Innovation Law Insights

Pausa Legale

Spiegazione delle modifiche all’AI Act: cosa significa per le aziende il Digital Omnibus dell’UE

L’UE sta già rivedendo l’AI Act – e la maggior parte delle aziende sta ancora cercando di adeguarsi alla versione originale.

In questo episodio di Legal Break, Giulio Coraggio di DLA Piper si unisce ad Antonio Ravenna per analizzare il pacchetto Digital Omnibus: cosa cambia per i sistemi di IA ad alto rischio, quali sono le implicazioni per sviluppatori e aziende e perché non è più possibile aspettare.

Guarda il video qui.

 

Technology

Il Qubit incontra la compliance: il report ESMA sul quantum computing e la nuova frontiera regolatoria dei mercati finanziari.

Con la Risk Analysis del 13 maggio 2026 dedicato al Quantum Computing in financial markets: applications, investments and prospects (di seguito, il "Report"), l'European Securities and Markets Authority (di seguito, '"ESMA") porta il quantum computing sotto la lente di ingrandimento della propria vigilanza sui mercati dei valori mobiliari. Il documento non ha valore prescrittivo, ma assume un peso difficilmente sottovalutabile.

Il Report non si limita a una ricognizione delle applicazioni del quantum computing nei mercati finanziari (di seguito, anche il "QC"), ma traccia in filigrana una mappatura delle leve regolatorie già a disposizione del legislatore europeo per governare la transizione. Si tratta di leve apparentemente eterogenee ma che la Commissione e le Autorità di vigilanza ("ESAs") stanno progressivamente articolando in un disegno unitario, nel quale il quantum diventa non già "tecnologia del futuro", ma rischio operativo già oggi regolato.

1. Il quadro: tra opportunità sui mercati e minaccia per la cybersecurity.

Il Report di ESMA si articola su due piani.

a. Sul primo, descrittivo, l'Autorità ricostruisce il panorama applicativo del QC nei mercati finanziari: dall'ottimizzazione di portafoglio al transaction settlement, dalla modellazione stocastica (Monte Carlo) alle applicazioni di quantum machine learning (di seguito, "QML"), sino alle infrastrutture quantum-enabled per distributed ledger technologies (di seguito, "DLT"). Le applicazioni sono ancora in fase di proof-of-concept — l'hardware attuale, nella fase definita noisy intermediate-scale quantum (di seguito, "NISQ"), non consente ancora un vero quantum advantage per problemi commercialmente rilevanti – ma il Report rileva un'accelerazione significativa degli investimenti, con gli investimenti di venture capital nelle startup europee del quantum computing cresciuti di cinque volte nel 2025.

b. Sul secondo piano, e qui sta il punto più rilevante sotto il profilo regolatorio, ESMA dedica spazio specifico alla minaccia che il QC costituisce per la cybersecurity. Un computer quantistico di potenza sufficiente, applicando l'algoritmo di Shor, sarebbe infatti in grado di rompere i principali schemi di crittografia a chiave pubblica oggi utilizzati per proteggere comunicazioni, firme digitali, integrità delle transazioni e riservatezza dei dati nel settore finanziario — id est, gli schemi Rivest–Shamir–Adleman (di seguito, "RSA") e Elliptic-Curve Cryptography (di seguito, "ECC"). Da qui il paradigma «harvest now, decrypt later» (di seguito, "HNDL"): dati cifrati oggi con tecniche vulnerabili potrebbero essere intercettati e archiviati, in attesa di essere decifrati domani quando l'hardware quantistico sarà sufficientemente potente. Il problema non è teorico, e la sua dimensione retroattiva impone di accelerare la migrazione prima che la minaccia si materializzi.

La risposta tecnica è la Post-Quantum Cryptography (di seguito, "PQC"), una nuova generazione di algoritmi crittografici progettati per resistere agli attacchi quantistici, di cui il National Institute of Standards and Technology statunitense ha pubblicato i primi standard nel 2024.

La risposta regolatoria europea è, invece, più articolata.

2. DORA come "porta d'ingresso" della minaccia quantistica nel diritto dell'Unione.

Il punto di partenza è il Regolamento (UE) 2022/2554 sul Digital Operational Resilience Act (di seguito, "DORA"), applicabile dal 17 gennaio 2025 alle entità finanziarie operanti nell'Unione. ESMA è netta sul punto: DORA «obbliga le entità finanziarie rientranti nel suo ambito di applicazione ad attuare misure di gestione del rischio di cybersecurity che coprono le vulnerabilità crittografiche derivanti dagli sviluppi tecnologici, compreso il quantum computing».

Il fondamento giuridico va rintracciato non tanto in una previsione espressa sul QC, assente dal testo del Regolamento, quanto nella struttura "tecnologicamente neutra" di DORA. Gli articoli 6 e 7, in combinato disposto con il Regolamento Delegato (UE) 2024/1774 della Commissione, impongono alle entità finanziarie di dotarsi di un framework di gestione del rischio ICT idoneo a fronteggiare «tutti i rischi ICT», ivi inclusi quelli derivanti da minacce emergenti. Le entità finanziarie sono tenute a implementare politiche e procedure crittografiche aggiornate, gestire il ciclo di vita delle chiavi e assicurare che i controlli adottati siano «state-of-the-art» rispetto al rischio.

Le implicazioni operative sono significative. Una entità finanziaria che, nel 2026, continui a fare affidamento esclusivo su algoritmi RSA o ECC per la protezione di dati sensibili a lungo ciclo di vita — si pensi alle informazioni know-your-customer, ai trade book o ai contratti derivati a lunga scadenza — espone se stessa a un rischio "harvestable", la cui valutazione rientra a pieno titolo nelle obbligazioni di risk management previste da DORA. Né si tratta di una previsione meramente programmatica: il regime sanzionatorio di DORA (articoli 50 e seguenti) prevede sanzioni amministrative pecuniarie e, soprattutto, responsabilità diretta del management body per la corretta implementazione del framework; un profilo che, nella governance bancaria e finanziaria, ha ormai una storia consolidata.

3. Le tecnologie quantistiche nel testo normativo di NIS 2.

Il secondo asse è costituito dalla Direttiva (UE) 2022/2555 (di seguito, "NIS 2"), che ha rafforzato in modo significativo gli obblighi di cybersecurity gravanti sulle entità "essenziali" e "importanti"; categorie che comprendono molti attori, direttamente o indirettamente collegati al sistema finanziario, dai cloud service provider ai gestori di infrastrutture digitali critiche.

L'articolo 21 di NIS 2 impone l'adozione di misure di gestione del rischio comprendenti, inter alia, «politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura». La formula è, come quella di DORA, tecnologicamente neutra ma sostanzialmente orientata al rischio: una volta che il rischio quantistico sia stato qualificato dalle autorità europee come «evolving cryptographic threat» — e ciò è avvenuto, da ultimo, con la Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography (di seguito, la "PQC Roadmap") pubblicata dalla Commissione nel 2025 — l'obbligo di adottare misure di crittografia "state-of-the-art" si traduce, in via interpretativa, in un onere di pianificazione della migrazione PQC.

Va peraltro segnalato un passaggio recentissimo e di particolare rilevanza. Il 20 gennaio 2026, infatti, la Commissione ha pubblicato la proposta COM (2026) 13 final, nell'ambito di un più ampio pacchetto di semplificazione della cybersecurity unionale, che per la prima volta introduce un requisito espresso di PQC nel testo di NIS 2. Il QC cessa di essere un rischio "ricavabile in via interpretativa" dalle clausole generali e diventa una previsione normativa puntuale, con tutto ciò che ne consegue in termini di esigibilità, enforcement e responsabilità degli organi di gestione.

4. La PQC migration: un roadmap a tappe con scadenze operative.

Il terzo livello regolatorio è quello della pianificazione operativa. Il Report ESMA richiama espressamente la PQC Roadmap, che fissa una sequenza di scadenze articolata su un orizzonte di un decennio:

• entro il 2026: avvio della pianificazione della transizione e dei primi pilot project PQC;
• entro il 2030: completamento della transizione PQC per gli use case ad alto rischio;
• entro il 2035: completamento della transizione per gli use case a rischio medio.

Parallelamente, il Quantum Safe Financial Forum, iniziativa multistakeholder promossa da Europol, ha pubblicato nel 2026 una metodologia per la valutazione delle priorità di migrazione PQC nel settore finanziario, basata sulla combinazione tra rischio dell'attivo da proteggere e tempo necessario alla migrazione.

Per le entità finanziarie europee, il combinato disposto di DORA, NIS 2 (anche nella sua versione di prossima adozione) e PQC Roadmap delinea un obbligo che, pur articolato su strumenti normativi diversi, converge in modo chiaro. La migrazione PQC non è più una questione di foresight tecnologico, ma una componente strutturale della compliance in materia di resilienza operativa digitale. Un'entità che, nel 2027, non sia in grado di documentare un piano di transizione PQC potrebbe trovarsi esposta a contestazioni in sede di vigilanza, oltre che a rischi reputazionali significativi.

5. L'intersezione con l'AI Act.

Una nota a margine merita la relazione tra QC e Regolamento (UE) 2024/1689 (di seguito, "AI Act"). Il Report ESMA dedica un'intera sezione al Quantum Machine Learning ("QML"), sottolineando che i sistemi che combinano algoritmi quantistici e machine learning ("ML") potrebbero trovare applicazione, in finanza, in ambiti quali il fraud detection, il credit scoring e il pattern recognition.

Si tratta di applicazioni che, ove sviluppate, potrebbero ricadere nei perimetri "ad alto rischio" dell'AI Act e segnatamente, nell'allegato III, punto 5(b), relativo ai sistemi di valutazione del merito creditizio delle persone fisiche. L'aggravamento del rischio quantistico, in questi contesti, è duplice:

• da un lato, in chiave di explainability e governance dei modelli (i sistemi quantistici sono per definizione più difficili da interpretare);
• dall'altro, in chiave di cybersecurity, atteso che i sistemi di AI ad alto rischio sono soggetti a obblighi di robustezza e accuratezza ex articolo 15 dell'AI Act, che includono la resilienza agli attacchi.

Il combinato disposto di AI Act e DORA, applicato a sistemi QML, configura un layer regolatorio articolato che le entità finanziarie dovranno governare in modo integrato.

6. Conclusioni.

Il Report ESMA conferma un dato che si va consolidando e cioè che il QC non è più una tecnologia di frontiera da osservare con curiosità accademica, ma un rischio operativo già regolato; sia pure attraverso strumenti normativi tecnologicamente neutri. Tre i messaggi che le entità finanziarie europee dovrebbero trarre dal Report:

• il rischio quantistico è già parte integrante delle obbligazioni di risk management ICT ai sensi di DORA, e la sua mancata gestione espone il management body a responsabilità dirette;
• NIS 2, anche nella sua imminente versione modificata, sta progressivamente cristallizzando la PQC come obbligo normativo espresso;
• la PQC migration ha scadenze operative concrete, il 2030 per gli use case ad alto rischio, che impongono di avviare fin d'ora la pianificazione, anche in considerazione del rischio retroattivo HNDL.

Il QC, dunque, non ha atteso per entrare nel diritto ma è già, ad oggi, declinato nei framework di cybersecurity e resilienza operativa digitale, imponendo alle entità finanziarie un esercizio di compliance sofisticato; in cui la dimensione tecnologica e quella regolatoria si intrecciano in modo inscindibile. È, in altri termini, una nuova figura della compliance dei mercati digitali, di cui ESMA ha appena tracciato il primo segmento interpretativo.

Autori: Andrea Pantaleo, Giulio Napolitano

 

Technology, Media and Telecommunications

Approvazione da parte di AGCom dell’aggiornamento del Piano Nazionale di Numerazione e della disciplina sul CLI

Con la delibera n. 21/26/CIR, pubblicata il 29 aprile scorso, l'AGCom ha approvato l’aggiornamento del Piano Nazionale di Numerazione (PNN) di cui alla delibera n. 8/15/CIR, all’esito della consultazione pubblica avviata con la delibera n. 60/25/CIR. Il provvedimento si inserisce nel più ampio quadro delle misure adottate dall’AGCom per rafforzare la trasparenza delle comunicazioni elettroniche in materia di identificazione dell'origine di una comunicazione (Calling Line Identity – CLI) e contrastare i fenomeni di CLI spoofing, telemarketing aggressivo e teleselling fraudolento.

La delibera introduce una modifica all’articolo 6 del PNN, prevedendo espressamente che il fornitore del servizio di comunicazione elettronica sia responsabile della correttezza del CLI e debba verificare la corrispondenza tra il CLI utilizzato e le numerazioni attribuite alla linea e all’utente finale che origina la comunicazione, con obbligo di bloccare chiamate o messaggi in caso di mancata corrispondenza. L’AGCom amplia inoltre le tipologie di numerazioni utilizzabili come CLI, includendo, oltre alle numerazioni geografiche e mobili, anche numeri per servizi di emergenza, servizi di pubblica utilità, servizi armonizzati europei a valenza sociale, servizi di assistenza clienti, numerazioni per servizi di addebito al chiamato e numerazioni riservate a servizi SMS/MMS e trasmissione dati.

La delibera interviene anche sulla disciplina delle numerazioni per servizi di assistenza clienti, modificando l’articolo 15 del PNN. In particolare, viene confermata la possibilità per i fornitori di servizi di comunicazione elettronica di ottenere numerazioni brevi dedicate, inclusi numeri a tre cifre con codice 1 e numerazioni con codici 192 e 194. L’AGCom introduce inoltre una novità di particolare interesse, consentendo anche a soggetti non in possesso dell'autorizzazione generale per la fornitura di servizi di comunicazioni elettroniche di utilizzare specifiche numerazioni dedicate ai servizi di assistenza clienti senza oneri per il chiamante. Secondo l’Autorità, tale misura dovrebbe favorire una maggiore riconoscibilità dei servizi di customer care da parte degli utenti e incrementare la trasparenza delle comunicazioni commerciali.

Con riferimento alle attività di teleselling e telemarketing, l’AGCom conferma inoltre l’intenzione di proseguire gli approfondimenti sulle numerazioni dedicate alle chiamate commerciali, richiamando un precedente intervento relativo alle numerazioni con prefisso 084, che risultano tuttavia finora poco utilizzate. In tale contesto, l’Autorità valuterà l’introduzione di nuove numerazioni dedicate e la definizione di specifiche modalità operative e di controllo per i servizi caratterizzati da elevati volumi di traffico.

Infine, la delibera istituisce un Tavolo tecnico presso la Direzione Reti e servizi di comunicazioni elettroniche, incaricato di approfondire le questioni tecniche, operative ed economiche emerse nel corso della consultazione pubblica, incluse le modalità di verifica dell’autenticità del CLI, le regole di sub-assegnazione delle numerazioni, i meccanismi di identificazione degli utenti finali e le possibili ulteriori evoluzioni del PNN.

Su un simile argomento può essere interessante l'articolo "Avvio della consultazione pubblica per l'aggiornamento del Piano Nazionale di Numerazione e delle regole sull'identificazione del chiamante".

Autore: Massimo D'Andrea, Matilde Losa, Arianna Porretti

 

Intellectual Property

UPC: la Corte d’Appello chiarisce la nozione di "applicant" ai fini della prestazione di una cauzione

Con decisione del 7 aprile 2026, la Corte d'Appello si è pronunciata sull’istituto della security for costs ai sensi dell’art. 69(4) UPCA e della Rule 158 RoP, offrendo chiarimenti sia in ordine alla legittimazione delle parti a richiederla nei giudizi di secondo grado, sia con riguardo al rapporto tra tale misura e l’istanza di sospensione del procedimento.

La decisione si inserisce nel contenzioso tra una nota società finlandese attiva nel licensing di tecnologie mobili basate sull’intelligenza artificiale e un primario operatore statunitense del settore tecnologico. La vertenza ha avuto origine da un’azione di contraffazione promossa dalla finlandese, nella quale la convenuta ha promosso una domanda riconvenzionale di nullità del brevetto azionato.

Nell'ambito di quel procedimento, il Tribunale di prime cure ordinava all'attrice di prestare una cauzione, che tuttavia non veniva versata, il che comportava la dismissione dell'azione di contraffazione.

L'attrice rimaneva altresì inadempiente in ordine al pagamento delle spese di lite. Parallelamente veniva accolta la domanda riconvenzionale di nullità, con conseguente ulteriore condanna alle spese a carico della titolare del diritto.

La società soccombente impugnava la decisione e l’appellata chiedeva, da un lato, la prestazione di una cauzione e, dall’altro lato, la sospensione del procedimento sino al versamento della somma già liquidata in primo grado e sino all'effettivo versamento della cauzione nel giudizio in appello.

Sotto il primo profilo, i giudici di Lussemburgo hanno ribadito un principio già espresso in precedenza (Hefei v Grundfos – UPC_CoA_622/2025 e UPC_CoA_623/2025 e Oerlikon v Bhagat – UPC_CoA_8/2025) secondo cui la cauzione può essere ordinata esclusivamente nei confronti della parte che ha dato impulso al procedimento mediante il deposito dell’atto introduttivo (cd. applicant). In sede di appello, la qualità di applicant spetta all’appellante, con la conseguenza che solo l’appellato può domandare la prestazione di una cd. security for costs. Ciò vale anche quando l’appellato abbia rivestito nel giudizio di primo grado la posizione di convenuto in senso formale e di attore in senso sostanziale, come avvenuto – in questo caso – per la domanda riconvenzionale. Tale interpretazione della nozione di "applicant" si fonda d'altronde sulla ratio dell’istituto della security for costs, che tutela la parte convenuta dal rischio che l'eventuale condanna dell’attrice alle spese rimanga ineseguita.

Nel caso di specie, i giudici di appello hanno ritenuto concreto il rischio di insolvenza dell’appellante, accentuato dal fatto che – come detto - tale soggetto non avesse ancora corrisposto le somme già liquidate in favore della controparte all’esito del giudizio di primo grado.

Alla luce di tali circostanze, la Corte ha quindi ordinato la costituzione di una cauzione di importo significativo entro tre settimane dalla notifica della pronuncia.

Sotto altro profilo, il Collegio ha invece rigettato l’istanza di sospensione del procedimento presentata dell'appellata, chiarendo che le condizioni economiche dell’appellante non costituiscono, di regola, motivo sufficiente per sospendere il procedimento ai sensi della Rule 295(m) RoP. La Corte ha infatti sottolineato l'eccezionalità di tale misura, da valutarsi alla luce dei principi ispiratori delle Rules of Procedure, quali la proporzionalità, l'equità e, soprattutto, la celerità del giudizio, che sarebbe risultata compromessa in caso di sospensione del procedimento.

Autrice: Laura Gastaldi

 

Il diritto di seguito e l'elenco SIAE degli autori che non l'hanno rivendicato

Con la pubblicazione nella Gazzetta Ufficiale n. 99 del 30 aprile 2026, la Società Italiana degli Autori ed Editori ha reso noto il proprio elenco semestrale degli autori - o delle opere collettive - per i quali il diritto di seguito non risulta ancora rivendicato, ovvero le cui posizioni amministrative non sono state ancora perfezionate presso l'ente. Si tratta di un adempimento periodico che la SIAE è tenuta a svolgere ai sensi dell'articolo 47 del Regolamento di esecuzione della legge sul diritto d'autore.

Che cos'è il diritto di seguito

Il diritto di seguito - noto anche con il termine francese droit de suite - è una prerogativa economica riconosciuta dalla legge agli autori di opere d'arte visiva o manoscritti e ai loro eredi o aventi causa. Esso attribuisce il diritto a percepire una quota - calcolata in percentuale sul corrispettivo della vendita - ogni volta che un'opera cambia di mano sul mercato secondario attraverso la mediazione di un operatore professionale, quale una casa d'aste, una galleria d'arte o qualsiasi altro soggetto che intervenga professionalmente in qualità di venditore, acquirente o intermediario.

La ratio di questo istituto risiede in un'esigenza di equità: spesso un'opera d'arte acquista valore nel tempo, talvolta in misura considerevole rispetto al prezzo originario di cessione, e sarebbe ingiusto che di tale incremento beneficiasse esclusivamente il mercato, senza che l'autore - che con la propria creatività ha generato quel valore - ne ricevesse alcuna parte. Il diritto di seguito corregge questa asimmetria, garantendo all'artista o ai suoi successori una partecipazione economica alle successive transazioni commerciali dell'opera.

Perché alcuni autori compaiono nell'elenco

La pubblicazione dell'elenco risponde a una precisa funzione di trasparenza e tutela. Vi figurano gli autori - o i loro aventi causa - che, pur avendo maturato il diritto a percepire i compensi derivanti dalla rivendita delle proprie opere, non si sono ancora fatti avanti per rivendicarlo formalmente presso la SIAE, oppure la cui pratica risulta incompleta o priva della documentazione necessaria per essere portata a conclusione.

Le ragioni possono essere le più svariate: dalla semplice ignoranza dell'esistenza di tale diritto, alla difficoltà degli eredi nel ricostruire i rapporti giuridici successori, fino a situazioni di irreperibilità o di mancato aggiornamento dei dati anagrafici presso l'ente. In tutti questi casi, la pubblicazione in Gazzetta Ufficiale assolve a una funzione di impulso, sollecitando i diretti interessati - o chi ne abbia la legittimazione - ad attivarsi prima che eventuali termini decadano o che le somme rimangano non distribuite.

L'elenco pubblicato il 30 aprile 2026 comprende centinaia di nominativi, sia di autori italiani che stranieri, a conferma della portata internazionale del mercato dell'arte e della platea potenzialmente ampia di soggetti coinvolti.

Come agire se si è tra gli interessati

Gli autori il cui nome figura nell'elenco - o i loro eredi e aventi causa - sono tenuti a prendere contatto con gli uffici competenti della SIAE, specificamente la divisione Literature & Visual Arts, con sede in viale della Letteratura 30, 00144 Roma. La modulistica necessaria per avanzare la rivendicazione è disponibile direttamente sul sito dell'ente, all'indirizzo www.siae.it, e consente di avviare la procedura di perfezionamento della propria posizione.

È opportuno attivarsi senza indugio: i compensi eventualmente spettanti restano nella disponibilità della SIAE in attesa di essere reclamati, ma una tempestiva presa di contatto facilita la definizione della pratica e riduce il rischio di complicazioni burocratiche legate alla prescrizione dei diritti o alla difficoltà di reperire documentazione a distanza di tempo.

Autrice: Noemi Canova

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Josaphat Manzoni, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.