29 settembre 2025 • 26 minuti di lettura

Innovation Law Insights

29 settembre 2025

Artificial Intelligence

L'Italia ha la sua legge sull’intelligenza artificiale: approvato il DDL AI

Nella seduta del 17 settembre 2025, il Senato ha approvato in via definitiva il Disegno di Legge n. 1146-B, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”. Il testo, adottato senza ulteriori modifiche rispetto a quello licenziato dalla Camera dei Deputati il 25 giugno 2025, diventa così legge dello Stato e attende ora solo la pubblicazione in Gazzetta Ufficiale per la sua entrata in vigore.

La nuova legge (“Legge sull’AI”), composta da 28 articoli suddivisi in VI Capi, delinea principi fondamentali, ambiti applicativi, strategie nazionali, tutela dei diritti, responsabilità e cooperazione internazionale nel settore dell'intelligenza artificiale (“AI”). Non introduce nuovi obblighi rispetto al Regolamento (UE) 2024/1689 (“AI Act”), bensì previsioni complementari sia sulla base di quanto demandato agli Stati membri dallo stesso AI Act, sia per tenere conto delle specificità del contesto nazionale.

L’approvazione definitiva del Senato ha confermato le modifiche introdotte dalla Camera, che avevano alleggerito alcuni vincoli tecnici e ridefinito i meccanismi di controllo, introducendo al contempo chiarimenti e integrazioni mirate a rafforzare la coerenza con il quadro europeo e ad ampliare le garanzie democratiche e sociali. La conclusione dell’iter legislativo consegna quindi al Paese una prima cornice normativa nazionale sull’intelligenza artificiale: una cornice importante, ma che, come vedremo, resta ancora in gran parte da riempire.

Il contenuto della Legge sull’AI

La Legge sull’AI si ispira ai principi guida dell’AI Act, ossia centralità dei diritti fondamentali, proporzionalità delle regole, tutela della sicurezza e trasparenza, ma se ne discosta nell’impostazione. Mentre il regolamento europeo adotta un approccio trasversale fondato su livelli di rischio applicabili a tutti i settori (con poche eccezioni settoriali, ad esempio con riguardo a taluni sistemi di AI ad alto rischio in ambito finanziario e assicurativo), la normativa italiana si concentra su specifici ambiti ritenuti di particolare rilevanza:

Ambito sanitario: l’art. 7 vieta espressamente l’impiego dei sistemi di AI per selezionare o condizionare l’accesso alle prestazioni sanitarie, impone l’obbligo di informare il paziente sull’utilizzo di tecnologie AI e dispone la misurazione continua delle performance per minimizzare il rischio di errori; al contempo ribadisce che l’intelligenza artificiale deve restare un mero supporto alla prevenzione, diagnosi e cura, lasciando al medico la responsabilità ultima della decisione clinica e l’onere di monitorare e verificare gli output dei sistemi.
Ricerca scientifica: l’art. 8 qualifica come di rilevante interesse pubblico, ai sensi dell’art. 9 co. 2 lett. g) del GDPR, le attività di sviluppo di sistemi di AI nel settore sanitario svolte da soggetti privati senza scopo di lucro o da IRCCS – nonché da soggetti pubblici e privati in partnership con tali enti – consentendo il trattamento di dati personali senza consenso degli interessati. La liceità del trattamento resta però subordinata alla preventiva comunicazione al Garante per la protezione dei dati personali. L’art. 8 consente inoltre, previa informativa agli interessati, il trattamento dei dati personali – anche sensibili – per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione per finalità di ricerca scientifica, anche in ambito sportivo, nel rispetto dei principi generali della legge e dei diritti economici degli organizzatori delle attività agonistiche.
Lavoro: l’art. 11 impone ai datori l’obbligo di informare in modo adeguato i lavoratori circa l’impiego di sistemi di AI. Nel fare ciò, la norma si allinea con le regole già definite dalla normativa italiana sul controllo a distanza dei lavoratori, ma determina un obbligo informativo più ampio rispetto a quello previsto dall’art. 26 co. 7 dell’AI Act, che si applica invece solo ai sistemi di AI ad alto rischio. Inoltre, l’art. 12 prevede l'istituzione di un Osservatorio nazionale incaricato di monitorare gli impatti occupazionali dell’AI, elaborare linee strategiche regolatorie e individuare i settori maggiormente interessati dalla trasformazione digitale.
Professioni intellettuali: l’art. 13 vieta al professionista di affidare integralmente la propria prestazione a un sistema di AI e impone un obbligo informativo chiaro e comprensibile sull’uso della tecnologia. Restano però aperte rilevanti questioni applicative sulla distinzione fra impiego meramente ausiliario e utilizzo prevalente, nonché sulle conseguenze delle violazioni (che stanno già emergendo nella giurisprudenza, ad esempio con una recente sentenza del Tribunale di Torino che ha qualificato come lite temeraria la presentazione di un ricorso infondato formulato con l’uso dell’AI senza controllo e revisione da parte dell’avvocato).
Giustizia e pubblica amministrazione: gli artt. 14 e 15 stabiliscono che l’AI può operare soltanto come strumento di supporto e non può sostituire la valutazione e la decisione dell’operatore umano, mentre contestualmente si promuovono programmi di formazione volti a sviluppare le competenze digitali necessarie per un uso responsabile delle tecnologie.
Diritto d’autore: l’art. 25 estende in modo esplicito la tutela autorale alle opere realizzate con l’ausilio di sistemi di AI, purché siano il risultato del “lavoro intellettuale” dell’autore umano, lasciando tuttavia in sospeso la definizione dei criteri di prevalenza dell’apporto umano su quello del sistema di AI. La norma in questione consente, inoltre, le operazioni di riproduzione ed estrazione (text and data mining) da materiali legittimamente accessibili per finalità di addestramento dei modelli e sistemi di AI, in continuità con le previsioni degli artt. 70-ter e 70-quater della Legge sul Diritto d’Autore.
Diritto processuale e penale: il legislatore assegna al tribunale la competenza esclusiva per le controversie inerenti al funzionamento dei sistemi di AI (modifica all’art. 9 c.p.c.), mentre introduce nel codice penale aggravanti specifiche correlate all’uso di AI nella commissione di reati e disciplina una nuova fattispecie penale volta a sanzionare la diffusione illecita di deepfake.

Quanto alle autorità competenti in materia di AI, l'Italia ha designato:

l'Agenzia per l'Italia digitale (AgID), con il ruolo di autorità di notifica con funzioni di accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di AI; e
l'Agenzia per la cybersicurezza nazionale (ACN), con il ruolo di autorità di vigilanza e, quindi, di far rispettare la normativa in materia di AI e irrogare sanzioni in caso di violazioni, oltre che di autorità guida per l’uso dell’AI per la cybersicurezza.

Nella gestione dell’AI, Banca d'Italia, CONSOB e IVASS mantengono un ruolo di vigilanza settoriale per l'ambito creditizio, finanziario e assicurativo. Restano inoltre salve le competenze del Garante Privacy e quelle di AGCOM come Coordinatore dei Servizi Digitali ai sensi del Digital Services Act. La designazione di AgID e ACN, autorità governative, pare tuttavia trascurare il requisito di indipendenza già segnalato nel parere circostanziato sulla prima bozza del DDL AI formulato dalla Commissione europea nel novembre 2024 (C(2024) 7814). Facendo leva sui requisiti di indipendenza e sull'interrelazione tra AI e protezione dei dati, inclusi i processi decisionali automatizzati, nella primavera del 2024 il Garante Privacy aveva scritto a Parlamento e Governo per indurli a riconsiderare la propria scelta.

Infine, l’art. 19 della Legge sull’AI prevede l’istituzione di un Comitato di Coordinamento, incaricato di affiancare il Governo nell’elaborazione e nell’attuazione della strategia sull’AI, coordinando le iniziative pubbliche e private e garantendo un approccio integrato tra ministeri, enti di ricerca e stakeholder del settore.

Un primato europeo, ma con un quadro non ancora completo

Nonostante l’approvazione definitiva da parte del Senato abbia reso l'Italia il primo Paese europeo ad adottare una legge nazionale in linea con l’AI Act, il quadro normativo complessivo resta tutt’altro che completo. Numerose disposizioni della Legge sull'AI restano infatti sospese, in attesa dell’emanazione di decreti, regolamenti o linee guida che ne definiscano concretamente modalità di attuazione:

In ambito sanitario, il Ministero della Salute dovrà emanare due decreti: uno per regolare le sperimentazioni di progetti basati su AI e machine learning, con la creazione di “spazi di sperimentazione”, e l’altro per definire le condizioni di utilizzo dei sistemi di AI nel settore sanitario. Parallelamente, AGENAS potrà predisporre linee guida per le procedure di anonimizzazione di dati personali e creazione di dati sintetici per finalità di ricerca scientifica.
Nel settore del lavoro, l’istituzione dell’Osservatorio nazionale sull’AI resta subordinata a un decreto del Ministero del Lavoro, che dovrà definirne funzioni, strumenti e modalità di interazione con le parti sociali.
L’art. 16 affida al Governo l’adozione di decreti legislativi per stabilire criteri sui dati e sugli algoritmi impiegati per addestrare i sistemi di AI, materia centrale e delicata che richiederà il coinvolgimento di ministeri, autorità indipendenti e passaggi parlamentari. La questione è intricata, poiché l'addestramento di sistemi di AI presenta svariate implicazioni giuridiche, tra cui in materia di AI Act, proprietà intellettuale, privacy e in relazione alle normative di settore. Pertanto, i futuri interventi mirati a regolare questo ambito dovranno misurarsi con un complesso tessuto normativo, facendo attenzione a non alterarne gli equilibri.
L’art. 19 demanda al Governo la predisposizione della Strategia nazionale per l’AI, destinata a coordinare le iniziative pubbliche e private, tra Stato, imprese, università e centri di ricerca. Avevamo parlato della Strategia italiana per l’AI in questo articolo.
Infine, l’art. 24 attribuisce al Governo un ampio insieme di deleghe per adottare decreti legislativi in diversi ambiti, tra cui regolamentazione dell’uso dell’AI nei settori finanziario e assicurativo, adeguamento della pubblica amministrazione, criteri per l’adozione dei sistemi di AI e disciplina delle sanzioni.

Conclusioni

Se è vero che la Legge sull’AI si colloca formalmente in linea con l’AI Act, non introducendo nuovi obblighi o definizioni divergenti, essa resta comunque insufficiente a garantire un pieno allineamento del quadro nazionale al regolamento europeo. L’armonizzazione effettiva dipenderà dall’emanazione dei decreti e delle linee guida, un processo complesso e destinato a richiedere tempi prolungati.

Nel frattempo, diverse disposizioni dell’AI Act risultano già applicabili e altre diverranno operative nel 2026, generando inevitabili incertezze per gli operatori pubblici e privati, costretti a muoversi in una duplice dimensione normativa. In definitiva, nei prossimi mesi le imprese e gli operatori dovranno orientarsi soprattutto sull’AI Act, che ha scadenze e obblighi già certi, monitorando con attenzione l’evoluzione degli atti italiani per capire quando e come queste regole aggiuntive diventeranno operative.

Autori: Giacomo Lusardi, Marianna Riedo

Data Protection & Cybersecurity

FaceBoarding, dati biometrici e limiti del riconoscimento facciale in ambito aeroportuale: la misura provvisoria del Garante Privacy contro SEA

Con provvedimento adottato l’11 settembre 2025, il Garante per la protezione dei dati personali ha disposto la sospensione temporanea del sistema di riconoscimento “FaceBoarding” facciale, effettuato da SEA S.p.A presso l’aeroporto di Milano Linate.

Il provvedimento rappresenta un momento di particolare rilievo nel processo di definizione delle regole giuridiche applicabili ai sistemi di riconoscimento facciale in ambito aeroportuale. L’intervento, infatti, segue il solco tracciato a livello europeo dal Comitato europeo per la protezione dei dati (EDPB), con l'Opinion n. 11/2024, documento che analizza, sotto il profilo della compatibilità con il Regolamento (UE) 2016/679 (GDPR), le modalità di impiego del riconoscimento facciale finalizzate a snellire il flusso dei passeggeri negli scali aeroportuali.

In particolare, l’EDPB ha individuato quattro distinti scenari, ciascuno connotato da un diverso grado di tutela dei diritti e delle libertà degli interessati, distinguendo, così, le situazioni compatibili con il GDPR da quelle invece da considerarsi illegittime. I primi due scenari, ritenuti conformi alla normativa comunitaria, prevedono modalità di trattamento che limitino fortemente il rischio di lesione dei diritti dei soggetti coinvolti. Il primo caso (i) si fonda sulla conservazione del modello biometrico da parte del solo interessato: il template rimane nel dispositivo personale del passeggero e non viene trasferito né trattato da terzi; l’autenticazione avviene localmente, in modo tale che il dato non esca mai dalla sfera di controllo dell’interessato (Opinion, Sec. 3.2.1). Il secondo scenario (ii), pur prevedendo la conservazione centralizzata del dato all’interno dell’aeroporto, richiede che il template sia cifrato con una chiave segreta nota esclusivamente al passeggero, che mantiene così un controllo esclusivo sul trattamento e sull’accesso al proprio dato biometrico (Opinion, Sec. 3.2.2). Diversamente, il Comitato ha ritenuto non conformi alla normativa comunitaria altri due scenari, che implicano modalità più invasive e meno trasparenti di raccolta e conservazione dei dati biometrici. La terza situazione (iii), infatti, prevede la conservazione centralizzata dei template biometrici in una banca dati ubicata all’interno dell’aeroporto e sotto il controllo del gestore aeroportuale, senza che il dato sia cifrato con una chiave personale dell’interessato (Opinion, Sec. 3.2.3.1). L'ultimo scenario (iv), infine, contempla la conservazione dei dati in un cloud accessibile dalla compagnia aerea, con rischi ancora più elevati in termini di localizzazione, controllo e sicurezza (Opinion, Sec. 3.2.3.2).

È proprio al terzo scenario (iii) che si riconduce, in modo inequivocabile, il sistema FaceBoarding implementato da SEA, come ha accertato il Garante a seguito di una serie di verifiche ispettive. Dalle risultanze documentali emerge infatti che il template biometrico dei passeggeri viene generato e conservato interamente nei sistemi centralizzati di SEA, sia nel caso in cui l’adesione al servizio avvenga tramite i chioschi fisici presenti in aeroporto, sia quando venga effettuata attraverso l’applicazione mobile predisposta dalla Società. In quest’ultima ipotesi, le Digital Travel Credential contenute nell’App si limitano a memorizzare l’immagine del volto acquisita tramite selfie e i dati identificativi del documento del passeggero, mentre il vero e proprio template biometrico è elaborato e conservato nei server aziendali, rimanendo così fuori dal controllo dell’interessato. Non solo: l’informativa fornita da SEA agli utenti è risultata inesatta, laddove dichiara che il modello biometrico sarebbe conservato esclusivamente nello smartphone del passeggero. Tale affermazione, smentita dai rilievi tecnici effettuati dall’Autorità, viola l’art. 13 del GDPR, che impone la trasparenza e l’accuratezza dell’informazione fornita agli interessati. A ciò si aggiunge un ulteriore profilo critico: il mancato impiego di tecniche di cifratura nella conservazione dei template biometrici nei sistemi di SEA, in violazione dell’art. 32 del Regolamento, che richiede l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento. Il quadro si aggrava considerando che, nei casi di adesione al “Programma a lungo termine”, i dati biometrici vengono conservati fino a dodici mesi: una durata eccessiva rispetto ai principi di minimizzazione e limitazione della conservazione, con conseguente violazione degli artt. 5 par. 1 lett. e), 32 GDPR. Particolarmente allarmante, infine, è il fatto che i varchi FaceBoarding siano stati utilizzabili anche da passeggeri non aderenti al sistema. In tali casi, secondo quanto accertato, viene comunque acquisita l’immagine del volto e generato il template biometrico, pur in assenza di un espresso consenso dell’interessato o di un’idonea base giuridica. Tale prassi integra

una palese violazione dell’art. 6 GDPR, che condiziona la liceità del trattamento alla sussistenza di almeno una delle condizioni previste dal Regolamento.

In questo contesto, visto anche l'altissimo numero di soggetti coinvolti (24.550), il Garante ha ritenuto necessario adottare una misura d’urgenza, disponendo la limitazione provvisoria del trattamento dei dati biometrici presso l’aeroporto di Milano Linate tramite il sistema FaceBoarding. La misura ha efficacia immediata ed è finalizzata a impedire la prosecuzione di trattamenti potenzialmente lesivi dei diritti fondamentali degli interessati, nelle more della conclusione dell’istruttoria. È stata inoltre ordinata la pubblicazione del provvedimento sul sito dell’Autorità e la sua annotazione nel registro interno delle misure adottate.

Tale provvedimento del Garante, saldamente ancorata all’interpretazione offerta dal Comitato europeo, assume dunque una valenza sistemica: essa non si limita a sanzionare un trattamento illecito, ma riafferma, con forza, il primato della dignità e dei diritti fondamentali nel governo delle tecnologie emergenti - principio sistemico che deve guidare l’intero sviluppo normativo e applicativo dell’intelligenza artificiale.

Autore: Giovanni Chieco

Intellectual Property

L’Europa riscrive le regole sui rifiuti nel settore moda

Il 9 settembre 2025 il Parlamento europeo ha approvato in via definitiva la storica revisione della Direttiva quadro sui rifiuti, introducendo misure vincolanti per ridurre lo spreco alimentare e tessile nell’UE. Il provvedimento – già concordato con il Consiglio nell’estate 2025 – è ora formalmente adottato e sarà presto firmato dai due co-legislatori, prima della pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Responsabilità estesa del produttore

Elemento centrale della riforma è l’introduzione di schemi obbligatori di responsabilità estesa del produttore (EPR) per i tessili. Entro 30 mesi dall’entrata in vigore della direttiva, ciascuno Stato membro dovrà attivare un sistema che obblighi i produttori a farsi carico dei costi di raccolta, selezione e riciclo dei tessili immessi sul mercato.

L’ambito di applicazione è molto ampio: comprende abbigliamento, calzature, accessori, cappelli, coperte, biancheria da letto e da cucina, tende. Le nuove regole si applicano anche ai produttori extra-UE che accedono al mercato unico tramite e-commerce, assicurando che i grandi colossi del fast fashion online siano soggetti agli stessi obblighi dei marchi europei.

Le microimprese disporranno di un anno aggiuntivo per conformarsi, ma non sono previste altre deroghe. Inoltre, la direttiva consente agli Stati membri di estendere gli schemi EPR anche in altri settori ad alta produzione di rifiuti.

Contrastare fast fashion e ultra-fast fashion

La normativa autorizza gli Stati membri a intervenire specificamente contro le pratiche di fast fashion e ultra-fast fashion all’interno dei rispettivi sistemi EPR. I contributi finanziari dei produttori potranno quindi essere modulati in funzione dell’impatto ambientale dei prodotti: capi di scarsa qualità, poco durevoli e difficili da riciclare potranno comportare costi più elevati, mentre le aziende che puntano su durabilità, riparabilità e design circolare potranno beneficiare di tariffe ridotte.

La misura riflette le crescenti pressioni politiche e sociali per affrontare l’impatto ambientale del settore. Nell’UE si generano ogni anno circa 12,6 milioni di tonnellate di rifiuti tessili, di cui 5,2 milioni di tonnellate di abbigliamento e calzature – pari a 12 chilogrammi pro capite. A livello globale, meno dell’1% dei tessili viene riciclato in nuovi prodotti.

Trasferendo i costi dai contribuenti ai produttori, i legislatori intendono non solo migliorare la gestione dei rifiuti, ma soprattutto indurre un cambiamento strutturale, spingendo il settore verso modelli più sostenibili e meno orientati all’usa e getta.

Riduzione dello spreco alimentare

Accanto alle disposizioni sui tessili, la direttiva introduce obiettivi vincolanti di riduzione dello spreco alimentare da raggiungere entro il 31 dicembre 2030:

10% di riduzione per la trasformazione e la produzione alimentare;
30% di riduzione pro capite nel commercio al dettaglio, nella ristorazione, nei servizi alimentari e nelle famiglie.

Gli obiettivi saranno calcolati rispetto ai livelli medi del triennio 2021–2023, garantendo una base di riferimento solida.

Su richiesta del Parlamento, gli Stati membri dovranno inoltre imporre agli operatori economici con un ruolo rilevante nella catena alimentare di favorire la donazione degli alimenti invenduti ma ancora idonei al consumo umano, evitando che vengano sprecati.

L’UE registra attualmente quasi 60 milioni di tonnellate di spreco alimentare all’anno (circa 132 chilogrammi pro capite), un dato che evidenzia la portata del problema.

Contesto e iter legislativo

La proposta di revisione della Direttiva quadro sui rifiuti risale al luglio 2023, quando la Commissione europea ha presentato un pacchetto mirato a ridurre gli sprechi alimentari e tessili. Ogni anno nell’UE si producono:

60 milioni di tonnellate di rifiuti alimentari;
12,6 milioni di tonnellate di rifiuti tessili, tra cui 5,2 milioni di tonnellate di abbigliamento e calzature.

La seconda lettura in Parlamento ha confermato il testo concordato con il Consiglio. Con il voto del 9 settembre, l’atto è stato definitivamente adottato.

Prossime tappe

La legge sarà ora firmata dal Presidente del Parlamento e dal Consiglio e pubblicata nella Gazzetta ufficiale dell’Unione europea. Gli Stati membri avranno 20 mesi di tempo per recepirla nei rispettivi ordinamenti nazionali.

Per il settore moda questa riforma rappresenta l’inizio di una nuova era di responsabilità: i marchi che finora hanno esternalizzato i costi ambientali dovranno includere la gestione dei rifiuti nei propri modelli di business. L’efficacia della direttiva dipenderà da come i governi nazionali disegneranno i sistemi EPR – e da quanto saranno capaci di usarli per orientare l’industria verso la circolarità, invece che verso la produzione usa e getta.

Autrice: Maria Vittoria Pessina

Technology, Media and Telecommunications

DSA: il Tribunale UE annulla le decisioni della Commissione di determinazione dei contributi per le attività di vigilanza dovuti da due operatori designati come very large online platforms ai sensi del DSA

Lo scorso 10 settembre, il Tribunale dell’Unione europea ha annullato le decisioni di esecuzione della Commissione europea che fissavano gli importi dovuti da due operatori qualificati come very large online platforms ("VLOP") a titolo di contributi per le attività di vigilanza ai sensi del Regolamento UE 2022/2065 ("Digital Services Act" o "DSA"). Il Tribunale ha tuttavia disposto il mantenimento temporaneo degli effetti degli atti annullati per un massimo di dodici mesi dalla definitività della sentenza, al fine di preservare la certezza del diritto e la continuità delle attività di vigilanza.

I VLOP sono fornitori di piattaforme online che, in ragione del superamento di determinate soglie che esprimono la quantità di utenti all'interno dell'UE, sono qualificati come di "dimensioni molto grandi" ai sensi del DSA.

A norma di tale Regolamento, i VLOP (tra gli altri) – in ragione, appunto, delle loro dimensioni – sono tenuti a rispettare specifici obblighi. Inoltre, la Commissione può imporre in capo a tali operatori dei contributi annuali, determinati in misura proporzionale al numero medio mensile di destinatari attivi dei servizi di tali providers, al fine di finanziare le attività di vigilanza esercitate dalla Commissione ai sensi del DSA. Le attività di vigilanza della Commissione ricomprendono, tra l’altro, la designazione dei VLOPs, la creazione e manutenzione di specifiche banche dati e sistemi per la condivisione di informazioni, la gestione dei canali adibiti alle segnalazioni e comunicazioni rivolte alla Commissione e altre attività quali quelle di verifica e applicazione di misure correttive nei confronti degli operatori.

Gli importi dei contributi dovuti dai VLOP vengono determinati dalla Commissione con decisione di esecuzione.

Nel caso in commento, i VLOP destinatari delle decisioni di esecuzione – poi annullate – della Commissione hanno proposto ciascuna ricorso al Tribunale UE avverso le stesse.

Il Tribunale UE ha quindi annullato le decisioni impugnate ritenendo che la Commissione non avrebbe potuto stabilire la metodologia per il calcolo del numero medio mensile di utenti attivi dei VLOP mediante decisioni di esecuzione. Secondo il Tribunale, infatti, essendo tale parametro un elemento essenziale per il calcolo del contributo dovuto dai VLOP, la sua determinazione avrebbe richiesto l’adozione di un atto delegato in base a quanto previsto dal DSA.

Il DSA prevede infatti che la Commissione è tenuta a definire, con atti delegati, la metodologia e le procedure dettagliate per la determinazione dei singoli contributi annuali per le attività di vigilanza.

Il Tribunale UE ha comunque ritenuto che le decisioni impugnate non fossero affette da vizi tali da esonerare i ricorrenti dall’obbligo di versare il contributo relativo all'attività di vigilanza della Commissione per il 2023 e ha pertanto disposto la conservazione degli effetti delle decisioni annullate "fino a che siano adottati i provvedimenti necessari che l’esecuzione della […] sentenza comporta, e ciò entro un termine ragionevole che non può superare i dodici mesi a decorrere dal giorno in cui la […] sentenza diviene definitiva" e, quindi, fino all'adozione di un atto delegato avente ad oggetto i contributi dovuti dai VLOP.

Su un simile argomento può essere interessante l’articolo “La Commissione apre un’indagine nei confronti di un social network per violazione delle disposizioni contenute nel DSA”.

Autori: Massimo D'Andrea, Flaminia Perna, Arianna Porretti

Gaming and Gambling

Licenze di gioco online in Italia – 46 operatori ammessi alla Fase 2

La gara per il rilascio delle licenze di gioco online in Italia ha raggiunto un momento decisivo il 17 settembre 2025, quando l’Agenzia delle Dogane e dei Monopoli (ADM) ha ufficialmente ammesso 46 operatori alla Fase 2 del processo per l'ottenimento di nuove licenze di gioco online.

Questo passaggio rappresenta una tappa fondamentale per il nuovo mercato del gioco online in Italia, ma non segna la conclusione del percorso: gli operatori dovranno ora soddisfare stringenti requisiti documentali e di conformità prima che le nuove concessioni diventino pienamente efficaci.

L’avvio della Fase 2

Secondo quanto stabilito da ADM, tutti i 46 candidati che avevano presentato domanda entro la scadenza del 30 maggio 2025 sono stati ammessi. La Commissione incaricata ha verificato che ciascuna candidatura rispettasse le regole del bando e che gli operatori soddisfacessero i requisiti minimi di ammissibilità.

L’approvazione della Fase 2 conferma l’assegnazione delle concessioni per i verticali di gioco online previsti dall’articolo 6 del Decreto legislativo n. 41/2024, inclusi casinò online, poker, bingo e scommesse sportive.

Prossimi passaggi

L’ammissione alla Fase 2 non conclude il processo di assegnazione delle nuove licenze. Secondo le regole stabilite da ADM:

Scadenza documentale: gli operatori approvati devono presentare la documentazione richiesta entro 35 giorni dalla pubblicazione dell’aggiudicazione. Ciò include documenti societari, finanziari e di compliance previsti dalle regole amministrative.
Controlli antimafia: gli operatori restano soggetti ai controlli previsti dal D.lgs. n. 159/2011, cd. “Codice Antimafia”.
Stipula delle concessioni: solo una volta completate le verifiche e approvata la documentazione, saranno firmati i contratti di concessione e gli operatori verranno formalmente riconosciuti come concessionari.
Periodo di avvio: i concessionari avranno fino a sei mesi per attivare le proprie piattaforme sotto il nuovo regime, con operatività prevista entro marzo 2026.

Costi e durata delle licenze

La struttura economica delle nuove licenze italiane di gioco online è rilevante:

Ogni licenza ha un costo di €7 milioni, da versare in due rate:

€4 milioni all’atto dell’aggiudicazione;
€3 milioni all’avvio effettivo del servizio di gioco da parte del concessionario, che dovrà avvenire entro sei mesi dal rilascio della concessione;

Le licenze avranno durata nove anni, un periodo significativamente più lungo rispetto al precedente regime.

Questa struttura di costi, combinata con gli obblighi fiscali vigenti (24,5% sul GGR delle scommesse, 25,5% sul GGR dei casinò, più un contributo annuo del 3% sul NGR), rappresenta una barriera d’ingresso elevata destinata a rimodellare profondamente il mercato.

Impatto sugli operatori esistenti

Per gli operatori che non hanno partecipato alla nuova gara, le regole transitorie sono altrettanto rilevanti:

Le loro concessioni scadranno il 18 settembre 2025, salvo abbiano richiesto un’estensione entro il 5 settembre 2025.
Con l’estensione, potranno continuare a operare solo fino al 12 novembre 2025, data in cui il vecchio regime cesserà definitivamente.
Saranno inoltre tenuti a chiudere i conti gioco o a migrare i database dei giocatori verso operatori ammessi al nuovo bando, seguendo le indicazioni ADM e nel rispetto del GDPR e delle norme a tutela dei consumatori.

Questo meccanismo di migrazione offre ai concessionari che otterranno la nuova licenza una significativa opportunità di crescita, potendo acquisire interi bacini di utenti dagli operatori che abbandoneranno il mercato italiano.

Prospettive di mercato

L’ammissione dei 46 operatori alla Fase 2 segna l’inizio di una nuova era per il mercato del gioco online in Italia:

La concentrazione del mercato è inevitabile: con sole 52 licenze assegnate a 46 operatori, la frammentazione si ridurrà e i brand più solidi acquisiranno maggiori quote.
I requisiti di compliance e di investimento sono rilevanti, il che scoraggerà gli operatori minori ma contribuirà ad accrescere la credibilità complessiva del mercato.
La tutela del giocatore resta centrale: ADM ha confermato obblighi come il finanziamento obbligatorio di campagne per il gioco responsabile (0,2% del GGR, con tetto massimo di €1 milione annui).
Opportunità strategiche emergono per gli operatori in grado di sfruttare le migrazioni di player account, costruire partnership locali e adattarsi rapidamente agli standard tecnici e di reporting ADM.

Date chiave da ricordare

17 settembre 2025: pubblicazione dell’elenco degli ammessi alla Fase 2.
Entro 35 giorni dalla pubblicazione: presentazione della documentazione obbligatoria da parte degli operatori approvati.
12 novembre 2025: scadenza delle concessioni prorogate per i non partecipanti e completamento delle migrazioni dei conti.
Entro marzo 2026: avvio previsto delle nuove piattaforme sotto il rinnovato regime concessorio.

Gli operatori sono pronti ai prossimi passaggi?

L’ammissione di 46 operatori alla Fase 2 della gara per le licenze di gioco online rappresenta una svolta. Sebbene il processo non sia ancora concluso, sono state gettate le basi per il rilancio dell’industria del gioco online in Italia all’interno di un quadro modernizzato e con concessioni di durata novennale.

Per gli operatori, i prossimi mesi saranno decisivi. Documentazione, verifiche di conformità e strategie di migrazione dovranno essere gestite con estrema precisione – poiché perdere una scadenza ora potrebbe significare rinunciare a uno dei mercati di gioco online più redditizi d’Europa.

Su un tema correlato, potete leggere l’articolo “Nuove linee guida tecniche italiane sul gioco d’azzardo online: cosa c’è di nuovo nei requisiti di certificazione?”. Inoltre, una panoramica sul regime normativo italiano in materia di gioco d’azzardo è disponibile nella guida Gambling Laws of the World, e ulteriori notizie sul gioco d'azzardo sono disponibili (qui).

Autore: Giulio Coraggio

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.