Innovation Law Insights

AI Law Journal

Diritto Intelligente – Marzo 2026

Il numero di marzo di Diritto Intelligente, la rivista di diritto dell’IA pubblicata dal gruppo italiano di Intellectual Property e Technology di DLA Piper, è ora disponibile qui.

 

Legal Break

Il Cyber Resilience Act dell'UE spiegato bene: nuova bozza di linee guida e cosa devono fare ora le aziende

La Commissione Europea ha pubblicato una bozza di linee guida sul Cyber Resilience Act (CRA) - ed è un momento cruciale per le aziende che sviluppano software, dispositivi connessi e prodotti digitali. Guarda un video sull'argomento qui.

 

Technology

Responsabilità per la progettazione delle piattaforme: perché il caso Meta e Google cambia tutto

La responsabilità per la progettazione delle piattaforme non è più un rischio teorico. Il recente caso che ha coinvolto Meta e Google dimostra che i tribunali stanno iniziando a guardare oltre i contenuti e a concentrarsi su come le piattaforme sono effettivamente costruite, e questo cambia tutto per le aziende tecnologiche.

Per anni, il dibattito ha riguardato la moderazione dei contenuti. Cosa dovrebbe essere rimosso? Cosa dovrebbe essere consentito?

Questo caso ribalta completamente la prospettiva.

Il problema non è più ciò che vedono gli utenti.

È come le piattaforme sono progettate per farli rimanere.

E da un punto di vista legale, questa è una questione molto più scomoda.

Responsabilità nella progettazione delle piattaforme: il caso che ha cambiato la narrativa

Al centro della controversia c'è una richiesta di risarcimento presentata per conto di un minore che avrebbe subito un danno legato all'uso prolungato e compulsivo delle piattaforme di social media.

Ma ciò che colpisce è come è stata formulata la richiesta.

L'argomentazione non era che un contenuto specifico avesse causato il danno.

Era che il design della piattaforma stessa - il modo in cui mantiene gli utenti coinvolti - fosse il vero fattore determinante.

Stiamo parlando di funzionalità che tutti nel settore conoscono bene:

• scroll infinito
• riproduzione automatica
• consigli personalizzati
• percorsi utente fluidi e privi di ostacoli

Nessuna di queste è casuale.

Sono progettati per massimizzare il coinvolgimento.

Ed è proprio qui che si pone ora la questione legale.

La giuria ha riconosciuto che queste scelte di progettazione possono contribuire a causare un danno.

Questo è il vero punto di svolta.

Dalla moderazione dei contenuti alla logica della responsabilità del prodotto

Per molto tempo, le piattaforme si sono basate sull'idea di non essere responsabili dei contenuti di terze parti, che nell'Unione Europea sono regolati dalla Direttiva sul Commercio Elettronico e dal Digital Services Act.

Questa logica è ancora valida, almeno formalmente.

Ma diventa irrilevante se la questione non riguarda i contenuti.

Se la questione riguarda la progettazione, allora ci troviamo in un ambito giuridico completamente diverso.

Questo è molto più vicino alla:

• responsabilità del produttore
• negligenza
• dovere di diligenza

In parole semplici: se si progetta un sistema che spinge prevedibilmente gli utenti verso comportamenti dannosi, si può ancora affermare di essere neutrali?

Questa è la questione che i tribunali stanno ora iniziando ad affrontare.

Ed è una domanda alla quale non è facile rispondere.

Perché questo apre la porta alle Class Actions

Un aspetto probabilmente sottovalutato è il rischio di contenzioso che ne deriva.

Se il problema è la progettazione, allora è sistemico.

E se è sistemico, colpisce tutti gli utenti in modo simile.

Questo è esattamente il tipo di scenario che alimenta le azioni collettive, specialmente negli Stati Uniti, o le cause civili che stanno già proliferando in Europa su diverse questioni.

Possiamo aspettarci:

• ricorsi intentati per conto di gruppi di utenti, in particolare minori
• argomentazioni relative alla dipendenza, alla salute mentale e alla perdita di controllo
• attenzione su caratteristiche specifiche piuttosto che sulle piattaforme nel loro complesso

Dal punto di vista del rischio, questo è significativo.

Perché la scalabilità funziona in entrambi i sensi.

La stessa caratteristica di progettazione che aumenta il coinvolgimento... aumenta anche la responsabilità.

Responsabilità nella progettazione delle piattaforme in Europa: saremo i prossimi?

La domanda ovvia è se questa tendenza rimarrà un problema degli Stati Uniti.

Non sarà così.

L'Europa dispone già degli strumenti giuridici per muoversi nella stessa direzione.

Il Digital Services Act impone alle grandi piattaforme di valutare e mitigare i rischi sistemici.

Il Regolamento generale sulla protezione dei dati (GDPR) disciplina già la profilazione e il targeting comportamentale.

La legge sull'intelligenza artificiale imporrà obblighi ai sistemi basati sull'IA che influenzano il comportamento.

E, cosa importante, la direttiva UE sulle azioni rappresentative a tutela degli interessi collettivi dei consumatori consente le class actions.

Mettendo insieme tutti questi elementi, il quadro è piuttosto chiaro.

Anche senza una norma esplicita sul “design che crea dipendenza”, il quadro giuridico esiste già.

Basta solo utilizzarlo.

Il vero problema: il design sta diventando una questione di conformità

È qui che le aziende devono ripensare il loro approccio.

Il design delle piattaforme è sempre stato considerato una decisione relativa al prodotto.

Qualcosa per gli ingegneri e i team UX.

Non è più così.

Il design sta diventando una questione di conformità.

E questo ha conseguenze molto concrete.

Le aziende dovrebbero iniziare a chiedersi:

• Siamo in grado di giustificare i nostri meccanismi di coinvolgimento da un punto di vista legale?
• Abbiamo valutato l'impatto comportamentale delle nostre funzionalità?
• Possiamo dimostrare di aver mitigato i rischi prevedibili?

Questo non è molto diverso da ciò che già facciamo con la protezione dei dati o la governance dell'IA.

La differenza è che ora questo si applica all'esperienza utente.

Responsabilità dell'IA e della progettazione delle piattaforme: la stessa discussione

È impossibile separare questa discussione dall'intelligenza artificiale.

Le funzionalità sotto esame non sono statiche.

Sono guidate da algoritmi che ottimizzano continuamente il coinvolgimento degli utenti.

Ciò significa che il vero motore alla base della progettazione delle piattaforme è l'IA.

Quindi, quando parliamo di responsabilità nella progettazione delle piattaforme, parliamo anche di responsabilità dell'IA.

E questo solleva questioni più complesse:

• Se un algoritmo impara a massimizzare il coinvolgimento in modo dannoso, chi è responsabile?
• È possibile dimostrare la conformità quando i sistemi si evolvono dinamicamente?
• La trasparenza è sufficiente o servono dei vincoli di progettazione?

Queste sono le domande a cui le autorità di regolamentazione non hanno ancora dato una risposta completa.

Ma i tribunali stanno iniziando a farlo.

Cosa dovrebbero fare le aziende adesso

Aspettare una regolamentazione chiara non è una strategia.

La direzione da seguire è già visibile.

Le aziende dovrebbero iniziare ad agire subito.

Da un punto di vista pratico, ciò significa:

1. Rivedere le scelte di progettazione

Identificare le funzionalità che potrebbero creare rischi comportamentali.

2. Integrare la funzione legale nei team di prodotto

La revisione legale non può intervenire solo alla fine. Deve essere parte integrante della fase di progettazione.

3. Rafforzare la governance dell'IA

I sistemi di raccomandazione dovrebbero essere valutati non solo in termini di parzialità, ma anche di impatto comportamentale.

4. Documentare le decisioni

In caso di contenzioso, essere in grado di dimostrare il proprio ragionamento farà la differenza.

Conclusione: questo è solo l'inizio

La responsabilità per la progettazione delle piattaforme è ormai una realtà, e il caso Meta e Google è solo l'inizio.

Stiamo entrando in una fase in cui le piattaforme non vengono più valutate solo in base a ciò che ospitano, ma anche in base a come influenzano il comportamento.

Si tratta di un livello di scrutinio molto più approfondito.

Ed è anche molto più difficile da gestire.

Perché va al cuore di come sono costruiti i servizi digitali.

Una riflessione finale

Se le piattaforme sono progettate per plasmare il comportamento... a che punto l'ottimizzazione diventa responsabilità?

E siamo pronti per un mondo in cui le scelte di progettazione vengono giudicate in tribunale proprio come qualsiasi altra caratteristica di un prodotto?

Su un argomento simile, potete leggere l’articolo “Perché Meta non può rinunciare al fact-checking in Europa con il DSA”.

Autore: Giulio Coraggio

 

Privacy and Cybersecurity

Il double opt-in come stato dell’arte per il consenso al marketing: l’Autorità italiana per la protezione dei dati conferma la propria posizione

Con una recente decisione, il Garante per la protezione dei dati personali (Garante) ha ribadito ancora una volta un principio che si sta sempre più consolidando nella sua prassi: il meccanismo del double opt-in rappresenta lo stato dell’arte per l’ottenimento del consenso a fini di marketing.

La decisione, adottata nei confronti di una nota società operante nel settore energetico, si inserisce in una più ampia linea di precedenti azioni di contrasto e conferma una posizione normativa ormai chiara in materia di consenso.

Il caso riguardava una società che aveva implementato pratiche di marketing non conformi al Regolamento generale sulla protezione dei dati (GDPR). Tra le principali criticità individuate figurava la mancata adozione di misure tecniche adeguate in grado di verificare in modo efficace e dimostrabile che il consenso fosse stato validamente prestato dagli interessati.

In particolare, l'azienda si limitava a raccogliere il consenso attraverso metodi non sufficientemente affidabili dal punto di vista della responsabilità e della prova, senza implementare sistemi in grado di verificarne l'autenticità. Questo approccio è stato ritenuto inadeguato dal Garante, in quanto non garantisce che il consenso sia stato effettivamente prestato dall'interessato.

Il ruolo del double opt-in

Nella sua decisione, il Garante sottolinea la necessità di adottare strumenti che garantiscano la piena tracciabilità del consenso e la sua effettiva attribuzione all'interessato.

In questo contesto, il meccanismo del double opt-in svolge un ruolo fondamentale. Si tratta di un processo in due fasi: un'espressione iniziale del consenso (ad esempio, tramite un modulo online) seguita da una fase di conferma, tipicamente effettuata tramite un link inviato via e-mail o un codice inviato via SMS. Solo dopo questa seconda azione il consenso può essere considerato validamente ottenuto.

Questo sistema non solo consente di verificare l’esattezza dei dati di contatto forniti, ma permette anche di dimostrare in modo più solido che il consenso sia stato effettivamente espresso dall’interessato.

Il Garante rileva che, sebbene anche altre soluzioni tecniche possano garantire livelli adeguati di tracciabilità e sicurezza, il double opt-in rappresenta attualmente il metodo che offre le garanzie più solide in termini di prova del consenso. Per questo motivo, anche se non è espressamente richiesto dal GDPR o dal Codice della Privacy italiano, è considerato lo stato dell’arte nella raccolta del consenso per finalità di marketing e telemarketing.

Secondo il Garante, tale meccanismo costituisce il modo più efficace per accertare la reale intenzione dell’utente, riducendo il rischio di un consenso non informato, fraudolento o comunque non valido.

Conclusioni

Dalla decisione emerge chiaramente che l'approccio del Garante si sta orientando sempre più verso il trattamento del double opt-in come requisito di fatto nelle attività di trattamento relative al marketing.

Infatti, questa decisione fa parte di una linea di applicazione già consolidata e rafforza ulteriormente il ruolo centrale di questo meccanismo all'interno del quadro della protezione dei dati.

Per le aziende, ciò implica la necessità di rivedere i propri processi di raccolta del consenso e di implementare soluzioni tecniche in grado di garantire validità, tracciabilità e responsabilità a lungo termine.

In definitiva, il double opt-in non è più solo una best practice, ma un elemento sempre più essenziale per operare in conformità con la normativa sulla protezione dei dati.

Autore: Federico Toscani

 

Proprietà intellettuale

Contraffazione e marchi notori: quando la protezione va oltre i mercati di prodotto

Con la sentenza n. 6855 del 19 febbraio 2026, la Corte di Cassazione (Sezione Penale) ha riesaminato l’ambito di protezione accordato ai marchi notori, ribadendo l’ampia portata di tale protezione nell’ordinamento giuridico, anche oltre i confini del mercato del prodotto di riferimento.

Il caso riguardava la commercializzazione di gomme da masticare la cui confezione recava segni contraffatti associati a case di moda famose. La Corte d’Appello di Venezia aveva confermato la condanna degli imputati per i reati di cui all’articolo 473 del Codice Penale, aggravati ai sensi dell’articolo 474-ter, ritenendo che si fosse verificata una contraffazione del marchio.

I ricorrenti sostenevano, in sostanza, che la tutela del marchio dovesse essere limitata al settore di prodotti di riferimento e che non potesse sussistere alcuna violazione qualora i prodotti in questione fossero del tutto estranei a quelli tradizionalmente commercializzati con il marchio originale.

La Corte di Cassazione ha respinto tale argomentazione, richiamando il principio consolidato secondo cui i marchi che godono di notorietà beneficiano della cosiddetta tutela “intersettoriale” (ultra-merchandise), che costituisce una deroga al tradizionale principio di specialità.

In particolare, ai sensi dell’articolo 20, comma 1, lettera c), del Codice della proprietà industriale italiano, il titolare di un marchio rinomato ha il diritto di vietare a terzi, senza il suo consenso, l’uso di segni identici o simili anche in relazione a prodotti o servizi non simili, qualora tale uso tragga indebitamente vantaggio dal carattere distintivo o dalla rinomanza del marchio o sia lesivo degli stessi.

Disposizioni equivalenti sono previste dal diritto dell’Unione, in particolare dall’articolo 10, paragrafo 2, lettera c), della direttiva (UE) 2015/2436 e dall’articolo 9, paragrafo 2, lettera c), del regolamento (UE) 2017/1001, a conferma della natura armonizzata della protezione dei marchi in tutta l’Unione.

In tale contesto, la Corte ha ribadito che, nei casi riguardanti marchi rinomati, non è necessario stabilire un rischio di confusione in senso stretto. È sufficiente che il pubblico di riferimento sia in grado di stabilire un nesso tra il marchio anteriore e il segno successivo, consentendo così al terzo di trarre indebitamente vantaggio dal carattere distintivo del marchio o dal suo potere di attrazione.

Di conseguenza, si ha contraffazione ogniqualvolta l’uso del segno dia luogo a una forma di associazione parassitaria con il marchio anteriore, anche in assenza di somiglianza tra i prodotti, sfruttando il prestigio e la reputazione acquisiti dal titolare del marchio.

Sia la giurisprudenza civile che quella penale hanno costantemente avallato questo approccio, riconoscendo che i marchi rinomati meritano una maggiore protezione alla luce del loro valore economico e della loro funzione comunicativa sul mercato.

Da un punto di vista sistematico, la protezione dei marchi rinomati mira tradizionalmente a prevenire tre distinti tipi di danno:

• la diluizione (confusione), consistente nell'indebolimento del carattere distintivo del marchio;
• il danno alla reputazione (tarnishment), che incide negativamente sull’immagine e sul potere evocativo del segno;
• il free riding, ovvero il vantaggio indebito ottenuto sfruttando la reputazione del marchio altrui.

In tale contesto, la sentenza in esame si allinea a una giurisprudenza ormai consolidata, confermando che l’uso non autorizzato di marchi notori su prodotti appartenenti a settori merceologici del tutto diversi – come nel caso di specie – costituisce contraffazione del marchio qualora consenta uno sfruttamento parassitario del segno.

Ciò si traduce in un rafforzamento del livello di tutela per i titolari di marchi rinomati, volto a salvaguardare non solo la funzione distintiva del marchio, ma anche il suo valore reputazionale, evocativo e commerciale, impedendo così qualsiasi forma di indebita appropriazione sul mercato.

Autrice: Maria Vittoria Pessina

 

Giochi e scommesse

Norme italiane sulla pubblicità del gioco responsabile: obblighi rigorosi, ma un'opportunità strategica

La pubblicità italiana sul gioco responsabile sta entrando in una nuova fase in cui rigidi obblighi normativi coesistono con una reale opportunità per gli operatori di comunicare il proprio marchio.

L'AGCOM, l'Autorità per le comunicazioni in Italia, ha pubblicato una nuova bozza di linee guida volta a definire in che modo gli operatori possano realizzare campagne sul gioco responsabile senza violare il divieto generale di pubblicità del gioco d'azzardo.

Il quadro giuridico: un divieto con un'eccezione incorporata

Per comprendere il significato di queste norme, è necessario esaminare il quadro giuridico più ampio.

Dal 2018, l'Italia ha applicato un divieto quasi totale sulla pubblicità del gioco d'azzardo ai sensi del Decreto Dignità. Il divieto copre praticamente tutte le forme di comunicazione promozionale, sia online che offline, anche se ciò ha portato alla proliferazione di notizie, video e piattaforme di social media che fanno indirettamente riferimento ai marchi del gioco d'azzardo.

Si è verificato un cambiamento significativo con l'introduzione del nuovo regime di licenze a distanza, che richiede agli operatori di condurre campagne sul gioco responsabile che facciano esplicito riferimento al proprio marchio.

Ciò crea una tensione strutturale:

• la pubblicità è vietata;
• ma è richiesta la comunicazione sul gioco responsabile.

Per affrontare questo problema, l'AGCOM ha ora tentato di definire una ristretta "zona sicura" in cui tali campagne possano esistere senza violare il divieto.

L'obbligo fondamentale: il gioco responsabile non è pubblicità

Il punto di partenza è chiaro e intransigente.

La posizione dell’AGCOM è che:

la comunicazione sul gioco responsabile non è pubblicità, a condizione che non contenga alcun elemento promozionale.

Per rimanere conformi, gli operatori devono garantire che le loro campagne:

• evitino qualsiasi incentivo diretto o indiretto al gioco;
• escludano obiettivi commerciali o di branding;
• si concentrino esclusivamente sulla salute pubblica e sulla tutela degli utenti.

Le norme di comunicazione: un perimetro altamente restrittivo

Il quadro normativo italiano sulla pubblicità del gioco responsabile impone limitazioni dettagliate e rigorose.

Gli operatori devono evitare:

• qualsiasi linguaggio che inviti all'azione;
• riferimenti a bonus, quote, jackpot o vincite;
• elementi visivi legati all'esperienza di gioco (app, interfacce, schermate di scommessa);
• messaggi emotivi o che suscitano aspirazioni.

Anche le testimonianze sono soggette a forti restrizioni, in particolare quando potrebbero attrarre un pubblico vulnerabile come i minori o gli anziani.

Inoltre, le linee guida introducono un rigoroso principio di “divieto di link”:

• nessun link a piattaforme di gioco d'azzardo;
• nessun link a siti web collegati all'operatore, nemmeno indirettamente.

Inoltre, l'AGCOM scoraggia i formati brevi come banner o brevi video, in quanto ritenuti insufficienti a trasmettere messaggi significativi sul gioco responsabile.

Anche il branding è significativamente limitato:

• i loghi devono servire solo come “firma” dell’iniziativa;
• devono apparire in una posizione secondaria e non prominente;
• le loro dimensioni e visibilità devono essere limitate.

L'obbligo finanziario: un investimento obbligatorio

Il quadro normativo è rafforzato da un requisito finanziario vincolante previsto dal nuovo regime di licenze.

Gli operatori autorizzati sono tenuti a destinare su base annuale un importo pari allo 0,2% dei propri ricavi netti a campagne sul gioco responsabile, fino a un massimo di 1 milione di euro.

Si tratta di un obbligo: è una condizione per il possesso della licenza.

Di conseguenza, gli operatori si trovano ad affrontare un doppio vincolo:

• devono investire un importo minimo;
• devono rispettare le norme in materia di comunicazione.

Dove risiede l'opportunità

Nonostante questi vincoli, c'è un aspetto che non va trascurato.

In un mercato in cui la pubblicità tradizionale è quasi del tutto vietata, la pubblicità italiana sul gioco responsabile diventa uno dei pochissimi canali legalmente praticabili per comunicare con il pubblico.

Due elementi sono particolarmente rilevanti:

• l'obbligo che le campagne facciano riferimento al marchio dell'operatore;
• la possibilità, entro limiti rigorosi, di aumentare la notorietà di quel marchio.

Ciò che formalmente è un obbligo di conformità può, nella pratica, diventare un'opportunità di comunicazione strategica, a condizione che sia attentamente progettata.

Gli operatori dovranno:

• sviluppare campagne che siano pienamente conformi ma comunque di grande impatto;
• ripensare a come trasmettere l'identità del marchio senza ricorrere a un linguaggio promozionale;
• integrare competenze legali e di marketing nella progettazione delle campagne.

La conformità è ora una funzione strategica

Il nuovo quadro normativo italiano sulla pubblicità del gioco responsabile non è solo un altro requisito normativo.

Cambia radicalmente il modo in cui gli operatori affrontano la comunicazione.

Richiede:

• una riprogettazione delle strategie di comunicazione;
• uno stretto allineamento tra i team di marketing e quelli legali;
• solidi controlli interni per prevenire violazioni del divieto di pubblicità.

Perché in un mercato in cui la pubblicità è in gran parte vietata, ogni opportunità di comunicazione conforme diventa strategicamente preziosa.

Cosa succederà

Le linee guida sono attualmente oggetto di una consultazione pubblica di 30 giorni. Sebbene non siano previsti cambiamenti significativi, il dibattito è destinato a continuare.

In prospettiva, non si può escludere una riforma più ampia delle norme sulla pubblicità del gioco d'azzardo, in particolare alla luce delle pressioni finanziarie che gravano su settori come il calcio professionistico, che storicamente hanno fatto affidamento sui ricavi derivanti dalle sponsorizzazioni legate al gioco d'azzardo.

È possibile leggere informazioni sui diversi regimi di gioco d'azzardo in quasi 50 giurisdizioni nella guida DLA Piper Gambling Laws of the World.

Autore: Giulio Coraggio

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Josaphat Manzoni, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.