Innovation Law Insights

Legal Break

Le banche europee affrontano nuove regole sulla gestione del rischio di terze parti: cosa c’è da sapere

Alessandro Ferrari, Partner di DLA Piper, analizza le nuove linee guida dell’EBA sulla gestione del rischio di terze parti durante una breve pausa caffè. Puoi guardare l’episodio qui.

 

Podcast

Tecnologie dual-use: il lato militare nascosto dell’IA, dei chip e dell’industria spaziale europea

In questo episodio del podcast Diritto al Digitale, Giulio Coraggio, partner di DLA Piper, esplora cosa si intende per tecnologie dual-use, i quadri normativi europei che regolano queste tecnologie, perché le aziende che sviluppano IA, chip, robotica e tecnologie aerospaziali sono sempre più coinvolte nella normativa sulla difesa, le opportunità industriali per le imprese europee e italiane in questo settore in rapida evoluzione nonché la crescente intersezione tra tecnologia, diritto e geopolitica. Puoi ascoltare l’episodio qui.

 

Artificial Intelligence

Rinvio dell’AI Act approvato dal Parlamento europeo: un adeguamento necessario o il primo segnale di criticità strutturali?

Le commissioni IMCO e LIBE del Parlamento europeo hanno ora formalmente sostenuto il rinvio di alcuni obblighi previsti dall’AI Act dell’UE, secondo l’ultimo comunicato ufficiale. La proposta si concentra sul posticipo dell’applicazione di specifici requisiti – in particolare quelli relativi ai sistemi di IA ad alto rischio – con l’obiettivo dichiarato di garantire che sia le aziende sia le autorità di vigilanza siano adeguatamente preparate per l’attuazione.

Questo sviluppo è significativo.

Rappresenta uno dei primi aggiustamenti concreti della tempistica dell’AI Act e segnala che il passaggio dalla normativa all’implementazione si sta rivelando più complesso del previsto.

Cosa è stato concordato

La posizione delle commissioni sostiene un rinvio mirato, piuttosto che un ritardo generale dell’AI Act.

La logica è chiara:

• le aziende necessitano di più tempo per rendere operativa la conformità;
• i regolatori devono sviluppare capacità di enforcement;
• è richiesta maggiore chiarezza su come alcune disposizioni debbano essere applicate nella pratica.

In particolare, il rinvio riguarda gli obblighi legati ai sistemi di IA ad alto rischio, che restano la parte più complessa ed esigente del quadro normativo.

Perché l’IA ad alto rischio resta la sfida principale

L’AI Act si basa su un approccio basato sul rischio, con i sistemi ad alto rischio soggetti a requisiti stringenti, tra cui:

• sistemi di gestione del rischio;
• governance dei dati e controlli di qualità;
• documentazione tecnica e registrazione delle attività;
• meccanismi di supervisione umana;
• valutazioni di conformità.

Tuttavia, nella pratica, le aziende stanno incontrando difficoltà nell’applicazione di queste regole.

La sfida principale non è tanto la conformità in sé, quanto la qualificazione.

Stabilire se un sistema rientri nella categoria “ad alto rischio” richiede spesso:

• l’interpretazione di disposizioni giuridiche formulate in modo ampio;
• la valutazione di casi d’uso che si collocano in aree grigie;
• la comprensione di come i componenti di IA interagiscano all’interno di prodotti o servizi complessi.

Questo genera incertezza giuridica, che a sua volta rallenta l’implementazione.

Un reality check normativo

Il rinvio riflette una realtà più ampia: l’ambizione normativa ha superato la prontezza operativa.

Ciò vale non solo per le aziende, ma anche per i regolatori.

Le autorità di vigilanza in tutta l’UE stanno ancora:

• sviluppando competenze tecniche;
• coordinando gli approcci di enforcement;
• elaborando linee guida per garantire un’interpretazione coerente.

Senza questa preparazione, esiste il rischio concreto che l’applicazione dell’AI Act diventi frammentata tra gli Stati membri, compromettendo l’obiettivo di armonizzazione.

Il rischio per le imprese: un falso senso di sicurezza

Uno dei principali rischi legati al rinvio è il modo in cui verrà interpretato dal mercato.

Esiste una naturale tendenza a considerare i ritardi come tempo aggiuntivo per prepararsi.

In realtà, la situazione è più complessa.

L’adozione dell’IA nelle organizzazioni sta accelerando rapidamente e spesso avviene in modo decentralizzato, guidato dalle esigenze di business piuttosto che da considerazioni di compliance.

Questo crea un rischio strutturale.

Quando emergono problematiche legali o regolatorie:

• i sistemi di IA potrebbero essere già integrati nei processi chiave;
• la remediation potrebbe richiedere cambiamenti operativi significativi;
• i costi potrebbero aumentare sensibilmente;
• il rischio reputazionale potrebbe diventare rilevante.

In questo contesto, il rinvio degli obblighi normativi non riduce il rischio.

Può, al contrario, aumentarlo.

La governance dell’IA come vero elemento distintivo

È qui che il concetto di AI governance diventa centrale. Il rinvio non cambia la direzione generale. L’AI Act entrerà in vigore e le aspettative resteranno elevate.

Il vero elemento distintivo per le organizzazioni sarà la capacità di:

• identificare e mappare tempestivamente i sistemi di IA;
• valutare i rischi legali ed etici prima della loro implementazione;
• adottare framework di governance scalabili;
• garantire responsabilità e accountability tra le diverse funzioni.

Le aziende che adotteranno un approccio proattivo saranno meglio posizionate non solo per la conformità, ma anche per la gestione dei rischi aziendali più ampi.

Un cambiamento nella narrativa regolatoria

Questo sviluppo segnala anche un cambiamento nell’approccio politico all’AI Act.

L’attenzione non è più solo sull’adozione delle regole, ma sulla loro effettiva applicabilità ed eseguibilità.

Ciò solleva importanti interrogativi sul futuro del quadro normativo:

• saranno introdotti ulteriori aggiustamenti?
• come verrà garantita la coerenza tra gli Stati membri?
• in che misura le linee guida influenzeranno l’applicazione pratica delle regole?

Queste saranno questioni centrali nei prossimi mesi.

Conclusione

Il sostegno del Parlamento europeo al rinvio di alcuni obblighi dell’AI Act non deve essere interpretato come un indebolimento del quadro normativo. È piuttosto un adeguamento necessario per allineare i requisiti legali alle realtà operative e di enforcement.

Per le imprese, il messaggio è chiaro: aspettare non è una strategia. Il rinvio concede tempo, ma aumenta anche l’attenzione su come tale tempo viene utilizzato.

Autore: Giulio Coraggio

 

Privacy and Cybersecurity

Quando può essere rifiutata una richiesta di accesso GDPR? La Corte di Giustizia dell’UE traccia una linea chiara

Con la sentenza Brillen Rottler (C-526/24), la Corte di Giustizia dell’Unione Europea (CJEU) ha chiarito che, in determinate circostanze, un titolare del trattamento può rifiutare una richiesta di accesso - anche se si tratta della prima presentata dall’interessato.

Questo rappresenta il vero punto di svolta della decisione.

Il principio chiave: le richieste di accesso possono essere rifiutate se abusive

La Corte ha confermato esplicitamente che una richiesta ai sensi dell’articolo 15 GDPR può essere considerata “eccessiva” e quindi rifiutata ai sensi dell’articolo 12, comma 5, del GDPR, quando è abusiva.

Elemento importante: ciò non riguarda solo richieste ripetitive.

• Anche una prima richiesta di accesso può essere rifiutata
• Il fattore decisivo non è la frequenza, ma la finalità

Secondo la Corte, una richiesta è abusiva quando viene presentata:

• non per comprendere come vengono trattati i dati personali;
• ma per creare artificialmente le condizioni per richiedere un risarcimento ai sensi del GDPR.

Questo chiarimento amplia significativamente la possibilità pratica di rifiutare richieste di accesso.

Dalla conformità formale a una valutazione basata sulla finalità

La decisione introduce una valutazione sostanziale dell’intento.

Finora, i titolari del trattamento erano generalmente tenuti a soddisfare le richieste di accesso, salvo che fossero manifestamente infondate o ripetitive. La Corte chiarisce ora che la conformità formale ai requisiti del GDPR non è sufficiente se la finalità sottostante è abusiva.

Ciò significa che le aziende possono:

• valutare il contesto complessivo della richiesta;
• considerare eventuali schemi di comportamento;
• basarsi su elementi che suggeriscono una strategia sistematica di contenzioso.

Ad esempio, la Corte ha riconosciuto che richieste ripetute seguite da richieste di risarcimento nei confronti di più organizzazioni possono indicare un intento abusivo.

Ma la soglia resta elevata

Sebbene la sentenza apra alla possibilità di rifiutare richieste di accesso, non abbassa il livello di tutela.

L’onere della prova resta a carico del titolare del trattamento.

Ciò crea una situazione delicata:

• rifiutare una richiesta senza prove sufficienti può costituire a sua volta una violazione del GDPR;
• soddisfare richieste abusive può esporre le aziende a pretese opportunistiche.

In pratica, il rifiuto deve rimanere un’eccezione, non la regola.

Risarcimento: nessun diritto automatico

La Corte ribadisce inoltre che il risarcimento ai sensi del GDPR richiede un danno effettivo.

Per ottenere un risarcimento, l’interessato deve dimostrare:

• una violazione del GDPR;
• un danno reale (materiale o immateriale);
• un nesso causale tra i due.

Elemento cruciale: non è dovuto alcun risarcimento se il danno è causato dal comportamento dello stesso interessato.

Questo è particolarmente rilevante nei casi in cui le richieste di accesso vengano utilizzate strategicamente per generare pretese risarcitorie.

Impatto operativo: un nuovo dilemma di compliance

La sentenza ha implicazioni pratiche immediate.

Le aziende dovrebbero ora rivedere le proprie procedure di gestione delle richieste di accesso, soprattutto in presenza di:

• richieste ripetute o strutturate;
• brevi intervalli tra la fornitura dei dati e nuove richieste;
• segnali di comportamento orientato al contenzioso.

Allo stesso tempo, le organizzazioni devono implementare processi interni robusti per:

• documentare eventuali elementi di abuso;
• garantire coerenza nelle decisioni;
• coinvolgere i team legali nei casi più rischiosi.

Un’evoluzione più ampia nell’applicazione del GDPR?

La possibilità di rifiutare una richiesta di accesso in caso di abuso riflette un’evoluzione più ampia del diritto europeo in materia di protezione dei dati.

Il GDPR è stato concepito per tutelare gli individui - ma non per consentire uno sfruttamento sistematico dei suoi meccanismi.

La Corte invia ora un messaggio chiaro:

I diritti degli interessati sono fondamentali, ma non sono illimitati quando vengono esercitati in mala fede.

Cosa succede ora?

La decisione Brillen Rottler rappresenta un chiarimento cruciale: le richieste di accesso GDPR non sono assolute - possono essere rifiutate se abusive.

Per le aziende, ciò comporta sia un’opportunità sia un rischio:

• un’opportunità di contrastare usi strumentali;
• un rischio di valutare erroneamente l’intento e incorrere in non conformità.

La vera sfida sarà operativa:

Come possono le organizzazioni identificare con sicurezza le richieste abusive senza compromettere i diritti legittimi degli interessati?

Autore: Giulio Coraggio

Parere congiunto EDPB-EDPS sul Cybersecurity Act 2 e sulle modifiche alla direttiva NIS2

Il Comitato europeo per la protezione dei dati ("EDPB") e il Garante europeo della protezione dei dati ("EDPS") hanno pubblicato un parere congiunto ("Parere congiunto") sulle proposte della Commissione europea di revisione del quadro normativo UE in materia di cybersicurezza, ossia il Cybersecurity Act 2 (“CSA2”) e le modifiche alla direttiva NIS2 (congiuntamente, le “Proposte”). Il parere fornisce una valutazione strutturata delle modifiche proposte, illustrandone le principali implicazioni e sollevando questioni rilevanti in materia di protezione dei dati personali.

ENISA: ruolo rafforzato e punto di accesso unico

Le Proposte introducono cambiamenti significativi al ruolo di ENISA:

• da un lato, ne rafforzano il mandato, rendendola più operativa e centrale nel supporto alle politiche di cybersicurezza dell’UE;
• dall’altro, le attribuiscono una funzione chiave come punto di accesso unico per la segnalazione degli incidenti, con l’obiettivo di semplificare gli obblighi per le organizzazioni.

L’EDPB e l’EDPS accolgono positivamente questi sviluppi, in particolare i potenziali guadagni di efficienza derivanti da un sistema di segnalazione centralizzato. Attualmente, infatti, la necessità di notificare incidenti in più Stati membri rappresenta un onere significativo di compliance per le organizzazioni, che può altresì incidere in senso negativo sulla consapevolezza complessiva degli incidenti da parte delle autorità competenti.

Allo stesso tempo, il Parere congiunto sottolinea che l’espansione dei compiti di ENISA potrebbe comportare il trattamento di grandi volumi di informazioni, inclusi potenzialmente dati personali. Per questo motivo, viene evidenziata la necessità di definire chiaramente l’ambito di tale trattamento e di garantire adeguate garanzie, in linea con i principi di necessità e proporzionalità previsti dal GDPR e dalle norme applicabili in materia di protezione dei dati.

European Cybersecurity Skills Framework (ECSF)

L’articolo 19 della proposta CSA2 introduce il quadro europeo delle competenze in materia di cybersicurezza (ECSF). Il framework mira a garantire che professionisti della cybersicurezza, datori di lavoro, enti di formazione e autorità pubbliche nei vari Stati membri abbiano una visione condivisa delle competenze richieste per i diversi ruoli nel settore della cybersicurezza.

In particolare, tale framework mira a contribuire a:

• definire profili professionali chiari;
• stabilire requisiti di qualificazione trasparenti;
• migliorare l’allineamento tra sistemi educativi e mercato del lavoro;
• fornire una base strutturata per le attività formative nel settore della cybersicurezza.

L’EDPB e l’EDPS accolgono positivamente questa iniziativa, in quanto mira ad aumentare il livello complessivo delle competenze in materia di cybersicurezza nell’Unione. Tuttavia, raccomandano di estenderne l’ambito oltre i soli professionisti del settore.

Poiché i recenti incidenti informatici derivano sempre più spesso da errori umani – inclusi comportamenti di dipendenti in ruoli operativi o non specialistici – è essenziale diffondere competenze e consapevolezza di base in materia di sicurezza informatica a tutta la forza lavoro. Limitare il framework agli specialisti rischierebbe di trascurare una delle principali fonti di vulnerabilità.

Sicurezza della supply chain ICT

La proposta CSA2 introduce anche misure volte a rafforzare la sicurezza delle catene di approvvigionamento ICT, includendo anche la gestione di rischi non tecnici come quelli geopolitici, legali e strategici.

L’EDPB e l’EDPS accolgono favorevolmente questa iniziativa come un passo importante per rafforzare la resilienza dei settori critici. Sebbene tali rischi non siano strettamente legati alla cybersicurezza, possono incidere in modo significativo sulla continuità operativa delle organizzazioni; è quindi essenziale, anche in linea con l’approccio della direttiva CER, che le imprese siano in grado di gestire incidenti di diversa natura, non limitati esclusivamente al profilo cyber.

Estensione delle entità essenziali ai sensi della NIS2

Le modifiche proposte alla direttiva NIS2 ampliano l’ambito delle “entità essenziali” includendo, tra gli altri, i fornitori di portafogli di identità digitale e di business wallet.

L’EDPB e l’EDPS sostengono questa estensione, osservando che tali servizi stanno assumendo un ruolo sempre più centrale nell’ecosistema digitale europeo. In particolare, si prevede che acquisiranno ulteriore rilevanza alla luce degli sviluppi legati al portafoglio europeo di identità digitale (EU Digital Identity Wallet), destinato a diventare uno strumento chiave per l’identificazione digitale all'interno dell'Unione Europea.

Segnalazione degli attacchi ransomware

Le Proposte introducono inoltre nuovi obblighi relativi alla segnalazione degli attacchi ransomware. Le entità potrebbero essere tenute a fornire informazioni dettagliate ai Computer Security Incident Response Teams (CSIRT), tra cui:

• se è stato pagato un riscatto;
• l’importo del riscatto;
• i destinatari del pagamento.

Questa misura è particolarmente rilevante alla luce della crescente grado di sofisticatezza degli attacchi informatici. L’accesso a informazioni dettagliate è infatti essenziale per comprendere meglio le minacce, migliorare le strategie di risposta e contribuire alla lotta contro le organizzazioni criminali. L'assenza di un approccio coordinato e di condivisione di informazioni tra gli Stati membri a livello UE potrebbe compromettere la risposta verso attacchi particolarmente complessi.

Allo stesso tempo, l’EDPB e l’EDPS sottolineano che tali obblighi possono comportare il trattamento di dati sensibili e richiedono quindi adeguate garanzie in materia di protezione dei dati.

Conclusione

Nel complesso, il Parere congiunto esprime un sostegno generale alle riforme proposte, pur ponendo particolare enfasi sulla necessità di garantire un elevato livello di protezione dei dati personali, soprattutto nel contesto della condivisione delle informazioni.

Resta ora da attendere gli sviluppi legislativi per comprendere il futuro della cybersicurezza nell’Unione Europea e in che misura le osservazioni sollevate nel Parere congiunto saranno prese in considerazione.

Autore: Federico Toscani

 

Intellectual Property  

AI e diritto d'autore: l'AIII della WIPO come ponte per soluzioni tecniche condivise 

Lo scorso 17 marzo, la World Intellectual Property Organization ha lanciato una nuova iniziativa volta a favorire il coordinamento tra la tutela dei diritti di proprietà intellettuale e l’innovazione tecnologica, oggi più che mai permeata dall'intelligenza artificiale.

Il progetto, denominato Artificial Intelligence Infrastructure Interchange (AIII), si configura come uno spazio di confronto tecnico-operativo. L’assunto di fondo è chiaro: qualsiasi intervento regolatorio sull’AI rischia di rimanere inefficace se non accompagnato da soluzioni concrete, quali standard interoperabili, strumenti di tracciamento e sistemi affidabili per identificare opere e contributi, siano essi umani o generati da sistemi artificiali. 

Il fulcro dell’iniziativa è rappresentato da una rete internazionale di esperti provenienti da ambiti eterogenei: industria tecnologica, settore creativo, mondo accademico e società civile. Tra i partecipanti figurano operatori di primo piano come Amazon Web Services, Shutterstock e Universal Music Group, accanto a sviluppatori di tecnologie AI e titolari di diritti. 

Tra le priorità vi è la realizzazione di una mappatura sistematica dell’infrastruttura esistente in materia di diritto d’autore e delle tecnologie correlate. Infatti, comprendere le modalità attuali di gestione dei diritti, dei metadati e delle informazioni sulle opere è essenziale per individuare le aree di intervento più urgenti. Parallelamente, l’iniziativa analizzerà le criticità emergenti dall’uso sempre più diffuso di sistemi generativi – come i modelli linguistici di grandi dimensioni – che mettono in discussione i confini tradizionali sull'identità dell'autore, tra componente umana e artificiale. 

Al fine di garantire trasparenza e coinvolgimento, i risultati del confronto tra esperti e lo stato di avanzamento dei lavori saranno presentati in un incontro pubblico annuale. Il primo appuntamento è previsto per il prossimo 2 ottobre e rappresenterà un momento chiave per orientare le fasi del progetto a venire.  

Nel suo intervento inaugurale, il Direttore generale Daren Tang ha evidenziato come ogni grande innovazione tecnologica richieda un adeguamento dei sistemi che la supportano. In tale prospettiva, l’intelligenza artificiale non fa eccezione: per esprimere pienamente il proprio potenziale, necessita di un’infrastruttura solida e affidabile, in grado di coniugare efficienza operativa e tutela dei diritti. 

L’AIII si inserisce così in una fase cruciale di ridefinizione degli equilibri tra tecnologia e diritto, promuovendo un approccio pragmatico basato sulla costruzione di soluzioni condivise volte a colmare il divario tra principi astratti e realtà operativa. 

Autrice: Noemi Canova

 

Gaming and Gambling

Regole sul gioco d’azzardo online in Italia: i voucher di gioco venduti tramite rete retail sono il nuovo punto di pressione per i provider di pagamento?

Le regole sul gioco d’azzardo online in Italia stanno entrando in una nuova fase di applicazione, poiché l’autorità di regolazione del gioco (ADM) ha introdotto controlli più rigorosi sui voucher di gioco venduti tramite reti retail, inclusi un limite settimanale di 100 € e requisiti obbligatori di tracciabilità a partire da maggio 2026.

Questo sviluppo non riguarda solo le reti di vendita al dettaglio: ha implicazioni dirette e potenzialmente significative per i fornitori di servizi di pagamento operanti nel mercato italiano. Quelli che in Italia vengono comunemente definiti PVR (Punti Vendita Ricariche) dovrebbero essere più chiaramente intesi come punti vendita dove i giocatori acquistano voucher di gioco o ricaricano i propri conti di gioco online, spesso utilizzando contanti o altri metodi di pagamento. Questi voucher hanno a lungo rappresentato un ponte tra l’ambiente di gioco fisico e quello digitale. Ora quel ponte è sottoposto a una regolamentazione molto più stringente.

Le regole italiane e il limite settimanale di 100 € sui voucher

Al centro delle nuove regole vi è la conferma che non saranno concessi ulteriori rinvii all’introduzione del limite settimanale di 100 € per l’acquisto di voucher di gioco tramite contanti o strumenti non tracciabili.

Questo limite si applica a tutte le transazioni effettuate attraverso le reti retail ed è progettato per prevenire l’uso eccessivo o incontrollato di metodi di pagamento anonimi nel gioco online.

ADM ha definito una roadmap chiara:

• 5 marzo 2026: apertura degli ambienti di test per gli operatori;
• 16 marzo 2026: disponibilità dei sistemi operativi;
• 13 maggio 2026: piena applicazione, incluso il monitoraggio obbligatorio delle transazioni.

Da quel momento, gli operatori dovranno garantire che ogni giocatore non superi la soglia settimanale di 100 €.

Impatto diretto su operatori e fornitori di pagamento

Uno degli aspetti più sottovalutati delle nuove regole è l’impatto sui provider di pagamento. La riforma introduce un requisito fondamentale: tutti i flussi finanziari legati al gioco devono essere tracciabili e collegati al titolare verificato del conto di gioco.

Ciò significa che:

• gli strumenti di pagamento utilizzati per i depositi devono essere identificabili e attribuibili al giocatore;
• i meccanismi anonimi o basati sul contante sono fortemente limitati;
• i prelievi devono essere effettuati tramite istituzioni finanziarie regolamentate.

I voucher retail, tradizionalmente usati come punto di accesso basato sul contante, vengono quindi trasformati in strumenti completamente tracciabili. Di conseguenza, i provider di pagamento – in particolare quelli che offrono soluzioni cash-in, strumenti prepagati o pagamenti ibridi retail – dovranno rivedere il proprio ruolo nell’ecosistema del gioco.

Non si tratta solo di un adeguamento normativo, ma di un cambiamento strutturale.

Nuove opportunità

Le restrizioni aprono anche nuove opportunità:

• Soluzioni di pagamento alternative: collaborazione con e-wallet e provider digitali per transazioni tracciabili;
• Partnership strategiche con i punti vendita: ad esempio, designando i negozi come agenti dei provider di pagamento.

Applicazione già in corso

L’inasprimento delle regole è supportato da un’intensa attività di controllo:

• 324 punti vendita sanzionati nel 2025;
• multe frequenti di diverse migliaia di euro;
• applicazione basata sull’assunto che il limite di 100 € fosse già vigente.

La recente circolare ADM colma il divario tra normativa e strumenti tecnici, introducendo sistemi di monitoraggio in tempo reale.

Nessun ulteriore rinvio

ADM ha deciso di non concedere ulteriori proroghe.

Fatta eccezione per un’estensione limitata fino al 13 novembre 2026 per la certificazione delle piattaforme dei nuovi concessionari, tutte le altre obbligazioni sono già operative o in fase di piena attuazione.

Gli operatori devono già:

• utilizzare un unico sito con dominio nazionale;
• raccogliere dati completi di identificazione;
• implementare sistemi di identificazione digitale sicura.

La direzione è chiara: maggiore tracciabilità, identità e controllo.

Gioco responsabile e limiti per utente

La riforma introduce anche misure più stringenti di gioco responsabile.

I giocatori devono impostare limiti prima di attivare il conto:

• massimo 3 ore di gioco al giorno;
• massimo 100 € di spesa giornaliera;
• massimo 200 € di ricarica giornaliera.

Per i giocatori tra 18 e 24 anni:

• massimo 2 ore di gioco al giorno;
• massimo 50 € di spesa e ricarica.

Implicazioni strategiche

Gli operatori devono garantire:

• integrazione completa tra voucher retail e piattaforme online;
• monitoraggio in tempo reale dei limiti;
• estensione dei controlli AML e KYC;
• supervisione rigorosa dei partner.

Per i provider di pagamento:

• maggiori obblighi di compliance;
• sistemi avanzati di monitoraggio;
• possibile riprogettazione dei prodotti basati su contante.

Questo potrebbe accelerare la transizione verso sistemi di pagamento completamente digitali.

Conclusione

Le nuove regole sul gioco online in Italia non riguardano solo i voucher retail: ridefiniscono il ruolo dei pagamenti nell’intero ecosistema del gioco.

Imponendo limiti stringenti e requisiti di tracciabilità, il regolatore integra i provider di pagamento nel cuore del sistema di compliance.

Per operatori e intermediari finanziari, la sfida non è più solo comprendere le regole, ma costruire sistemi in grado di applicarle in tempo reale.

Puoi leggere i diversi regimi normativi sul gioco in quasi 50 giurisdizioni nella guida Gambling Laws of the World di DLA Piper.

Autore: Giulio Coraggio

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Josaphat Manzoni, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.