Innovation Law Insights

Artificial Intelligence 

Quadro di Valutazione del Rischio dell’IA: mappare, classificare e dare priorità ai rischi

Una valutazione del rischio dell’IA è il processo di mappatura dei punti in cui emergono rischi durante il ciclo di vita di un sistema di IA, classificandoli per gravità e probabilità, e stabilendo quali mitigare per primi, il tutto all’interno del quadro di conformità imposto dall’AI Act dell’UE.

Perché una valutazione del rischio dell’IA è importante

L’IA porta con sé sfide uniche a causa della sua opacità e autonomia. Una decisione distorta in un processo umano può colpire un numero limitato di persone, mentre un algoritmo distorto può avere un impatto su migliaia di individui in una frazione di secondo. Ecco perché una valutazione del rischio dell’IA è essenziale non solo per ridurre l’esposizione a responsabilità legali, ma anche per salvaguardare la reputazione e la credibilità delle organizzazioni.

L’AI Act dell’UE lo esplicita chiaramente. I fornitori di sistemi ad alto rischio devono istituire e mantenere un sistema di gestione del rischio durante l’intero ciclo di vita del sistema di IA. Questo obbligo va ben oltre la semplice redazione di documenti da archiviare. Richiede una mappatura continua, la classificazione e definizione delle priorità dei rischi, nonché l’adozione di misure tecniche e organizzative per mitigarli.

Mappare i rischi lungo il ciclo di vita dell’IA

La prima fase di qualsiasi valutazione del rischio dell’IA è la mappatura. Ciò significa identificare dove possono emergere rischi in tutte le fasi del ciclo di vita. I rischi possono materializzarsi nella fase di raccolta dati, dove dati di bassa qualità o non rappresentativi possono introdurre bias. Possono emergere durante l’addestramento, dove la scelta del modello e dell’architettura può influire sulla trasparenza o sulla spiegabilità. Possono inoltre comparire durante la fase di distribuzione, ad esempio se un sistema di IA viene utilizzato in contesti mai previsti dai suoi sviluppatori.

La mappatura deve anche tener conto dei diversi attori coinvolti. L’AI Act dell’UE distingue tra fornitori, utilizzatori, distributori e importatori, e gli obblighi variano di conseguenza. Un’azienda che integra un modello di IA per finalità generali nel proprio prodotto avrà responsabilità diverse rispetto allo sviluppatore originario del modello. Una mappatura completa assicura che la responsabilità sia chiara e che i rischi non vengano trascurati solo perché si trovano al di fuori del controllo immediato di un attore.

Classificare i rischi attraverso una lente regolatoria

Una volta mappati, i rischi devono essere classificati. La valutazione del rischio dell’IA non può fermarsi a un semplice elenco di potenziali danni; deve fornire una visione strutturata della loro gravità e probabilità.

Lo stesso AI Act dell’UE si basa su una logica fondata sul rischio. Proibisce usi inaccettabili dell’IA, come pratiche manipolative o il social scoring. Impone gli obblighi più severi ai sistemi ad alto rischio, requisiti di trasparenza più leggeri ai sistemi a rischio limitato e quasi nessun obbligo all’IA a rischio minimo. Ma sebbene questa categorizzazione legale sia utile, non è sufficiente per una gestione operativa del rischio.

Le aziende devono valutare la gravità: quanto serio sarebbe il danno se si verificasse? Devono stimare la probabilità: quanto è probabile l’evento, dati gli attuali sistemi di salvaguardia? E devono considerare la rilevabilità: quanto velocemente il danno può essere individuato e affrontato? Un evento a bassa probabilità ma molto difficile da rilevare può comunque rappresentare un rischio critico.

La classificazione deve includere anche un’analisi dei diritti fondamentali. Discriminazione, violazioni della privacy o pratiche manipolative possono non essere sempre catturate da metriche tecniche, ma possono avere gravi conseguenze legali e reputazionali.

Dare priorità ai rischi e pianificare le mitigazioni

La classificazione è utile solo se porta alla definizione delle priorità. Le risorse sono limitate e non tutti i rischi possono essere affrontati simultaneamente. Una valutazione strutturata del rischio dell’IA consente alle organizzazioni di determinare quali rischi devono essere eliminati, quali richiedono una forte mitigazione e quali possono essere accettati con monitoraggio come rischi residui.

Qui, l’AI Act dell’UE stabilisce confini chiari. Qualsiasi sistema di IA vietato non può essere immesso sul mercato dell’UE, messo in servizio o utilizzato. I sistemi di IA ad alto rischio non possono essere distribuiti senza le salvaguardie richieste dall’AI Act, come una solida governance dei dati, trasparenza, logging, supervisione umana e monitoraggio post-commercializzazione. Questi non sono controlli opzionali; sono obblighi. I sistemi di IA a rischio limitato devono rispettare i requisiti di trasparenza stabiliti dall’articolo 50 dell’AI Act dell’UE.

Oltre agli obblighi normativi, le organizzazioni dovrebbero stabilire le priorità in base a una combinazione di gravità, probabilità e rilevabilità. Un danno catastrofico con una probabilità media di verificarsi deve sempre venire prima di un rischio reputazionale minore con alta probabilità.

Le strategie di mitigazione possono variare. Le misure tecniche possono includere tecniche di mitigazione dei bias, rilevamento delle anomalie o adversarial testing. Le misure organizzative possono comportare revisioni con supervisione umana, procedure di escalation o strutture chiare di responsabilità. Possono anche essere necessari cambiamenti di design, come semplificare il modello o escludere determinate variabili che creano esiti discriminatori. Ciò che conta è che i piani di mitigazione siano documentati, testati e aggiornati man mano che i sistemi evolvono.

Integrare il livello di conformità all’AI Act dell’UE

Un punto chiave da ricordare è che la valutazione del rischio dell’IA non è un processo autonomo. Quando obbligatorio ai sensi dell’AI Act dell’UE, è un elemento di un sistema di conformità più ampio che include documentazione tecnica, valutazioni di conformità, obblighi di registrazione e monitoraggio post-commercializzazione.

Ciò significa che ogni rischio identificato deve essere collegato a documentazione specifica. Laddove il bias venga identificato come rischio, il fascicolo tecnico dovrebbe mostrare come le misure di governance dei dati lo affrontino. Laddove invece venisse segnalata la mancanza di spiegabilità, il fascicolo dovrebbe includere informazioni sugli strumenti di trasparenza o le informazioni fornite agli utenti. Le autorità regolatorie si aspetteranno di vedere una catena chiara di ragionamento tra rischi, mitigazioni e documenti di conformità.

L’AI Act sottolinea inoltre la centralità della gestione del ciclo di vita. Le valutazioni dei rischi devono essere aggiornate quando il sistema viene modificato, riaddestrato o distribuito in nuovi contesti. Tali valutazioni devono anche essere riviste alla luce delle prestazioni reali, con il monitoraggio post-commercializzazione che alimenta nuovamente il processo di valutazione.

Infine, la gestione del rischio ai sensi dell’AI Act non opera nel vuoto. Altre normative, dal GDPR alle regole sulla sicurezza dei prodotti e la protezione dei consumatori, fino alle leggi sulla proprietà intellettuale, continuano ad applicarsi. Una valutazione efficace del rischio dell’IA deve quindi essere integrata con quadri di conformità più ampi.

Una roadmap per l’implementazione di una valutazione del rischio dell’IA

Come dovrebbero affrontare le aziende questo processo in pratica? Sulla base dell’esperienza nel consigliare clienti in diversi settori, suggerisco la seguente roadmap:

1. Revisione del portafoglio: identificare tutti i sistemi di IA in uso, inclusi quelli integrati tramite soluzioni di terze parti, e predisporre un processo per individuare eventuali nuovi sistemi e/o casi d’uso.
2. Workshop di mappatura: riunire team tecnici, legali e di conformità per mappare i rischi lungo il ciclo di vita.
3. Esercizio di classificazione: valutare gravità, probabilità e rilevabilità, allineandosi alle categorie di rischio dell’AI Act dell’UE.
4. Definizione delle priorità: classificare i rischi, tenendo conto degli obblighi normativi così come delle priorità aziendali.
5. Pianificazione delle mitigazioni: assegnare la responsabilità di ogni misura di mitigazione, stabilire scadenze e definire indicatori di successo.
6. Documentazione: preparare il fascicolo tecnico e altri documenti di conformità, assicurando coerenza con gli obblighi dell’AI Act.
7. Monitoraggio: istituire procedure per il monitoraggio post-commercializzazione, la segnalazione di incidenti e l’aggiornamento continuo della valutazione del rischio.

Questo processo può sembrare intensivo in termini di risorse, ma rappresenta anche un’opportunità. Le aziende che investono in solidi quadri di valutazione del rischio possono usarli per differenziarsi sul mercato, dimostrando che la loro IA non è solo innovativa ma anche affidabile.

L’AI Act dell’UE sta cambiando il modo in cui le organizzazioni pensano e valutano il rischio. Una valutazione del rischio dell’IA non è più una formalità interna; è un requisito legale e un vantaggio competitivo. Mappando, classificando e stabilendo priorità ai rischi, le aziende possono costruire un quadro di conformità difendibile, evitare attriti normativi e rafforzare la fiducia di clienti, investitori e autorità regolatorie.

La lezione è chiara: le valutazioni dei rischi non sono un costo da minimizzare, ma un investimento in una governance dell’IA sostenibile. Chi le adotta presto non solo sarà conforme alla legge, ma guiderà anche il mercato.

Autore: Giulio Coraggio

 

Technology

Semplificazione digitale: l'Europa e la sfida del Digital Omnibus

Con l'intento di semplificare e armonizzare il crescente corpus normativo digitale europeo, la Commissione Europea ha annunciato il Digital Omnibus, un pacchetto di semplificazione che promette di razionalizzare le regole su dati, cybersecurity e intelligenza artificiale. L'iniziativa si inserisce in un contesto normativo caratterizzato da regolamenti di diversa “età” e complessità, dove la rapidità dell'evoluzione tecnologica incontra la necessità di fornire certezza giuridica agli operatori del settore.

1. Che cos'è il Digital Omnibus e quando arriva

Il 16 settembre 2025, la Commissione Europea ha avviato una consultazione pubblica per raccogliere feedback su come semplificare la legislazione digitale, con termine fissato al 14 ottobre 2025. L'intento è quello di presentare il pacchetto Digital Omnibus entro la fine del 2025.

L'iniziativa mira specificatamente a semplificare la legislazione nei settori dei dati, della cybersecurity e dell'intelligenza artificiale, tre ambiti che hanno visto una proliferazione normativa significativa negli ultimi anni. L'obiettivo dichiarato è quello di ridurre gli obblighi burocratici di reporting per le imprese e armonizzare il quadro normativo digitale.

Questo approccio si colloca in continuità con la strategia digitale europea, che negli ultimi anni ha prodotto una serie di atti normativi complessi e innovativi: dall'AI Act entrato in vigore nell'agosto 2024, al Data Act appena divenuto applicabile, passando per il Regolamento DORA e la Direttiva NIS 2.

2. Normativa e tecnologia

Per comprendere le ragioni del Digital Omnibus, occorre considerare la natura peculiare del settore tecnologico. La velocità dell'innovazione tecnologica è tale che anche regolamenti relativamente recenti possono necessitare di aggiustamenti per rimanere al passo con l'evoluzione del mercato e delle tecnologie.

Il Data Act, pubblicato nel dicembre 2023 e divenuto applicabile nel settembre 2025, ne è un esempio significativo. Nonostante sia formalmente recente, il regolamento è stato concepito e redatto in un contesto tecnologico in rapida evoluzione, dove nuovi modelli di business e tecnologie emergenti possono richiedere chiarimenti o aggiustamenti normativi.

Diverso è il caso dell'AI Act, entrato in vigore nell'agosto 2024, che rappresenta effettivamente una normativa di recentissima introduzione. Qui, le segnalazioni di  “sfide implementative” da parte delle imprese potrebbero riflettere la complessità intrinseca di regolare un settore in così rapida evoluzione piuttosto che difetti strutturali della normativa stessa.

L'iniziativa della Commissione europea risponde quindi a richieste concrete del mercato per una maggiore chiarezza e semplificazione procedurale. Il processo di elaborazione ha visto il coinvolgimento di diversi stakeholder attraverso consultazioni pubbliche su vari aspetti della strategia digitale europea, incluse la Data Union Strategy, la revisione del Cybersecurity Act e l'Apply AI Strategy. Questo approccio partecipativo mira a garantire che le semplificazioni proposte rispondano a esigenze concrete del mercato, mantenendo al contempo l'efficacia delle tutele previste.

3. Le sfide: programmazione e adattabilità

La questione della certezza normativa assume una rilevanza particolare per le imprese che operano nel settore tecnologico. Il panorama normativo digitale europeo presenta infatti una caratteristica distintiva: la convivenza tra l'ambizione di creare un quadro giuridico stabile e la necessità di adattarsi a un settore in continua evoluzione. Questa tensione è particolarmente evidente nel caso dell'intelligenza artificiale, dove la velocità di sviluppo tecnologico pone sfide inedite al tradizionale approccio normativo.

Le imprese del settore si trovano quindi a operare in un contesto dove devono pianificare investimenti in compliance per normative che, per loro natura, potrebbero richiedere aggiornamenti o chiarimenti. Il caso dell'AI Act è esemplificativo: il 18 luglio 2025, la Commissione Europea ha pubblicato linee guida per chiarire disposizioni chiave applicabili ai modelli di AI General Purpose, evidenziando come anche normative recenti possano beneficiare di interpretazioni aggiuntive.

Risulta quindi chiaro che, per gli operatori del settore, rimane centrale la questione dell'equilibrio tra flessibilità normativa e certezza giuridica, particolarmente importante per settori che richiedono investimenti a lungo termine in ricerca, sviluppo e compliance.

Il Digital Omnibus evidenzia ulteriormente questa dinamica e ricorda alle imprese che navigano nel settore tech la necessità di sviluppare capacità di adattamento continuo, mantenendo al contempo la coerenza strategica delle proprie iniziative di conformità.

4. Quale strategia per le imprese?

Di fronte a questo scenario in evoluzione, le imprese si trovano ad affrontare il difficile compito di adeguarsi a normative in costante mutamento.

La chiave per gestire questa complessità consiste nell'identificare i principi fondamentali: comprendere il cuore normativo e tecnologico delle regolamentazioni, quali aspetti della tecnologia la normativa intende disciplinare, quali rischi mira a prevenire e quali opportunità intende promuovere. Questa comprensione permette di orientarsi con maggiore sicurezza, consapevoli che potranno emergere linee guida interpretative o obblighi aggiuntivi, ma che la linea fondamentale rimarrà stabile.

Il processo di adeguamento può quindi articolarsi in tre fasi essenziali.

In primo luogo, occorre valutare le capacità interne per determinare se l'organizzazione dispone delle competenze necessarie per condurre un'analisi approfondita del nucleo normativo e delle sue implicazioni tecnologiche.

In secondo luogo, è necessario identificare e prioritizzare le attività richieste per garantire la conformità, valutandone urgenza e impatto.

Infine, occorre sviluppare un programma di compliance realistico con tempistiche che tengano conto di tutte le parti coinvolte dell'organizzazione, sufficientemente flessibile da adattarsi a eventuali chiarimenti normativi.

Autore: Edoardo Bardelli.

 

Blockchain and Cryptocurrency

Stablecoin bancario europeo: una svolta nei pagamenti digitali?

Il 25 settembre 2025, nove primari gruppi bancari europei – ING, Banca Sella, KBC, Danske Bank, DekaBank, UniCredit, SEB, CaixaBank e Raiffeisen Bank International – hanno annunciato la costituzione di un consorzio per l’emissione di un token di moneta elettronica (di seguito, “EMT" o “stablecoin") il cui valore risulterà direttamente e stabilmente ancorato all'Euro, in conformità al Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (di seguito, “MiCAR”).

Il lancio, previsto per la seconda metà del 2026, rappresenta la prima iniziativa paneuropea promossa direttamente da istituti di credito, con l’obiettivo di introdurre uno strumento di pagamento digitale regolamentato, sicuro e scalabile, in grado di competere con le iniziative statunitensi e rafforzare l’autonomia strategica dell’Unione europea nel settore dei pagamenti.

Lo stablecoin sarà emesso attraverso una società con sede nei Paesi Bassi che richiederà l’autorizzazione come Istituto di moneta elettronica (di seguito, “IMEL”) sotto la vigilanza della Banca Centrale Olandese, la De Nederlandsche Bank (di seguito, la “NDB"). In questo modo, il progetto mira a coniugare i requisiti prudenziali e di governance previsti da MiCAR, dalla Direttiva (UE) 2015/2366 sui servizi di pagamento (di seguito, “PSD2”) e dal Regolamento (UE) n. 575/2013 sui requisiti patrimoniali (di seguito, “CRR”), con le caratteristiche tipiche delle tecnologie a registro distribuito (di seguito, “DLT”).

L’infrastruttura promessa offre pagamenti istantanei, a basso costo e disponibili 24/7, con potenziali applicazioni che includono i trasferimenti transfrontalieri, il monitoraggio di operazioni in attività digitali e una maggiore tracciabilità delle catene di approvvigionamento.

Rimangono tuttavia delle criticità. La proliferazione di stablecoin sul mercato europeo può rappresentare un’opportunità in termini di concorrenza, ma anche un rischio di frammentazione, amplificato dalla coesistenza di altri strumenti di pagamento digitale come i bonifici istantanei, disciplinati dal Regolamento (UE) 2024/886 (di seguito, “IPR"). Inoltre, anche l’effettiva adozione da parte di consumatori e imprese resta incerta, a causa della scarsa familiarità degli utenti con lo strumento.

Nonostante tali incertezze, l’iniziativa conferma l’orientamento dell’industria bancaria e decentralizzata europea: lo stablecoin è destinato a collocarsi tra i tre principali metodi di pagamento nei prossimi anni, fondando la propria diffusione su velocità, efficienza, trasparenza e tracciabilità.

1. Un consorzio bancario europeo tra MiCAR e sovranità digitale

Il progetto promosso da nove primari istituti di credito europei segna una netta discontinuità rispetto alle precedenti esperienze di stablecoin. Non si tratta infatti di un’iniziativa guidata da operatori tecnologici non regolamentati sotto il profilo finanziario ma di uno strumento concepito sin dall’origine entro un quadro normativo vincolante, in linea con MiCAR e PSD2.

La scelta di costituire la società nei Paesi Bassi e di richiedere l’autorizzazione come IMEL sotto la vigilanza della DNB ha una valenza precisa: garantire che il nuovo EMT sia assimilato, sin dalla sua emissione, a uno strumento di pagamento regolamentato, soggetto a requisiti di capitale, governance e tutela della clientela paragonabili a quelli richiesti agli operatori del mercato tradizionale.

Il valore aggiunto del progetto non si esaurisce nell’aspetto tecnico-giuridico. La decisione di nove banche di convergere su uno standard comune mira a rafforzare la sovranità digitale europea, riducendo la dipendenza da stablecoin di matrice extra-UE, in larga parte statunitense.

Si tratta di una risposta complementare, e non alternativa, al progetto dell’euro digitale promosso dalla Banca Centrale Europea (di seguito, la “BCE”): mentre quest’ultimo resta un’iniziativa istituzionale ancora in fase di definizione, lo stablecoin consortile è uno strumento privato pronto ad affermarsi nel breve termine come mezzo di pagamento disciplinato dal diritto dell’Unione.

L’impatto simbolico è altrettanto rilevante: l’adozione di una DLT non è più relegata a progetti sperimentali, ma diventa parte integrante dell’infrastruttura finanziaria europea. In questa prospettiva, lo stablecoin bancario rappresenta il battesimo di fuoco di una fase in cui l’innovazione digitale e la regolamentazione prudenziale si combinano per definire un modello europeo di pagamenti regolamentati.

2. Opportunità e rischi

Una tale iniziativa apre interrogativi cruciali sul futuro della concorrenza nei pagamenti digitali.

Per la prima volta, il mercato europeo si troverà a confrontarsi con un mosaico di strumenti e prodotti disciplinati da regole differenti – EMT, bonifici istantanei e in prospettiva l’euro digitale – con il rischio concreto che l’innovazione si traduca in frammentazione anziché in efficienza.

Sul piano competitivo, la presenza di più stablecoin potrebbe stimolare la concorrenza in termini di costi e velocità, ma al tempo stesso creare una nuova forma di segmentazione del mercato, in cui utenti e imprese saranno costretti a scegliere tra circuiti non sempre interoperabili. Questa pluralità di standard rischia di minare proprio l’obiettivo dichiarato del MiCAR: garantire un quadro unitario e armonizzato per gli strumenti digitali.

La competizione con gli instant payments aggiunge un ulteriore livello di complessità. I bonifici istantanei regolamentati da IPR consentono già oggi trasferimenti in tempo reale a livello europeo, senza richiedere l’adozione di nuove tecnologie da parte dell’utente. Perché uno stablecoin bancario diventi davvero competitivo, dovrà quindi offrire qualcosa in più: programmabilità dei pagamenti, automazione dei flussi o soluzioni transfrontaliere non coperte dagli schemi SEPA. In caso contrario, il rischio è che resti confinato a un ambito di nicchia, incapace di scalare.

Il nodo centrale resta l’adozione da parte del pubblico. Nonostante l’attenzione crescente dell’industria, la conoscenza degli stablecoin resta bassa, persino tra gli operatori finanziari più attenti all’innovazione. La recente Comunicazione di Banca d’Italia sugli EMT lo dimostra chiaramente: senza un lavoro di educazione finanziaria e senza la costruzione di fiducia verso nuovi strumenti regolamentati, l’offerta rischia di precedere la domanda. In questo senso, la legittimazione che deriva dal coinvolgimento diretto delle banche può essere decisiva: la fiducia nell’intermediario tradizionale è ciò che può trasformare lo stablecoin da “esperimento tecnologico” a strumento d’uso quotidiano.

L’Europa, quindi, corre il rischio di moltiplicare i circuiti senza rafforzarne la stabilità.

3. Requisiti regolamentari e profili applicativi

Il tratto più significativo dello stablecoin bancario europeo non è la tecnologia su cui si fonda, ma il modo in cui viene incardinato nel quadro regolamentare dell’Unione.

L’iniziativa, infatti, non ammette scorciatoie: gli istituti coinvolti, qualora intendano prestare servizi aventi ad oggetto l'EMT, dovranno rispettare in parallelo i requisiti previsti da MiCAR e da PSD2, assumendo così oneri prudenziali e di governance tipici tanto dei prestatori di servizi per le cripto-attività (CASP) quanto degli istituti di pagamento (IP) e degli IMEL.

Il primo elemento di novità è la cumulatività dei presidi patrimoniali: non sarà possibile scegliere se applicare MiCAR o PSD2, ma occorrerà rispettare entrambi, garantendo fondi propri e coperture assicurative idonee a fronteggiare l’intero spettro di rischi legati alla prestazione di servizi in stablecoin. La stessa logica vale per gli assetti proprietari e per gli esponenti aziendali, sottoposti a requisiti più ampi rispetto a quelli già previsti da MiCAR: onorabilità, correttezza, indipendenza di giudizio e disponibilità di tempo effettivo, secondo la disciplina bancaria tradizionale.

Sul piano operativo, l’attenzione si concentra sulle tutele della clientela.

Dal 2026 i pagamenti in stablecoin bancario dovranno essere protetti da procedure di strong customer authentication (SCA) analoghe a quelle applicate ai pagamenti elettronici tradizionali, con responsabilità diretta dell’operatore in caso di mancata applicazione.

A questo si aggiunge l’obbligo di reporting periodico delle frodi, che estende alla prestazione di servizi in EMT la disciplina già prevista per gli strumenti di pagamento classici. È invece confermata l’esclusione delle norme sull’open banking, ritenute incompatibili con la logica delle infrastrutture DLT: un adattamento mirato che evita forzature tecniche senza ridurre il livello di tutela per l’utente.

Il risultato complessivo è un quadro regolamentare in cui lo stablecoin bancario europeo si colloca allo stesso livello di affidabilità e accountability degli strumenti di pagamento convenzionali. Per le banche, ciò implica assumere oneri di compliance e vigilanza rafforzati; per il mercato, significa avere a disposizione un asset digitale che, per la prima volta, coniuga innovazione tecnologica e disciplina prudenziale priva di zone grigie.

In conclusione, uno stablecoin bancario europeo non rappresenterebbe solo un semplice tassello aggiuntivo. Per la prima volta uno strumento digitale entra nel vivo della regolazione finanziaria, con oneri patrimoniali, governance e tutele della clientela assimilabili a quelli dei prestatori tradizionali.

L’UE compie così un passo deciso verso l’autonomia strategica nei pagamenti, bilanciando innovazione e stabilità. Chi saprà arrivare preparato non si limiterà ad adeguarsi alle regole ma potrà guidare la nascita di un nuovo standard europeo nei pagamenti digitali.

Autori: Andrea Pantaleo & Giulio napolitano

 

Intellectual Property

Trade secrets: società biotech agisce contro multinazionale per segreti commerciali sottratti da competitor di recente acquisizione

Una società biotech specializzata in terapie a base di mRNA ha avviato un'azione legale presso la Corte Distrettuale degli Stati Uniti per il Distretto Meridionale della California contro una nota multinazionale farmaceutica, la sua nuova controllata (che è competitor dell'attrice), un ex dipendente e un ex collaboratore. Secondo quanto ricostruito nell'atto, i due ex collaboratori avrebbero trasferito informazioni riservate e segreti commerciali relativi a una tecnologia proprietaria di nanoparticelle lipidiche alla concorrente, alla concorrente, che avrebbe successivamente utilizzato tale informazioni proprietarie per depositare domande di brevetto. La società biotech ritiene che i segreti commerciali illecitamente utilizzati sarebbero stati inoltre impiegati dalla competitor come parte di un portafoglio tecnologico per convincere la multinazionale farmaceutica a concludere l'acquisizione.

L'azione per sottrazione di segreti commerciali

Secondo la società biotech, i segreti commerciali, comunicati dagli ex collaboratori e relativi alla tecnologia di nanoparticelle lipidiche, successivamente assunti dalla competitor, sarebbero andati a costituire illecitamente il nucleo fondamentale della proprietà intellettuale della società. In particolare, i due individui avrebbero trasferito informazioni riservate in violazione degli obblighi contrattuali e, poco dopo l'inizio del loro rapporto di lavoro con la concorrente dell'attrice, avrebbero modificato tali informazioni proprietarie, incorporandole in una domanda di brevetto, nella quale sono stati indicati come inventori.

L'atto introduttivo chiarisce come le informazioni relativi alla tecnologia in questione soddisfino pienamente i requisiti previsti affinché sia riconosciuta tutela come segreti commerciali, ai sensi della normativa federale (Defend Trade Secrets Act) e di quella californiana (California Uniform Trade Secrets Act). In particolare, la nuova generazione di lipidi utilizzata non era conosciuta né facilmente accessibile ad altri operatori del settore, inclusi i concorrenti. In ogni momento rilevante, tali informazioni hanno avuto, e continuano ad avere, un valore economico indipendente, attuale e potenziale, proprio perché non note né facilmente reperibili con mezzi legittimi o da fonti pubblicamente disponibili. Inoltre, la società attrice aveva adottato misure di sicurezza ragionevoli, tra cui la scelta di non inserirle nelle domande di brevetto pubblicate, oltre che accordi di riservatezza con il personale e con terzi, sistemi di sicurezza fisici ed elettronici conformi agli standard di settore.

Tra i rimedi richiesti, la società biotech ha chiesto la concessione di un provvedimento che impedisca ogni ulteriore uso o divulgazione dei segreti commerciali, anche da parte della competitor, la correzione dell'indicazione degli inventori nel brevetto già concesso alla società convenuta negli Stati Uniti e una pronuncia che riconosca la sua titolarità sulla proprietà intellettuale oggetto di controversia. La società chiede inoltre il risarcimento dei danni, anche in via esemplare, la restituzione dei profitti generati grazie alla tecnologia oggetto di lite, royalties ragionevoli e il rimborso delle spese legali.

Il coinvolgimento della società acquirente

L'azione vede come convenuta anche la multinazionale che ha acquisito la concorrente dell'attrice, sostenendo che la società farmaceutica avrebbe tratto beneficio dalla sottrazione di segreti commerciali e della tecnologia proprietaria. Secondo quanto ricostruito nell'atto introduttivo, il valore dell'operazione di acquisizione, stimato in oltre 2 miliardi di dollari, era in larga parte legato al valore dei segreti commerciali illecitamente sottratti dal personale dell'attrice. La società acquirente, inoltre, era a conoscenza o avrebbe dovuto essere a conoscenza del fatto che tali segreti erano stati ottenuti con mezzi impropri: durante la fase di due diligence, avrebbe avuto accesso a informazioni che avrebbero confermato la sottrazione di tali informazioni, tra cui una lettera dell'aprile 2024 con la quale l'attrice aveva esposto le prime contestazioni. Nonostante ciò, l'operazione è stata portata a termine e la società acquirente è stata coinvolta della condotta illecita contestata.

Sia secondo il diritto federale statunitense sia secondo la legge della California, una parte che utilizzi o tragga profitto consapevolmente da segreti commerciali illecitamente acquisiti può essere ritenuta responsabile. L'attrice sostiene che la mancata analisi e la mancata corretta gestione delle problematiche legate alla sottrazione dei segreti commerciali da parte dell'acquirente, prima della chiusura dell'operazione, integrino una condotta di grave negligenza, tale da giustificarne la chiamata in causa come convenuta.

Per la multinazionale farmaceutica si prospettano gravi conseguenze legali, economiche e reputazionali. Qualora la Corte accertasse che la società abbia consapevolmente utilizzato o tratto beneficio dai segreti commerciali illecitamente acquisiti, potrebbero essere disposte significative misure cautelari e inibitorie, tra cui limitazioni all'uso della proprietà intellettuale oggetto di acquisizione.

Dal punto di vista finanziario, la società acquirente potrebbe essere condannata al pagamento di danni, alla restituzione dei profitti generati grazie alla tecnologia oggetto di lite e al rimborso delle spese legali. Sul piano reputazionale, rischia di perdere investimenti e partnership strategiche, oltre che un accresciuto controllo regolatorio, soprattutto se dovesse emergere che non ha considerato adeguatamente le informazioni fornite durante la due diligence o che non ha adottato protocolli di compliance idonei.

L'importanza della due diligence sui segreti commerciali nelle operazioni societarie

Nelle operazioni di acquisizione, in particolare nei settori farmaceutico e biotecnologico, una due diligence rigorosa sugli aspetti legati ai segreti commerciali e ai relativi obblighi contrattuali è fondamentale per ridurre i rischi legali ed economici. L'acquirente deve valutare con attenzione l'origine, la titolarità e lo stato di protezione delle tecnologie proprietarie, verificando, tra l'altro, l'esistenza e la validità degli accordi di riservatezza, dei contratti di consulenza e delle cessioni di diritti di proprietà intellettuale.

La mancata individuazione di possibili appropriazioni illecite o violazioni contrattuali prima della chiusura dell'operazione può dar luogo a contenziosi post-acquisizione, danni reputazionali e perdita di valore di asset strategici. Una disclosure trasparente e una verifica legale accurata sull'origine e sulla legittima titolarità della proprietà intellettuale e dei segreti commerciali costituiscono, quindi, elementi centrali di qualsiasi strategia di acquisizione, al fine di garantire la conformità normativa, preservare il valore dell'operazione e prevenire future rivendicazioni.

Su un simile argomento potrebbe interessarti: Trade secrets: società tech statunitense contro un ex-dipendente per la sottrazione di segreti commerciali

Autrice: Chiara D'Onofrio

 

Intellectual Property

Le iconiche borse di Hermès e il confine tra esclusività e concorrenza

Nel contesto della disciplina antitrust statunitense e, più in generale, del diritto della concorrenza, la pronuncia del 17 settembre 2025 del Tribunale Federale della California sul contenzioso relativo alle borse Birkin e Kelly di Hermès rappresenta un caso paradigmatico per l'analisi delle strategie di esclusività dei marchi di lusso e dei limiti dell'intervento giudiziale in tale settore. E infatti, le iconiche borse Birkin e Kelly non costituiscono soltanto oggetti di desiderio, ma veri e propri strumenti strategici di mercato, la cui esclusività è attentamente gestita al fine di preservarne il prestigio e il valore economico.

La causa, promossa da Tina Cavalleri, Mark Glinoga e Mengyao Yang nel marzo 2024, contestava l'ipotesi secondo cui Hermès avrebbe condizionato la vendita delle sue borse più ambite all'acquisto preliminare di una serie di prodotti accessori (prodotti secondari o accessori del brand), configurando un illecito di c.d. vincolo commerciale ("tying") vietato dallo Sherman Act e dalla normativa antitrust californiana. Il rigetto con giudizio definitivo chiude ogni possibilità di futura contestazione in merito alle accuse secondo cui Hermès realizzi tali illeciti concorrenziali.

Il ricorso lamentava che Hermès avesse costretto i consumatori a effettuare acquisti aggiuntivi di sciarpe, gioielli, profumi e altri prodotti del marchio come condizione per accedere alla vendita di borse Birkin o Kelly, definendo tale pratica come coercitiva e artificiosamente elevante il prezzo reale delle borse. I querelanti sostenevano, in particolare, che il prezzo nominale di una Birkin, spesso superiore a diecimila dollari, celasse un “sistema di lotteria” che imponeva l'acquisto di ulteriori prodotti per poter accedere all'acquisto della borsa desiderata, generando un profitto addizionale per Hermès anche dai consumatori che non riuscivano a qualificarsi per la compravendita di tali borse. Contestualmente, i ricorrenti hanno avanzato accuse di pubblicità ingannevole e frode, sostenendo che Hermès avesse deliberatamente ingannato i consumatori sulla disponibilità delle borse stesse.

Il procedimento ha visto il rigetto di più versioni delle denunce dei querelanti per carenze nell'allegazione dei tre elementi essenziali di una pratica di vincolo commerciale: la definizione di un mercato rilevante, l'indicazione del potere di mercato del prodotto vincolato e la dimostrazione di un danno concorrenziale effettivo.

La Corte, con ordinanza del 17 settembre 2025, ha confermato la fondata insufficienza delle pretese avanzate. In primo luogo, la definizione del mercato proposta dai querelanti, basata su articoli accademici datati e rapporti generali sul consumo del lusso, non ha soddisfatto il requisito della sostituibilità dei prodotti, necessario per delimitare un mercato rilevante ai fini antitrust (cfr. Areeda & Hovenkamp, Antitrust Law, 4th ed., 2020). La mera unicità culturale o il prestigio di una Birkin o Kelly non costituiscono, di per sé, un mercato autonomo. In secondo luogo, la presunta quota di mercato del 60-75% non costituisce di per sé prova di potere di mercato; per l'accertamento del potere monopolistico è necessario dimostrare la capacità di Hermès di influenzare prezzi o escludere concorrenti senza perdita significativa di clienti. Infine, la Corte ha rilevato l'assenza di elementi concreti di pregiudizio concorrenziale nel mercato dei prodotti accessori, che comprendeva una molteplicità eterogenea di beni, dai profumi agli articoli per la casa. L'antitrust mira a prevenire effetti restrittivi sulla concorrenza reale e non la semplice frustrazione dei consumatori dovuta alla scarsità dei beni.

La pronuncia evidenzia come le pratiche di esclusività e la gestione selettiva dei clienti possano costituire strumenti legittimi di tutela del brand e della proprietà intellettuale, a condizione che non producano effetti restrittivi sulla concorrenza. Il caso rappresenta un precedente significativo per l’industria del lusso, confermando che il controllo sull’accesso ai prodotti più iconici e prestigiosi può rientrare nelle strategie lecite di valorizzazione del marchio e protezione del suo prestigio. Al contempo, la decisione delinea con chiarezza i confini della responsabilità antitrust: le strategie di vincolo commerciale diventano problematiche solo quando l’impresa sfrutta il dominio su un prodotto per limitare l’ingresso o l’attività dei concorrenti in mercati correlati, generando un effetto anticoncorrenziale concreto. In sostanza, l’esclusività si conferma come un potente strumento di branding e protezione della proprietà intellettuale, legalmente difendibile, purché non comporti restrizioni sostanziali alla concorrenza né riduca in modo significativo la libertà di scelta dei consumatori.

Su un simile argomento può essere interessante l'articolo “Sandali Oran di Hermès: il marchio salvato dalla decadenza nell'UE” .

Autore: Rebecca Rossi

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.