Innovation Law Insights

Legal Break 

La nuova tassa italiana sul diritto d’autore per la copia privata spiegata bene: cosa significa per imprese e utenti

L’Italia sta applicando un meccanismo di diritto d’autore ormai superato ai moderni servizi cloud? In questo episodio, Roberto Valenti (Partner dello studio legale DLA Piper) spiega la decisione del Ministero della Cultura di estendere il compenso per la copia privata anche ai servizi di cloud storage. Guarda il video sull’argomento qui.

 

Artificial Intelligence 

La bozza di Codice di buone pratiche sulla marcatura e l'etichettatura dei contenuti generati dall’IA

Il 3 marzo 2026 è stata pubblicata la seconda bozza del codice di buone pratiche ("code of practice") sulla marcatura e l'etichettatura dei contenuti generati dall'AI (il "Codice"), elaborata sotto il coordinamento dell’AI Office attraverso due gruppi di lavoro dedicati, rispettivamente, agli obblighi per provider e deployer previsti dall'art. 50 AI Act.

L’art. 50 AI Act introduce obblighi di trasparenza mirati per i sistemi che generano o manipolano contenuti audio, visivi, audiovisivi o testuali. Tali obblighi si articolano lungo l’intera catena del valore: da un lato i fornitori (provider) sono chiamati a garantire che i contenuti siano tecnicamente marcati e rilevabili come artificiali; dall’altro i deployer sono responsabili della disclosure verso il pubblico nei casi di deepfake e di testi generati per informare su questioni di interesse pubblico.

I codici di buone pratiche assumono qui una funzione essenziale: non sostituiscono la norma primaria, ma ne facilitano l’applicazione, offrendo un quadro di riferimento condiviso per dimostrare la conformità agli obblighi del Regolamento. L’adesione, senza comportare una presunzione assoluta di compliance, costituisce un elemento rilevante nel dialogo con le autorità di sorveglianza e nella costruzione di percorsi credibili di accountability.

1. Finalità e struttura del Codice

Il Code distingue con chiarezza tra responsabilità di fornitori/provider e deployer.

Per i providers di sistemi di AI generativa, l’attenzione si concentra su:

• marking machine-readable dei contenuti, mediante watermark impercettibili, metadati e, ove necessario, meccanismi di fingerprinting o logging;
• detection, attraverso interfacce o detector accessibili anche a terzi, capaci di verificare l’origine artificiale del contenuto;
• tracciabilità della provenance chain, ossia della sequenza di interventi umani e artificiali sul contenuto.

Per i deployers, il punto principale è il labelling dei contenuti, per assicurare trasparenza verso il pubblico, attraverso:

• l'applicazione di un’icona o di un disclaimer per segnalare deepfake e testi AI-generated di interesse pubblico;
• attenzione specifica a contesti particolari, come opere artistiche, satiriche o di finzione, dove la trasparenza deve essere garantita senza compromettere la fruizione dell’opera;

Rispetto alla prima bozza, è stata rimossa la tassonomia strutturata per distinguere contenuti pienamente AI-generated e contenuti AI-assisted, preferendo un approccio più flessibile.

Nel caso in cui un contenuto generato o manipolato tramite intelligenza artificiale sia sottoposto a controllo editoriale prima della pubblicazione, l’obbligo di segnalare esplicitamente l’origine artificiale può non applicarsi. Per poter beneficiare di questa eccezione, l’organizzazione che pubblica il contenuto deve dimostrare l’esistenza di procedure di revisione editoriale e indicare chiaramente il soggetto che assume la responsabilità editoriale della pubblicazione, assicurando così accountability e tracciabilità.

2. Scadenze e implicazioni operative

Il Codice non è vincolante, ma l'adesione alle sue misure può costituire un importante strumento per dimostrare la conformità, facilitando il rapporto con le autorità di vigilanza e riducendo l’incertezza interpretativa.

La consultazione pubblica sulla seconda bozza si è chiusa il 30 marzo 2026, lasciando alle commissioni competenti e all'AI Office le prossime settimane per lavorare sulla versione finale del Codice. La pubblicazione della versione definitiva è attesa per inizio Giugno, giusto in tempo per prepararsi alla data di applicazione dell'art. 50 che – salvo rinvii approvati con la Digital Omnibus on AI – è prevista per il 2 agosto 2026.

In attesa di ottenere indicazioni più chiare con la pubblicazione della versione definitiva del Codice, le aziende devono avviare una mappatura capillare dell’utilizzo di sistemi di AI generativa all'interno dei propri flussi di lavoro, identificando quali contenuti siano destinati al pubblico e quali siano soggetti a forme di controllo editoriale. Parallelamente, è fondamentale redigere o aggiornare le proprie AI policy interne, stabilendo protocolli chiari per l'etichettatura preventiva e la documentazione dei processi di revisione umana, così da garantire una transizione fluida verso la piena conformità con i nuovi standard europei di trasparenza.

Autore: Marianna Riedo

 

DMA e IA: il Parlamento Europeo incalza la Commissione su un’applicazione più rigorosa

Il 19 marzo 2026 la Commissione per il mercato interno e la protezione dei consumatori (IMCO) del Parlamento Europeo ha approvato una proposta di risoluzione sull’applicazione del Digital Markets Act (DMA). Il documento, che sarà sottoposto al voto del Parlamento a fine aprile, mira a sollecitare la Commissione Europea a garantire un’applicazione rigorosa degli obblighi previsti dal DMA, a concludere tempestivamente i procedimenti di inosservanza attualmente in corso e ad assicurare un’applicazione coerente e orientata al futuro della normativa, anche alla luce dei rapidi sviluppi tecnologici, in particolare nei servizi basati sull’IA e nelle infrastrutture cloud.

Questa iniziativa si inserisce in un contesto in cui la Commissione Europea sta già esaminando, sotto il profilo antitrust, alcune condotte nel settore IA poste in essere dalle Big Tech.

La Commissione IMCO intende tuttavia sollecitare la Commissione Europea a sfruttare pienamente tutti gli strumenti a sua disposizione, a partire proprio dal DMA. Sebbene si tratti di un regolamento ancora in una fase iniziale di applicazione, con le conseguenti difficoltà legate a un enforcement tempestivo ed efficace, esso è stato concepito proprio per garantire la contendibilità e l’equità dei mercati digitali. Tali obiettivi risultano oggi particolarmente critici nel settore dell’IA, sempre più caratterizzato dalla presenza dominante delle grandi piattaforme tecnologiche già consolidate.

Un intervento non tempestivo e incisivo, avverte la Commissione IMCO, potrebbe favorire l’emergere di nuove forme di lock-in, pratiche di foreclosure o dinamiche di gatekeeping, in particolare laddove i gatekeeper sfruttino il controllo su dati, risorse computazionali o servizi integrati a discapito degli sviluppatori emergenti di IA e dei nuovi operatori innovativi.

Particolare attenzione, nonché preoccupazione, è rivolta dalla Commissione IMCO alla pratica, ormai consolidata, di integrazione di strumenti di ricerca e assistenti basati sull’IA all’interno dei servizi di piattaforma di base detenuti dalle grandi imprese tecnologiche, come Siri di Apple o Copilot di Microsoft. Tali strumenti stanno progressivamente diventando importanti porte di accesso a informazioni, commercio e servizi digitali, con il rischio di compromettere la contendibilità e l’equità di questi segmenti di mercato, anche alla luce della posizione di vantaggio di cui tali operatori dispongono nello sviluppo, addestramento e distribuzione dei sistemi di IA.

Nell’attesa dell’eventuale approvazione della risoluzione da parte del Parlamento, è comunque possibile osservare come le posizioni sopra richiamate riflettano una percezione piuttosto diffusa circa la limitata incisività dell’enforcement del DMA, nonché sulle implicazioni derivanti dal posizionamento delle grandi imprese tecnologiche ai vertici del settore dell’IA.

Non deve tuttavia essere trascurato l’altro lato della medaglia. La Commissione Europea, nell’applicazione di uno strumento relativamente recente quale il DMA, in un settore in rapidissima espansione ed evoluzione come quello dell’IA, rischia di incidere negativamente sullo sviluppo del mercato intervenendo prematuramente sulle sue dinamiche concorrenziali. Il bilanciamento degli interessi che l’istituzione è chiamata a operare si presenta particolarmente complesso, anche alla luce delle pressioni provenienti da oltreoceano, volte a favorire un approccio meno rigoroso nei confronti delle imprese statunitensi, soprattutto in un contesto geopolitico delicato come quello attuale.

Se è vero che la contendibilità e l’equità nei mercati digitali possono contribuire a uno sviluppo più sano degli stessi, a beneficio in primo luogo dei consumatori, è altrettanto vero che l’intervento pubblico dovrebbe essere calibrato e limitato allo stretto necessario, al fine di non incidere in modo improprio sui processi di innovazione.

Autore: Josaphat Manzoni

 

Data Protection and Cybersecurity

Interesse legittimo ai sensi del GDPR: perché continua a fallire nella pratica (e cosa ci sta dicendo il Garante)

L’interesse legittimo ai sensi del GDPR continua a essere una delle basi giuridiche più utilizzate, ma anche una delle più fraintese. Ma quali sono le questioni principali da affrontare e come può essere utilizzato correttamente?

Il recente digest pubblicato dal Comitato europeo per la protezione dei dati (EDPB) trasmette un messaggio molto chiaro: il problema non è se l’interesse legittimo possa essere utilizzato, ma come viene applicato nella pratica. E se si osservano i recenti orientamenti sanzionatori, incluse le decisioni del Garante per la protezione dei dati personali, la direzione è coerente.

Cosa richiede davvero l’interesse legittimo ai sensi del GDPR

Ai sensi dell’articolo 6, paragrafo 1, lettera f), GDPR, l’interesse legittimo si fonda su un test in tre fasi:

• deve esistere un interesse legittimo;
• il trattamento deve essere necessario;
• l’interesse non deve prevalere sui diritti e le libertà degli interessati.

In teoria sembra semplice.
In pratica, è una delle basi giuridiche più complesse da rendere operative.

Il digest dell’EDPB, che analizza oltre 60 decisioni adottate mediante il meccanismo di One-Stop-Shop, conferma che l’interesse legittimo può coprire un’ampia gamma di scenari, dalla prevenzione delle frodi al marketing, fino allo sviluppo di sistemi di intelligenza artificiale. Ma questa flessibilità ha un costo: un onere di giustificazione molto più elevato.

Perché l’interesse legittimo ai sensi del GDPR continua a fallire

1. Assenza di una reale Valutazione dell’Interesse Legittimo (LIA)

Il primo problema ricorrente è di natura procedurale. Molte aziende semplicemente non svolgono una LIA adeguata prima di iniziare il trattamento. Ed è proprio qui che il meccanismo si inceppa. Le autorità di controllo sono molto chiare: la valutazione deve essere effettuata ex ante, non ricostruita a posteriori.

2. Interessi descritti in termini generici

Un altro schema ricorrente nella pratica, confermato dal digest, è l’utilizzo di finalità vaghe, come:

• “migliorare i servizi”;
• “misurare le performance”;
• “migliorare l’esperienza degli utenti”.

Queste formulazioni non sono sufficienti. I regolatori si aspettano che l’interesse legittimo sia chiaramente e precisamente articolato; in caso contrario, l’intero test viene meno.

3. Il test di necessità è spesso sottovalutato

Anche quando l’interesse è accettato, i titolari spesso non riescono a dimostrare che il trattamento sia necessario. Le autorità pongono sempre più spesso una domanda molto semplice: lo stesso risultato potrebbe essere ottenuto in modo meno invasivo? In molti casi la risposta è sì — ed è sufficiente per invalidare la base giuridica.

4. Il test di bilanciamento è il punto in cui si perdono più spesso i casi

Questo è il vero campo di battaglia. L’analisi non è teorica, ma si basa su come il trattamento viene percepito dall’interessato.

I fattori chiave includono:

• aspettative ragionevoli;
• livello di trasparenza;
• impatto effettivo sull’interessato.

Se il trattamento è inatteso, opaco o eccessivamente invasivo, l’interesse legittimo non regge.

La posizione del Garante sull’interesse legittimo

Particolarmente interessante è la coerenza tra questo approccio e le recenti decisioni del Garante per la protezione dei dati personali. In diversi casi, il Garante ha contestato:

• il livello insufficiente di dettaglio delle LIA;
• l’uso di valutazioni standardizzate o generiche;
• l’assenza di un reale test di bilanciamento documentato.

Il messaggio chiave è pragmatico: una LIA meramente formale non è sufficiente. Deve essere specifica, motivata e basata su evidenze.

In altre parole, non basta affermare che esiste un interesse legittimo. Occorre dimostrare:

• qual è concretamente l’interesse perseguito;
• perché il trattamento è necessario;
• come è stato valutato l’impatto sugli interessati;
• quali misure di salvaguardia sono state adottate.

Ed è proprio su questo punto che molte organizzazioni rimangono ancora esposte.

È possibile passare all’interesse legittimo in un secondo momento?

Un ulteriore chiarimento del digest dell’EDPB è particolarmente rilevante nella pratica: tentare di fare affidamento sull’interesse legittimo dopo che un’altra base giuridica è venuta meno, nella maggior parte dei casi, non è accettabile. Perché ciò compromette:

• gli obblighi di trasparenza;
• il diritto di opposizione dell’interessato.

Esistono eccezioni limitate, ma restano appunto eccezioni. Inoltre, la posizione del Garante è che non è possibile elencare più basi giuridiche per lo stesso trattamento senza indicare in modo puntuale quando ciascuna trova applicazione.

Interesse legittimo e IA: un’area di rischio crescente

Il tema diventa ancora più rilevante in relazione ai sistemi di intelligenza artificiale. L’interesse legittimo è spesso utilizzato nei trattamenti connessi all’IA per la sua flessibilità. Ma questa flessibilità può essere fuorviante.

I progetti di IA comportano tipicamente:

• finalità in evoluzione;
• riutilizzo su larga scala dei dati;
• difficoltà nel valutare l’impatto ex ante.

Tutti elementi che rendono i test di necessità e bilanciamento particolarmente complessi. Ed è proprio qui che emerge con maggiore evidenza il divario tra teoria giuridica e realtà operativa.

L’interesse legittimo è una questione di governance

La conclusione è chiara: l’interesse legittimo ai sensi del GDPR non è la via più semplice. È una delle basi giuridiche più esigenti dal punto di vista della governance.

Il cambiamento che si osserva, sia a livello EDPB sia nelle decisioni del Garante, va nella direzione di una valutazione sempre più sostanziale. Ciò implica:

• superare l’uso di modelli standard;
• integrare la LIA nei processi interni;
• allineare l’analisi giuridica alla progettazione tecnica.

Perché oggi il rischio reale non è scegliere la base giuridica sbagliata.
È presumere che l’interesse legittimo richieda meno lavoro delle altre.

Autore: Giulio Coraggio

 

Blockchain and Criptocurrency

Sanzioni e servizi di pagamento (digitali): la chiusura delle scappatoie verso la Russia

Con il regolamento (UE) 2025/2033, adottato nell'ambito del diciannovesimo pacchetto di sanzioni, l'UE ha ampliato il quadro restrittivo di cui all'articolo 5 ter, paragrafo 2, del regolamento (UE) n. 833/2014, estendendolo oltre i servizi relativi alle criptovalute a una serie definita di servizi di pagamento e di moneta elettronica. Come chiarito dalla Commissione europea nelle sue Domande frequenti ("FAQ") aggiornate il 13 marzo 2026, la disposizione modificata vieta la fornitura di tali servizi a tre specifiche categorie di destinatari: cittadini russi, persone fisiche residenti in Russia e persone giuridiche, entità o organismi stabiliti in Russia. L'importanza del nuovo quadro normativo risiede proprio nella sua struttura. Esso non impone un divieto generale sulle attività di pagamento che coinvolgono soggetti legati alla Russia, ma costruisce un divieto mirato incentrato su specifici servizi regolamentati identificati con riferimento alla legislazione finanziaria dell'UE esistente, in particolare la Direttiva (UE) 2015/2366 ("PSD2") e la Direttiva 2009/110/CE ("EMD2"). L'esercizio interpretativo è quindi altamente operativo: per i fornitori, la conformità non dipende più da una valutazione generica dell'esposizione al rischio di sanzioni, ma dalla precisa classificazione giuridica del servizio offerto, dallo status del cliente e dal ruolo funzionale svolto dal fornitore all'interno della catena di transazioni pertinente.

Ambito oggettivo dei servizi vietati

L'articolo 5 ter, paragrafo 2, stabilisce un elenco chiuso ed esaustivo dei servizi vietati, strutturato in tre categorie distinte.

• In primo luogo, la lettera a) riguarda i servizi relativi alle cripto-attività, senza ulteriori differenziazioni interne all’interno di tale disposizione, ma chiaramente intesa a coprire la gamma di attività già disciplinate dal quadro normativo dell’UE in materia.

• In secondo luogo, la lettera b) riguarda servizi di pagamento specifici, che devono essere interpretati in stretta conformità con l’articolo 4 della PSD2. In particolare, il divieto si applica a:

• l'emissione di strumenti di pagamento ai sensi dell'articolo 4, paragrafo 45, vale a dire la fornitura di strumenti che consentono a un pagatore di avviare ed elaborare operazioni di pagamento;
• l'acquisizione di operazioni di pagamento ai sensi dell'articolo 4, paragrafo 44, consistente nell'accettazione e nell'elaborazione di operazioni di pagamento per conto di un beneficiario che comportano il trasferimento di fondi;
• e alla fornitura di servizi di avvio di pagamento ai sensi dell’articolo 4, paragrafo 15, definiti come servizi che avviano un ordine di pagamento su richiesta dell’utente in relazione a un conto detenuto presso un altro fornitore.

• In terzo luogo, la lettera c) estende il divieto all’emissione di moneta elettronica, come definita all’articolo 2 della direttiva EMD2, includendo così il valore monetario memorizzato elettronicamente emesso a fronte di fondi e accettato da terzi a fini di pagamento.

La Commissione chiarisce inoltre (FAQ 10) che il divieto di cui alla lettera b) non si estende a tutti i servizi di pagamento elencati nell’allegato I alla PSD2, ma solo a quelli corrispondenti ai punti 5 e 7 di tale allegato. Di conseguenza, altri servizi di pagamento, come l'esecuzione di bonifici o il prelievo di contante, rimangono al di fuori dell'ambito di applicazione dell'articolo 5 ter, paragrafo 2. Questo chiarimento è fondamentale nella pratica, poiché conferma che la misura non è volta a limitare il movimento di fondi in quanto tale, ma piuttosto a impedire l'accesso a specifiche infrastrutture di pagamento e servizi di intermediazione che consentono il funzionamento più ampio dei sistemi di pagamento.

Ambito di applicazione soggettivo ed esenzioni

L'ambito di applicazione personale dell'articolo 5 ter, paragrafo 2, è definito attraverso una serie di criteri oggettivi e formalmente identificabili. Come chiarito nella FAQ 1, il divieto si applica esclusivamente a tre categorie di soggetti:

• cittadini russi,
• persone fisiche residenti in Russia,
• e persone giuridiche, entità o organismi stabiliti in Russia.

Tale delimitazione è particolarmente rilevante, in quanto esclude qualsiasi estensione automatica del divieto basata su strutture di proprietà o di controllo. Infatti, la Commissione afferma espressamente nella FAQ 3 che le entità costituite nell’UE o in paesi terzi rimangono al di fuori dell’ambito di applicazione della restrizione anche qualora siano di proprietà o sotto il controllo di persone russe, a meno che tali strutture non siano utilizzate per eludere il regime sanzionatorio. Tale precisazione deve essere letta in combinato disposto con l’articolo 12 del regolamento (UE) n. 833/2014, che vieta la partecipazione consapevole e intenzionale ad accordi volti ad aggirare le misure restrittive. Di conseguenza, sebbene la proprietà societaria non sia di per sé determinante, essa diventa rilevante laddove sia strumentale all’accesso indiretto a servizi vietati.

Accanto a questo ambito di applicazione mirato, l'articolo 5 ter, paragrafo 3, introduce esenzioni esplicite basate sulla nazionalità e sulla residenza. In particolare, il divieto non si applica a:

• cittadini degli Stati membri dell'UE,
• dei paesi del SEE o della Svizzera,
• né alle persone fisiche titolari di un permesso di soggiorno temporaneo o permanente in tali giurisdizioni.
• Inoltre, la Commissione chiarisce ulteriormente nella FAQ 2 che, a seconda della legislazione nazionale, tale esenzione può estendersi ai titolari di visti per soggiorni di lunga durata (come i visti di tipo D) che hanno espletato le relative formalità di registrazione e sono quindi considerati residenti legali.

Quest'ultimo elemento introduce una dimensione dinamica alla conformità, poiché l'applicabilità del divieto può cambiare nel tempo alla luce dell'evoluzione dello status di residenza dell'individuo. I fornitori sono quindi tenuti a monitorare non solo la qualifica iniziale del cliente, ma anche qualsiasi cambiamento successivo, come la perdita della residenza nell'UE, che possa far rientrare il cliente nell'ambito di applicazione dell'articolo 5b, paragrafo 2.

Implicazioni operative e modello di conformità

Da un punto di vista operativo, la Commissione adotta nella FAQ 5 un modello di conformità strettamente funzionale e basato sui servizi. L'articolo 5 ter, paragrafo 2, non impone ai prestatori di servizi di pagamento ("PSP") di rescindere i rapporti contrattuali esistenti o di chiudere i conti detenuti da clienti che rientrano nell'ambito di applicazione. I PSP possono continuare a mantenere tali rapporti e a fornire servizi non vietati. Tuttavia, il divieto si applica in egual misura ai clienti nuovi ed esistenti, con la conseguenza che i fornitori devono cessare immediatamente la fornitura di qualsiasi servizio rientrante nelle categorie vietate non appena un cliente rientra o viene a rientrare nell'ambito di applicazione. Ciò include situazioni in cui un cliente rientra nell'ambito di applicazione in una fase successiva, ad esempio quando un cittadino russo cessa di essere legalmente residente nell'UE. In tali casi, l'obbligo di interrompere i servizi vietati sorge non appena il fornitore viene a conoscenza del cambiamento di status.

L'attribuzione delle responsabilità di conformità all'interno della catena di pagamento è chiarita con riferimento al ruolo funzionale di ciascun attore.

• Ai sensi del considerando 19 del regolamento (UE) 2025/2033 e come confermato nella FAQ 6, la responsabilità primaria della conformità alle sanzioni in relazione alle operazioni di pagamento spetta al prestatore di servizi di pagamento che gestisce il conto ("ASPSP").
• Al contrario, i prestatori di servizi di avvio di pagamento ("PISP") e gli acquirenti non sono tenuti a effettuare un controllo completo delle singole transazioni al momento dell’esecuzione; il loro obbligo si limita a garantire che non forniscano servizi vietati ai sensi dell’articolo 5 ter, paragrafo 2. Tale distinzione è particolarmente rilevante negli ambienti di open banking, in cui più soggetti intervengono nella stessa catena di transazioni.

La Commissione introduce inoltre una chiara distinzione tra l’emissione di strumenti di pagamento e il loro successivo utilizzo.

Sebbene l’articolo 5 ter, paragrafo 2, lettera b), vieti l’emissione, il rinnovo o la sostituzione di strumenti di pagamento a favore di persone rientranti nell’ambito di applicazione, esso non vieta l’uso continuato di strumenti già in circolazione, come ricordato nella FAQ 7. Tuttavia, tale distinzione non neutralizza l’effetto del divieto a livello dei servizi sottostanti. Laddove l’esecuzione di una transazione tramite uno strumento esistente richieda un servizio che è di per sé vietato – come l’acquisizione di operazioni di pagamento – la transazione deve essere bloccata. In questo contesto, l’attenzione normativa si sposta dallo strumento al servizio che rende possibile la transazione. Ciò è particolarmente evidente negli ambienti digitali, inclusi i portafogli elettronici e le soluzioni di pagamento tokenizzate, dove le transazioni si basano tipicamente su servizi di acquisizione.

• Questa logica si estende a casi d’uso specifici che riguardano l’emissione di carte. Il divieto si applica a qualsiasi strumento di pagamento emesso a nome di una persona fisica che rientri nell’ambito di applicazione, indipendentemente dalla struttura del rapporto contrattuale sottostante. Come chiarito nella FAQ 11, ciò include le carte aggiuntive emesse a favore di familiari o dipendenti: anche qualora il titolare principale del conto sia una persona fisica o una società con sede nell’UE, è vietata l’emissione (compreso il rinnovo o la sostituzione) di una carta a nome di un cittadino russo o di una persona residente in Russia.
• Lo stesso principio si applica alle carte commerciali (FAQ 12), definite come strumenti basati su carta emessi a favore di imprese o enti del settore pubblico per spese aziendali. Anche in questi casi, il criterio rilevante è la personalizzazione dello strumento: se la carta è emessa a nome di, o personalizzata per, una persona fisica rientrante nell’ambito di applicazione, la sua emissione è vietata, indipendentemente dall’identità o dall’ubicazione dell’entità contraente. Per contro, l’uso continuato di strumenti già emessi per servizi non vietati rimane consentito, fatte salve le stesse limitazioni relative ai servizi sottostanti.

Infine, la Commissione fornisce importanti chiarimenti sulla qualificazione dei servizi di avvio di pagamento in ambienti digitali. In particolare, il cosiddetto modello “bank-link” – in cui l’utente viene reindirizzato all’interfaccia della propria banca per avviare un pagamento – non è considerato un servizio di avvio di pagamento ai sensi dell’articolo 4, paragrafo 15, della PSD2, a condizione che non intervenga alcun fornitore terzo e che l’utente avvii il pagamento direttamente con la propria banca (FAQ 13). Al contrario, quando un PSP terzo avvia il pagamento per conto dell’utente, ad esempio tramite API di open banking, il servizio si qualifica come servizio di avvio di pagamento ed è quindi vietato se fornito a soggetti che rientrano nell’ambito di applicazione. Questa distinzione è fondamentale nella pratica, poiché determina se una data soluzione tecnologica rientri o meno nell’ambito di applicazione dell’articolo 5 ter, paragrafo 2.

Cripto-asset e rischi di elusione

Nell'ambito dell'architettura dell'articolo 5 ter, paragrafo 2, i servizi relativi alle cripto-attività, formalmente contemplati alla lettera a), devono essere interpretati alla luce del più ampio quadro antielusione istituito dal regolamento (UE) n. 833/2014.

In particolare, la FAQ 4 chiarisce che la nozione di prestazione vietata non può essere limitata ai rapporti diretti, ma si estende ai casi di prestazione indiretta, che devono essere valutati in combinato disposto con l’articolo 12 del regolamento. Ai sensi di tale disposizione, è di per sé vietata qualsiasi partecipazione consapevole e intenzionale ad accordi volti a eludere i divieti. Questa chiave di lettura è particolarmente significativa nel contesto delle cripto-attività, dove le strutture delle transazioni sono spesso mediate da intermediari, entità di paesi terzi o infrastrutture decentralizzate che possono oscurare sia l’identità delle controparti sia la natura funzionale del servizio fornito.

In termini pratici, ciò significa che i servizi relativi alle cripto-attività possono rientrare nell'ambito di applicazione dell'articolo 5 ter, paragrafo 2, non solo quando sono forniti direttamente a soggetti rientranti nell'ambito di applicazione, ma anche quando sono utilizzati nell'ambito di un accordo di " " più ampio che consente l'accesso a funzionalità di pagamento soggette a restrizioni. Ciò è particolarmente rilevante in contesti ibridi o tokenizzati, in cui le infrastrutture di cripto-attività si intersecano con i servizi di pagamento regolamentati.

Ad esempio, qualora una transazione che coinvolge cripto-asset si avvalga, in qualsiasi fase, di un servizio di pagamento vietato – come l’acquisizione ai sensi dell’articolo 4, paragrafo 44, della PSD2 – il divieto si applica al servizio che rende possibile la transazione piuttosto che alla forma tecnologica dell’asset. La stessa logica si applica quando i servizi relativi ai cripto-asset sono convogliati attraverso intermediari stabiliti al di fuori dell’UE al fine di fornire di fatto l’accesso a servizi soggetti a restrizioni.

L'approccio della Commissione riflette quindi una chiara scelta normativa. Le cripto-attività non sono trattate come una categoria autonoma che richiede una logica sanzionatoria separata, ma come canali funzionalmente equivalenti di trasferimento di valore soggetti agli stessi vincoli applicabili alle infrastrutture di pagamento tradizionali. L'elemento decisivo non è la qualificazione dell'attività ma, ancora una volta, il ruolo svolto dal servizio all'interno della catena di transazione. In questo senso, l’articolo 5 ter, paragrafo 2, letto congiuntamente all’articolo 12, sposta l’attenzione dalla classificazione formale alla sostanza economica. Ciò solleva una questione più ampia per il futuro dell’applicazione delle sanzioni: se un quadro basato su fornitori di servizi identificabili e su funzioni di pagamento chiaramente delineate possa rimanere efficace in contesti sempre più decentralizzati, in cui sia l’intermediazione che il controllo possono essere strutturalmente frammentati.

Autori: Andrea Pantaleo e Giulio Napolitano

 

Technology, Media and Telecommunications

Infratel pubblica la Relazione sullo stato di avanzamento del Piano Nazionale Banda Ultralarga al 28 febbraio 2026

Con comunicato stampa del 17 marzo scorso, Infratel ha informato della pubblicazione della Relazione sullo stato di avanzamento del Progetto Nazionale Banda Ultralarga, aggiornata al 28 febbraio 2026.

La Strategia nazionale per la Banda Ultralarga – “Verso la Gigabit Society”, prevista nell’ambito del PNRR e approvata il 25 maggio 2021 dal Comitato interministeriale per la Transizione Digitale (CiTD), ha come obiettivo quello di portare la connettività a 1 Gpb/s su tutto il territorio italiano entro il 2026 e favorire lo sviluppo di infrastrutture di telecomunicazioni fisse e mobili.

La Strategia include diversi Piani di intervento pubblico per promuovere e incentivare la copertura di aree geografiche in cui l’offerta di infrastrutture e servizi digitali ad altissima velocità da parte degli operatori di mercato è assente o insufficiente.

Le attività operative del Piano Nazionale Banda Ultralarga sono state avviate nel 2016 da Infratel Italia S.p.A., società in-house del Ministero delle Imprese e del Made in Italy. In particolare, l’obiettivo di Infratel è di intervenire nelle aree a fallimento di mercato, attraverso la realizzazione e l’integrazione di infrastrutture a banda larga e ultralarga al fine di estendere le opportunità di accesso a Internet veloce per cittadini, imprese e Pubbliche Amministrazioni. È attraverso Infratel che il Ministero delle Imprese e del Made in Italy implementa le misure definite nella Strategia Nazionale per la Banda Ultralarga con l’obiettivo di ridurre le disparità infrastrutturali e di mercati esistenti nel territorio italiano, attraverso la creazione di condizioni favorevoli allo sviluppo integrato delle infrastrutture di comunicazioni elettroniche.

La Relazione in commento descrive lo stato di avanzamento del Piano focalizzandosi sulle cinque fasi operative principali: la progettazione definitiva, la progettazione esecutiva, l’esecuzione dei lavori, il collaudo e l’avvio dei servizi.

Nella fase di progettazione definitiva sono identificati i tracciati delle reti da realizzare, le infrastrutture da riutilizzare, gli enti competenti al rilascio delle autorizzazioni per l’infrastrutturazione in tecnologia FTTH (Fiber To The Home), nonché i siti necessari per l’infrastrutturazione in tecnologia FWA (Fixed Wireless Access). A seguito dell’approvazione dei progetti definitivi da parte di Infratel, si apre la fase della progettazione esecutiva, finalizzata all’ottenimento delle autorizzazioni necessarie. In seguito, possono essere avviati i lavori nei cantieri. Completati tali lavori, Infratel svolge le verifiche finali che, in caso di esito positivo, conducono al rilascio di un collaudo positivo.

La Relazione indica che, al 28 febbraio 2026, la progettazione definitiva relativa alla realizzazione della rete in tecnologia FTTH è stata approvata in 6.068 comuni, ossia 1 in meno rispetto ai dati di settembre 2025. Come evidenziato nella Relazione, il numero dei progetti previsti può subire delle variazioni nel tempo a causa di riprogettazioni dovute a vari impedimenti. In particolare, a seguito dell'avanzamento della progettazione esecutiva, alcuni comuni sono risultati privi di unità immobiliari cd. "bianche" da collegare e, pertanto, sono stati emessi nuovi piani tecnici regionali che hanno recepito l’annullamento dell’intervento in alcuni comuni. Per tale ragione, il numero di comuni per i quali è stata approvata la progettazione definitiva relativa alla realizzazione della rete in tecnologia FTTH risulta lievemente inferiore rispetto al numero registrato lo scorso settembre.

In relazione al numero di comuni in cui è stata approvata la progettazione definitiva relativa alla rete in tecnologia FWA si registra un aumento pari a 100 comuni. Infatti, al 28 febbraio 2026, il numero dei comuni con progetti definitivi approvati per quanto riguarda la realizzazione della rete FWA è pari a 7.062.

Come si legge nella Relazione, i comuni in relazione ai quali è stata approvata la progettazione esecutiva delle reti in tecnologia FTTH sono complessivamente 6.043, mentre sono complessivamente 3.232 i progetti esecutivi approvati relativamente alla realizzazione della rete in tecnologia FWA. Si assiste, dunque, ad un aumento di 1 comune per il quale è stata realizzata la progettazione esecutiva delle reti in tecnologia FTTH rispetto ai dati di settembre 2025. Per la tecnologia FWA, il numero dei progetti esecutivi approvati rispetto a settembre 2025 è invece diminuito di 269 unità. Come visto sopra, il numero dei progetti può infatti subire variazioni anche in ragione dell'annullamento degli interventi in alcune aree.

Inoltre, al 28 febbraio 2026, sono state completate le attività di infrastrutturazione in 10.451 dei complessivi 11.885 cantieri aperti per la realizzazione della fibra e in 3.153 dei 3.230 cantieri per la realizzazione di rete in tecnologia FWA.

I lavori relativi all’infrastrutturazione in tecnologia FTTH si sono conclusi con collaudo positivo in 5.327 comuni, per un totale di 10.027 progetti; rispetto al settembre 2025, sono stati collaudati positivamente i progetti relativi alla rete FTTH in ulteriori 263 comuni, con un aumento del numero di progetti per cui è stato emesso collaudo positivo pari a 618 unità.

I lavori di infrastrutturazione in tecnologia FWA si sono conclusi con collaudo positivo in 2.877 siti, con un aumento di 118 unità rispetto allo scorso settembre.

Su un simile argomento può essere interessante l’articolo “Infratel pubblica la Relazione sullo stato di avanzamento del Piano Nazionale Banda Ultralarga al 30 settembre 2025”.

Autore: Massimo D'Andrea, Arianna Porretti, Matilde Losa

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Josaphat Manzoni, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.