la presentazione dell'opera; 

e

  • uso da parte delle forze dell'ordine: i sistemi di IA autorizzati dalla legge per scopi quali l'individuazione o la prevenzione di reati possono essere esentati da determinati requisiti di trasparenza.

Sebbene i deepfake siano generalmente classificati come sistemi di IA a “rischio limitato”, la loro classificazione può passare a “alto rischio” se utilizzati in contesti che hanno un impatto significativo sui diritti delle persone o sulla società, come la manipolazione politica o la diffamazione. La classificazione ad alto rischio comporta requisiti normativi più stringenti ai sensi dell'AI Act.

Bilanciare tutele legali e innovazione

In un’epoca in cui volto e voce – soprattutto se appartenenti a personaggi noti – stanno diventando veri e propri asset digitali di grande valore economico, la loro replica attraverso l’intelligenza artificiale tocca nervi scoperti e coinvolge ambiti giuridici eterogenei: dalla privacy ai diritti della personalità, dalla diffamazione ai danni economici derivanti da un uso non autorizzato. Sarà quindi cruciale individuare un equilibrio tra creatività, innovazione e tutela dei diritti fondamentali.

Su un argomento simile può essere d'interesse l'articolo "Verso una nuova era di trasparenza: la proposta del Copied Act statunitense per la tutela dei contenuti generati dall’intelligenza artificiale (AI)"

Autrice: Lara Mastrangelo

 

Data Protection & Cybersecurity  

Al via la seconda fase di attuazione NIS 2: le tre determinazioni ACN in sintesi

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato sul proprio portale tre determinazioni di particolare rilievo per l’attuazione del Decreto Legislativo 4 settembre 2024, n. 138, di recepimento della Direttiva (UE) 2022/2555 (NIS 2). Questi provvedimenti segnano l’avvio della seconda fase attuativa di NIS 2 in Italia.

Nel presente contributo si illustrano i principali contenuti delle tre determinazioni, con l’obiettivo di fornire una sintesi utile all’adeguamento normativo e operativo dei soggetti coinvolti.

  1. Determinazione ACN n. 136117

La determinazione – già in vigore dal 15 aprile – aggiorna e sostituisce la precedente determinazione ACN n. 38565 del 26 novembre 2024 relativamente all’utilizzo del Portale ACN e dei Servizi NIS. Si riprendono dunque i temi relativi al censimento, alla registrazione e all’aggiornamento annuale delle informazioni, nonché alla designazione dei rappresentanti nell'Unione, introducendo però anche nuovi elementi e ruoli tra cui:

  • il “sostituto punto di contatto”, ovvero la persona fisica distinta dal punto di contatto, designata con le medesime modalità e funzioni del punto di contatto, ad eccezione della possibilità di registrare il soggetto NIS;
  • la “segreteria”, ovvero la persona fisica che supporta il punto di contatto e il sostituto punto di contatto nelle interlocuzioni con l’ACN;
  • l'“operatore”, ovvero la persona fisica che supporta il punto di contatto e il sostituto punto di contatto operando direttamente sui servizi NIS.

Nello specifico, al punto di contatto è ora data la facoltà di invitare ulteriori utenti con il ruolo di operatore e – al massimo – un utente con il ruolo di segreteria, che potranno effettuare determinate operazioni sul Portale ACN su indicazione del punto di contatto.

La determinazione introduce. Inoltre, indicazioni dettagliate sull’aggiornamento annuale delle informazioni previste dall’articolo 7, commi 4 e 5, già segnalato ai soggetti NIS tramite comunicazione ACN nei giorni scorsi. La determinazione n. 136117 sarà ulteriormente aggiornata entro il 30 giugno 2025.

  1. Determinazione ACN n. 136118

La determinazione – già in vigore dal 15 aprile – stabilisce le modalità con cui i soggetti NIS devono notificare all’ACN la partecipazione ad accordi volontari per la condivisione delle informazioni sulla sicurezza informatica, ai sensi dell’articolo 17 del Decreto NIS.

In particolare, è previsto che i soggetti NIS trasmettano all'ACN, tramite l’apposita piattaforma digitale, una comunicazione contenente il testo integrale dell’accordo, la sua denominazione ufficiale e l’elenco dettagliato dei partecipanti coinvolti. L’aggiornamento annuale obbligatorio delle informazioni comunicate si inserisce nel più ampio processo di aggiornamento previsto dall’articolo 7, comma 4, del decreto NIS, da effettuarsi ogni anno nel periodo compreso tra il 15 aprile e il 31 maggio.

Ogni variazione agli accordi precedentemente notificati deve essere tempestivamente comunicata all'ACN entro 14 giorni dalla modifica stessa. Infine, entro il 31 maggio 2026, i soggetti NIS devono notificare gli accordi già attivi e stipulati prima dell’entrata in vigore del Decreto NIS.

  1. Determinazione ACN n. 164179 ed allegati

La determinazione – che entrerà in vigore a decorrere dal 30 aprile – definisce le specifiche tecniche minime richieste per adempiere agli obblighi di sicurezza informatica e di notifica degli incidenti significativi previsti dagli articoli 23, 24, 25, 29 e 32 del Decreto NIS.

Vengono introdotte specifiche tecniche dettagliate, contenute in quattro allegati:

  • Allegati 1 e 2: illustrano le misure minime di sicurezza obbligatorie rispettivamente per i soggetti importanti e per quelli essenziali, con riferimento ai requisiti specifici di gestione dei rischi per la sicurezza informatica; per i soggetti importanti, si tratta di implementare 37 misure, declinate in 87 requisiti, mentre i soggetti essenziali dovranno adottare ulteriori 6 misure e 29 requisiti per un totale di 43 misure e 116 requisiti.
  • Allegati 3 e 4: descrivono le tipologie di incidenti significativi che dovranno essere notificati all’ACN. Per i soggetti importanti sono individuate tre categorie di incidenti, mentre i soggetti essenziali sono tenuti a monitorare e notificare la ricorrenza di quattro fattispecie distinte di incidente.

L’adozione di queste misure minime di sicurezza deve avvenire entro 18 mesi dalla ricezione della comunicazione ufficiale di inserimento nell’elenco NIS. Parallelamente, l’obbligo di notifica degli incidenti entrerà in vigore dopo 9 mesi dalla medesima comunicazione, con piena operatività prevista da gennaio 2026.

Sono previsti inoltre obblighi specifici per garantire la sicurezza e resilienza dei sistemi di nomi di dominio (DNS), ai sensi dell’articolo 29 del Decreto NIS, nonché chiarimenti sugli obblighi di notifica per i soggetti rientranti nel perimetro nazionale di sicurezza cibernetica.

Infine, la determinazione definisce un regime transitorio dedicato agli operatori dei servizi essenziali (OSE) ai sensi del Decreto Legislativo 18 maggio 2018, n. 65 (con il quale si recepiva la prima direttiva NIS) e agli operatori TELCO.

Conclusioni

Con la pubblicazione delle determinazioni si avvia formalmente la seconda fase esecutiva dell’attuazione della disciplina NIS 2. I soggetti rientranti nell’ambito di applicazione del decreto dovranno predisporre tempestivamente le misure necessarie all’adeguamento, nel rispetto delle tempistiche fissate.

Per un approfondimento sulla applicazione di NIS 2 può essere di interesse l'articolo "Il meccanismo dello sportello unico nella Direttiva NIS 2: guida per le imprese all’ identificazione dello stabilimento principale".

Autore: Gabriele Cattaneo

 

Intellectual Property

UPC e long-arm jurisdiction: la Divisione locale di Parigi sulla scia di BSH v. Electrolux

Il 21 marzo scorso, nell'ambito di un procedimento che vede contrapposte due società produttrici di dispositivi di sicurezza, la Divisione locale di Parigi dell'UPC ha emesso una interessante decisione in materia di giurisdizione.

Da un lato, i Giudici hanno riaffermato il principio sancito di recente dalla Corte di Giustizia nel caso BSH v. Electrolux e, ancora prima, dalla Divisione locale di Düsseldorf (di cui abbiamo scritto rispettivamente qui e qui), secondo cui l'UPC può estendere la propria giurisdizione anche alla contraffazione di porzioni di brevetti europei validati in Paesi che non hanno aderito all'UPCA, quando il convenuto sia domiciliato in uno Stato membro UPC. Dall'altro lato, la Corte sembra avere suggerito l’applicabilità di tale principio anche nei confronti dei convenuti non domiciliati in uno Stato non aderente all'UPCA, aprendo così nuovi scenari interpretativi.

L'azione, promossa inizialmente da una società francese nei confronti di una concorrente domiciliata in Francia e della sua filiale svizzera e, successivamente, ritirata nei confronti di quest'ultima, verteva sull'asserita contraffazione di un brevetto europeo con effetto unitario validato anche in Spagna, Regno Unito e Svizzera. In virtù di ciò, la convenuta aveva sollevato un'eccezione di giurisdizione, chiedendo alla Corte di dichiarare la carenza di giurisdizione a pronunciarsi sulla contraffazione delle porzioni del brevetto valide in Stati non aderenti all'UPCA, indipendentemente dalla proposizione di una domanda riconvenzionale di nullità.

La Divisione locale di Parigi, applicando i principi recentemente sanciti dalla CGUE nella decisione BSH v. Electrolux, ha rigettato l'eccezione, affermando la propria competenza a giudicare sulla contraffazione delle porzioni valide nei Paesi non aderenti all'UPCA rispetto agli commessi dalla convenuta domiciliata in Francia. Non solo: con riferimento alla porzione svizzera del titolo, la Corte ha affermato la propria competenza anche rispetto alla convenuta svizzera, ancorché domiciliata in uno Stato extra-UE, muovendo dal presupposto che la Convenzione di Lugano, espressamente richiamata dall'art. 31 UPCA e di cui la Svizzera è contraente, costituisce un fondamento normativo equiparabile al Regolamento Bruxelles I bis.

Se confermata, questa interpretazione contribuirebbe ad estendere la giurisdizione dell'UPC alla contraffazione di porzioni di brevetti europei validi in Stati non aderenti all'UPCA, anche nei confronti di convenuti che non siano domiciliati in uno Stato membro UPC.

Su un argomento simile può essere d'interesse l'articolo: "UPC e long arm jurisdiction: la decisione della Corte di Giustizia dell’Unione europea nel caso BSH v Electrolux".

Autore: Massimiliano Tiberio

 

Technology Media and Telecommunication

Avviato dall'AGCom il procedimento per l’aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili

Lo scorso 1° aprile, l'AGCom ha pubblicato la Delibera 12/25/CIR, con cui ha avviato un procedimento volto ad aggiornare l’attuale quadro regolamentare in materia di portabilità dei numeri mobili.

L'iniziativa di aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili si pone nel contesto dell'attuazione dell'articolo 98-duodecies, comma 1-bis del Codice delle Comunicazioni Elettroniche (d. lgs. n. 259/2003 e ss. mm. – CCE). Il comma 1-bis è stato introdotto dalla Legge n. 214/2023 (Legge annuale per il mercato e la concorrenza 2022) e successivamente modificato dalla Legge n. 193/2024 (Legge annuale per il mercato e la concorrenza 2023).

L'art. 98-duodecies, co. 1-bis (primo periodo) del CCE, anzitutto, pone il divieto per i fornitori di reti o servizi di comunicazione elettronica di utilizzare le informazioni ottenute tramite il database per la portabilità dei numeri mobili o quelle raccolte per esigenze strettamente operative, al fine di proporre offerte agli utenti finali che prevedano condizioni di accesso o di utilizzo delle reti o dei servizi – comprese quelle tecnico-economiche – differenti a seconda del fornitore di rete o servizio di provenienza.

Il comma 1-bis, inoltre, assegna all'AGCom il compito di aggiornare il regolamento approvato con Delibera 147/11/CIR (che disciplina le procedure di portabilità dei numeri mobili) prevedendo modalità di monitoraggio e vigilanza che garantiscano un utilizzo del database per la portabilità dei numeri mobili conformemente a quanto previsto dal primo periodo del comma 1-bis sopra citato.

La Delibera 147/11/CIR, come integrata dalla Delibera 86/21/CIR, disciplina principalmente le modalità tecniche e operative attraverso cui gli utenti possono mantenere il proprio numero telefonico in caso di cambio dell’operatore. La Delibera 86/21/CIR ha apportato modifiche e integrazioni alla procedura di portabilità del numero prevista dalla delibera 147/11/CIR, nonché introdotto misure finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM (c.d. SIM swap).

I soggetti interessati possono trasmettere le proprie osservazioni in relazione al procedimento per l’aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili entro il 30 aprile 2025.

Il termine per la conclusione del procedimento è fissato per il 30 luglio 2025 (fatte salve eventuali sospensioni).

Su un simile argomento può essere interessante l’articolo “L’AGCom approva il Regolamento recante disposizioni a tutela degli utenti finali in materia di contratti relativi alla fornitura di servizi di comunicazioni elettroniche”.

Autori: Flaminia Perna, Matilde Losa

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo BardelliCarolina BattistellaCarlotta Busani, Noemi CanovaGabriele CattaneoMaria Rita CormaciCamila CrisciCristina CriscuoliTamara D’AngeliChiara D’OnofrioFederico Maria Di VizioNadia FeolaLaura GastaldiVincenzo GiuffréNicola LandolfiGiacomo LusardiValentina MazzaLara MastrangeloMaria Chiara MeneghettiDeborah ParacchiniMaria Vittoria PessinaTommaso RicciRebecca RossiRoxana SmeriaMassimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena VareseAlessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

 

Competenze correlate

Intellectual Property