Innovation Law Insights

Privacy and Cybersecurity 

Cyber Resilience Act dell’UE: la Commissione pubblica una bozza di linee guida per supportare le aziende nella conformità

La Commissione europea ha appena pubblicato, per consultazione pubblica, l’attesa bozza di linee guida volta ad assistere le imprese nell’applicazione del Cyber Resilience Act (CRA), una normativa fondamentale dell’UE che mira a rafforzare la sicurezza informatica nel panorama dei prodotti digitali.

La bozza è ora aperta ai contributi degli stakeholder fino al 31 marzo 2026 e mira a chiarire alcune questioni chiave relative all’implementazione della normativa, al fine di garantire coerenza ed efficacia nell’applicazione in tutta l’Unione europea.

Il CRA rappresenta uno dei provvedimenti legislativi più ambiziosi adottati dall’UE in materia di cybersecurity. Esso impone rigorosi requisiti di sicurezza per i prodotti con elementi digitali, che vanno dai dispositivi connessi ai software embedded.

Mentre le imprese si preparano all’implementazione graduale del CRA – con obblighi di segnalazione a partire da settembre 2026 e applicazione completa entro dicembre 2027 – queste linee guida svolgono un ruolo cruciale nel tradurre il testo normativo in percorsi concreti di conformità.

Cos’è il Cyber Resilience Act

Il Cyber Resilience Act (Regolamento UE 2024/2847) introduce requisiti orizzontali di sicurezza informatica per i prodotti con elementi digitali venduti o resi disponibili sul mercato dell’UE.

La normativa richiede che fabbricanti, importatori e distributori garantiscano che i prodotti siano:

• progettati in modo sicuro (“secure by design”)
• mantenuti sicuri durante l’intero ciclo di vita.

Il CRA introduce obblighi lungo tutto il ciclo di vita del prodotto, tra cui:

• gestione delle vulnerabilità;
• segnalazione degli incidenti;
• aggiornamenti di sicurezza.

L’obiettivo è ridurre il rischio sistemico in un ecosistema digitale sempre più connesso.

A differenza dei precedenti quadri normativi, che si concentravano principalmente sulla sicurezza informatica delle organizzazioni, il CRA si applica direttamente ai prodotti, tra cui:

• dispositivi wearable intelligenti;
• dispositivi IoT;
• componenti software embedded.

In questo contesto, la cyber-resilienza diventa un prerequisito per l’accesso al mercato e per la marcatura CE nell’Unione europea.

Finalità e ambito della bozza di linee guida sul CRA

La bozza di linee guida della Commissione mira a chiarire diversi elementi complessi del CRA per supportare sia microimprese, PMI e grandi produttori nella comprensione dei propri obblighi.

Il documento è destinato ad aiutare diversi stakeholder – dagli sviluppatori software ai produttori hardware fino agli organismi di valutazione della conformità – evidenziando questioni interpretative e aspetti pratici di compliance.

Tra i principali temi affrontati nella guida figurano:

1. Ambito di applicazione e immissione sul mercato

Comprendere quando e come un prodotto è considerato “immesso sul mercato” ai sensi del CRA rappresenta una questione fondamentale per la conformità.

Le linee guida chiariscono questo principio, incluso:

• come si applica ai prodotti sviluppati prima della data di applicazione del CRA;
• l’interpretazione di concetti chiave come i prodotti con elementi digitali.

2. Soluzioni di elaborazione dati da remoto

Con la crescente diffusione dei servizi cloud, la guida fornisce indicazioni interpretative su come le soluzioni di elaborazione dati da remoto rientrino nell’ambito del CRA.

In particolare, spiega come applicare il test di dipendenza funzionale per determinare se un prodotto con componenti remoti debba essere conforme al regolamento.

3. Software libero e open source (FOSS)

Uno dei temi più discussi riguarda il trattamento del software libero e open source.

La guida chiarisce quando il software open source può rientrare nell’ambito del CRA, in particolare quando:

• viene monetizzato;
• viene distribuito commercialmente.

Inoltre, affronta le responsabilità dei gestori o steward di progetti open source che contribuiscono a prodotti soggetti al CRA.

4. Periodi di supporto

Il CRA richiede ai produttori di fornire aggiornamenti di sicurezza per un determinato periodo di supporto.

La guida fornisce indicazioni su come interpretare e implementare tali obblighi, che rappresentano una sfida concreta per i team di sviluppo nella pianificazione:

• delle release;
• della manutenzione a lungo termine.

5. Modifiche sostanziali e parti di ricambio

Il documento chiarisce cosa si intenda per modifica sostanziale di un prodotto.

Questo aspetto è rilevante perché determina se un prodotto debba essere nuovamente sottoposto a valutazione di conformità dopo modifiche significative.

6. Obblighi di segnalazione e interazione con altre normative

Le linee guida affrontano anche:

• gli obblighi di segnalazione delle vulnerabilità sfruttate e degli incidenti di sicurezza;
• l’interazione del CRA con altre normative europee in materia digitale e di cybersecurity, come NIS2 e il futuro quadro europeo degli standard di cybersecurity.

Perché queste linee guida sono importanti

La bozza di linee guida non solo supporta la conformità normativa, ma contribuisce anche a ridurre la frammentazione nell’attuazione del CRA tra gli Stati membri e le autorità di vigilanza del mercato.

Chiarendo concetti e fornendo esempi pratici, il documento aiuta gli stakeholder a:

• gestire i rischi di conformità;
• prepararsi alle prossime tappe di implementazione del CRA.

Tra queste rientra anche il lancio della Single Reporting Platform di ENISA, destinata alla segnalazione coordinata di vulnerabilità e incidenti.

Per produttori e fornitori tecnologici, queste linee guida sono particolarmente rilevanti mentre il CRA passa dalla fase normativa a quella di implementazione concreta.

È probabile che il documento influenzi:

• le procedure di valutazione della conformità;
• gli obblighi dei fornitori;
• le pratiche di documentazione della conformità nel corso del 2026 e negli anni successivi.

Prossimi passi e come partecipare

I commenti alla bozza di linee guida possono essere presentati fino al 31 marzo 2026.

Le aziende e le associazioni di settore sono invitate a partecipare attivamente alla consultazione, fornendo osservazioni su eventuali parti del documento che risultino:

• ambigue;
• difficili da implementare.

Il contributo degli stakeholder sarà fondamentale per affinare le linee guida prima della loro adozione definitiva.

Con l’avvicinarsi delle scadenze di attuazione del CRA, le organizzazioni dovrebbero:

• istituire team interfunzionali interni per la conformità;
• rivedere i portafogli prodotti e le pipeline di sviluppo alla luce dei requisiti CRA;
• verificare se le attuali pratiche di aggiornamento e supporto siano allineate ai periodi di supporto previsti dal regolamento;
• prepararsi agli obblighi iniziali di segnalazione a partire da settembre 2026.

Conclusione

La bozza di linee guida sul Cyber Resilience Act dell’UE rappresenta una tappa significativa nel percorso di implementazione del CRA.

Essa riflette l’impegno dell’Unione europea nel:

• armonizzare i requisiti di cybersecurity
• fornire alle aziende strumenti interpretativi utili per conformarsi efficacemente a una delle più complete normative al mondo sulla sicurezza informatica dei prodotti digitali.

Poiché la cybersecurity assume un ruolo sempre più strategico, una partecipazione proattiva al processo di consultazione consentirà alle organizzazioni di contribuire a risultati normativi pratici e coerenti, garantendo prodotti digitali sicuri per consumatori e imprese europee.

Autore: Giulio Coraggio

 

Intellectual Property

La persona esperta del ramo e la common general knowledge secondo l'UPC

Con decisione del 16 gennaio 2026, emessa all'esito di un procedimento avente ad oggetto la validità e la contraffazione di un brevetto relativo a un dispositivo di chiusura per porte di veicoli, la Divisione locale di Parigi ha fornito alcuni chiarimenti in merito alla nozione di persona esperta del ramo e di "common general knowledge".

Secondo quanto statuito, la persona esperta del ramo è una figura che opera nel settore tecnico in cui sorge il problema tecnico che l’invenzione si propone di risolvere, dispone di conoscenze tecniche di base e competenze di medio livello, e che è in grado di svolgere attività di routine in linea con le sue conoscenze generali, quelle del settore di riferimento e quelle ricomprese nello stato dell'arte.

Ne consegue che la persona esperta del ramo, come già chiarito dalla Corte d'Appello in una precedente e rilevante pronuncia, non possiede capacità inventiva propria, ma necessita di un'indicazione o di una motivazione che, muovendo da un punto di partenza realistico, la orienti verso l'invenzione oggetto del brevetto.

Quanto alla nozione di "common general knowledge", secondo la Corte essa comprende quelle conoscenze che si suppone che la persona esperta del ramo possieda o possa reperire ricorrendo a fonti affidabili e generalmente utilizzate nel settore, quali manuali, testi scientifici, enciclopedie o banche dati specialistiche di uso corrente. Non comprende, invece, eventuali documenti riservati, come disegni industriali non accessibili al pubblico, né prodotti il cui funzionamento non può essere facilmente compreso senza ulteriori operazioni, quali lo smontaggio.

La pronuncia ha inoltre ribadito quanto in precedenza affermato dalla Divisione Centrale di Parigi, ovvero che la "common general knowledge" non coincide necessariamente con tutto quanto è pubblicamente accessibile (c.d. "public knowledge"), nozione questa che può includere anche conoscenze che vanno oltre quelle che formano il bagaglio di conoscenze generale della persona esperta del ramo.

Quanto infine all'onere della prova, la Corte ha riaffermato il principio secondo cui spetta alla parte che invoca determinate conoscenze dimostrarne l’effettiva appartenenza al bagaglio tecnico comune alla data di deposito della domanda di brevetto o della priorità da questa rivendicata.

Applicando i principi sopra riassunti al caso in esame, così come gli ulteriori criteri in precedenza elaborati dalla Corte d'Appello per la valutazione dell'attività inventiva, i giudici hanno concluso per la validità del brevetto, e per la sua violazione.

Sempre in materia di UPC, può essere interessante il seguente articolo: "L’UPC è una “common court” tra gli Stati membri ed è conforme al diritto dell’Unione: la decisione della Corte d’Appello".

Autrice: Camila Francesca Crisci

 

Impressione generale e invalidità del design: il caso LEGO

Con la sentenza resa nella causa T-628/24, il Tribunale dell'Unione europea ha fornito un’ulteriore e significativa puntualizzazione dei criteri applicabili all’accertamento del carattere individuale ai sensi del Regolamento (CE) n. 6/2002, applicabile ratione temporis poiché il procedimento era stato introdotto nel 2021.

La decisione conserva piena attualità anche sotto il vigente Regolamento (UE) 2024/2822, che ha rifuso la disciplina dei design dell’Unione senza modificare il parametro sostanziale dell’“impressione generale” sull’utilizzatore informato.

Nel merito, il Tribunale conferma l’invalidità di un design registrato da LEGO A/S relativo a un elemento modulare da costruzione.

La controversia trae origine da una domanda di nullità proposta dinanzi all’EUIPO da un concorrente del settore dei giocattoli modulari, volta a far dichiarare l’assenza di carattere individuale del modello registrato. L’Ufficio accoglie l’istanza, ritenendo che il design impugnato non produca, rispetto a un anteriore già divulgato, un’impressione generale differente sull’utilizzatore informato. Investito del ricorso, il Tribunale conferma integralmente tale conclusione.

La pronuncia si colloca nel solco di un orientamento giurisprudenziale ormai consolidato e ne ribadisce, con formulazione lineare, la sequenza metodologica che governa l’accertamento del carattere individuale. L’esame richiede di:

• individuare il settore di riferimento cui appartengono i prodotti;
• identificare l’utilizzatore informato, alla luce della funzione del prodotto e del grado di conoscenza dello stato dell’arte;
• determinare il grado di libertà del designer, la cui incidenza sul carattere individuale è inversamente proporzionale;
• procedere, infine, al confronto — ove possibile diretto — tra le impressioni generali suscitate dal design contestato e da ciascun anteriore rilevante.

È proprio su quest’ultimo passaggio che la decisione assume rilievo.

Il design registrato presenta alcune differenze rispetto al modello anteriore: proporzioni diverse, differente numero di elementi cilindrici superiori, talune variazioni nella parte inferiore. Tuttavia, secondo il Tribunale, tali divergenze non incidono in misura tale da modificare la percezione complessiva del prodotto.

Ciò che rileva non è la mera individuazione di differenze descrittive, ma il loro peso percettivo. Nel caso di specie, gli elementi visivamente dominanti – la forma generale del blocco, la disposizione regolare degli elementi sporgenti, la configurazione del sistema di aggancio – risultano sostanzialmente coincidenti. L’impressione globale rimane, quindi, la stessa.

Il Tribunale precisa, inoltre, che dettagli marginali o parti normalmente non visibili nell’uso ordinario non possono fondare, isolatamente considerati, il carattere individuale qualora l’insieme formale resti invariato. Il giudizio deve essere sintetico e globale, non frammentato.

La sentenza ribadisce così un principio cardine in materia: non basta riscontrare differenze oggettive tra due design, ma è necessario che tali differenze incidano concretamente sulla percezione dell’utilizzatore informato, determinando un’impressione generale effettivamente diversa. La validità di un design si fonda dunque non sulla mera elencazione delle divergenze formali, ma sull’effetto complessivo che la forma produce nel suo insieme.

Su un simile argomento può essere interessante l'articolo "Design package dell'UE su protezione disegni e modelli industriali".

Autrice: Rebecca Rossi

 

Technology, Media and Telecommunications

Avviata dall'AGCom la consultazione pubblica per l’aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili

Con la Delibera n. 3/26/CIR pubblicata lo scorso 18 febbraio l’AGCom ha avviato una consultazione pubblica avente ad oggetto l’aggiornamento del quadro regolamentare riguardante la portabilità dei numeri per i servizi di comunicazioni mobili e personali (Mobile Number Portability – "MNP") di cui all’Allegato 1 alla Delibera n. 147/11/CIR (di seguito, il "Regolamento MNP").

L'iniziativa fa seguito al procedimento avviato con Delibera n. 12/25/CIR in cui l'Autorità ha espresso i propri orientamenti sui medesimi temi, posti adesso in consultazione pubblica, e si colloca nel quadro dell’attuazione dell’art. 98-duodecies, comma 1-bis, del Codice delle Comunicazioni Elettroniche (d. lgs. n. 259/2003 e ss. mm. – CCE).

Tale disposizione – come modificata dalla Legge 16 dicembre 2024, n. 193 (Legge annuale per il mercato e la concorrenza 2023) – pone il divieto per i fornitori di reti o servizi di comunicazione elettronica di utilizzare le informazioni acquisite tramite il database per la portabilità dei numeri mobili al fine di formulare offerte agli utenti finali con condizioni differenziate in ragione dell’operatore di provenienza e assegna all’AGCom il compito di aggiornare il Regolamento MNP introducendo modalità di monitoraggio e vigilanza del database.

Con riferimento al divieto posto dalla predetta disposizione, l’Autorità ritiene necessario perimetrarne in maniera chiara la portata e l’ambito di applicazione, proponendo di introdurre un'attività di monitoraggio attuata mediante la periodica acquisizione di report recanti elementi informativi trasmessi direttamente dagli operatori, dai quali possa emergere – anche sotto il profilo statistico – un possibile utilizzo delle informazioni relative alla portabilità per la promozione di offerte commerciali differenziate in ragione dell’operatore di provenienza.

Il documento in consultazione riporta, inoltre, alcune proposte di modifica e integrazione al Regolamento MNP. In particolare, l'Autorità prevede:

• l'introduzione di un espresso richiamo nelle disposizioni di carattere generale del divieto di utilizzo per fini commerciali delle informazioni concernenti il processo di portabilità;
• la previsione di uno specifico monitoraggio nell'ambito della comunicazione dei dati MNP per tenere conto dei flussi della portabilità al fine di assicurare un utilizzo del database per la portabilità dei numeri mobili conformemente a quanto previsto dal comma 1-bis sopra citato.

Il Documento di consultazione evidenzia infine l’intenzione di avviare un Tavolo tecnico di confronto con gli operatori, coordinato dall’AGCom, nell’ambito del quale sarà possibile approfondire l’efficacia delle misure già adottate e valutare anche i profili di sostenibilità economica di eventuali nuove misure.

I soggetti interessati alla consultazione pubblica possono presentare le proprie osservazioni e valutazioni circa gli orientamenti e le proposte di modifica o integrazione dell'Autorità entro il 20 marzo 2026.

Su un simile argomento può essere interessante l’articolo "Avviato dall'AGCom il procedimento per l’aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili".

Autori: Massimo D'Andrea, Matilde Losa, Arianna Porretti

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.