Podcast

Cosa prevede l’accordo sull’AI Act raggiunto dal Parlamento europeo

In questo episodio di Diritto al Digitale, Giulio Coraggio discute con il Professore Gianclaudio Malgieri dell’accordo raggiunto dal Parlamento europeo sull’AI Act e dei suoi contenuti. Il Parlamento europeo ha raggiunto un accordo provvisorio sull’AI Act, la prima legislazione al mondo sulla intelligenza artificiale, il 27 aprile 2023. L’episodio del podcast è disponibile qui.

Data Protection & Cybersecurity 

Un nuovo piano per la resilienza Europea: il Cyber Solidarity Act

All’interno del proprio piano di resilienza, la Commissione europea ha recentemente approvato la proposta di Regolamento “volto a stabilire misure per rafforzare la solidarietà e le capacità dell'Unione di individuare, prepararsi e rispondere alle minacce e agli incidenti di cibersicurezza”, c.d. Cyber Solidarity Act. Lo scopo In particolare, il nuovo disposto normativo ha lo scopo di rafforzare la solidarietà tra gli stati membri dell’Unione Europea per individuare e rispondere tempestivamente ad incidenti cyber significativi o su larga scala.

• La creazione di un European Cyber Shield

Per fare questo la Commissione europea propone la creazione di un “European Cyber Shield”, un vero e proprio scudo informatico composto dai Security Operations Centres (“SOC”) in tutta l’Unione. Tali entità saranno incaricate di rilevare e agire sulle minacce informatiche utilizzando tecnologie di avanguardia - ivi inclusi sistemi di intelligenza artificiale - e analizzato data analytics in materia di sicurezza, per rilevare e condividere avvisi tempestivi su minacce e incidenti informatici a livello transfrontaliero. Il Cyber Solidarity Act prevede sia la presenza di SOC nazionali che di SOC trasfrontalieri che raggrupperanno i SOC nazionali di almeno tre stati membri. Attraverso tale struttura le autorità e gli enti competenti, a livello nazionale ed europeo, dovrebbero essere in grado, già a partire dai primi mesi del 2024, di rispondere in modo più efficiente ed efficace agli incidenti di maggiore gravità.

L’European Cyber Shield inoltre sarà dotato di un meccanismo di emergenza informatica (“Cyber Emergency Mechanism”) volto ad aumentare – in modo complementare rispetto alle risorse nazionali - la preparazione e migliorare le capacità di risposta agli incidenti cyber nel territorio dell’UE. In particolare, il meccanismo di emergenza dovrà prevedere:

• lo svolgimento di attività di verifica di potenziali vulnerabilità in settori particolarmente critici come quello sanitario, dei trasporti, dell’energia ma anche della finanza (a tal proposito la Commissione dovrà indentificare i settori e le sottocategorie rilevanti);
• la creazione di un novero di servizi (sia in relazione all’analisi che alla risposte agli incidenti) da utilizzare quali riserva in caso di incidenti subiti dai vari fornitori privati che possano essere erogati su richiesta di uno stato membro o delle istituzioni e agenzie dell’Unione Europea soggette ad incidente significativo o su larga scala;
• un sostegno finanziario per l’assistenza reciproca ove uno stato membro possa offrire supporto ad un altro stato membro dell’Unione.

Da ultimo il Cyber Solidarity Act introduce un sistema di rianalisi degli incidenti cyber, il c.d. “Cybersecurity Incident Review Mechanism”. L’agenzia UE per la sicurezza informatica (ENISA) – a seguito di richiesta da parte della Commission Europea o delle autorità nazionali (EU CyCLONe e i CSIRTs) - sarà quindi chiamata a svolgere una attività di analisi sugli attacchi più rilevanti o su larga scala che si sono verificati a livello europeo. Lo scopo di tale analisi è quello di trarre insegnamento dagli incidenti subiti anche formulando raccomandazioni per migliorare la postura informatica dell’Unione nel suo complesso.

Il piano è certamente ambizioso, anche da un punto di vista economico considerando che i finanziamenti dedicati ammontano, complessivamente, a 1,1 miliardi di euro. Tuttavia, non vi è dubbio che potrebbe contribuire significativamente alla cyber sicurezza europea e nazionale.

• I prossimi passi

Il Cyber Solidarity Act è ancora lontano da una sua versione definitiva. Il parlamento europeo ed il Consiglio sono ora chiamati ad esaminare la proposta di Regolamento della Commissione Europea. Sarà quindi necessario verificare nei prossimi mesi le evoluzioni per comprendere come il sistema di sicurezza europeo in materia di cybersecurity si evolverà ulteriormente.

Su un simile argomento, può essere interessante l’articolo: “Come conformarsi al Regolamento DORA sulla cybersecurity”.

Cybersecurity nell'era dell’intelligenza artificiale (IA): evoluzione delle minacce e delle difese

Gli sviluppi dell'intelligenza artificiale (IA) hanno portato a notevoli progressi in diversi campi, ma hanno anche introdotto nuovi rischi cyber.  La natura "duale" dell'IA consente infatti applicazioni sia innocue che dannose, sia pacifiche che militari, rendendo fondamentale l'attenzione ai rischi associati all’utilizzo di queste tecnologie.

L'entusiasmo connesso agli strumenti di IA ha subito una accelerazione vertiginosa nei primi mesi del 2023 grazie al rilascio di soluzioni accessibili al pubblico che sono presto diventate virali grazie alla loro capacità di generare contenuto testuale o visivo originale che ha catturato l’attenzione del pubblico.

Mentre le aziende cercano di potenziare i propri processi e prodotti integrando soluzioni di terzi tramite l’utilizzo delle interfacce di programmazione API o sviluppandone di proprie, è fondamentale procedere con cautela e valutare i potenziali rischi associati all'utilizzo di queste tecnologie, ma anche le opportunità derivanti dall’applicazione dell’IA a tutela della sicurezza cibernetica.

• I rischi cyber dell’intelligenza artificiale

In primo luogo, i sistemi di IA presentano delle vulnerabilità note, come la possibilità di corruzione o manipolazione dei dataset di input. Questo può portare a risultati distorti e non rappresentativi della realtà.  In secondo luogo, i sistemi di IA sono generalmente abilitati a effettuare deduzioni e svolgere azioni in modo automatizzato e senza il costante coinvolgimento umano, con una conseguente riduzione delle possibilità di individuare eventuali vulnerabilità che possono essere sfruttate da competitor poco scrupolosi o da criminali informatici per compromettere i sistemi aziendali.  Inoltre, le ragioni per cui un programma di apprendimento automatico o di IA fa particolari deduzioni e prende determinate decisioni non sono sempre immediatamente chiare ai soggetti che si occupano della supervisione.  I modelli decisionali e i dati sottostanti non sono necessariamente trasparenti o rapidamente interpretabili (anche se sono in corso sforzi significativi per migliorare la trasparenza di tali strumenti). Ciò significa che, anche se viene rilevata una violazione, il suo scopo o la sua causa possono essere difficili da ricostruire. Ci sono poi rischi derivanti dall’abuso della tecnologia stessa: sfruttando i modelli linguistici generativi è sempre più facile per gli aggressori creare e-mail di phishing altamente sofisticate e convincenti che possono ingannare anche gli utenti più esperti.

Chiaramente queste condotte sono in violazione dei termini e condizioni di utilizzo dei modelli di linguaggio generativi più noti e con il rilascio dei vari update tali servizi limitano sempre più la possibilità di bypassare i propri controlli di sicurezza, ma allo stesso tempo servizi paralleli meno noti e meno controllati vengono lanciati sul mercato. Per questo è assolutamente utile per le aziende dotarsi di policy che disciplinino l’utilizzo corretto degli strumenti di IA da parte del proprio personale, in modo da sfruttare le opportunità messe a disposizione da questa tecnologia e al contempo limitando i rischi di leak di dati confidenziali o di utilizzi potenzialmente dannosi all’azienda.

• Le opportunità dell’intelligenza artificiale nella sicurezza cibernetica

Da un altro punto di vista però le organizzazioni possono contare sulle capacità dell'IA sia per aggiornare le loro prassi in termini di sicurezza informatica che per proteggere i loro sistemi dotati di Intelligenza Artificiale. L’ IA migliora le capacità di rilevamento e di risposta alle minacce esistenti, e permette di sviluppare nuove capacità di difesa preventiva. Grazie all'impiego dell'IA, ad esempio, le aziende possono snellire e migliorare il modello operativo della sicurezza riducendo i lunghi e complessi processi manuali di ispezione e intervento e riorientando gli sforzi umani verso compiti di supervisione e risoluzione dei problemi. In particolare l'IA può potenziare gli attuali sistemi e le prassi di sicurezza informatica in tre direzioni principali.

1. Prevenzione e protezione: l'IA offre un modo per automatizzare il processo di rilevazione delle minacce - aumentando, piuttosto che sostituendo - l'analista umano attraverso tecniche di machine learning e deep learning. Molte delle applicazioni dell'A.I. per il rilevamento e la prevenzione delle minacce utilizzano una versione del machine learning chiamata "unsupervised learning", attraverso cui i set di dati raccolti vengono utilizzati per trovare dei pattern che a loro volta sono utilizzati per individuare anomalie, come spostamenti o cambiamenti insoliti dei file.

2. Rilevazione: l'intelligenza artificiale permette di passare da metodi di rilevamento statici (Signature Based Intrusion Detection System) che rilevano violazioni alla sicurezza informatica attraverso un'analisi del sistema alla ricerca di segni caratteristici delle violazioni informatiche, a metodi più dinamici e in continuo miglioramento. Gli algoritmi di A.I. sono in grado di rilevare qualsiasi cambiamento che appaia anormale, senza bisogno di una definizione anticipata di ciò che è anormale. In questo modo l'A.I. rappresenta un potente strumento per la qualificazione e l'indagine delle minacce che si rivela particolarmente utile per il monitoraggio delle indagini ad alto rischio, quali quelle nel settore dell'alta finanza. L'intelligenza artificiale è infatti in grado di riconoscere i cambiamenti significativi dei comportamenti degli utenti che possono rappresentare un rischio per la sicurezza.

3. Reazione: grazie all'IA è possibile ridurre il carico di lavoro per gli analisti di cybersecurity. Ad esempio, automatizzando in modo intelligente le ordinarie attività manuali ripetitive, come la ricerca dei segni di compromissione all'interno dei file di log, le risorse umane possono concentrarsi su attività a maggior valore e dare priorità alle aree a rischio. Inoltre, i sistemi di reazione dotati di intelligenza artificiale possono intervenire in maniera proattiva e segregare dinamicamente le reti per isolare le informazioni di valore in luoghi sicuri o reindirizzare gli aggressori lontano da vulnerabilità o dati importanti.

• Come sviluppare e implementare IA in sicurezza

Proprio secondo Microsoft nel mondo si verificano 1.287 attacchi password al secondo mentre secondo il Threat Landscape report 2022 dell’ENISA la proliferazione di bot che creano personaggi virtuali può facilmente compromettere il processo di creazione delle normative, così come l'interazione tra comunità, inondando le agenzie governative con contenuti e commenti falsi.

In un contesto così ostile è fondamentale per le imprese, di tutte le dimensioni, elaborare una strategia di cybersecurity con solide fondamenta che tenga conto dei requisiti specifici a seconda del settore operativo: ad esempio il D. Lgs. n. 65/2018 che ha implementato la Direttiva NIS 1 richiede che le società rientranti nel suo ambito di applicazione siano tenute adottare misure tecniche ed organizzative adeguate e proporzionate rispetto alla gestione dei rischi cyber, dovendo altresì prevenire e minimizzare l’impatto degli eventuali incidenti di sicurezza subiti. Di recente è stata approvata anche la Direttiva NIS 2 che introduce obblighi di cybersecurity più dettagliati e stringenti, ed amplia l’ambito di applicazione anche a società che offrono ad esempio servizi digitali o sanitari.

La progettazione di soluzioni di sicurezza aziendale efficaci passa attraverso l'elaborazione di processi di governance, management e legal compliance della sicurezza IT basati su una strutturata e sistematica acquisizione e analisi di informazioni sia sui requisiti normativi applicabili che sulle possibili minacce cyber al fine di guidare, progettare, verificare e monitorare le adeguate contromisure. Le attività di Cyber Threat Intelligence devono inoltre proseguire per tutto il ciclo di vita dei sistemi informativi aziendali, in quanto driver essenziali per la loro corretta evoluzione e fattore abilitante per l’implementazione di efficaci misure di difesa e prevenzione.

Su un simile argomento, può essere interessante l’articolo: “Report ENISA sulla cybersicurezza dell’intelligenza artificiale e la sua standardizzazione”.

La CGUE sul diritto al risarcimento dei danni da violazione del GDPR

La mera violazione del GDPR non dà diritto al risarcimento del danno, ma non è necessario che il danno subito raggiunga una certa soglia di gravità per produrre un diritto al compenso. Sono queste le conclusioni a cui è giunta la Corte di Giustizia dell’Unione europea (CGUE) in una sentenza del 4 maggio 2023.

La vicenda da cui ha avuto origine la pronuncia riguarda la società di diritto austriaco Österreichische Post, operante nel settore della vendita di indirizzi e che nello svolgimento della propria attività ha raccolto dati relativi all’affinità politica di alcuni cittadini. I dati trattati sono stati utilizzati per creare pacchetti di indirizzi con particolari caratteristiche sociali e demografiche, che poi sono stati venduti a terzi per lo svolgimento di pubblicità mirata.

Un cittadino austriaco, che non aveva acconsentito al trattamento dei suoi dati politici, ha citato in giudizio la società lamentando di essersi sentito offenso dal fatto che gli sia stata attribuita un’affinità con un particolare partito politico. É emerso che tale dato non sia mai stato oggetto di trasmissione a terzi e che, pertanto, il danno arrecato sia unicamente di carattere emotivo.

Riguardo al procedimento in questione la Corte Suprema austriaca ha sollevato tre questioni davanti alla Corte di Giustizia dell’Unione europea (“CGUE”):

1. Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 del Regolamento (UE) 679/2016 (“GDPR”) occorra anche che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la semplice violazione del Regolamento;
2. Se per calcolare l’ammontare del risarcimento esistano altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza;
3. Se l’irritazione provocata dalla violazione stessa sia di per sè sufficiente per il riconoscimento di un danno immateriale o se, invece, è necessario che sussista una conseguenza o un effetto della violazione di un diritto avente almeno un certo peso per poter determinare il danno.

Sulla prima questione la CGUE ha chiarito che non ogni mera violazione del GDPR dà luogo al diritto a ottenere un risarcimento e ogni diversa interpretazione sarebbe contraria alla chiara formulazione del Regolamento stesso. Per poter ottenere un risarcimento del danno è necessario che sussistano tre condizioni cumulative: (i) la violazione; (i) il danno morale o materiale; e (iii) il nesso di causalità. La Corte ha, inoltre, chiarito che alla luce dei considerando al Regolamento deve sussistere un nesso causale tra la violazione in questione e il danno subito per fondare il diritto al risarcimento.

Sulla seconda questione la Corte ha evidenziato che il GDPR non contiene alcuna norma che disciplini la valutazione dei danni. Spetta pertanto all'ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni volte a salvaguardare i diritti che le persone traggono dal GDPR e, in particolare, i criteri per la valutazione del danno.

Sulla terza questione la Corte ha rilevato che «subordinare il risarcimento di un danno immateriale a una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi». Pertanto, si deve concludere che non esiste nessuna soglia per il riconoscimento del danno all’interno del GDPR e per questo qualsiasi violazione del GDPR può in potenza generare un obbligo di risarcimento.

Le conclusioni a cui è giunta la Corte sono rilevanti alla luce di alcune pratiche processuali che avvengono negli Stati membri. Molti tribunali hanno respinto richieste di risarcimento per danni sulla base del fatto che sia sempre necessario il raggiungimento di una certa soglia di gravità del danno per poter ottenere un compenso. Ciò conformemente all’interpretazione di danno fornita dal diritto interno dello Stato in questione e differentemente da quella di diritto dell’Unione. La CGUE ha tuttavia chiarito che «la nozione di “danno” e, più specificamente, nel caso di specie, la nozione di “danno immateriale”, ai sensi dell’articolo 82 del RGPD, devono ricevere, tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri, una definizione autonoma e uniforme, propria del diritto dell’Unione».

Questa sentenza comporta un importante precedente in materia di risarcimento del danno da violazione del GDPR. È atteso un importante aumento del contenzioso, soprattutto in materia di ricorsi collettivi. Numerosi ricorsi su questo argomento sono ancora pendenti di fronte alla Corte di Giustizia, per questo sono attesi ulteriori sviluppi della vicenda.

Sul tema può essere di interesse il seguente articolo: “La Corte di Cassazione si pronuncia sulla rilevanza del danno da violazione della normativa privacy”.

Intellectual Property

La Corte Costituzionale legittima le denominazioni comunali

Lo scorso febbraio, la Corte Costituzionale ha deciso sul Ricorso per questione di legittimità costituzionale circa le denominazioni comunali.

• Il Ricorso

Il 25 maggio 2022, il Presidente del Consiglio dei ministri ha promosso una questione di legittimidisciplinano le denominazioni comunali (De.Co.)

Nel dettaglio, tali norme istituiscono il registro regionale telematico dei comuni, utilizzato quale strumento per la registrazione, la salvaguardia e la tutela, dei prodotti a denominazione comunale, riferibili solitamente a produzioni agroalimentari ed enogastronomiche territoriali.

L’art. 1, co. 3 della Legge reg. n. 3/2022, regola tali denominazioni e la conseguente registrazione facendone oggetto di un procedimento basato sulla verifica della conformità del prodotto ad un disciplinare (art. 3, comma 2, lettere c e d). Secondo il ricorrente, queste previsioni sarebbero in contrasto con plurimi parametri costituzionali.

Difatti, il Presidente, con il primo motivo del ricorso, contesta la violazione dell’art. 117, comma 1 della Costituzione, poiché tali disposizioni regionali, sarebbero state adottate senza tenere conto dei vincoli derivanti dall’ordinamento europeo. Secondo il ricorrente, la Legge regionale siciliana avrebbe istituito un sistema di identificazione, registrazione e protezione di prodotti qualificati dalla loro origine territoriale, sovrapponibile a quello disciplinato dal diritto dell’Unione europea. In particolare, il Regolamento n. 1151/2012/UE e le analoghe disposizioni ai Regolamenti n. 1308/2013/UE e n. 787/2019/UE, recepiti anche nell’ordinamento italiano, già disciplinano i regimi previsti per la qualità dei prodotti agricoli e alimentari.

Pertanto, il regime europeo, istituito dai sopracitati regolamenti, sarebbe stato definito dal ricorrente come esclusivo e dotato di efficacia diretta e immediata, ai sensi dell’art. 288 TFUE. Per questo motivo, la Legge regionale non avrebbe potuto replicarne i contenuti e sommarsi alla normativa europea, ostacolando così quest’ultima.

Infine, con il secondo motivo del ricorso, il Presidente del Consiglio contesta ulteriormente le disposizioni regionali poiché queste violerebbero anche l’art. 117, comma 2, lett. e), Cost., visto il loro atteggiamento intrinsecamente concorrenziale con le fonti europee.

• La sentenza

La Corte Costituzionale, con la sentenza n. 73 del 2023 ha rigettato il ricorso, dichiarando le questioni di legittimità costituzionali inammissibili e infondate. In particolare, è stata dichiarata l’inammissibilità delle questioni, poiché la fonte normativa internazionale per le denominazioni di origine, ossia l’Accordo di Lisbona, modificato e integrato dall’Atto di Ginevra, non era stata indicata nella delibera di autorizzazione all’impugnazione. Mentre per quanto riguarda le altre questioni di legittimità costituzionale, queste sono state dichiarate infondate. Sul punto, la Corte ha precisato che le denominazioni comunali De.Co., non integrerebbero né un marchio, né alcun segno identificativo di protezione del prodotto, ma sarebbero invece, qualificabili come indicazioni geografiche semplici.

Secondo i giudici, l’impugnata Legge regionale si limiterebbe a qualificare le denominazioni comunali (De.Co.) come attestazioni di identità territoriale e, quindi senza certificare la qualità dei prodotti. Pertanto, le De.Co, purché non qualificabili come marchi di qualità o di certificazione, sarebbero comunque volte a individuare l’origine e il legame storico culturale di un determinato prodotto con il territorio comunale.

Poiché si tratta di una attestazione territoriale, questa non attribuisce al suo titolare alcun diritto di privativa, o di esclusiva, che possa far valere nei confronti di terzi, che producono lo stesso prodotto tipico o tradizionale. Secondo quanto previsto dalla Legge regionale, l’esibizione del logo del registro De.Co., in conformità alle regole rimesse ad un decreto dell’Assessore regionale per l’agricoltura, attesterebbe semplicemente l’origine e il legame storico culturale di un certo prodotto con il territorio comunale, ma in nessun modo, il titolare acquisirebbe un diritto per un “marchio” locale.

Avendo chiarito che la denominazione comunale De.Co. tratta di una mera “attestazione di identità territoriale”, questa allora rientrerebbe pienamente nella nozione di indicazione geografica semplice, la quale secondo quanto previsto dalla giurisprudenza della Corte di giustizia nella sentenza Warsteiner, non interferisce con le denominazioni registrate a livello europeo.

Pertanto, le De.Co. disciplinate dalle disposizioni regionali siciliane, non riconoscono una tutela specifica ai prodotti connotati da tale denominazione, ma costituiscono un atto meramente ricognitivo della presenza storicamente radicata di un prodotto tipico, riferito alle tradizioni locali. Il collegamento con il territorio è esclusivamente volto a testimoniare la particolarità e la tradizione del prodotto, ma tale indicazione non rifletterebbe sulla loro qualità. Logicamente, è stato sancito che anche gli atti istitutivi delle De.Co., come la delibera del Consiglio comunale, il regolamento comunale e il disciplinare di produzione, recanti i criteri per il riconoscimento di tali denominazioni De.Co., non potranno contenere sistemi di verifica sulla qualità delle produzioni locali.

In conclusione, la Corte costituzionale avrebbe legittimato le denominazioni comunali e dunque ritenendole non sovrapponibili alle fonti europee, poiché a differenza di queste ultime, le De.Co. non farebbero alcun riferimento alla qualità dei prodotti.

Su un simile argomento, può essere interessante l’articolo “L’EUIPO sulla legittimazione attiva in tema di DOP”.

FinTech

Decreto tokenizzazione e standard internazionali DLT

Dopo il Regolamento UE 858/2022 (DLT Regime Pilot), il Governo ha approvato il Decreto Legge n. 25/2023 (Decreto sulla tokenizzazione) per l’introduzione di regole sulla emissione e circolazione di strumenti finanziari in forma digitale, la cui legge di conversione è stata appena approvata dal Senato passando, così, alla Camera per l’approvazione definitiva.

1. Le principali novità del decreto legge tokenizzazione

Il Decreto sulla tokenizzazione si applica a diverse tipologie di strumenti tra cui le azioni e obbligazioni di società per azioni; titoli di debito emessi da società a responsabilità limitata; ricevute di deposito relative ad obbligazioni e ad altri titoli di debito di emittenti non domiciliati emesse da emittenti italiani; altri titoli di debito ammessi dalla legge; strumenti del mercato monetario; e azioni o quote di fondi (FIA o OICVM) italiani.

Le principali novità del Decreto tokenizzazione consistono:

• nella possibilità di utilizzare un sistema di emissione e circolazione dematerializzato diverso da quello che è attualmente previsto dal D.lgs n. 58/1998 (TUF). Pertanto, è stata ammessa la possibilità che gli strumenti finanziari sopra elencati possano essere emessi e circolare “tramite scritturazioni su un registro per la circolazione digitale” tenuto da un responsabile del registro oppure da un gestore di una infrastruttura di mercato DLT previa l’autorizzazione alla sandbox regolamentare europea disciplinata dal DLT Pilot Regime. In particolare, il gestore di una infrastruttura DLT è preposto allo svolgimento della fase di post-trading di tali strumenti finanziari (SS DLT), oppure, alla luce della nuova infrastruttura di mercato TSS DLT introdotta dal DLT Pilot Regime, allo svolgimento di entrambe le fasi di trading e post-trading.

Il Decreto tokenizzazione, inoltre, specifica che il numero di strumenti finanziari digitali e soggetti coinvolti nelle operazioni su tali strumenti potrà essere eventualmente ampliato a seguito dell’emanazione di un regolamento da parte di CONSOB entro due mesi dall’entrata in vigore del Decreto tokenizzazione;

• nella legittimazione all’esercizio dei diritti connessi alle dinamiche societarie, ovvero i diritti amministrativi e patrimoniali connessi con gli strumenti finanziari digitali e la tenuta dei libri sociali attraverso il registro per la circolazione digitale. A ciò, si aggiunge anche la possibilità di costituire dei vincoli sugli strumenti finanziari digitali che dovranno essere esclusivamente scritturati sul registro per la circolazione digitale; e

• nell’istituzione della figura di un responsabile del registro per la circolazione digitale di strumenti finanziari digitali non scritturati all’interno dei registri relativi alle infrastrutture di mercato SS DLT e TSS DLT. Tale responsabile potrà anche coincidere con un soggetto diverso dagli intermediari vigilati (SIM, banche, imprese di investimento ecc.), oppure, per i depositari centrali di titoli (CSD), essi sono iscritti “di diritto” avendo ottenuto previamente l’autorizzazione ai sensi della disciplina prevista in materia di investimento (Regolamento (UE) n. 909/2014 - CSDR). Tuttavia, per accedere all’elenco dei responsabili del registro, sarà necessario soddisfare tutti i requisiti patrimoniali e organizzativi dettagliatamente elencati dall’articolo 20 del Decreto tokenizzazione. Rispetto a quest’ultimo punto, è stato precisato da CONSOB e Banca d’Italia che la creazione di di un responsabile del registro diverso dal gestore di una infrastruttura di mercato DLT, serve a coprire un segmento del mercato concernente gli scambi bilaterali dei degli strumenti finanziari digitali in mercati Over The Counter (OTC), dubbio peraltro già sollevato nella Call for Evidence in uno dei primi report di ESMA sul DLT Pilot Regime.

2. Linee Guida e standard internazionali

Grazie al Decreto tokenizzazione, sarà dunque possibile raccogliere capitale tramite le security token offerings (STOs), rispetto alle quali sono già in essere standard e regole di condotta che possono agevolare e indirizzare gli interessati nello svolgere tali operazioni. Alla luce delle modifiche introdotte dal Decreto tokenizzazione, un aspetto da considerare è la combinazione di DLT permissioned e permissionless a seconda delle esigenze degli operatori e il quadro regolatorio di riferimento.

Ad esempio, l’accesso a determinate infrastrutture necessiterebbe dell’impiego di una DLT permissioned, in quanto dovrebbe essere garantito un maggiore controllo su chi accede alla piattaforma dove avvengono le negoziazioni. Al contrario, coerentemente con le disposizioni del Decreto tokenizzazione, l’emissione di strumenti finanziari comporterebbe la pubblicazione delle informazioni richieste dal Decreto tokenizzazione così come mutuate dalle disposizioni del Codice Civile. Pertanto, al fine di rendere tali informazioni in ogni momento disponibili agli investitori, grantite dal il sottostante algoritmo del consenso, si potrebbe pensare all’implementazione di una DLT permissionless. Tuttavia, tale ragionamento varrebbe soltanto nel caso di Security Token negoziati o regolati da infrastrutture di mercato disciplinate dal DLT Pilot Regime dal momento che, ai sensi del Decreto tokenizzazione, ogni emissione di strumenti finanziari digitali non scritturati in SS DLT o TSS DLT deve essere iscritta in un solo registro per la circolazione digitale, a cui è associato un unico responsabile.

Inoltre, secondo quanto previsto dal DLT Pilot Regime e dal Decreto tokenizzazione le infrastrutture digitali utilizzate per l’emissione e la negoziazione degli strumenti finanziari digitali devono rispettare certi livelli di sicurezza e affidabilità; pertanto, come suggerito da alcuni standard internazionali, è necessario assoggettare il protocollo informatico a periodici audit di sicurezza e implementarlo riflettendo gli eventuali obblighi normativi o contrattuali (ad esempio, limitando il numero di transazioni possibili oppure nel caso di clausole lockup). Come anticipato, i modi per rendere effettive tali limitazioni sono diversi e devono essere calibrati a seconda delle esigenze e la STO di riferimento; in particolare, attraverso la modifica del codice all'interno (i) del singolo Security Token; (ii) del protocollo DLT stesso; o (iii) del servizio di Oracles.

3. Conclusioni

Il Decreto tokenizzazione consente adeguare le nuove regole europee relative al DLT Pilot Regime e quelle preesistenti in materia di investimenti. Grazie a tale intervento sarà possibile (almeno nella teoria) sperimentare una nuova forma di emissione e circolazione dei titoli tramite il ricorso alla tecnologia DLT. Nell’ambito della c.d Decentralized Finance (DeFi), infatti, il ricorso alla DLT e al processo di tokenizzazione dei titoli costituisce un’innovazione in termini di: 

• costi di transazione e tempi di esecuzione dei contratti: in una infrastruttura di tipo TSS DLT, gli smart contract potrebbero essere programmati fino al punto di svolgere sia l’attività di matching della domanda e offerta degli strumenti finanziari sia quella di settlement rimuovendo, così, gli intermediari quali broker, banche depositarie e controparti centrali (CCP);
• asimmetria informativa: le disposizioni del DLT Pilot Regime e del Decreto tokenizzazione si concentrano sulla trasparenza delle informazioni relative alla natura dei token e delle transazioni che avvengono sui registri; e
• tempo di esecuzione delle operazioni: per la maggior parte delle transazioni azionarie, il regolamento delle operazioni avviene due giorni lavorativi dopo il giorno di esecuzione dell'ordine, o T+2 (data di negoziazione più due giorni). Invece, le operazioni precompilate sugli smart contract vengono eseguite automaticamente, cioè al verificarsi delle condizioni su cui le parti si sono accordate.

In altre parole, la tokenizzazione è un fenomeno che si sta evolvendo velocemente e, probabilmente, quest’anno sarà uno dei principali protagonisti nel settore crypto.

Su un simile argomento può essere interessante l’articolo: “Regime di Tokenizzazione di DLT in vigore con le Linee Guida ESMA, il Regime Pilota e il nuovo Decreto Legge”.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Emanuele Gambula, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.