da Redazione | Mag 16, 2026 | Notizie e Aggiornamenti Legislativi
Il 15 maggio 2026, nella splendida cornice di Palazzo Valentini, si è svolto il convegno “Content creator e piattaforme. Orizzonti e diritti nell’ecosistema digitale” organizzato dal nostro Studio in collaborazione con l’Associazione Athena Visiva.
Il seminario nasce dall’esigenza di sensibilizzare e approfondire il tema – discusso ma spesso ignorato dalle Istituzioni – della tutela dei diritti individuali nel rapporto con i colossi del web. Le parti deboli del rapporto contrattuale (utenti dei social network, content creator, e professionisti del digitale) si ritrovano spesso privi di tutele e reclamano una maggiore protezione da parte delle Istituzioni.
Il seminario è stato strutturato per fungere da ponte di comunicazione tra esperti e professionisti del mondo dell’audiovisivo tradizionale (televisione), e content creator dei più noti social network.
Nel primo panel, dedicato al tema “User-generated contents: le nuove frontiere dell’audiovisivo”, vi è stata una riflessione sui nuovi paradigmi dell’informazione, dell’intrattenimento e della produzione audiovisiva. Il confronto ha posto in evidenza come il content creator rappresenti oggi un soggetto attivo dell’industria digitale – ben distinta e non confondibile con i tradizionali canali televisivi – capace di incidere sui linguaggi, sui modelli di fruizione e sulle dinamiche economiche della comunicazione contemporanea.
Il dialogo tra giornalisti, docenti, autori televisivi ha consentito di mettere a fuoco le continuità e le fratture tra il mondo dell’audiovisivo tradizionale e le nuove forme di produzione di contenuti generate dagli utenti, evidenziando l’esigenza di un ripensamento delle tutele, dei modelli contrattuali e delle responsabilità connesse alla circolazione dei contenuti online.
Il secondo panel, intitolato “Influencer, social media e tutela dei diritti”, ha invece spostato l’attenzione sul rapporto tra creator, piattaforme digitali e pubblico, con particolare riguardo ai profili di tutela della persona, dell’identità digitale, della reputazione, e della libertà espressiva.
Attraverso il contributo di divulgatori, attori, travel storyteller, podcaster, il seminario ha restituito la complessità di un ecosistema nel quale il content creator opera spesso in una posizione di forte esposizione, soggetto alle regole unilaterali delle piattaforme, agli algoritmi di visibilità, alla volatilità dei rapporti economici e alla crescente difficoltà di presidiare giuridicamente i propri contenuti.
Ne è emersa la necessità di promuovere una maggiore consapevolezza dei diritti e degli strumenti di protezione disponibili.
Riportiamo di seguito il programma per esteso dell’evento “Content creator e piattaforme. Orizzonti e diritti nell’ecosistema digitale”.
15 MAGGIO 2026 15:00-18:00
c/o CITTÀ METROPOLITANA DI ROMA CAPITALE
Sala di Liegro c/o Palazzo Valentini – Via IV Novembre, 119/A
Introduce e modera: Luca D’Agostino, Avvocato del foro di Roma e docente universitario
Saluti delle Autorità:
Linda Meleo, Consigliere Comunale di Roma Capitale
Daniele Diaco, Consigliere Comunale di Roma Capitale
Panel I: USER-GENERATED CONTENTS: LE NUOVE FRONTIERE DELL’AUDIOVISIVO
Coordina: Marco Colafranceschi, Presidente “Athena Visiva” e consulente legale
Alessandro Cecchi Paone, Giornalista, divulgatore scientifico e docente universitario
Mario Benedetto, Docente di “Teorie e tecniche della comunicazione integrata e multimediale”
Andrea Arinci, Autore televisivo di programmi Mediaset
Panel II: INFLUENCER, SOCIAL MEDIA E TUTELA DEI DIRITTI
Coordina: Elena Lapucci, Psicologa e divulgatrice
Sonia Cristofori, Docente e divulgatrice di lingua inglese
Emanuele Luperto, Attore e digital creator “the_wolfgram”
Ascanio Carola, Travel storyteller e content creator
Emilio Silvestri e Francesco Martinelli, Autori e podcaster del podcaster “Miti da Sfatare”
Content creator, piattaforme, DSA e social network al centro di un convegno sui diritti nel digitale organizzato da avvocato e studio legale a Roma.
da Redazione | Mag 14, 2026 | Diritto d'Impresa
In cosa consiste l’opposizione alla registrazione del marchio? Come si svolge la relativa procedura?
Il Codice della Proprietà Industriale (D. Lgs. 30/2005, di seguito “Codice” o “CPI”), all’art. 15, stabilisce espressamente che «i diritti esclusivi considerati da questo codice sono conferiti con la registrazione» e precisa che «gli effetti della prima registrazione decorrono dalla data di deposito della domanda».
Tale effetto costitutivo rende particolarmente rilevante il controllo, preventivo e successivo al deposito, sulla validità della domanda di marchio. Non ogni segno, infatti, può essere validamente registrato, poiché il Codice richiede la sussistenza di specifici presupposti di registrabilità, tra cui assumono particolare rilievo la novità, la capacità distintiva e l’assenza di diritti anteriori di terzi.
In un precedente approfondimento sono state esaminate le modalità operative attraverso cui procedere alla registrazione del marchio d’impresa. Questo contributo si concentra, invece, sulla diversa e complementare prospettiva dell’opposizione alla registrazione, disciplinata dagli artt. 174 e seguenti del Codice della Proprietà Industriale.
Vogliamo pertanto offrire una sintesi ragionata della procedura di opposizione alla registrazione, illustrandone i presupposti, i soggetti legittimati, i motivi azionabili, i termini procedimentali e gli effetti della decisione dell’Ufficio italiano brevetti e marchi.
I presupposti della registrazione del marchio ex art. 7 CPI
In tanto può esservi opposizione alla registrazione in quanto vi sia stata una domanda di marchio ritenuta astrattamente registrabile dall’Ufficio italiano brevetti e marchi. Prima di esaminare il conflitto tra il segno richiesto e i diritti anteriori di terzi, occorre richiamare i presupposti generali che consentono a un segno di accedere alla tutela propria del marchio d’impresa.
Il punto di partenza è rappresentato dall’art. 7 CPI, il quale dispone che «possono costituire oggetto di registrazione come marchio d’impresa tutti i segni», indicando, a titolo esemplificativo, «le parole, compresi i nomi di persone, i disegni, le lettere, le cifre, i suoni, la forma del prodotto o della confezione di esso, le combinazioni o le tonalità cromatiche».
La norma, tuttavia, non attribuisce protezione a qualsiasi segno in quanto tale, ma subordina la registrabilità alla sussistenza di una duplice condizione. Il segno deve essere, da un lato, idoneo «a distinguere i prodotti o i servizi di un’impresa da quelli di altre imprese» e, dall’altro, deve poter essere rappresentato nel registro «in modo tale da consentire alle autorità competenti ed al pubblico di determinare con chiarezza e precisione l’oggetto della protezione conferita al titolare».
Questa impostazione assume rilievo anche rispetto all’opposizione alla registrazione, poiché il procedimento oppositivo si innesta su una domanda che ha già superato una prima verifica di registrabilità formale e sostanziale.
L’opposizione non si sostituisce integralmente all’esame dell’Ufficio, ma consente ai soggetti titolari di specifici diritti anteriori di far emergere l’esistenza di un conflitto giuridicamente rilevante tra il marchio richiesto e segni già protetti o comunque anteriori.
Novità del marchio e opposizione alla registrazione: il ruolo dell’art. 12 CPI
Tra i presupposti della registrazione assume un rilievo, anzitutto, il requisito della novità del marchio, disciplinato dall’art. 12 CPI. La novità non deve essere intesa come assoluta originalità creativa del segno, ma come assenza di anteriorità giuridicamente rilevanti idonee a impedire la valida acquisizione di un diritto esclusivo.
In altri termini, il marchio può essere registrato soltanto se, alla data di deposito della domanda, non interferisce con segni distintivi anteriori già registrati, depositati, notoriamente conosciuti o comunque utilizzati nell’attività economica da terzi, nei limiti previsti dalla legge.
L’art. 12 CPI stabilisce, infatti, che non possono costituire oggetto di registrazione come marchio d’impresa i segni che, alla data del deposito della domanda, «siano identici o simili ad un segno già noto come marchio o segno distintivo di prodotti o servizi» altrui, quando, a causa dell’identità o somiglianza tra i segni e dell’identità o affinità tra i prodotti o servizi, possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni.
La medesima logica opera anche rispetto a ditta, denominazione o ragione sociale, insegna, nome a dominio usato nell’attività economica o altro segno distintivo adottato da altri, ove ricorra un rischio di confusione per il pubblico.
Il requisito della novità è il principale punto di collegamento tra disciplina sostanziale del marchio e procedura di opposizione alla registrazione. Invero, attraverso l’opposizione, il titolare di un diritto anteriore può contestare la domanda successiva quando ritenga che il nuovo segno sia identico o simile al proprio marchio e venga richiesto per prodotti o servizi identici o affini.
Capacità distintiva del marchio e limiti alla registrazione
La capacità distintiva è un ulteriore presupposto per la registrazione del marchio. Se la novità riguarda il rapporto tra il segno richiesto e le anteriorità di terzi, la capacità distintiva attiene invece alla struttura intrinseca del segno e alla sua idoneità a svolgere la funzione tipica del marchio, ossia distinguere i prodotti o i servizi di un’impresa da quelli provenienti da altre imprese.
L’art. 13 CPI dispone espressamente che «non possono costituire oggetto di registrazione come marchio d’impresa i segni privi di carattere distintivo» e individua, in particolare, due categorie di segni non registrabili: quelli «divenuti di uso comune nel linguaggio corrente o negli usi costanti del commercio» e quelli costituiti «esclusivamente dalle denominazioni generiche di prodotti o servizi o da indicazioni descrittive che ad essi si riferiscono».
La norma menziona, tra le indicazioni descrittive, quelle che possono servire a designare la specie, la qualità, la quantità, la destinazione, il valore, la provenienza geografica, l’epoca di fabbricazione del prodotto o della prestazione del servizio, ovvero altre caratteristiche del prodotto o servizio.
Un aspetto va subito chiarito: la carenza originaria di distintività attiene normalmente all’esame d’ufficio e può essere segnalata mediante osservazioni dei terzi ai sensi dell’art. 175 CPI. L’opposizione alla registrazione, invece, è lo strumento attraverso il quale determinati soggetti fanno valere posizioni giuridiche anteriori e qualificate.
Osservazioni dei terzi e opposizione alla registrazione
Nell’iter procedura della registrazione, occorre tener distinte osservazioni dei terzi dalla opposizione alla registrazione in senso stretto, poiché si tratta di strumenti diversi per presupposti, funzione e conseguenze procedimentali.
Entrambi intervengono nella fase amministrativa dinanzi all’Ufficio italiano brevetti e marchi, ma rispondono a logiche differenti: le osservazioni mirano a sollecitare l’esercizio dei poteri di controllo dell’Ufficio, mentre l’opposizione introduce un vero contraddittorio tra il richiedente e il soggetto che invoca un diritto anteriore.
L’art. 175 CPI prevede che qualsiasi interessato possa indirizzare all’Ufficio italiano brevetti e marchi osservazioni scritte, specificando i motivi per i quali un marchio deve essere escluso d’ufficio dalla registrazione. La norma chiarisce che il soggetto che presenta osservazioni non diventa parte del procedimento e non assume una posizione processuale assimilabile a quella dell’opponente. Le osservazioni, se ritenute pertinenti e rilevanti, sono comunicate dall’Ufficio al richiedente, il quale può presentare le proprie deduzioni entro trenta giorni.
L’opposizione alla registrazione, disciplinata dall’art. 176 CPI, ha invece una natura più propriamente “contenziosa”, perché può essere proposta soltanto dai soggetti legittimati ai sensi dell’art. 177 CPI e deve fondarsi su specifici impedimenti relativi o su diritti anteriori qualificati. Mentre le osservazioni consentono di segnalare all’Ufficio ragioni ostative rilevabili d’ufficio, l’opposizione permette al titolare di un marchio anteriore, di una domanda anteriore o di altra posizione giuridica tutelata di impedire la registrazione di un segno successivo interferente.
Opposizione alla registrazione ex art. 176 CPI: termini, forma e contenuto dell’atto
Il procedimento di opposizione alla registrazione è contenuto nell’art. 176 CPI. La norma attribuisce ai soggetti legittimati ai sensi dell’art. 177 CPI la possibilità di reagire alla domanda di registrazione di un marchio quando ritengano che essa interferisca con un proprio diritto anteriore o con una delle cause ostative azionabili nel procedimento oppositivo.
L’opposizione alla registrazione deve essere presentata, a pena di inammissibilità, in forma scritta, motivata e documentata entro il termine perentorio di tre mesi. Tale termine decorre, a seconda dei casi, dalla data di pubblicazione della domanda di registrazione ritenuta registrabile, dalla data di pubblicazione della registrazione quando la domanda non sia stata previamente pubblicata.
La previsione di un termine conferma la natura acceleratoria e selettiva del procedimento di opposizione alla registrazione. Il titolare del diritto anteriore deve monitorare tempestivamente le domande pubblicate e intervenire entro la finestra temporale stabilita dalla legge, poiché il decorso del termine impedisce di utilizzare lo strumento oppositivo, ferma restando, ove ne ricorrano i presupposti, la possibilità di agire successivamente con altri rimedi.
Quanto al contenuto, l’art. 176 CPI richiede che l’opposizione riguardi una sola domanda o registrazione di marchio, sia redatta in lingua italiana e contenga l’identificazione del richiedente, il numero e la data della domanda o della registrazione contestata, nonché i prodotti e servizi contro cui l’opposizione è proposta. L’atto deve inoltre individuare il marchio o il diritto anteriore dell’opponente e indicare i motivi sui quali si fonda la contestazione.
Chi può proporre opposizione alla registrazione: la legittimazione
La procedura di opposizione alla registrazione presuppone una specifica legittimazione attiva. Il Codice della Proprietà Industriale distingue, infatti, tra le osservazioni dei terzi, che possono essere presentate da qualsiasi interessato senza assunzione della qualità di parte, e l’opposizione, che può essere proposta soltanto dai soggetti espressamente individuati dall’art. 177 CPI.
La norma stabilisce che sono legittimati all’opposizione, anzitutto, il titolare di un marchio già registrato nello Stato o con efficacia nello Stato da data anteriore e il soggetto che ha depositato nello Stato domanda di registrazione di un marchio in data anteriore o avente effetto nello Stato da data anteriore in forza di un diritto di priorità o di una valida rivendicazione di preesistenza.
La legittimazione spetta, inoltre, al licenziatario dell’uso esclusivo del marchio, nonché alle persone, agli enti e alle associazioni titolari dei diritti relativi a nomi, ritratti e segni notori ai sensi dell’art. 8 CPI.
I principali motivi di opposizione alla registrazione
La opposizione alla registrazione non può essere fondata su qualsiasi profilo di invalidità del marchio richiesto, ma soltanto sui motivi espressamente ammessi dal Codice della Proprietà Industriale. L’art. 176, comma 5, CPI stabilisce che con l’opposizione possono farsi valere gli impedimenti alla registrazione previsti dall’art. 12, comma 1, lettere c), d), e) ed f).
Il motivo più ricorrente di opposizione alla registrazione è rappresentato dal rischio di confusione con un marchio anteriore. L’art. 12 CPI esclude la registrabilità dei segni identici o simili a un marchio già registrato nello Stato, o con efficacia nello Stato, per prodotti o servizi identici o affini, quando «a causa dell’identità o somiglianza fra i segni e dell’identità o affinità fra i prodotti o i servizi possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni».
L’opposizione alla registrazione può assumere rilievo anche in presenza di marchi anteriori dotati di rinomanza. In tale ipotesi, l’art. 12 CPI estende la tutela anche ai prodotti o servizi non affini, quando l’uso del marchio successivo, senza giusto motivo, trarrebbe indebitamente vantaggio dal carattere distintivo o dalla rinomanza del segno anteriore, oppure recherebbe pregiudizio agli stessi.
Procedimento di opposizione alla registrazione e decisione dell’UIBM
Una volta depositata l’opposizione alla registrazione, il procedimento dinanzi all’Ufficio italiano brevetti e marchi si sviluppa secondo una sequenza volta a garantire il contraddittorio tra l’opponente e il richiedente la registrazione.
L’art. 178 CPI prevede che l’Ufficio, verificate la ricevibilità e l’ammissibilità dell’opposizione, comunichi l’opposizione alle parti con l’avviso della facoltà di raggiungere un accordo di conciliazione entro due mesi dalla comunicazione. Tale termine può essere prorogato su istanza comune delle parti, secondo quanto previsto dalla disciplina attuativa.
In mancanza di accordo, il procedimento di opposizione alla registrazione prosegue con la fase contenziosa. Il richiedente, ricevuta la documentazione depositata dall’opponente, può presentare per iscritto le proprie deduzioni entro il termine fissato dall’Ufficio. Nel corso del procedimento, l’UIBM può inoltre invitare le parti a produrre ulteriori documenti, deduzioni od osservazioni, entro un termine non superiore a trenta giorni e non prorogabile, così da acquisire gli elementi necessari alla decisione.
Particolare importanza assume la prova dell’uso effettivo del marchio anteriore. L’art. 178, comma 4, CPI stabilisce che, su istanza del richiedente, l’opponente che fondi l’opposizione alla registrazione su un marchio anteriore registrato da almeno cinque anni dalla data di deposito o di priorità del marchio contestato deve fornire documenti idonei a provare l’uso effettivo del marchio, da parte sua o con il suo consenso, per i prodotti e servizi sui quali l’opposizione si fonda, nel quinquennio precedente. In mancanza di tale prova, da fornire entro sessanta giorni dalla comunicazione dell’istanza, l’opposizione è respinta.
All’esito del procedimento, l’Ufficio decide se accogliere o respingere l’opposizione alla registrazione. Ai sensi dell’art. 178, comma 7, CPI, l’UIBM accoglie l’opposizione respingendo la domanda di registrazione in tutto o in parte, qualora risulti che il marchio non possa essere registrato per la totalità o per una parte dei prodotti o servizi indicati nella domanda. In caso contrario, l’opposizione viene respinta.
La decisione può inoltre incidere anche sul piano economico, poiché il comma 7-bis prevede che, con il provvedimento conclusivo, l’Ufficio ponga a carico del richiedente soccombente il rimborso dei diritti di opposizione e, a domanda, le spese di rappresentanza professionale nei limiti stabiliti dalla normativa applicabile.
Assistenza legale in materia di proprietà industriale
La corretta gestione dell’opposizione alla registrazione richiede un’attenta valutazione preliminare del marchio contestato, dei prodotti o servizi rivendicati, della forza distintiva del segno anteriore, della documentazione disponibile e, se necessario, della prova dell’uso effettivo del marchio.
Il nostro Studio Legale presta assistenza in materia di diritto dell’innovazione e della proprietà industriale, con particolare riguardo alla protezione dei marchi.
Contattaci per un confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
da Redazione | Mag 8, 2026 | Diritto d'Impresa
La nomina del responsabile del trattamento ex art. 28 GDPR è l’atto con cui il titolare disciplina il ricorso a soggetti esterni chiamati a trattare dati personali per suo conto.
Nel sistema delineato dal Regolamento (UE) 2016/679, infatti, l’esternalizzazione di attività che implicano il trattamento di dati personali richiede una regolamentazione specifica, idonea a vincolare il responsabile del trattamento al rispetto delle istruzioni impartite dal titolare e degli obblighi previsti dalla normativa europea in materia di protezione dei dati personali.
L’art. 28 GDPR si inserisce nel più ampio principio di responsabilizzazione del titolare del trattamento, imponendo a quest’ultimo di selezionare soltanto soggetti che presentino garanzie sufficienti in ordine all’adozione di misure tecniche e organizzative adeguate.
Il presente articolo ha l’obiettivo di offrire una guida pratica alla redazione dell’atto di nomina del responsabile del trattamento, illustrandone i presupposti giuridici, la forma richiesta, il contenuto essenziale, e i connessi profili di responsabilità. L’analisi muoverà dalla distinzione tra titolare e responsabile, per poi esaminare le condizioni di validità della nomina, gli obblighi imposti dall’art. 28 GDPR, il ricorso a sub-responsabili, e le cautele redazionali necessarie per costruire un atto di nomina.
Chi è il responsabile del trattamento e quando deve essere nominato
Il responsabile del trattamento è definito dall’art. 4, n. 8, del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. La definizione consente di cogliere il tratto distintivo della figura: il responsabile del trattamento non determina autonomamente le finalità del trattamento, né stabilisce in via indipendente i mezzi essenziali dello stesso, ma opera nell’ambito di un incarico ricevuto dal titolare, attenendosi alle istruzioni documentate da quest’ultimo impartite.
La nomina diventa necessaria ogniqualvolta il titolare affidi a un soggetto esterno lo svolgimento di attività che comportano operazioni su dati personali. Tali operazioni possono consistere, secondo l’ampia nozione di trattamento prevista dall’art. 4, n. 2, GDPR, nella raccolta, registrazione, conservazione, consultazione, elaborazione, comunicazione, cancellazione o distruzione dei dati.
Non è quindi decisivo il tipo di servizio contrattualmente affidato, ma la circostanza che, nell’esecuzione di quel servizio, il soggetto esterno acceda, utilizzi o comunque tratti dati personali riconducibili alla sfera di titolarità del committente.
Rientrano frequentemente in questa ipotesi i fornitori di servizi informatici, i gestori di piattaforme digitali, i consulenti del lavoro, i commercialisti, le società incaricate della manutenzione di software, i provider cloud, i soggetti che gestiscono newsletter, CRM, servizi di assistenza clienti o attività amministrative esternalizzate.
Il rapporto tra titolare e responsabile del trattamento nell’art. 28 GDPR
L’art. 28 GDPR disciplina il rapporto tra titolare e responsabile del trattamento secondo una logica di controllo e responsabilizzazione. Il titolare del trattamento, infatti, non può affidare attività di trattamento a qualunque soggetto esterno, ma deve ricorrere soltanto a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti degli interessati.
La scelta del responsabile del trattamento diventa, pertanto, una decisione rilevante sotto il profilo della compliance, perché presuppone una verifica preventiva dell’affidabilità del fornitore, della sua organizzazione interna, delle misure di sicurezza adottate.
L’atto deve definire la materia disciplinata e la durata del trattamento, la natura e la finalità delle operazioni svolte, il tipo di dati personali trattati, le categorie di interessati coinvolti, nonché gli obblighi e i diritti del titolare.
Più precisamente, l’atto di nomina del responsabile del trattamento svolge una duplice funzione. Da un lato, documenta le istruzioni del titolare e delimita l’ambito entro cui il responsabile può operare; dall’altro, consente di dimostrare, in ossequio al principio di accountability, che il titolare ha regolato in modo consapevole e verificabile la filiera del trattamento.
Forma e contenuto essenziale dell’atto di nomina del responsabile del trattamento
L’atto di nomina del responsabile del trattamento deve essere redatto in forma scritta, anche in formato elettronico, e deve contenere una disciplina sufficientemente precisa del rapporto instaurato tra titolare e soggetto esterno. L’art. 28 GDPR individua il contenuto minimo del contratto o dell’atto giuridico che vincola il responsabile del trattamento al titolare. La nomina deve descrivere l’oggetto del trattamento, la sua durata, la natura delle operazioni affidate, le finalità perseguite, il tipo di dati personali trattati e le categorie di interessati coinvolti.
Accanto alla descrizione del trattamento, l’atto deve prevedere gli obblighi specifici del responsabile del trattamento. Tra questi rientrano il dovere di trattare i dati soltanto su istruzione documentata del titolare, l’obbligo di garantire la riservatezza delle persone autorizzate al trattamento, l’adozione delle misure di sicurezza di cui all’art. 32 GDPR, l’assistenza al titolare nella gestione delle richieste degli interessati, la collaborazione per l’adempimento degli obblighi in materia di data breach, valutazione d’impatto e consultazione preventiva, nonché la cancellazione o restituzione dei dati al termine del rapporto.
La nomina può, inoltre, disciplinare la possibilità di ricorrere a sub-responsabili, le modalità di audit e controllo da parte del titolare, gli obblighi informativi verso quest’ultimo e le conseguenze dell’eventuale violazione delle istruzioni ricevute.
Le istruzioni documentate al responsabile del trattamento e le misure di sicurezza
Uno degli elementi più rilevanti dell’atto di nomina è rappresentato dalle istruzioni documentate che il titolare impartisce al responsabile del trattamento. Il GDPR non consente al responsabile di trattare i dati personali secondo valutazioni autonome o finalità proprie, ma impone che ogni operazione sia eseguita entro il perimetro tracciato dal titolare. Le istruzioni devono indicare, con sufficiente precisione, le attività consentite, le modalità di accesso ai dati, i limiti di utilizzo, le regole di conservazione, le procedure di cancellazione o restituzione.
Il contenuto dell’atto di nomina è strettamente coordinato con l’art. 32 GDPR, che impone l’adozione di misure tecniche e organizzative adeguate al rischio. Non esiste, sotto questo profilo, un modello unico valido per ogni trattamento, poiché le misure richieste dipendono dalla natura dei dati, dal numero degli interessati, dalle tecnologie impiegate, dal contesto operativo e dai possibili effetti pregiudizievoli per i diritti e le libertà delle persone fisiche.
In presenza di trattamenti digitali, piattaforme cloud, sistemi gestionali o servizi informatici, l’atto dovrà quindi disciplinare con particolare attenzione i profili relativi all’autenticazione degli utenti, alla gestione delle credenziali, alla segregazione degli accessi, alla cifratura, ai backup, ai log, alla continuità operativa, alla protezione da accessi abusivi e alla gestione degli incidenti.
L’atto di nomina deve infine prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora ritenga che un’istruzione ricevuta violi il GDPR o altre disposizioni in materia di protezione dei dati personali.
Sub-responsabili, fornitori ulteriori e catena del trattamento
Un profilo particolarmente delicato dell’atto di nomina riguarda la possibilità che il responsabile del trattamento si avvalga, a sua volta, di ulteriori soggetti per l’esecuzione di specifiche attività di trattamento.
L’art. 28 GDPR disciplina tale ipotesi stabilendo che il responsabile non può ricorrere a un altro responsabile senza previa autorizzazione scritta del titolare, specifica o generale. La previsione risponde all’esigenza di evitare che la catena del trattamento si estenda senza controllo, sottraendo al titolare la possibilità di conoscere quali soggetti abbiano accesso ai dati personali e con quali garanzie.
Nella prassi, il tema dei sub-responsabili assume rilievo soprattutto nei servizi digitali, informatici e cloud, nei quali il fornitore principale può avvalersi di infrastrutture esterne, hosting provider, società di manutenzione, servizi di assistenza tecnica, piattaforme di comunicazione o ulteriori strumenti applicativi. In questi casi, l’atto di nomina del responsabile del trattamento deve stabilire se il ricorso a sub-responsabili sia vietato, consentito solo previa autorizzazione specifica, oppure ammesso sulla base di un’autorizzazione generale accompagnata dall’obbligo di informare il titolare di ogni successiva modifica.
L’art. 28 GDPR chiarisce inoltre che, qualora il sub-responsabile ometta di adempiere ai propri obblighi, il responsabile del trattamento iniziale conserva nei confronti del titolare l’intera responsabilità per l’adempimento degli obblighi del soggetto ulteriore.
Responsabile del trattamento, data breach e obblighi di collaborazione
La nomina ex art. 28 GDPR incide direttamente sulla ripartizione delle responsabilità tra titolare e responsabile del trattamento. Quest’ultimo, infatti, non assume una posizione neutra o meramente esecutiva, poiché il Regolamento gli attribuisce obblighi propri, la cui violazione può determinare conseguenze sanzionatorie.
Il responsabile del trattamento risponde, in particolare, quando non adempie agli obblighi specificamente posti a suo carico dal GDPR o quando agisce in modo difforme o contrario rispetto alle legittime istruzioni ricevute dal titolare.
L’atto di nomina deve prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora venga a conoscenza di un data breach, fornendo tutte le informazioni necessarie per consentire la valutazione dell’evento, l’eventuale notifica all’Autorità di controllo e, ove necessario, la comunicazione agli interessati.
La tempestività della comunicazione è essenziale, poiché il titolare è tenuto, nei casi previsti dall’art. 33 GDPR, a notificare la violazione al Garante entro settantadue ore dal momento in cui ne è venuto a conoscenza. Per questa ragione, nella prassi contrattuale si prevede spesso un termine interno più breve a carico del responsabile, così da consentire al titolare di rispettare i propri obblighi normativi.
Il responsabile del trattamento è inoltre tenuto ad assistere il titolare nell’adempimento degli obblighi connessi alla sicurezza del trattamento, alla valutazione d’impatto sulla protezione dei dati, alla consultazione preventiva dell’Autorità e alla gestione delle richieste di esercizio dei diritti degli interessati.
Occorre infine considerare che, ai sensi dell’art. 28, paragrafo 10, GDPR, qualora il responsabile del trattamento violi il Regolamento determinando autonomamente le finalità e i mezzi del trattamento, esso può essere considerato titolare del trattamento in relazione a quelle specifiche operazioni.
Assistenza legale dedicata in materia privacy
L’atto di nomina del responsabile del trattamento è parte integrante della contrattualistica privacy e della più ampia governance dei dati personali. La sua predisposizione richiede l’analisi del servizio affidato, dei flussi informativi, delle infrastrutture utilizzate, delle categorie di dati trattati, dei soggetti autorizzati, e della catena dei fornitori coinvolti.
Il nostro Studio assiste imprese e startup nella predisposizione di atti di nomina del responsabile del trattamento, data processing agreement e, in generale, nell’elaborazione della documentazione GDPR.
Contattaci per un confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
Fac simile sintetico di atto di nomina del responsabile del trattamento ex art. 28 GDPR
Di seguito si propone uno schema meramente esemplificativo di atto di nomina del responsabile del trattamento, predisposto al solo fine di illustrare la struttura minima del documento.
Il modello non è destinato a essere utilizzato senza preventiva verifica del caso concreto e senza il supporto di un professionista.
ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO
ai sensi dell’art. 28 del Regolamento (UE) 2016/679
Tra:
[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Titolare del trattamento”;
e
[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Responsabile del trattamento”.
Premesse
Il Titolare ha affidato al Responsabile lo svolgimento del servizio di [●], regolato dal contratto/accordo del [●].
Nell’esecuzione di tale servizio, il Responsabile potrà trattare dati personali per conto del Titolare, nei limiti necessari allo svolgimento dell’incarico ricevuto.
Ai sensi dell’art. 28 GDPR, il Titolare
nomina
[●] quale Responsabile del trattamento per le attività connesse al servizio di [●].
- Oggetto del trattamento
Il Responsabile è autorizzato a trattare i dati personali esclusivamente per le seguenti finalità:
[indicare sinteticamente le finalità del trattamento]
Le operazioni di trattamento consentite sono:
[indicare sinteticamente le operazioni: raccolta, conservazione, consultazione, elaborazione, comunicazione, cancellazione, altro]
- Dati personali e interessati
Le categorie di dati personali trattati sono:
[●]
Le categorie di interessati coinvolti sono:
[●]
- Durata
La presente nomina ha durata pari a quella del rapporto contrattuale principale, salvo diversa istruzione scritta del Titolare.
Alla cessazione del rapporto, il Responsabile dovrà restituire o cancellare i dati personali secondo le istruzioni del Titolare.
- Istruzioni del Titolare
Il Responsabile si impegna a trattare i dati personali soltanto sulla base delle istruzioni documentate del Titolare e nei limiti del servizio affidato.
Il Responsabile non potrà utilizzare i dati per finalità proprie o diverse da quelle indicate nel presente atto.
- Obblighi del Responsabile
Il Responsabile si impegna a garantire la riservatezza delle persone autorizzate al trattamento, ad adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, ad assistere il Titolare nell’adempimento degli obblighi privacy e a mettere a disposizione le informazioni necessarie per dimostrare il rispetto della presente nomina.
- Sub-responsabili
Il Responsabile potrà ricorrere a sub-responsabili soltanto previa autorizzazione scritta del Titolare, secondo le seguenti modalità:
[autorizzazione specifica / autorizzazione generale / divieto di ricorso a sub-responsabili]
- Violazione dei dati personali
In caso di violazione dei dati personali, il Responsabile dovrà informare il Titolare senza ingiustificato ritardo e comunque entro il termine di:
[●] ore
La comunicazione dovrà contenere le informazioni disponibili sulla natura della violazione, sui dati coinvolti, sulle possibili conseguenze e sulle misure adottate.
- Misure di sicurezza
Il Responsabile dichiara di adottare misure tecniche e organizzative adeguate rispetto al trattamento affidato, consistenti in particolare in:
- Audit e controlli
Il Responsabile si impegna a collaborare con il Titolare in caso di richieste documentali, verifiche o controlli relativi al trattamento dei dati personali svolto per conto del Titolare.
- Accettazione della nomina
Con la sottoscrizione del presente atto, il Responsabile accetta la nomina ai sensi dell’art. 28 GDPR e si impegna a rispettare gli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali.
Luogo e data: [●]
Il Titolare del trattamento
Il Responsabile del trattamento
da Redazione | Mag 5, 2026 | Diritto d'Impresa
La categorizzazione delle attività e dei servizi nel sistema NIS 2 è ufficialmente entrata nella sua fase attuativa. Con la Determinazione del Direttore Generale n. 155238 del 20 aprile 2026, adottata in attuazione dell’art. 30, comma 2, del D. Lgs. 4 settembre 2024, n. 138, l’Agenzia per la Cybersicurezza Nazionale ha fornito il modello attraverso il quale gli operatori ricompresi nel perimetro NIS sono chiamati a procedere alla categorizzazione delle proprie attività e dei propri servizi, secondo criteri omogenei.
La categorizzazione serve a qualificare le attività rilevanti e a comprendere quale impatto potrebbe derivare dalla compromissione di un determinato servizio o processo sulla capacità del soggetto NIS di continuare a svolgere correttamente le attività per le quali rientra nell’ambito di applicazione del Decreto.
In questo breve articolo vogliamo offrire un quadro aggiornato degli obblighi derivanti dall’art. 30 del D. Lgs. 138/2024 e dalla nuova Determina ACN, con particolare attenzione agli adempimenti che devono essere assolti, ogni anno, nella finestra temporale compresa tra il 1° maggio e il 30 giugno.
L’obbligo annuale di elencazione, caratterizzazione e categorizzazione
L’art. 30 del D. Lgs. 138/2024 prevede che, dal 1° maggio al 30 giugno di ogni anno, a partire dalla ricezione della prima comunicazione di inclusione nell’elenco dei soggetti NIS, i soggetti essenziali e i soggetti importanti debbano comunicare e aggiornare, tramite la piattaforma digitale di cui all’art. 7, comma 1, l’elenco delle proprie attività e dei propri servizi, comprensivo degli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
La disposizione attribuisce alla categorizzazione una funzione – per così dire – sistematica, poiché essa consente di raccordare l’identità operativa del soggetto NIS con il complesso degli obblighi di sicurezza, gestione del rischio e continuità operativa previsti dal decreto
In questa prospettiva, l’art. 30 va letto in stretta connessione con l’art. 24 del decreto, relativo agli obblighi in materia di misure di sicurezza. L’elencazione e la categorizzazione delle attività e dei servizi costituiscono infatti la base informativa sulla quale il soggetto NIS è chiamato a costruire un sistema di presidio coerente, proporzionato e documentabile.
Ciò posto, la Determinazione del 20 aprile 2026 interviene per stabilire le categorie di rilevanza, nonché il processo, le modalità e i criteri attraverso i quali i soggetti NIS devono procedere all’elencazione, alla caratterizzazione e alla categorizzazione delle proprie attività e dei propri servizi. Nel dettaglio, ACN ha introdotto un modello uniforme, fondato su dieci macro-aree e su quattro categorie di rilevanza, destinato a guidare i soggetti obbligati nella rappresentazione ordinata delle proprie attività e dei propri servizi.
La Determina distingue, inoltre, tra due modelli di categorizzazione, contenuti negli Allegati 1 e 2, applicabili a diverse tipologie di soggetti NIS. Il primo modello riguarda i soggetti riconducibili alle tipologie espressamente richiamate dall’art. 2, comma 2, della Determinazione (la maggior parte dei soggetti essenziali); il secondo si applica, invece, in via residuale, a tutti i soggetti NIS non ricompresi in tale previsione (soggetti importanti e altre categorie soggettive).
È bene precisare che la Determinazione si applica a decorrere dal 1° maggio 2026, data che coincide con l’apertura della finestra annuale prevista dall’art. 30 del decreto. Ne deriva che, già a partire dal primo ciclo applicativo successivo alla sua entrata in vigore, i soggetti essenziali e importanti sono tenuti a utilizzare il modello ACN quale parametro di riferimento per la corretta categorizzazione delle attività e dei servizi comunicati tramite la piattaforma digitale.
Le categorie di rilevanza nella categorizzazione: impatto alto, medio, basso e minimo
La Determinazione ACN n. 155238 del 20 aprile 2026 individua quattro categorie di rilevanza, denominate impatto alto, impatto medio, impatto basso e impatto minimo. In tali categorie il soggetto NIS dovrà qualificare ciascuna attività e ciascun servizio oggetto di comunicazione, valutando l’incidenza che una possibile compromissione potrebbe avere sulla capacità dell’organizzazione di svolgere correttamente le attività e i servizi rilevanti ai fini del decreto NIS.
Il modello ACN assegna alle macro-aree una categoria di rilevanza predefinita, ma il soggetto NIS resta chiamato a verificare se, nel proprio specifico contesto organizzativo, la compromissione di una determinata attività o di un determinato servizio possa produrre effetti più gravi o meno gravi rispetto alla classificazione ordinaria. Proprio per questa ragione, la Determina consente di indicare una categoria diversa da quella pre-assegnata, purché tale scelta sia sorretta da una valutazione interna e dalla conservazione della relativa documentazione.
I modelli di categorizzazione allegati alla Determina: le dieci macro-aree
Il modello dell’Agenzia si fonda sull’individuazione di dieci macro-aree, destinate a costituire la “griglia” attraverso la quale i soggetti NIS dovranno rappresentare le attività svolte e i servizi erogati.
Gli Allegati 1 e 2 contemplano, in particolare, le macro-aree del monitoraggio e controllo, della produzione di beni e servizi, della ricerca, sviluppo e progettazione, della gestione finanziaria, della gestione dei clienti, della gestione delle risorse umane, della logistica, della comunicazione e marketing, della gestione amministrativa e, in via residuale, degli altri servizi e attività.
Emerge ictu oculi come la categorizzazione non riguardi soltanto le componenti strettamente tecniche o informatiche, ma investe l’intero assetto operativo del soggetto NIS, includendo anche attività interne, servizi di supporto, funzioni amministrative, rapporti con i clienti, gestione dei fornitori e processi organizzativi trasversali.
Particolare rilievo assume la macro-area “monitoraggio e controllo”, alla quale entrambi gli allegati attribuiscono la categoria di impatto alto. Essa comprende le attività e i servizi finalizzati al supporto degli organi di amministrazione e direttivi, all’orchestrazione e al coordinamento della sicurezza informatica e fisica, alla continuità operativa, al controllo di qualità e al controllo di conformità, anche in relazione ai fornitori.
Le macro-aree relative alla produzione di beni e servizi e alla ricerca, sviluppo e progettazione sono invece pre-classificate a impatto medio, mentre la gestione finanziaria, la gestione dei clienti e la gestione delle risorse umane sono collocate nell’area dell’impatto basso. Comunicazione e marketing, gestione amministrativa e altri servizi e attività sono ricondotti all’impatto minimo.
Il processo operativo sulla piattaforma digitale ACN
Sul piano procedimentale, la Determinazione ACN del 20 aprile 2026 stabilisce che i soggetti NIS provvedano all’elencazione e alla categorizzazione delle attività e dei servizi tramite la piattaforma digitale di cui all’art. 7, comma 1, del D. Lgs. 138/2024.
L’adempimento deve essere svolto secondo le modalità stabilite dalla Determinazione adottata ai sensi dell’art. 40, comma 5, lett. b), e si colloca nella finestra temporale annuale prevista dall’art. 30, vale a dire tra il 1° maggio e il 30 giugno di ciascun anno.
La comunicazione tramite il Portale deve riguardare tutte le attività svolte e tutti i servizi erogati dal soggetto NIS, sia internamente sia esternamente. Devono essere considerate anche le attività interne che concorrono al funzionamento dell’organizzazione e che, in caso di compromissione, potrebbero incidere sulla capacità del soggetto di assicurare la continuità e la correttezza delle attività e dei servizi NIS.
Per ciascuna attività o servizio, il soggetto deve indicare la macro-area corrispondente, la denominazione e la descrizione dell’attività o del servizio, nonché la relativa categoria di rilevanza. La compilazione richiede, pertanto, una previa attività di mappatura organizzativa, idonea a ricostruire i processi effettivamente svolti, le dipendenze operative, le funzioni di supporto, le interazioni con i fornitori e le aree suscettibili di incidere sulla continuità aziendale o istituzionale. La Determina precisa, inoltre, che il soggetto NIS non è tenuto a indicare attività o servizi per una o più macro-aree qualora non svolga attività e non eroghi servizi riconducibili alle stesse.
È riconosciuta la possibilità ai soggetti NIS di attribuire a una determinata attività o a un determinato servizio una categoria di rilevanza diversa da quella pre-assegnata alla macro-area di riferimento. Tale facoltà consente di evitare che il modello di categorizzazione operi in modo rigido o meramente tabellare, valorizzando invece la concreta realtà organizzativa del soggetto obbligato e l’effettivo impatto che la compromissione di un’attività o di un servizio potrebbe produrre sulla continuità delle attività e dei servizi NIS.
In termini operativi, la documentazione dovrebbe quindi dare conto dei criteri utilizzati, delle funzioni coinvolte, delle dipendenze organizzative e tecnologiche considerate, nonché degli effetti prevedibili in caso di compromissione.
La procedura di valutazione e il riscontro di ACN
L’art. 30 del D. Lgs. 138/2024 disciplina anche la successiva fase di verifica da parte dell’Autorità nazionale competente NIS. Entro novanta giorni dalla comunicazione effettuata tramite la piattaforma digitale, l’ACN fornisce riscontro ai soggetti essenziali e importanti circa la conformità di quanto comunicato rispetto alle modalità e ai criteri stabiliti ai sensi del comma 2. Tale termine può essere prorogato, per una sola volta, fino a un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere approfondimenti.
La disciplina prevede altresì che, ove l’Autorità richieda integrazioni o informazioni aggiuntive, i termini siano interrotti sino alla data di ricevimento delle stesse. Le integrazioni devono essere rese dal soggetto NIS entro il termine di trenta giorni dalla richiesta.
Particolarmente rilevante è poi la previsione secondo cui, in assenza del riscontro dell’ACN entro i termini previsti, la conformità della comunicazione si intende convalidata.
La Determinazione ACN introduce, infine, due importanti clausole di coordinamento. I soggetti NIS che hanno già svolto la classificazione dei dati e dei servizi ai sensi del Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024 applicano quel modello ai fini dell’elencazione e della categorizzazione, in luogo del modello previsto dalla Determina.
Inoltre, alle attività e ai servizi soggetti agli obblighi del perimetro di sicurezza nazionale cibernetica è attribuita direttamente la categoria di impatto alto, con esclusione dall’ordinario processo di cui all’art. 3 della Determinazione.
Assistenza nella categorizzazione di attività e servizi per soggetti NIS 2
Nel periodo compreso tra il 1° maggio e il 30 giugno di ogni anno si apre una finestra temporale, in cui i soggetti NIS dovranno “mappare” le proprie attività e servizi. Il corretto adempimento dei dettami dell’art. 30 D. Lgs. 138/2024 richiede un approccio integrato tra comprensione dei processi aziendali e valutazione dei profili tecnico-organizzativi.
Il nostro Studio assiste imprese e destinatari della disciplina nell’interpretazione degli obblighi derivanti dal D. Lgs. 138/2024, nella predisposizione della documentazione interna, nella mappatura dei processi e nella definizione di percorsi di compliance in materia di cybersecurity e NIS 2.
Contattaci per un confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
da Redazione | Apr 30, 2026 | Diritto d'Impresa
La cyber resilienza dei prodotti con elementi digitali entra in una nuova fase di attuazione normativa. Con l’art. 15 della Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025), il legislatore ha conferito al Governo la delega ad adottare, entro sei mesi dall’entrata in vigore della legge, uno o più decreti legislativi per adeguare l’ordinamento italiano alle disposizioni del Regolamento (UE) 2024/2847, relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali, comunemente noto come Regolamento sulla cyber resilienza o Cyber Resilience Act.
Con questo breve articolo vogliamo offrire ai nostri lettori un aggiornamento sull’adeguamento nazionale al Cyber Resilience Act, illustrando i principali criteri direttivi della delega, il ruolo attribuito all’Agenzia per la cybersicurezza nazionale e le possibili ricadute per imprese, produttori, importatori, distributori e operatori della filiera digitale.
Il Cyber Resilience Act e la sicurezza dei prodotti digitali
Il Regolamento (UE) 2024/2847 – come noto – introduce una disciplina orizzontale sulla cyber resilienza dei prodotti con elementi digitali. La normativa interviene direttamente sul “prodotto in sé”, imponendo che hardware, software e soluzioni connesse siano progettati, sviluppati e mantenuti secondo requisiti essenziali di cybersicurezza.
La novità del Cyber Resilience Act (CRA) consiste nell’aver elevato la cyber resilienza a qualità giuridicamente rilevante del prodotto con elementi digitali. La sicurezza non è più concepita come attività successiva o accessoria, ma come componente strutturale della progettazione, della documentazione tecnica, della gestione delle vulnerabilità e del rapporto tra produttore, utilizzatore e mercato.
Il Regolamento incide, dunque, sulla filiera economica dei prodotti digitali, attribuendo rilievo agli obblighi dei fabbricanti, degli importatori e dei distributori, nonché alla conformità dei prodotti immessi sul mercato dell’Unione.
La delega al Governo nella L. 36/2026
L’art. 15 in commento ha attribuito al Governo il compito di adottare decreti delegati per adeguare la normativa nazionale alle disposizioni del Regolamento (UE) 2024/2847.
La previsione si inserisce nella funzione propria della legge di delegazione europea, quale strumento attraverso il quale il legislatore nazionale abilita il Governo a intervenire sull’ordinamento interno per assicurare l’attuazione, il coordinamento e l’effettività degli obblighi derivanti dal diritto dell’Unione.
La circostanza che il Cyber Resilience Act abbia natura di regolamento europeo non esclude, infatti, la necessità di un intervento nazionale di adeguamento. Il Regolamento è direttamente applicabile, ma richiede comunque che ciascuno Stato membro individui le autorità competenti, disciplini i procedimenti amministrativi, predisponga un sistema sanzionatorio coerente ed elimini eventuali disposizioni interne incompatibili. In questa prospettiva, la delega contenuta nella L. 36/2026 non replica il contenuto precettivo della fonte europea, ma ne organizza l’inserimento nell’architettura nazionale della sicurezza cibernetica.
Cyber resilienza e ruolo dell’ACN
La legge di delegazione europea ha attribuito all’Agenzia per la cybersicurezza nazionale un ruolo di prim’ordine nell’attuazione interna del Regolamento (UE) 2024/2847. Il legislatore delegante ha individuato in ACN l’autorità di notifica ai sensi dell’art. 36 del Regolamento e di vigilanza del mercato ai sensi dell’art. 52.
La scelta appare coerente con l’evoluzione dell’ordinamento nazionale della sicurezza cibernetica, che negli ultimi anni ha progressivamente concentrato in capo all’Agenzia funzioni di regolazione tecnica, vigilanza, coordinamento e indirizzo.
Il decreto prevede espressamente che l’ACN debba disporre di adeguate risorse umane, strumentali e finanziarie per lo svolgimento dei compiti discendenti dal Regolamento. Nel dettaglio, il legislatore quantifica gli oneri necessari al rafforzamento dell’Agenzia, prevedendo specifiche risorse per gli anni 2026, 2027, 2028 e a decorrere dal 2029.
Il coordinamento con NIS 2, Perimetro cibernetico e discipline settoriali
L’art. 15 L. 17 marzo 2026, n. 36 attribuisce particolare rilievo al coordinamento tra il futuro decreto legislativo di adeguamento al Regolamento (UE) 2024/2847 e le discipline nazionali già vigenti in materia di sicurezza cibernetica.
Il riferimento espresso al decreto-legge 21 settembre 2019, n. 105, relativo al Perimetro di sicurezza nazionale cibernetica, e al D. Lgs. 4 settembre 2024 (Decreto NIS 2), n. 138, di recepimento della Direttiva NIS 2, conferma che la cyber resilienza dei prodotti con elementi digitali dovrà essere inserita in un sistema unitario di regole.
La ragione è evidente. Il Cyber Resilience Act disciplina la sicurezza dei prodotti con elementi digitali; la NIS 2 regola, invece, la sicurezza delle reti, dei sistemi informativi e dei processi organizzativi dei soggetti essenziali e importanti; il Perimetro cibernetico presidia le funzioni essenziali dello Stato e gli interessi nazionali strategici. Si tratta di piani distinti, ma potenzialmente convergenti.
Nell’adeguamento delle norme nazionali, il legislatore delegato dovrà raccordare le disposizioni del Regolamento (UE) 2024/2847 le norme nazionali sulla vigilanza, sorveglianza del mercato e controllo della sicurezza cibernetica dei prodotti con elementi digitali.
La sorveglianza del mercato è sinonimo di garanzia dell’affidabilità dell’ecosistema digitale. I prodotti con elementi digitali, infatti, possono generare vulnerabilità non soltanto per il singolo utilizzatore, ma anche per reti, sistemi informativi, catene di fornitura e infrastrutture interconnesse.
Il sistema sanzionatorio nella legge di delegazione europea
Tra i criteri direttivi di maggiore rilievo vi è la definizione del sistema sanzionatorio applicabile in caso di violazione degli obblighi derivanti dal Regolamento (UE) 2024/2847. Il legislatore delegante richiede che le sanzioni siano effettive, dissuasive e proporzionate alla gravità, alla durata e all’eventuale reiterazione della violazione, secondo una formula ormai ricorrente nel diritto europeo della regolazione digitale, ma particolarmente significativa nel settore della cyber resilienza.
La disciplina sanzionatoria dovrà essere costruita in deroga, ove necessario, ai criteri e ai limiti ordinariamente previsti dall’art. 32, comma 1, lettera d), della Legge 24 dicembre 2012, n. 234. Tale previsione conferma la volontà di attribuire al futuro decreto legislativo uno spazio di intervento adeguato alla rilevanza degli interessi protetti, poiché la sicurezza dei prodotti con elementi digitali incide sulla stabilità delle catene digitali, sulla protezione dei dati, sulla continuità dei servizi e sulla sicurezza complessiva del mercato.
L’art. 15 in commento impone, inoltre, che il sistema sanzionatorio sia coordinato con quello previsto dal Perimetro di sicurezza nazionale cibernetica e dal D. Lgs. n. 138/2024 in materia di NIS 2, in coerenza con il procedimento applicabile presso l’ACN.
Cyber resilienza e impatto sulle imprese
Il Regolamento (UE) 2024/2847 incide in modo significativo sulle imprese che progettano, sviluppano, fabbricano, importano, distribuiscono o commercializzano prodotti con elementi digitali.
Per gli operatori economici, il passaggio più rilevante consiste nella necessità di anticipare la valutazione della cyber resilienza sin dalla fase di progettazione e sviluppo. Il prodotto digitale dovrà essere concepito tenendo conto dei requisiti essenziali di sicurezza, della gestione delle vulnerabilità, della documentazione tecnica, degli aggiornamenti, della tracciabilità delle componenti e della capacità di dimostrare la conformità alle autorità competenti.
Ne deriva una progressiva integrazione tra compliance legale, sicurezza informatica e organizzazione aziendale. Tale evoluzione assume particolare rilievo anche nei rapporti contrattuali tra imprese. I produttori dovranno verificare con maggiore attenzione le clausole relative alla responsabilità, agli obblighi di manutenzione, alla gestione degli aggiornamenti, alla segnalazione delle vulnerabilità e alla ripartizione dei rischi lungo la filiera.
Cyber resilienza, imprese e prodotti digitali. Assistenza legale dedicata
Per le imprese, l’adeguamento al Cyber Resilience Act richiederà un approccio anticipato e integrato, capace di coniugare valutazione giuridica, governance tecnologica, contrattualistica e procedure interne di compliance.
Lo Studio segue da tempo l’evoluzione della normativa europea e nazionale in materia di cybersicurezza, sicurezza dei prodotti digitali, protezione dei dati, offrendo supporto nella corretta attuazione degli obblighi e nella loro traduzione in modelli organizzativi, contratti e/o processi aziendali coerenti con il quadro normativo.
Contattaci per un confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
Promuoviamo la cyber resilienza e la sicurezza informatica con un approccio legale integrato.
