Innovation Law Insights

Legal Break 

Legal Tech: le principali tendenze che stanno plasmando il 2025

In questo episodio di Legal Break, Tommaso Ricci di DLA Piper esplora gli sviluppi tecnologici più significativi nel settore legale, offrendo approfondimenti sulle tendenze che hanno caratterizzato l’ultimo anno e che stanno definendo il futuro della professione. Puoi guardare l’episodio qui.

 

Privacy and Cybersecurity 

Incidenti di sicurezza NIS2: ACN pubblica la nuova Linea guida

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato lo scorso dicembre le Linee guida NIS sulla definizione del processo di gestione degli incidenti di sicurezza informatica, documento volto a supportare i soggetti inclusi nell’ambito di applicazione del decreto legislativo 4 settembre 2024, n. 138 (decreto NIS), nell’attuazione degli obblighi in materia di gestione degli incidenti e che accompagna il precedente documento sulle specifiche di base ("guida alla lettura").

Il documento è rivolto ai soggetti NIS essenziali e importanti e ha lo scopo di fornire un modello di riferimento per la definizione e strutturazione del processo di gestione degli incidenti di sicurezza informatica, illustrandone le fasi, le sotto fasi e la relazione con le misure di sicurezza di base previste dalla disciplina NIS.

Le Linee guida non introducono nuovi obblighi, ma descrivono un possibile assetto organizzativo e operativo del processo, mettendo in connessione le prescrizioni normative con le attività concrete richieste per la prevenzione, il rilevamento, la risposta e il miglioramento continuo nella gestione degli incidenti.

Il modello proposto da ACN articola il processo di gestione degli incidenti in cinque fasi principali:

• preparazione, che comprende le attività di governo, identificazione e protezione;
• rilevamento, finalizzata all’individuazione tempestiva di eventi rilevanti per la sicurezza informatica;
• risposta, che include le sottofasi di segnalazione, investigazione, contenimento ed eradicazione;
• ripristino, volta al ritorno allo stato operativo antecedente all’incidente;
• miglioramento, intesa come fase trasversale alimentata dalle lezioni apprese.

Misure di sicurezza e assetto organizzativo

Una parte significativa del documento è dedicata alla fase di preparazione, nella quale assumono rilievo:

• la definizione e l’approvazione, da parte degli organi di amministrazione e direttivi, del piano per la gestione degli incidenti, previsto dalla misura RS.MA 01;
• l’adozione di politiche di sicurezza informatica coerenti con le misure GV.PO 01 e GV.PO 02, incluse quelle relative al monitoraggio degli eventi, alla risposta agli incidenti e al ripristino;
• l’assegnazione formale di ruoli e responsabilità, inclusa la designazione del Punto di contatto e del Referente CSIRT, nonché l’integrazione di eventuali terze parti coinvolte nel processo.

Le Linee guida chiariscono che la designazione del Referente CSIRT costituisce una delega operativa e non trasferisce la responsabilità in capo agli organi di amministrazione e direttivi, come previsto dall’articolo 23 del decreto NIS.

Rilevamento, evidenza e incidenti significativi

Con riferimento alla fase di rilevamento, la Guida indica che gli eventi rilevanti per la sicurezza informatica sono sottoposti ad analisi (triage) per verificarne la natura; solo ove l’analisi confermi che l’evento sia relativo a un incidente, questo viene dichiarato e si avvia la fase di risposta.

Particolare attenzione è dedicata al concetto di evidenza dell’incidente, nozione centrale ai fini degli obblighi di notifica. Viene chiarito che ciò che rileva non è la completa ricostruzione della causa, ma la disponibilità di elementi oggettivi che attestino il verificarsi di una delle tipologie di incidenti significativi previste dalle specifiche di base. L’acquisizione dell’evidenza segna il momento dal quale decorrono i termini di 24 ore per la pre-notifica e di 72 ore per la notifica al CSIRT Italia.

Il documento richiama inoltre la distinzione tra le tipologie di incidenti significativi applicabili ai soggetti importanti e quelle ulteriori previste per i soggetti essenziali, inclusa la fattispecie dell’accesso non autorizzato o con abuso dei privilegi concessi.

Ripristino e miglioramento continuo

Le fasi di ripristino e miglioramento sono trattate come elementi essenziali per garantire la resilienza dell’organizzazione. In particolare, viene sottolineata la necessità di:

• adottare e documentare procedure di ripristino dei sistemi informativi e di rete, coerenti con il piano di gestione degli incidenti;
• tracciare le attività svolte e valutarne l’efficacia;
• integrare le lezioni apprese nei piani di continuità operativa, di ripristino in caso di disastro e di gestione delle crisi, come richiesto dalle misure di miglioramento della disciplina NIS.

Conclusioni

Come precisato da ACN, le Linee guida non modificano né integrano le disposizioni del decreto NIS o delle determinazioni attuative, ma forniscono un modello di riferimento e un supporto interpretativo per i soggetti chiamati a tradurre i requisiti normativi in processi e procedure operative.

Il documento appare particolarmente utile nelle fasi di progettazione del processo di gestione degli incidenti, di verifica dell’allineamento tra misure adottate e requisiti normativi e di preparazione alle attività di controllo e riesame previste dalla disciplina NIS, contribuendo a una lettura sistematica degli obblighi in materia di incident management all’interno del quadro NIS2.

Su un argomento simile, può essere di interesse "Specifiche di base NIS2: ACN pubblica la guida".

Autore: Gabriele Cattaneo

 

Intellectual Property

Khaby Lame e la trasformazione dell’identità digitale in asset di proprietà intellettuale

Le recenti notizie relative alla presunta cessione della società che gestisce i diritti economici e commerciali legati all’immagine e al brand di Khaby Lame, per una valutazione prossima al miliardo di dollari, offrono lo spunto per una più ampia riflessione sull’evoluzione del diritto della proprietà intellettuale nell’economia digitale e, in particolare, sul ruolo dell’identità personale come nuovo asset giuridico ed economico.

Khaby Lame, il creator più seguito al mondo su TikTok e noto a livello globale per i suoi video caratterizzati da un linguaggio non verbale, e dunque universale, dimostra come la fama ottenuta online possa tradursi in un complesso sistema di diritti sfruttabili economicamente, ben oltre il singolo contenuto audiovisivo. La figura del content creator, infatti, è ad oggi riconducibile non più soltanto alla mera produzione di contenuti per i social media, ma assume i contorni di un brand personale, dotato di valore economico e dunque trasferibile.

L’operazione, secondo le prime notizie, non si limiterebbe infatti alla gestione tradizionale delle collaborazioni commerciali, ma includerebbe anche lo sviluppo di un “gemello digitale”, basato su tecnologie di intelligenza artificiale, capace di replicare tratti distintivi dell’immagine, della gestualità e dell’espressività del creator.

Dal punto di vista giuridico, il caso solleva interrogativi rilevanti sul rapporto tra diritto all’immagine e diritti della personalità, diritti di proprietà intellettuale e sfruttamento economico della propria identità digitale.

Nel nostro ordinamento, il diritto all’immagine è tradizionalmente qualificato come diritto personalissimo, indisponibile e intrasferibile nella sua essenza. Tuttavia, è pacifico che lo sfruttamento economico dell’immagine possa essere oggetto di licenza o autorizzazione contrattuale, entro limiti ben definiti.

L’ipotesi dello sviluppo di un gemello digitale di Khaby Lame apre scenari inediti sotto il profilo della proprietà intellettuale. Un digital twin non è una mera riproduzione statica, ma un sistema capace di generare contenuti autonomamente, adattarsi a contesti linguistici e culturali differenti, operare su più mercati e piattaforme in modo simultaneo. Ciò pone questioni cruciali in tema di titolarità dei diritti sulle opere generate dall’intelligenza artificiale, limiti dell’autorizzazione concessa dal titolare dell’immagine, responsabilità per i contenuti prodotti dal gemello digitale, durata e revocabilità del consenso allo sfruttamento dell’identità digitale.

Il caso Khaby rappresenta un laboratorio avanzato di ciò che potrebbe diventare una prassi diffusa nel prossimo futuro. Sempre più creator, artisti e personaggi pubblici potrebbero strutturare la propria attività attraverso cessioni o licenze di diritti economici e utilizzo di avatar e identità virtuali.

Tuttavia, questa evoluzione impone una riflessione profonda sui limiti giuridici dello sfruttamento dell’identità umana, sulla tutela della dignità personale e sulla necessità di un equilibrio tra innovazione tecnologica e diritti fondamentali.

In questo senso, Khaby Lame non è solo un caso mediatico, ma un esempio lampante di come la proprietà intellettuale stia evolvendo, spostando il proprio baricentro dall’opera al soggetto, dall’atto creativo all’identità stessa del creatore.

Autrice: Noemi Canova

 

Legal Design

Legal Design Tricks Piccoli segreti per utilizzare il Legal Design nella tua quotidianità  

Trick #13: Human in the Loop: perché il Legal Designer serve all’AI (e non il contrario)

Tutti parlano di AI, ma pochi ricordano che, senza persone competenti, anche l’algoritmo più avanzato rischia di prendere… pessime decisioni.

Oggi l’AI accelera la produzione di documenti, ma la velocità senza controllo crea solo caos normativo.

Infatti, i documenti legali non sono solo testi: sono esperienze che guidano decisioni, rischi, costi, fiducia.

Qui entra in gioco il Legal Designer.

Qual è il ruolo del Legal Designer?

Il Legal Designer:

• struttura i processi legali
• organizza e semplifica l’informazione
• traduce complessità in scelte comprensibili

L'obiettivo? Ottenere documenti chiari, coerenti, utilizzabili.

È esattamente lo spirito dello "Human in the Loop": l’essere umano resta nel ciclo delle decisioni dell’AI, interviene nelle diverse fasi di progettazione, sviluppo e utilizzo del sistema di AI per migliorarne le prestazioni e ridurne i rischi.

 Cos’è il principio di “Human in the Loop”?

Si parla di human in the loop quando la persona interviene

• nella progettazione dell’AI
• nella preparazione dei dati
• nel controllo degli output
• nella governance dei rischi

Perché solo chi capisce il diritto può capire quando l’AI sbaglia nel diritto.

Ma vediamo il contributo chiave del Legal Designer nel garantire l'"Human in the Loop".

1. Curare i dati per far funzionare l’AI

L’AI “impara” da ciò che le diamo da leggere.

Se i documenti sono ambigui, ridondanti, incoerenti e pieni di tecnicismi…il risultato sarà identico!

Il Legal Designer:

• semplifica e rende comprensibili i testi giuridici nel pre-processing
• rende chiaro il significato legale
• elimina ambiguità, errori e inutili tecnicismi
• crea strutture informative chiare e coerenti

L'obiettivo? Garantire legal data puliti, pronti e “AI-friendly”.

Esempio: rendere uniformi i modelli contrattuali migliora le risposte dell’AI ai commerciali nelle negoziazioni.

1. Costruire una knowledge base intelligente

Senza ordine, anche la migliore AI diventa un motore di ricerca confuso.

Il Legal Designer:

• organizza normative, policy e clausole in modo navigabile
• definisce tassonomie e percorsi informativi
• collega informazioni tra legal, compliance e business

L'obiettivo? Creare una base condivisa di conoscenza, coerente e aggiornata.

Esempio: una repository aziendale delle clausole con criteri di scelta predeterminati consente all'AI di proporre testi già validati con meno rischi e più velocità.

1. Controllare rischi e qualità

La tecnologia accelera. Il diritto riflette.

Il Legal Designer:

• definisce limiti e controlli
• identifica rischi etici e legali
• verifica e corregge gli output (anti-hallucination)

L'obiettivo? Evitare “allucinazioni legali” e garantire compliance

Esempio: Un workflow chiaro di revisione per contratti generati dall’AI consente di non avere “fantasie giuridiche”.

1. Mettere le persone al centro

Un tool che nessuno usa è un investimento sprecato.

Per fare da ponte con gli utenti, il Legal Designer: 

• traduce complessità in esperienza comprensibile
• facilita l’adozione e la fiducia degli utenti
• rende chiari quando, come e perché usare un tool di IA L'obiettivo?

L'obiettivo? L'adozione sostenibile dell’AI in azienda mettendo le persone al centro e la tecnologia al loro servizio.

Esempio: La predisposizione di guide semplificate sull’utilizzo dei sistemi di AI per i dipendenti consentono di ricevere meno richieste al Legal e più autonomia per tutti.

In sintesi

L’AI non sostituisce le competenze umane.

Amplifica il valore di chi sa usarla bene.

In questo contesto, il Legal Designer è:

• curatore della qualità
• architetto della conoscenza
• guardiano del rischio
• traduttore tra diritto, tecnologia e persone

Il Legal Designer non è uno spettatore della trasformazione tecnologica. È uno dei protagonisti: fa da collante, da guida e da coscienza critica dei sistemi intelligenti. Perché senza "Human in the Loop", l’AI non è più intelligente: è solo automatica.

Lo sapevi?

Da alcuni studi e sperimentazione delle big tech è emerso che, se nei contratti si rimuove il 20% di testo superfluo, le risposte dell’AI diventano fino al 30% più accurate nelle richieste di modifica delle clausole.

Vuoi progettare un ecosistema AI-ready?

Partiamo dai dati. Dalle persone.

E da chi sa parlare ad entrambi: il Legal Designer.

Autrice: Deborah Paracchini

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.