Innovation Law Insights

Podcast

Previsioni sul diritto tecnologico per il 2026 con DLA Piper

In questa puntata di Diritto al Digitale, Giulio Coraggio ha ospitato una tavola rotonda con i suoi colleghi di DLA Piper per condividere le previsioni sulle principali tendenze giuridiche per il 2026, tra cui la governance dell'IA, l'applicazione del GDPR, gli incidenti informatici, i contratti cloud e le criptovalute. Potete guardare la puntata QUI.

 

Privacy e sicurezza informatica

L'approccio rigoroso dell'EDPB sulle basi giuridiche per richiedere la creazione di un account utente sui siti web di e-commerce

Il 3 dicembre 2025, l'EDPB ha pubblicato le Raccomandazioni 2/2025 sulla base giuridica per richiedere la creazione di account utente sui siti web di e-commerce (le Linee guida).

Più specificamente, l'EDPB ha basato la sua analisi sull'osservazione che, ad oggi, agli utenti viene spesso richiesto di creare un account per poter accedere alle offerte o acquistare beni e servizi online. Sebbene tale obbligo di creare un account sia generalmente giustificato dai titolari del trattamento dei dati al fine di effettuare una vendita, consentire l'abbonamento a servizi, garantire l'accesso a offerte esclusive ai propri utenti o facilitare la gestione operativa degli ordini, secondo l'EDPB, la creazione di account può anche esporre gli interessati a rischi aggiuntivi per i loro diritti e libertà.

Di seguito riportiamo i punti principali sollevati dall'EDPB in riferimento all'obbligo imposto ai clienti di creare un account sui siti web di e-commerce.

Principali rischi per gli interessati

Secondo l'EDPB, gli account utente obbligatori aumentano intrinsecamente la quantità, l'ambito e la durata del trattamento dei dati personali. A seguito di questa raccolta di dati personali, l'EDPB identifica molte minacce, tra cui:

• rischio di accesso non autorizzato, violazioni dei dati o uso improprio, in particolare quando gli account rimangono inattivi per periodi prolungati;
• i sistemi basati su account possono facilitare al titolare del trattamento la registrazione della cronologia di navigazione e il monitoraggio delle abitudini di navigazione degli utenti al fine di migliorare le proprie strategie commerciali, attraverso la profilazione o il marketing, che vanno oltre le aspettative originali dell'utente;
• gli e-merchant possono indurre gli interessati a divulgare più informazioni personali di quelle strettamente necessarie per l'acquisto e la consegna dei beni, spesso attraverso l'uso di design ingannevoli, in particolare quando viene richiesta la creazione di un account utente online tra la convalida del carrello e il pagamento.

Analisi delle possibili basi giuridiche

L'EDPB fornisce un'analisi delle basi giuridiche più utilizzate dalle organizzazioni quando richiedono all'utente di creare un account. Le principali basi giuridiche utilizzate in questo contesto sono:

1. Esecuzione di un contratto: la prima e più frequente base giuridica analizzata dall'EDPB è la necessità del trattamento per l'esecuzione di un contratto. I titolari del trattamento dei dati sostengono spesso che un account utente è necessario per concludere o eseguire un contratto di vendita online. L'EDPB respinge questo ragionamento nella maggior parte degli scenari standard di commercio elettronico e sottolinea che il trattamento è giustificato ai sensi dell'articolo 6, paragrafo 1, lettera b), solo se è oggettivamente indispensabile per l'esecuzione del contratto specifico richiesto dall'utente. Per gli acquisti una tantum, l'EDPB conclude che un account non è generalmente necessario, poiché esistono metodi meno invasivi per eseguire il contratto di vendita. Tuttavia, l'EDPB riconosce situazioni limitate in cui un account può essere contrattualmente necessario. Queste includono servizi di abbonamento continuativi o l'accesso a offerte esclusive. Anche in questi casi, l'account deve essere strettamente limitato a quanto richiesto dal rapporto contrattuale.
2. Conformità a un obbligo legale: la seconda base giuridica esaminata è il trattamento necessario per adempiere a un obbligo legale. Alcuni responsabili del trattamento sostengono che gli account utente obbligatori sono necessari per adempiere agli obblighi previsti dalla normativa in materia consumeristica, fiscale o contabile. L'EDPB adotta un approccio cauto nei confronti di tale argomentazione. Le raccomandazioni sottolineano che l'articolo 6, paragrafo 1, lettera c), si applica solo quando una norma giuridica specifica e chiara impone al responsabile del trattamento di trattare i dati personali in un modo particolare. Gli obblighi generali di emettere fatture, conservare i registri delle transazioni o garantire i diritti dei consumatori non impongono automaticamente la creazione di account utente. Nella maggior parte dei casi, i dati richiesti dalla legge possono essere raccolti al momento dell'acquisto senza creare un account permanente. Di conseguenza, l'EDPB conclude che l'obbligo legale raramente, se non mai, giustifica l'obbligo di creare account utente.
3. Interesse legittimo: infine, l'EDPB analizza l'uso degli interessi legittimi come base giuridica. Le imprese ricorrono spesso a tale motivazione per giustificare la creazione di account per motivi quali la prevenzione delle frodi, l'efficienza dell'assistenza clienti o la fidelizzazione dei clienti. L'EDPB riconosce che tali interessi possono essere legittimi in linea di principio, ma sottolinea che devono essere sottoposti a una prova di bilanciamento, identificando e descrivendo (i) gli interessi, i diritti fondamentali e le libertà degli interessati; (ii) l'impatto del trattamento sugli interessati; (iii) le aspettative ragionevoli dell'interessato; (iv) il bilanciamento finale dei diritti e degli interessi contrapposti. Secondo l’EDPB, le criticità degli account obbligatori emergono soprattutto nella fase di bilanciamento degli interessi. Più specificamente, l'Autorità osserva che gli utenti in genere non si aspettano di essere costretti a conservare i dati a lungo termine per una singola transazione. Inoltre, molti interessi legittimi citati dai responsabili del trattamento possono essere realizzati attraverso misure meno invasive. Laddove esista un'alternativa realistica e meno invasiva, è improbabile che l'obbligo di creare un account superi il test di bilanciamento richiesto dall'articolo 6, paragrafo 1, lettera f).

Soluzione suggerita dall'EDPB

Per mitigare i rischi associati agli account utente obbligatori e garantire la conformità al GDPR, l'EDPB propone una soluzione che tiene conto dei principi di minimizzazione dei dati, necessità e privacy by design.

In particolare, secondo l'EDPB, un'opzione praticabile è quella di offrire opzioni di accesso alternative, in particolare consentendo agli utenti di completare gli acquisti o accedere ai servizi senza una registrazione a lungo termine nei casi in cui un account non sia strettamente necessario, consentendo una modalità ospite. Laddove vengono offerti account, questi dovrebbero essere facoltativi per impostazione predefinita, con una presentazione chiara e neutra che non spinga gli utenti alla registrazione.

Inoltre, l'EDPB raccomanda ai responsabili del trattamento dei dati di consentire agli interessati di revocare il consenso tramite la stessa interfaccia utilizzata per ottenerlo ed evitare di passare silenziosamente dal consenso a un'altra base giuridica se il consenso viene revocato, poiché ogni modifica nel trattamento dei dati deve essere notificata all'interessato.

Conclusioni

Queste raccomandazioni mostrano l'approccio particolarmente rigoroso adottato dall'EDPB nel valutare l'uso di interessi legittimi, l'esecuzione di un contratto e il rispetto di un obbligo legale come basi giuridiche per il trattamento.

L'EDPB chiarisce che, qualora un'attività di trattamento possa essere ragionevolmente realizzata attraverso un'alternativa meno invasiva, essa non supererà in genere il test di bilanciamento richiesto per l'interesse legittimo e non soddisferà l'elevata soglia di stretta necessità per l'esecuzione di un contratto. Alla luce di questa posizione, le organizzazioni sono tenute a effettuare una valutazione attenta e caso per caso delle loro operazioni di trattamento e della progettazione dei servizi, con particolare attenzione all'identificazione di alternative rispettose della privacy. Nel contesto dell'e-commerce, ciò include la disponibilità di opzioni in modalità ospite, che l'EDPB considera una misura fondamentale per allineare le pratiche commerciali ai principi del GDPR.

Autore: Roxana Smeria

 

Tecnologia

Dalla piattaforma ODR a un ecosistema ADR digitale

Da circa un decennio, la risoluzione alternativa delle controversie (di seguito ADR) per i consumatori nell'Unione europea si basa su una doppia architettura:

1. da un lato, la rete nazionale di organismi ADR disciplinata dalla direttiva (UE) 2013/11;
2. d'altra parte, la piattaforma europea di risoluzione delle controversie online (di seguito ODR) e le sue varianti nelle direttive (UE) 2015/2302, (UE) 2019/2161 e (UE) 2020/1828, concepita come un unico punto di accesso digitale per le controversie transfrontaliere online.

Con la definitiva cessazione della piattaforma ODR e l'adozione della direttiva (UE) 2025/2647 (di seguito, la Direttiva) del 16 dicembre 2025, tale equilibrio viene radicalmente ripensato. Le valutazioni condotte dalla Commissione europea (di seguito, la CE) nel 2019 e nel 2023 avevano infatti evidenziato limiti strutturali difficili da superare attraverso la sola piattaforma ODR. A ciò si aggiungeva l'evoluzione del mercato digitale stesso, caratterizzato dalla diffusione di contenuti e servizi digitali, da modelli contrattuali basati sulla fornitura di dati personali e da pratiche commerciali sempre più opache e manipolative.

In questo scenario, la direttiva segna un significativo cambiamento concettuale: dall'idea di una piattaforma centralizzata di risoluzione delle controversie online a un ecosistema ADR distribuito, accessibile digitalmente, inclusivo e integrato nel quadro più ampio della protezione dei consumatori nell'Unione. La risoluzione extragiudiziale delle controversie non è più concepita come uno strumento accessorio, ma come una componente strutturale della governance del mercato digitale, in dialogo con le norme sulle pratiche commerciali sleali, i contenuti digitali, i diritti degli utenti dei servizi turistici e, non da ultimo, il regolamento (UE) 2022/2065 sui servizi digitali (di seguito, il DSA).

1. La fine della piattaforma ODR: fallimento tecnologico o scelta sistemica?

Oltre alle criticità strutturali già evidenziate dalla CE, nel corso del tempo sono emersi anche fattori sistemici. La piattaforma ODR è stata progettata in un contesto in cui il commercio elettronico si stava sviluppando principalmente all'interno dell'UE e le controversie riguardavano in gran parte beni o servizi tradizionali venduti online. Tuttavia, l'attuale economia digitale presenta un quadro totalmente diverso e in costante evoluzione, per usare un cliché. In questo contesto, una piattaforma centralizzata e tecnologicamente "neutrale" si è dimostrata incapace di affrontare la complessità giuridica delle controversie e di comunicare efficacemente con gli organismi nazionali di ADR, le autorità di controllo e gli altri strumenti di protezione previsti dal diritto dell'Unione.

La direttiva riconosce questo fallimento operativo e compie una scelta fondamentale: spostare l'attenzione dalla protezione del "contenitore" tecnologico al rafforzamento qualitativo delle procedure ADR, investendo in organismi, garanzie procedurali, accessibilità e cooperazione transfrontaliera. La funzione di orientamento e sostegno precedentemente svolta dalla piattaforma ODR viene ridistribuita attraverso i punti di contatto ADR e, in futuro, attraverso un nuovo strumento digitale europeo, concepito non come una piattaforma di risoluzione ma come un'infrastruttura di informazione e sostegno.

2. Un ADR che va oltre i contratti

Una delle modifiche più significative della direttiva riguarda l'estensione dell'ambito di applicazione dell'ADR, che è stato ripensato per riflettere la realtà delle relazioni con i consumatori nell'economia digitale. Il legislatore europeo riconosce che le controversie dei consumatori non rientrano più esclusivamente nell'ambito dei contratti tradizionali, né sono limitate alla fase di esecuzione del contratto.

• In primo luogo, la direttiva chiarisce che le controversie relative ai contenuti digitali e ai servizi digitali rientrano pienamente nell'ambito di applicazione dell'ADR, superando definitivamente ogni residua ambiguità interpretativa. La vendita di beni tangibili non è più il paradigma di riferimento: le controversie possono sorgere da app, piattaforme, servizi cloud, abbonamenti digitali e, più in generale, da modelli di business basati sull'accesso e sull'uso continuativo di servizi online.
• È rilevante l'inclusione di situazioni in cui il consumatore non paga un prezzo monetario ma fornisce dati personali come corrispettivo. La direttiva incorpora così un fatto ormai consolidato nel diritto europeo dei consumatori: il valore economico dei dati e la loro centralità nei modelli di scambio digitale. Le controversie che sorgono in relazione a tali contratti diventano espressamente accessibili alle procedure ADR.
• Un ulteriore elemento di discontinuità riguarda l'apertura dell'ADR alle controversie con operatori commerciali stabiliti in paesi terzi. La direttiva riconosce la natura strutturalmente transfrontaliera del commercio digitale e consente l'accesso alle procedure ADR anche quando il commerciante si trova al di fuori dell'UE, a condizione che diriga le sue attività verso uno o più Stati membri. Il concetto di "direzione delle attività commerciali" si basa su criteri ormai consolidati nel diritto dell'UE: lingua utilizzata, valuta, domini, pubblicità mirata, assistenza clienti localizzata.

3. Procedure ADR pronte per il digitale: accesso, tracciabilità, inclusione e automazione trasparente

Una volta ampliato l’ambito delle controversie, la direttiva affronta la questione che, nella pratica, determina se l’ADR funzioni effettivamente o rimanga un’istituzione «cartacea»: il modo in cui le procedure sono accessibili, gestibili e affidabili in un contesto in cui i consumatori interagiscono con i commercianti quasi sempre online e spesso a livello transfrontaliero.

• Il primo tassello del puzzle riguarda la struttura minima di accesso. Gli organismi ADR devono disporre di un sito web aggiornato che fornisca alle parti un facile accesso alle informazioni sulla procedura e, soprattutto, consenta ai consumatori di presentare reclami e documentazione di supporto online in modo tracciabile. Non si tratta di un dettaglio formale: la tracciabilità diventa un prerequisito per rendere l'ADR credibile come canale di tutela, perché impedisce che i reclami si perdano in processi opachi e consente la gestione delle tempistiche e delle comunicazioni successive. Allo stesso modo, la direttiva chiarisce che l'accesso all'ADR non può essere esclusivamente digitale: i consumatori devono poter scegliere se utilizzare canali digitali o non digitali, in modo da evitare che la digitalizzazione diventi una barriera per chi ha scarse competenze informatiche o strumenti limitati. Quando gli organismi ADR offrono procedure digitali, devono farlo utilizzando strumenti "facilmente accessibili e inclusivi".
• Il passaggio più delicato e interessante riguarda l'uso di mezzi automatizzati nel processo decisionale dell'ADR. La direttiva non vieta l'automazione: la riconosce come una possibile risposta al crescente volume di controversie e ai fenomeni di massa (come le cancellazioni collettive o i reclami standardizzati). Tuttavia, la sottopone a due condizioni chiare, che creano di fatto una "clausola di fiducia" sull'IA o sugli strumenti automatizzati: prior trasparenza ed efficace supervisione umana. La direttiva specifica anche cosa si intende per "processo decisionale", comprese le scelte che incidono sull'ammissibilità del caso e sul suo esito, e non solo l'atto finale: questo è un modo per impedire che l'automazione si insinui in fasi invisibili (triage, classificazione, definizione delle priorità), influenzando di fatto la protezione.
• Infine, in linea con questo quadro "digital-ready", la direttiva include un riferimento esplicito che è tutt'altro che ornamentale per gli operatori. Gli organismi ADR dovranno adottare le misure necessarie per garantire che i dati personali siano trattati in conformità con il GDPR. Questa conclusione è coerente con l'estensione dell'ADR ai contratti "data-for-services" e con il crescente utilizzo di strumenti digitali e sistemi automatizzati: più la procedura è online, più i dati diventano l'infrastruttura della protezione e più è necessario che il circuito sia regolato da regole chiare.

Nel complesso, questa parte della direttiva trasforma l'ADR da un modello tradizionale, spesso concepito per controversie "analogiche" e con tempi lunghi, a un modello progettato per l'economia digitale: accessibile online ma non esclusivamente, tracciabile, inclusivo, scalabile e compatibile con l'uso dell'automazione solo se trasparente e verificabile da un decisore umano.

4. Coinvolgimento dei professionisti: obbligo di risposta, tempistiche e conseguenze operative

Uno dei limiti storici dell'ADR, emerso chiaramente nelle valutazioni della CE e nelle consultazioni delle parti interessate, è sempre stato il mancato coinvolgimento dei professionisti. In molte giurisdizioni, l'ADR rimaneva formalmente disponibile ma era di fatto inefficace perché i professionisti non rispondevano, ritardavano o eludevano la procedura senza conseguenze reali. La direttiva affronta proprio questo punto, senza trasformare l'ADR in una giurisdizione obbligatoria, ma rafforzando la sua "presa" sul comportamento degli operatori economici.

1. Il primo passo è concettuale ma significativo: quando l'organismo ADR competente decide di trattare il reclamo di un consumatore secondo le proprie regole procedurali, il professionista interessato deve essere contattato e invitato a partecipare alla procedura ADR, indipendentemente dal fatto che la partecipazione sia obbligatoria o volontaria ai sensi della legislazione nazionale. Ciò chiarisce che l'attivazione dell'ADR non dipende più interamente dalla volontà informale del professionista: una volta che il caso entra nel circuito ADR, il professionista è formalmente "chiamato in causa".
2. Tale convocazione corrisponde a un obbligo specifico e vincolato da un termine. I professionisti stabiliti nell'Unione devono comunicare all'organismo ADR se intendono partecipare o meno alla procedura proposta entro un termine ragionevole, che di norma non può superare i 20 giorni lavorativi. Solo in caso di controversie complesse o circostanze eccezionali l'organismo ADR può concedere una proroga, che in ogni caso non può superare un totale di 30 giorni lavorativi. La direttiva impone inoltre un obbligo di trasparenza nei confronti del consumatore: se il termine viene prorogato, il consumatore deve esserne informato.

Tuttavia, la direttiva evita un approccio rigido e introduce alcune eccezioni pragmatiche. L'obbligo di rispondere non si applica quando la partecipazione del professionista alla procedura ADR è già obbligatoria per legge, quando l'organismo ADR può comunque giungere a una conclusione senza la partecipazione del professionista o quando il professionista si è già impegnato contrattualmente a ricorrere all'ADR per risolvere le controversie con i consumatori.

5. Un sistema multilivello anche alla luce della DSA

Una delle precisazioni più significative introdotte dalla direttiva riguarda il posizionamento sistemico dell'ADR nell'architettura complessiva della protezione dei consumatori. La direttiva ribadisce che il ricorso a un organismo ADR non impedisce al consumatore di rivolgersi ad altri soggetti, quali le associazioni dei consumatori o le autorità pubbliche responsabili dell'applicazione della legislazione in materia di protezione dei consumatori. Viceversa, l'intervento delle autorità pubbliche non preclude la possibilità di una risoluzione extragiudiziale della controversia.

Questo coordinamento è particolarmente importante nei casi in cui le controversie dei consumatori sono il risultato di pratiche sistemiche quali clausole potenzialmente abusive, comunicazioni precontrattuali opache, strategie di prezzo non trasparenti o interfacce manipolative. In tali casi, gli organismi ADR non sono chiamati a classificare giuridicamente la pratica come illegale – funzione che rimane riservata alle autorità di controllo competenti – ma possono agire come un centro di informazione qualificato, segnalando l'esistenza di fenomeni ricorrenti che emergono dal trattamento dei singoli reclami. La direttiva chiarisce che tale scambio di informazioni deve rispettare le norme sulla protezione dei dati personali e non può comportare una delega surrettizia dei poteri sanzionatori agli organismi ADR.

Il rapporto tra ADR e applicazione della legge diventa ancora più sfumato quando entrano in gioco le piattaforme digitali. La direttiva affronta espressamente il rischio di sovrapposizione con le norme sui servizi digitali, chiarendo che, qualora una controversia tra un fornitore di piattaforme online e un destinatario di servizi riguardi la moderazione di contenuti illegali o dannosi, si applicano le norme speciali sulla risoluzione extragiudiziale delle controversie previste dal DSA. In tali casi, l'ADR dei consumatori non viene "assorbita" dal diritto digitale, ma assume consapevolmente un ruolo secondario, lasciando spazio a un regime più specifico e dettagliato.

6. Dopo l'ODR: punti di contatto ADR e assistenza transfrontaliera

La pietra angolare di questo nuovo quadro sono i punti di contatto ADR. Ogni Stato membro è tenuto a designare uno o più punti di contatto responsabili di assistere i consumatori e i professionisti nelle controversie transfrontaliere, con compiti chiaramente definiti. Non si tratta di organi decisionali o di entità che rappresentano le parti, ma di strutture di supporto e orientamento, chiamate a facilitare l'accesso all'organismo ADR competente e a rendere effettivamente applicabile il diritto alla tutela extragiudiziale.

• La direttiva introduce una regola semplice ma significativa: i consumatori contattano il punto di contatto ADR nel loro luogo di residenza, mentre i commercianti contattano quello nel loro luogo di stabilimento. Questa scelta mira a evitare il forum shopping e a garantire che l'assistenza sia fornita nel contesto giuridico e linguistico più vicino alla parte che la richiede. Si tratta di una misura apparentemente tecnica, ma che ha un impatto diretto sulla percezione di equità del sistema.
• I compiti dei punti di contatto ADR sono chiaramente definiti. Essi comprendono, come minimo, l'assistenza nella presentazione del reclamo e della documentazione pertinente; il sostegno alla comunicazione tra le parti e l'organismo ADR competente; la fornitura di informazioni sulle norme procedurali applicabili; l'orientamento sui diritti dei consumatori a livello dell'UE e nazionale; e l'indicazione di eventuali mezzi di ricorso alternativi qualora l'ADR non sia praticabile. In un contesto transfrontaliero, l'assistenza può comprendere anche il sostegno linguistico, compresa la traduzione automatica delle informazioni pertinenti.
• La direttiva consente inoltre agli Stati membri di estendere le funzioni dei punti di contatto ADR alle controversie interne. Questa opzione è particolarmente rilevante per i consumatori vulnerabili o con scarse competenze digitali, per i quali l'accesso anche a procedure formalmente semplici può risultare complesso.

Oltre ai punti di contatto, la direttiva affida alla CE il compito di sviluppare, entro il 20 aprile 2026, uno strumento digitale interattivo di facile utilizzo per fornire informazioni sui mezzi di ricorso dei consumatori e sull'uso dell'ADR, anche in un contesto transfrontaliero. A differenza della piattaforma ODR, questo strumento non è concepito come un luogo di risoluzione delle controversie, ma come un'infrastruttura informativa: un punto di orientamento che aiuta i consumatori a comprendere quali opzioni sono disponibili e a identificare il canale più appropriato. La presenza di collegamenti diretti ai moduli di reclamo degli organismi ADR e le funzioni di traduzione automatica rafforzano questa funzione di supporto senza ricreare la rigidità del modello precedente.

7. Conclusioni

Da questo punto di vista, la cessazione della piattaforma ODR appare meno come una resa e più come una scelta di maturità normativa. L'Unione europea sta abbandonando l'illusione di una soluzione centralizzata e tecnologicamente neutra a favore di un investimento in un ecosistema distribuito composto da organismi qualificati, punti di contatto, cooperazione transfrontaliera e strumenti di orientamento digitale. Si tratta di un modello meno visibile, ma potenzialmente più efficace perché radicato nelle pratiche e nelle responsabilità degli attori coinvolti.

Per gli operatori economici, il messaggio è chiaro: l'ADR non è più un requisito informativo da relegare alle condizioni generali, ma un elemento strutturale della gestione del rischio legale e reputazionale nel mercato digitale europeo. Prepararsi alla piena attuazione della direttiva significa ripensare i flussi di gestione dei reclami, coordinare le funzioni legali e di assistenza clienti, aggiornare le informative e valutare strategicamente quando e come partecipare alle procedure ADR, comprese quelle transfrontaliere.

Autore: Giulio Napolitano

 

Avvio della consultazione pubblica per l'aggiornamento del Piano Nazionale di Numerazione e delle regole sull'identificazione del chiamante

Con la delibera n. 60/25/CIR, pubblicata il 30 dicembre 2025, l'AGCom ha avviato la procedura e la consultazione pubblica per l'aggiornamento del Piano Nazionale di Numerazione (PNN) nel settore delle telecomunicazioni e del quadro attuativo previsto dalla delibera n. 8/15/CIR, in materia di identificazione dell'origine di una comunicazione (Calling Line Identity – CLI).

La consultazione si inserisce nel più ampio quadro di misure adottate dall'AGCom con le delibere n. 106/25/CONS e n. 271/25/CONS, volte a rafforzare la trasparenza a tutela degli utenti finali e a consolidare le misure di sicurezza contro lo spoofing del CLI, ovvero la manipolazione delle informazioni relative all'identità del chiamante, nonché contro le pratiche di telemarketing e teleselling effettuate con metodi aggressivi di contatto dei clienti. In tale contesto, la delibera n. 60/25/CIR evidenzia come l'attuale mercato sia caratterizzato da fenomeni diffusi di contatti commerciali aggressivi, spesso associati alla manipolazione del CLI.

Come indicato nel documento di consultazione, riportato nell'allegato B alla delibera n. 60/25/CONS, l'AGCom ritiene necessario che i soggetti, le associazioni di categoria e gli operatori informino adeguatamente i consumatori dei rischi connessi ai contratti stipulati a seguito di chiamate provenienti da serie di numeri esteri e rendano note le serie di numeri utilizzate dai call center per le attività di telemarketing e televendita. In questa prospettiva, secondo l'Autorità, una misura in grado di promuovere la trasparenza e sostenere gli operatori che agiscono legittimamente è rappresentata dalla possibilità di utilizzare numeri brevi per le chiamate di televendita e telemarketing, facilmente riconoscibili dagli utenti e attribuibili a specifici operatori.

Il documento di consultazione sottolinea che l'attuale PNN consente l'uso come CLI, per le chiamate e la messaggistica, solo di numeri geografici e numeri per servizi mobili e personali (oltre ai CLI alfanumerici per i servizi di messaggistica aziendale). Al fine di aumentare la trasparenza e la sicurezza delle comunicazioni, l'Autorità propone di valutare un'estensione delle serie di numeri che possono essere utilizzati come CLI, in modo da consentire agli utenti di distinguere più facilmente le comunicazioni legittime da quelle potenzialmente moleste o fraudolente.

In tale contesto, l'AGCom sottopone a consultazione la propria proposta volta a consentire, limitatamente al territorio nazionale, l'utilizzo come CLI per le chiamate e/o i messaggi anche delle serie di numeri per servizi gratuiti per il chiamante, che comprendono la numerazione per:

1. servizi di emergenza;
2. servizi di pubblica utilità;
3. servizi armonizzati a livello europeo con un valore sociale;
4. servizi di assistenza clienti;
5. servizi a carico del chiamato.

La consultazione riguarda anche la possibilità di estendere l'uso del CLI ad altre categorie di numerazione, quali la numerazione per: i) servizi di rete interna; ii) servizi di comunicazione vocale nomade; iii) servizi a costi condivisi; e iv) servizi a numero unico o personali.

Le parti interessate possono inviare il proprio contributo alla consultazione pubblica entro il 13 febbraio 2026.

Autori: Massimo D'Andrea, Matilde Losa, Arianna Porretti

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.