da Redazione | Apr 15, 2025 | Diritto d'Impresa
La registrazione del software, pur non costituendo un adempimento obbligatorio ai fini dell’acquisizione del diritto d’autore, rappresenta uno strumento di primaria rilevanza sotto il profilo giuridico e probatorio. Il diritto d’autore, infatti, tutela automaticamente l’opera dell’ingegno sin dal momento della sua creazione, a condizione che essa possieda il requisito dell’originalità ai sensi dell’art. 2, n. 8, della Legge 22 aprile 1941, n. 633.
Tuttavia, in assenza di un sistema pubblico di accertamento formale della paternità e della data di creazione, l’onere della prova in caso di contestazione grava sull’autore o sul titolare dei diritti. In tale prospettiva, la registrazione del software si configura come un presidio giuridico per attribuire certezza legale all’identità dell’autore, alla titolarità dei diritti e all’anteriorità dell’opera rispetto a eventuali rivendicazioni concorrenti.
In ambito imprenditoriale, inoltre, la registrazione del software assume ulteriore rilievo quale elemento idoneo a soddisfare specifici requisiti normativi. In particolare, l’art. 25, comma 2, del Decreto-Legge 18 ottobre 2012, n. 179, nel definire le condizioni per l’iscrizione nella sezione speciale delle startup innovative, richiede che la società sia titolare, depositaria o licenziataria di almeno un brevetto ovvero di un software registrato.
Sebbene la registrazione non sia imposta come un obbligo generalizzato, essa diventa, in casi normativamente tipizzati come quello testé menzionato, una condizione necessaria per accedere a specifici benefici giuridici e fiscali. La registrazione del software si pone dunque non solo come mezzo di tutela, ma anche come chiave di accesso a misure di incentivazione e riconoscimento dell’innovazione nel sistema economico nazionale.
Dopo aver approfondito, in un precedente contributo, i presupposti di brevettabilità del software e le peculiarità della tutela industriale, nel presente articolo ci si concentra sulla registrazione del software quale strumento volto a rafforzare la protezione legale dell’opera dell’ingegno attraverso modalità formali riconosciute dall’ordinamento.
Registrazione del software e tutela brevettuale: profili distintivi
Nel contesto della protezione giuridica del software, è essenziale distinguere con chiarezza la registrazione del software ai fini del diritto d’autore dalla tutela brevettuale prevista dal Codice della Proprietà Industriale. Le due forme di protezione si fondano su presupposti differenti, operano su piani giuridici distinti e producono effetti di diversa portata.
La registrazione del software, riconducibile all’ambito del diritto d’autore, riguarda la tutela dell’opera nella sua forma espressiva, ossia del codice sorgente quale prodotto creativo dell’ingegno umano. Tale protezione, che sorge automaticamente con la creazione dell’opera, ha per oggetto la specifica modalità con cui l’autore ha dato forma al programma, indipendentemente dalla funzione tecnica o dall’effetto che esso è in grado di produrre.
La tutela brevettuale, al contrario, è riservata a quei programmi per elaboratore che, integrandosi con un processo tecnico o con una soluzione innovativa, risultino idonei a soddisfare i requisiti di novità, attività inventiva e applicabilità industriale, come richiesto dagli articoli 45 e seguenti del Decreto Legislativo 10 febbraio 2005, n. 30.
In questo caso, l’oggetto della protezione non è la forma del codice, bensì la soluzione tecnica sottesa al software e il risultato industriale che essa consente di ottenere. Mentre il diritto d’autore consente di vietare la riproduzione o la diffusione non autorizzata del codice nella sua espressione letterale, il brevetto conferisce al titolare il diritto esclusivo di impedire a terzi la realizzazione della stessa invenzione funzionale, anche se implementata con codice differente.
Ne deriva che la registrazione del software, pur offrendo una tutela efficace sotto il profilo espressivo, non impedisce la riproduzione dell’idea funzionale sottostante, se non protetta da brevetto. Per tale ragione, le due forme di protezione sono tra loro diverse, e devono essere valutate in funzione della natura dell’opera e degli obiettivi attesi.
Registrazione del software presso la SIAE: disciplina ed efficacia giuridica
Tra le modalità riconosciute per formalizzare la registrazione del software, il deposito presso la Società Italiana degli Autori ed Editori (SIAE) rappresenta – per così dire – la via più istituzionale. La registrazione presso la SIAE consente al titolare del software di ottenere un attestato di deposito recante data certa, con effetto probatorio opponibile a terzi.
Tale attestazione non incide sull’esistenza del diritto d’autore, che nasce ex lege al momento della creazione dell’opera ai sensi dell’art. 6 della Legge 22 aprile 1941, n. 633 (“Il titolo originario dell’acquisto del diritto di autore è costituito dalla creazione dell’opera, quale particolare espressione del lavoro intellettuale”), ma fornisce uno strumento documentale utile a comprovare la titolarità dell’opera, la sua esistenza a una determinata data e la specifica forma espressiva del codice sorgente. In questo senso, la registrazione del software presso la SIAE assolve una funzione certificativa che si rivela determinante in sede di contenzioso o per l’accesso a bandi o agevolazioni pubbliche.
La procedura di registrazione del software presso la SIAE si articola in una serie di adempimenti di natura documentale, tra cui la presentazione del modulo di richiesta, una descrizione tecnica dell’opera, una porzione significativa del codice sorgente (solitamente in formato .pdf) e una dichiarazione sostitutiva di atto notorio in cui il dichiarante attesti la titolarità del software e l’originalità dell’elaborato.
La SIAE, pur non effettuando una valutazione qualitativa del contenuto del codice, si limita a custodire e certificare il materiale depositato, garantendo la riservatezza dell’opera e la possibilità per il titolare di far valere i propri diritti patrimoniali e morali con il supporto di un documento ufficiale.
Ai sensi dell’art. 2704 del Codice civile, la data riportata nell’attestazione di deposito acquisisce efficacia legale e costituisce prova certa nei confronti di terzi. In conclusione, la registrazione del software presso la SIAE si configura come uno strumento di alto profilo per consolidare il regime giuridico di protezione dell’opera, rappresentando una scelta preferenziale per le imprese che intendano tutelare i propri diritti.
Registrazione del software mediante atto notarile
La registrazione del software può essere validamente effettuata anche tramite atto notarile, nelle forme dell’atto pubblico o della scrittura privata autenticata. Tale modalità consente di attribuire al deposito del software un valore probatorio rafforzato, grazie all’intervento di un pubblico ufficiale che garantisce l’identità delle parti, la data dell’atto e la conformità formale della documentazione allegata.
Invero, ai sensi dell’art. 2700 del Codice civile, l’atto pubblico fa piena prova, fino a querela di falso, della provenienza del documento dal pubblico ufficiale che lo ha redatto, delle dichiarazioni delle parti e degli altri fatti che il notaio attesti avvenuti in sua presenza (tra cui la struttura del codice sorgente).
La forma notarile offre ulteriori garanzie sul piano della riservatezza, della conservazione nel tempo e della possibilità di aggiornamento del contenuto depositato. È prassi consolidata allegare all’atto una descrizione funzionale del software e una copia del codice sorgente, integralmente o per estratti significativi, redatti in modo da permettere l’individuazione dell’opera e la sua riconducibilità al dichiarante.
A differenza della registrazione presso la SIAE, l’intervento notarile consente altresì di formalizzare contestualmente clausole contrattuali tra le parti, come patti di riservatezza, impegni di sviluppo o attribuzione dei diritti in ambito aziendale o tra coautori. Ciò conferisce alla registrazione del software mediante atto notarile una potenziale dimensione negoziale, idonea a supportare l’organizzazione dei rapporti giuridici sottostanti alla creazione e allo sfruttamento dell’opera.
In tale prospettiva, la forma pubblica si rivela particolarmente adatta nei contesti imprenditoriali, start-up e joint venture tecnologiche, in cui la certezza giuridica costituisce un valore importante per l’affermazione competitiva sul mercato.
Registrazione del software con validazione temporale: modalità “alternative”
La registrazione del software può avvenire anche mediante l’impiego di strumenti digitali idonei a conferire data certa, autenticità e integrità al documento informatico contenente l’opera. Tale modalità trova fondamento giuridico nel quadro normativo delineato dal Codice dell’Amministrazione Digitale (D. Lgs. 7 marzo 2005, n. 82) e nel Regolamento (UE) n. 910/2014 (eIDAS), che disciplina i servizi fiduciari qualificati in ambito elettronico.
Ai sensi dell’art. 20, comma 1-bis, del Codice dell’Amministrazione Digitale, la data e l’ora di formazione di un documento informatico sono opponibili a terzi se apposte mediante firma elettronica qualificata o altro sistema che consenta di stabilire con certezza il momento della creazione del documento stesso. La validazione temporale, specie se associata a firma digitale, conferisce al documento un valore giuridico che lo rende equiparabile, sotto il profilo probatorio, a un atto dotato di data certa ex art. 2704 del Codice civile.
In questo contesto, la registrazione del software si realizza mediante il deposito, in formato elettronico, di una copia del codice sorgente e della documentazione tecnica allegata, da sottoporre a marcatura temporale presso un prestatore di servizi fiduciari qualificato, iscritto nell’elenco pubblico tenuto da AgID.
Tale operazione può avvenire in autonomia da parte del titolare o con l’assistenza di un soggetto terzo abilitato, e consente di ottenere un certificato elettronico attestante la data e l’immutabilità del contenuto depositato.
Sebbene la validazione temporale non comporti il deposito presso un ente pubblico, essa soddisfa pienamente i requisiti di certezza e tracciabilità richiesti dall’ordinamento, risultando particolarmente adatta nei contesti in cui sia necessario versionare frequentemente il software, tutelare singole evoluzioni successive o operare in ambienti digitali dinamici.
Tra le modalità riconosciute per la registrazione del software, merita attenzione anche il servizio reso disponibile da alcune Camere di Commercio, che consente di ottenere una marcatura temporale legalmente valida attraverso un sistema di deposito digitale certificato.
Il servizio, accessibile mediante l’area riservata del portale DIRE (Deposito Informatico Registrazioni Elettroniche), consente a imprese, professionisti e persone fisiche di depositare un documento informatico contenente il codice sorgente o la documentazione descrittiva del software, ottenendo contestualmente una marca temporale qualificata che ne certifica la data di esistenza e ne garantisce l’integrità. La procedura è conforme ai requisiti tecnici e giuridici stabiliti dal Regolamento (UE) n. 910/2014 (eIDAS) e dal Codice dell’Amministrazione Digitale (D. Lgs. 82/2005), in quanto prevede l’utilizzo di un sistema di firma digitale e conservazione a norma, gestito da un prestatore di servizi fiduciari qualificato.
Supporto legale nella registrazione del software: perché rivolgersi a un avvocato?
Nel quadro normativo attuale, la registrazione del software riveste una funzione particolarmente rilevante per le start-up innovative, ossia per quelle società di capitali che, ai sensi dell’art. 25, comma 2, del Decreto-Legge 18 ottobre 2012, n. 179, possono accedere a un regime agevolato se in possesso di determinati requisiti oggettivi e soggettivi.
Tra questi ultimi, è espressamente previsto che la società sia titolare, depositaria o licenziataria di almeno un brevetto o di un software registrato. In tal senso, la registrazione del software non è soltanto uno strumento di tutela, ma costituisce anche una condizione legale per il riconoscimento dello status di impresa innovativa, con tutti i benefici che ne derivano in termini fiscali, societari e di accesso semplificato a procedure pubbliche e private di finanziamento.
Le modalità di registrazione analizzate nel presente articolo – deposito presso la SIAE, atto notarile o deposito camerale – appaiono idonee a tal fine. Ma la scelta sulla modalità in concreto più opportuna è il frutto di una valutazione strategica e di convenienza in relazione alla specifica natura del software e all’utilizzo che ne viene fatto.
Oltre al contesto delle start-up, la registrazione del software rappresenta in generale un presidio giuridico di fondamentale importanza per qualsiasi soggetto economico o professionale che intenda attribuire certezza alla propria paternità creativa, prevenire contenziosi, regolamentare i rapporti giuridici con soggetti terzi o consolidare il valore di mercato dell’opera.
È in questa prospettiva che si comprende appieno il ruolo dell’assistenza legale nella gestione strategica della proprietà intellettuale: un avvocato può orientare nella scelta dello strumento di registrazione più adeguato al contesto operativo, redigere i necessari accordi di sviluppo, licenza e riservatezza, predisporre dichiarazioni autoriali coerenti con le esigenze probatorie e, più in generale, assicurare che l’intera architettura giuridica che circonda il software sia coerente con le aspettative economiche dell’impresa.
Il nostro Studio Legale assiste imprese, professionisti e start-up nell’intero percorso di tutela del software, offrendo supporto qualificato in materia di diritto dell’innovazione e delle nuove tecnologie. Contattaci per un confronto!
Studio legale D’Agostino. Protezione del software e assistenza legale su programmi per elaboratore e diritto d’autore.
da Redazione | Apr 14, 2025 | Diritto d'Impresa
Tutto pronto per la formazione dell’elenco dei soggetti NIS?
Nell’ambito della prima fase attuativa del decreto legislativo 4 settembre 2024, n. 138, recante attuazione della Direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2), l’Agenzia per la Cybersicurezza Nazionale ha avviato in questi giorni l’invio delle comunicazioni formali di inserimento nell’elenco dei soggetti NIS a favore delle organizzazioni che hanno completato la procedura di registrazione nei termini previsti.
Tale attività si inserisce in un percorso più ampio di definizione del perimetro applicativo della normativa nazionale in materia di cybersicurezza, ed è volta a notificare ufficialmente ai soggetti interessati la loro riconducibilità all’ambito soggettivo delineato dagli articoli 3 e 7 del decreto.
La comunicazione viene trasmessa tramite posta elettronica certificata e si fonda su una Determinazione del Direttore Generale dell’Agenzia, che ha accolto (o eventualmente modificato) le valutazioni preliminari rilasciate in fase di registrazione, anche previa consultazione con l’Autorità di settore competente.
L’inserimento nell’elenco dei soggetti NIS comporta per l’organizzazione l’obbligo di conformarsi a un articolato regime di adempimenti, tra cui l’adozione di misure tecniche e organizzative di sicurezza, la notifica degli incidenti e l’aggiornamento costante delle informazioni registrate presso il portale dei servizi ACN.
Sotto il profilo sostanziale, l’effetto principale della comunicazione consiste nell’attribuzione della qualifica di soggetto “essenziale” o “importante”, con l’ulteriore conseguenza dell’assoggettamento a vigilanza, ispezioni e responsabilità specifiche.
Tuttavia, la natura amministrativa del procedimento e il carattere unilaterale del provvedimento consentono alle organizzazioni di attivare, entro termini determinati, importanti strumenti di tutela dei propri interessi, soprattutto qualora sussistano dubbi o contestazioni circa la correttezza dell’inquadramento operato dall’Autorità. I paragrafi che seguono illustreranno i principali rimedi esperibili da parte dei soggetti destinatari della comunicazione di inserimento nell’elenco dei soggetti NIS.
La registrazione al portale e la fase preliminare dell’inserimento nell’elenco dei soggetti NIS
Ai sensi dell’articolo 7 del decreto legislativo 4 settembre 2024, n. 138, i soggetti pubblici e privati potenzialmente rientranti nell’ambito di applicazione della normativa in materia di cybersicurezza avevano l’onere di provvedere alla propria registrazione tramite l’apposita piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale.
Il termine ultimo per la trasmissione della dichiarazione di registrazione era stato fissato al 28 febbraio 2025, come indicato dal combinato disposto degli articoli 7 e 42 del decreto. Tale adempimento si configurava quale presupposto necessario per consentire all’ACN di avviare il procedimento di individuazione dei soggetti “essenziali” e “importanti” da includere nell’elenco dei soggetti NIS, sulla base di criteri normativi e valutazioni tecnico-settoriali.
La procedura di registrazione è avvenuta attraverso il Portale dei Servizi dell’Agenzia, accessibile all’indirizzo portale.acn.gov.it, mediante l’invio telematico di una dichiarazione strutturata secondo un modello predefinito.
All’interno della piattaforma, le organizzazioni hanno avuto modo non soltanto di fornire le informazioni richieste in modo standardizzato, ma anche di compilare un campo libero, espressamente previsto per permettere agli operatori di inserire eventuali elementi informativi integrativi ritenuti utili ai fini della corretta valutazione da parte dell’Autorità.
In particolare, molte organizzazioni hanno utilizzato tale spazio per segnalare circostanze rilevanti ai fini di una potenziale esclusione dall’ambito soggettivo della disciplina, come ad esempio la non appartenenza a settori critici, il mancato superamento delle soglie dimensionali previste o la mancata rilevanza in concreto dell’attività formalmente svolta.
L’inserimento nell’elenco dei soggetti NIS è dunque l’esito di una valutazione complessa, che si pone a valle di un procedimento amministrativo. I destinatari della comunicazione di ACN potrebbero ritenere necessario attivare i rimedi previsti dall’ordinamento, qualora ritengano che l’attribuzione della qualifica di soggetto NIS non rispecchi correttamente la propria posizione.
Accesso agli atti e diritto alla conoscenza della Determinazione di inserimento nell’elenco dei soggetti NIS
Il primo rimedio esperibile da parte dei soggetti che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS consiste nella proposizione di un’istanza di accesso agli atti, ai sensi degli articoli 22 e seguenti della Legge 7 agosto 1990, n. 241, entro il termine di trenta giorni dalla ricezione della comunicazione trasmessa dall’Agenzia per la Cybersicurezza Nazionale.
L’istanza consente alla persona giuridica interessata di prendere visione e di estrarre copia dei documenti amministrativi che hanno condotto all’inserimento, tra cui in particolare la Determinazione del Direttore Generale dell’ACN che ha formalmente disposto l’iscrizione del soggetto come “essenziale” o “importante” nell’elenco previsto dall’articolo 7, comma 3, lettera a), del decreto legislativo 138/2024.
L’accesso è finalizzato alla conoscenza integrale del procedimento istruttorio, dei presupposti tecnici, dei pareri eventualmente acquisiti e delle valutazioni espresse dall’Autorità di settore, al fine di consentire al soggetto interessato una valutazione consapevole e tempestiva delle possibili iniziative difensive, sia in sede procedimentale che contenziosa.
In particolare, qualora la qualificazione disposta dall’ACN risulti divergente rispetto alla dichiarazione inizialmente resa in fase di registrazione, sarà utile verificare se la rivalutazione sia stata fondata su presupposti e motivazioni giuridicamente fondati.
L’istanza deve essere presentata nelle forme previste per i procedimento di accesso agli atti. Salvo che sia diversamente stabilito, l’amministrazione ha l’obbligo di concludere il procedimento entro trenta giorni, adottando un provvedimento espresso e motivato sull’accoglimento o il rigetto dell’istanza, ai sensi dell’articolo 25 della legge n. 241/1990.
In caso di diniego, espresso o tacito, il soggetto potrà ricorrere al giudice amministrativo secondo quanto previsto dall’articolo 116 del Codice del processo amministrativo, tutelando così il proprio diritto alla trasparenza e al contraddittorio effettivo nell’ambito dell’inserimento nell’elenco dei soggetti NIS.
Memoria integrativa nel procedimento di verifica ex post dell’inserimento nell’elenco dei soggetti NIS
Oltre al rimedio dell’accesso agli atti, le organizzazioni che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS possono esercitare una forma di partecipazione procedimentale diretta mediante la presentazione, entro sessanta giorni dalla ricezione della comunicazione, di una memoria integrativa nell’ambito del procedimento di verifica ex post previsto dalla normativa.
Tale facoltà trova fondamento nel più generale principio di partecipazione procedimentale sancito dall’articolo 10 della Legge n. 241/1990. La memoria integrativa consente al soggetto interessato di apportare nuovi elementi valutativi, chiarimenti documentali o osservazioni giuridiche che possano incidere sulla conferma o sull’eventuale revisione della classificazione operata dall’Agenzia.
In particolare, la fase di verifica ex post si configura come una prosecuzione del procedimento amministrativo, nel corso della quale l’Agenzia per la Cybersicurezza Nazionale potrà riesaminare le determinazioni assunte alla luce di quanto rappresentato dalla parte. Ciò si rivela particolarmente rilevante nei casi in cui la valutazione inizialmente effettuata in sede di registrazione sia stata modificata senza un contraddittorio anticipato o su presupposti non conosciuti dall’organizzazione.
Di regola, la comunicazione ricevuta da ACN contiene l’indicazione dell’apertura della fase di verifica e invita espressamente le organizzazioni ad attivarsi mediante il Portale dei Servizi, entro il termine perentorio di sessanta giorni. È in tale sede che potrà essere trasmessa la memoria integrativa, corredata da eventuale documentazione tecnica o da pareri giuridici, in grado di dimostrare l’inapplicabilità della disciplina o l’erroneità dell’inquadramento come soggetto “essenziale” o “importante”.
La trasmissione della memoria, pur non sospendendo gli effetti della comunicazione di inserimento nell’elenco dei soggetti NIS, potrà consentire una rivalutazione della posizione dell’Agenzia.
Ricorso al TAR contro la comunicazione di inserimento nell’elenco dei soggetti NIS: termini e presupposti
Nel quadro dei rimedi esperibili da parte delle organizzazioni destinatarie della comunicazione di inserimento nell’elenco dei soggetti NIS, assume particolare rilievo la possibilità di proporre ricorso giurisdizionale dinanzi al Tribunale amministrativo regionale del Lazio, sede di Roma, ai sensi dell’articolo 29 del Codice del processo amministrativo.
Tale ricorso è proponibile entro il termine di sessanta giorni dalla ricezione della comunicazione adottata dall’Agenzia per la Cybersicurezza Nazionale, laddove sussistano fondati motivi di illegittimità del provvedimento impugnato.
Il ricorso al TAR rappresenta un’extrema ratio, e presuppone una prudente valutazione della fondatezza delle censure proponibili, alla luce sia della normativa vigente, sia delle risultanze documentali acquisite, in particolare a seguito di eventuale accesso agli atti.
A titolo esemplificativo, possono rilevare profili di difetto di motivazione, violazione del contraddittorio, errore nei presupposti di fatto, errata applicazione della normativa di settore o insussistenza dei criteri oggettivi di inclusione di cui agli Allegati I-IV del decreto.
È importante sottolineare che, nel sistema delineato dal decreto legislativo 138/2024, la comunicazione di inserimento nell’elenco dei soggetti NIS non costituisce una mera presa d’atto formale, bensì incide in modo significativo sul regime giuridico cui l’organizzazione sarà sottoposta, comportando obblighi di sicurezza, responsabilità, controlli e sanzioni.
Ne deriva la necessità, per il soggetto interessato, di considerare il contenzioso solo qualora si ravvisi un pregiudizio concreto e attuale, fondato su elementi oggettivi e sostenuto da una solida ricostruzione dei fatti e del diritto.
Assistenza legale specializzata nei procedimenti di inserimento nell’elenco dei soggetti NIS
L’inserimento nell’elenco dei soggetti NIS comporta per le organizzazioni interessate una profonda trasformazione nel proprio assetto regolatorio e operativo. L’attribuzione della qualifica di soggetto “essenziale” o “importante” incide direttamente sull’organizzazione interna, imponendo l’adozione di specifiche misure tecniche e organizzative, l’obbligo di notifica degli incidenti e la soggezione a controlli, ispezioni e regimi sanzionatori.
L’attivazione dei rimedi previsti dall’ordinamento – sia nella forma dell’accesso agli atti e della partecipazione procedimentale, sia attraverso un eventuale contenzioso giurisdizionale – richiede una competenza specifica e settoriale. Il nostro Studio offre assistenza qualificata a imprese e pubbliche amministrazioni tenute alla registrazione sul portale dei soggetti NIS; siamo a disposizione per un confronto preliminare sull’inserimento della vostra organizzazione nell’elenco dei soggetti NIS.
da Redazione | Apr 8, 2025 | Diritto civile
Il ricorso all’ABF (Arbitro Bancario Finanziario) rappresenta una delle principali espressioni del diritto del cliente a ottenere giustizia in tempi rapidi e con costi contenuti, nell’ambito di un sistema che, in linea con le tendenze europee, promuove strumenti di risoluzione alternativa delle controversie (ADR) idonei a decongestionare il contenzioso ordinario.
I rapporti tra consumatori, microimprese e intermediari finanziari sono infatti caratterizzati da una crescente complessità, che spesso sfocia in disallineamenti informativi e squilibri contrattuali. L’istituto del ricorso all’ABF, operante sotto la supervisione della Banca d’Italia, si inserisce in questo quadro quale presidio di tutela sostanziale, capace di offrire al cliente una risposta imparziale, fondata su criteri giuridici e prassi consolidate, senza la necessità di intraprendere un giudizio ordinario.
Il vantaggio primario del ricorso all’ABF risiede nella rapidità della procedura: a fronte di termini di definizione tendenzialmente contenuti entro sei mesi dalla proposizione del ricorso, il cliente può ottenere una decisione motivata, emessa da un collegio di esperti dotati di specifiche competenze in materia bancaria e finanziaria.
Ulteriore elemento di forza è rappresentato dalla economicità del procedimento, il cui costo è limitato alla somma di venti euro per il ricorrente, a titolo di contributo spese, con l’esonero da ogni onere legale obbligatorio.
Sebbene la procedura sia concepita in modo da risultare accessibile anche al cittadino privo di difensore, ciò non esclude che la presenza di un avvocato possa incidere in modo significativo sulla chiarezza delle argomentazioni giuridiche e sulla tenuta complessiva dell’istanza.
L’efficacia del ricorso all’ABF si misura inoltre nella sua capacità di offrire un punto di vista autorevole in ordine alla legittimità dei comportamenti tenuti dagli intermediari, contribuendo alla formazione di un orientamento uniforme nelle relazioni contrattuali in ambito bancario.
Le decisioni dei Collegi, pur non avendo valore giurisdizionale, influenzano la prassi del settore e sono frequentemente rispettate dagli operatori, anche per il rilievo reputazionale delle loro condotte. Il tema merita approfondimento, con particolare riguardo ai presupposti e alle modalità di presentazione del ricorso.
Ricorso all’ABF: natura, istituzione e fondamento normativo
L’Arbitro Bancario Finanziario è un sistema di risoluzione alternativa delle controversie previsto dall’articolo 128-bis del Testo Unico Bancario (D.lgs. 1° settembre 1993, n. 385), introdotto con l’intento di offrire ai clienti degli intermediari un rimedio stragiudiziale efficace, sotto il controllo istituzionale della Banca d’Italia. L’attuazione di tale previsione normativa è avvenuta con la delibera del CICR n. 275 del 29 luglio 2008, che ha disciplinato l’istituzione e il funzionamento dell’ABF, attribuendogli la competenza a decidere, su base documentale, le controversie tra clienti e operatori bancari e finanziari.
Il ricorso all’ABF si configura quindi come un meccanismo speciale, il cui fondamento normativo risiede in una disciplina primaria integrata da fonti regolamentari.
La natura dell’ABF non è giurisdizionale: si tratta infatti di un organo collegiale, autonomo nelle decisioni, ma incardinato funzionalmente nell’ambito delle competenze della Banca d’Italia, che svolge un ruolo di indirizzo e vigilanza sul corretto svolgimento della procedura.
I Collegi dell’ABF, istituiti su base territoriale, sono composti da membri dotati di elevata competenza giuridica ed economica, e decidono secondo diritto, anche tenendo conto dell’equità, come espressamente previsto dal regolamento attuativo. Il procedimento, che culmina nella decisione sul ricorso all’ABF, si svolge interamente in forma scritta, senza udienza pubblica, ed è fondato sulla valutazione degli atti e dei documenti prodotti dalle parti.
Sebbene le decisioni non abbiano forza di legge, l’intermediario è tenuto a uniformarsi salvo che non motivi espressamente il proprio dissenso, seguendo una particolare procedura che coinvolge la Banca D’Italia. Questo meccanismo di vigilanza indiretta, unito al prestigio dell’organo, contribuisce a garantire l’effettività del ricorso all’ABF, rendendolo un punto di riferimento stabile per la gestione delle controversie in materia bancaria.
Ricorso all’ABF: ambito di applicazione e tipologie di controversie trattabili
Il ricorso all’ABF può essere esperito in relazione a controversie tra clienti e intermediari bancari o finanziari, purché riconducibili a operazioni e servizi regolati dal Testo Unico Bancario, dal Testo Unico della Finanza o dalla disciplina dei servizi di pagamento, secondo quanto stabilito dal Regolamento dell’Arbitro.
I soggetti legittimati a proporre ricorso sono i clienti persone fisiche, compresi i consumatori, nonché le microimprese, vale a dire quelle realtà imprenditoriali che, ai sensi della normativa europea recepita nel nostro ordinamento, occupano meno di dieci persone e realizzano un fatturato o un totale di bilancio annuo non superiore a due milioni di euro. L’intermediario contro il quale si intende presentare il ricorso all’ABF deve essere soggetto vigilato, iscritto negli albi o elenchi tenuti dalla Banca d’Italia e operante in Italia, anche se con sede estera.
Quanto alla materia del contendere, l’Arbitro è competente a pronunciarsi su controversie relative a servizi e operazioni bancarie e finanziarie, tra cui l’apertura e la gestione di conti correnti, il rilascio di carte di pagamento, l’erogazione di finanziamenti, i contratti di deposito e le operazioni di investimento.
Rientrano inoltre nella competenza dell’ABF le problematiche connesse all’esecuzione di bonifici, all’addebito di costi non pattuiti, alla modifica unilaterale delle condizioni contrattuali e all’inadempimento di obblighi informativi, specie in relazione alla trasparenza e alla correttezza delle comunicazioni con il cliente.
Il ricorso all’ABF non è invece ammissibile quando la controversia implichi l’accertamento di responsabilità extracontrattuale, l’esercizio di poteri discrezionali dell’intermediario o la valutazione di profili soggettivi che richiedano l’assunzione di prove orali o istruttorie complesse.
È inoltre necessario che, prima di proporre il ricorso all’ABF, il cliente abbia inoltrato un reclamo scritto all’intermediario, attendendo la risposta nel termine di sessanta giorni ovvero, in mancanza di riscontro, decorsi inutilmente i termini.
La tempestività è essenziale: il ricorso deve essere presentato entro dodici mesi dalla proposizione del reclamo. In questo quadro, l’Arbitro non si sostituisce al giudice, ma opera come strumento di verifica della correttezza dell’agire bancario alla luce delle fonti normative e degli obblighi di buona fede e diligenza professionale. La varietà delle materie trattabili e l’impostazione tecnico-specialistica del procedimento rendono il ricorso all’ABF uno strumento accessibile ma non privo di complessità, il cui corretto utilizzo presuppone una consapevolezza dei limiti e delle potenzialità dell’organo.
Ricorso all’ABF: procedura, fasi e decisioni dell’Arbitro Bancario Finanziario
Il procedimento che conduce alla decisione sul ricorso all’ABF è caratterizzato da semplicità formale e da un’impostazione interamente documentale, con lo scopo di assicurare rapidità e accessibilità nella trattazione delle controversie.
L’avvio della procedura è subordinato alla previa proposizione di un reclamo scritto all’intermediario, che deve essere presentato dal cliente entro i termini ordinariamente previsti, ossia non oltre dodici mesi dalla conoscenza dei fatti contestati. Solo in caso di mancata risposta nel termine di sessanta giorni o di risposta insoddisfacente, il cliente può attivare la fase successiva, mediante la proposizione del ricorso all’ABF attraverso il portale digitale dell’Arbitro, oppure per il tramite di una filiale della Banca d’Italia.
La presentazione del ricorso comporta il versamento di un contributo spese di modesta entità da parte del cliente, attualmente pari a venti euro, ed è seguita dalla notifica all’intermediario, che ha diritto di depositare controdeduzioni e documentazione difensiva entro il termine previsto dal Regolamento.
La decisione è assunta dal Collegio competente per territorio, in composizione collegiale, sulla base degli atti trasmessi e senza possibilità di udienza orale. Il procedimento si fonda sui principi del contraddittorio e della parità delle parti, ed è disciplinato secondo regole che garantiscono imparzialità, trasparenza e coerenza interpretativa. Il termine per la definizione del ricorso all’ABF è generalmente contenuto entro centottanta giorni dalla sua presentazione, salve le ipotesi eccezionali di proroga per la complessità della controversia.
Le decisioni dell’Arbitro, pur non avendo valore di sentenza e dunque non producendo effetti esecutivi diretti, sono normalmente eseguite dall’intermediario nei limiti dell’accreditamento presso la Banca d’Italia. La mancata ottemperanza può determinare conseguenze reputazionali rilevanti, anche alla luce dell’obbligo di pubblicare l’inadempimento sul sito dell’ABF e della Banca d’Italia.
Il cliente, in ogni caso, conserva il diritto di adire l’autorità giudiziaria, senza che l’esperimento del ricorso all’ABF precluda l’accesso al giudizio ordinario. Tuttavia, è opportuno precisare che, qualora il cliente proponga ricorso giurisdizionale durante la pendenza del procedimento dinanzi all’ABF, quest’ultimo viene archiviato per sopravvenuta inammissibilità.
La procedura arbitrale non può infatti svolgersi parallelamente al giudizio civile, in ossequio al principio di unicità del procedimento per l’identico oggetto. Il ricorso all’ABF mantiene dunque natura alternativa, ma non preclusiva, rispetto all’azione giudiziaria: il cliente può scegliere quale via percorrere, ma non attivarle contestualmente
Infine, è utile rappresentare che, in relazione alle controversie insorte tra clienti e intermediari bancari o finanziari aventi ad oggetto rapporti riconducibili alla disciplina del Testo Unico Bancario e del Testo Unico della Finanza, la proposizione del ricorso all’Arbitro Bancario Finanziario, laddove regolarmente introdotta e definita nel rispetto del Regolamento applicabile, può integrare – secondo l’interpretazione accolta in modo ormai prevalente dalla giurisprudenza di merito – una valida alternativa all’esperimento del procedimento di mediazione disciplinato dal D.lgs. 4 marzo 2010, n. 28.
In particolare, il ricorso all’ABF, in quanto fondato su criteri di imparzialità, autonomia decisionale e rispetto del contraddittorio, è ritenuto idoneo a soddisfare la condizione di procedibilità di cui all’art. 5, comma 1-bis, del citato decreto legislativo, qualora verta sulla medesima questione che il ricorrente intenda successivamente far valere in sede giudiziale.
Resta tuttavia necessario che il procedimento arbitrale si sia effettivamente concluso, secondo i tempi e le modalità previste, e che l’oggetto del ricorso coincida sostanzialmente con quello della domanda giudiziale, onde evitare profili di inammissibilità derivanti da un improprio cumulo o da un uso disallineato dei rimedi alternativi previsti dall’ordinamento.
Ricorso all’ABF: frodi informatiche e responsabilità degli intermediari per carenze nelle misure di sicurezza
Tra le materie che sono talvolta sottoposte all’attenzione dell’Arbitro Bancario Finanziario figurano le frodi informatiche, purtroppo diffuse in ambito bancario, con particolare riferimento a operazioni di pagamento effettuate senza autorizzazione del cliente. Si tratta, in genere, di addebiti generati mediante tecniche di phishing, smishing o malware, o ancora a seguito dell’intercettazione di credenziali d’accesso e codici dispositivi.
In presenza di tali eventi, il ricorso all’ABF può rappresentare un rimedio potenzialmente utile per verificare la responsabilità dell’intermediario, specialmente nei casi in cui il cliente ritenga che le misure di sicurezza adottate non siano state idonee a prevenire accessi abusivi o utilizzi fraudolenti dei servizi online.
Alla luce del D.lgs. 11/2010, che recepisce la normativa europea in materia di servizi di pagamento, spetta all’intermediario dimostrare che l’operazione è stata eseguita correttamente, che è stata debitamente autenticata e che non vi siano stati malfunzionamenti riconducibili ai propri sistemi.
Le decisioni sinora pubblicate dall’Arbitro sembrerebbero accogliere una lettura piuttosto rigorosa dell’onere probatorio in capo all’intermediario, richiedendo un’attenta verifica delle modalità di autenticazione e dei meccanismi di protezione impiegati. Anche in presenza di autenticazione forte, non si escluderebbe, in via generale, la responsabilità dell’intermediario qualora emergano vulnerabilità strutturali nei sistemi di controllo antifrode o carenze organizzative nella gestione della sicurezza.
Nel contesto di una frode, il ricorso all’ABF potrebbe quindi offrire al cliente uno strumento celere ed economicamente sostenibile per far valere le proprie ragioni, senza la necessità di ricorrere immediatamente al contenzioso ordinario.
L’efficacia del rimedio dipenderebbe, naturalmente, dalla specificità del caso concreto e dalla documentazione disponibile.
Ricorso all’ABF: perché rivolgersi a un avvocato sin dalla fase del reclamo
Sebbene la procedura di ricorso all’ABF sia concepita come accessibile anche al cittadino privo di difensore, l’assistenza di un avvocato potrebbe rivelarsi determinante sin dalla fase preliminare del reclamo all’intermediario.
L’esperienza professionale nella gestione del contenzioso bancario consente infatti al legale non soltanto di redigere un reclamo formalmente corretto e completo sotto il profilo probatorio, ma anche di selezionare gli aspetti giuridicamente rilevanti e di inquadrare correttamente la fattispecie nel sistema delle fonti normative applicabili.
La presenza di un professionista abilitato sin dall’inizio del procedimento consentirebbe inoltre di evitare errori nella presentazione della documentazione o nella scelta degli argomenti, che potrebbero pregiudicare l’esito del reclamo o la strategia processuale complessiva.
Nel passaggio dalla fase del reclamo a quella del ricorso all’ABF, l’avvocato può offrire un contributo strategico, anche in considerazione del fatto che l’Arbitro decide sulla base esclusiva degli atti scritti e della documentazione allegata dalle parti.
La possibilità di avvalersi dell’assistenza di un legale, pur non obbligatoria, risponde quindi a una logica di ottimizzazione delle risorse difensive: la consulenza dell’avvocato consente di evitare percorsi inutilmente dispendiosi o non appropriati rispetto al caso concreto, e di predisporre una strategia coerente fin dalla fase iniziale del contrasto con l’intermediario.
Il ricorso all’ABF, se ben impostato, potrebbe risolversi in una decisione favorevole già in sede stragiudiziale, con evidenti vantaggi in termini di tempo, costi e contenimento del rischio, anche sotto il profilo delle ripercussioni patrimoniali e reputazionali per il cliente.
Ricorso all’ABF: vantaggi dell’assistenza legale
Il ricorso all’ABF si configura come uno strumento di tutela efficace e accessibile, che consente a consumatori e microimprese di far valere le proprie ragioni nei confronti di banche e altri intermediari senza dover affrontare i tempi e i costi del giudizio ordinario.
La struttura semplificata del procedimento, l’assenza di formalismi processuali e l’autorevolezza dei Collegi rendono l’ABF un punto di riferimento per la risoluzione delle controversie in materia di servizi bancari e finanziari, soprattutto nei casi in cui il valore economico della pretesa non giustifichi l’inizio di una causa civile.
In tale prospettiva, l’assistenza di un avvocato può rappresentare un fattore decisivo nella costruzione di una strategia efficace, già a partire dalla redazione del reclamo stragiudiziale.
Lo Studio Legale D’Agostino assiste da anni privati, imprese ed enti nella gestione di controversie bancarie e finanziarie, offrendo consulenza legale qualificata nei procedimenti alternativi di risoluzione delle controversie, con particolare attenzione all’ambito dei sistemi ADR regolati dalle autorità di vigilanza. Contattaci per un primo consulto!
da Redazione | Apr 4, 2025 | Diritto Penale
Il fenomeno del danneggiamento informatico assume oggi una rilevanza crescente sotto il profilo della sicurezza dei dati e dell’affidabilità delle infrastrutture telematiche. L’alterazione, la cancellazione o la distruzione di contenuti informatici rappresentano condotte sempre più frequenti, in grado di compromettere non solo il patrimonio informativo dei singoli, ma anche il corretto funzionamento di servizi essenziali per l’interesse pubblico.
In tale contesto, la prevenzione assume un ruolo centrale, da attuarsi mediante misure tecniche e organizzative idonee a tutelare l’integrità dei dati e dei sistemi, nonché mediante un’adeguata formazione degli operatori e degli utenti.
È altresì fondamentale che, in presenza di situazioni sospette o di veri e propri attacchi informatici, i soggetti coinvolti si attivino tempestivamente per garantire una pronta reazione, anche sotto il profilo giuridico. In tal senso, un’attenta ricostruzione dei fatti (siano essi di danneggiamento informatico o altro cybercrime), un’immediata raccolta delle evidenze digitali e una corretta qualificazione delle condotte possono rivelarsi dirimenti per l’attivazione degli strumenti di tutela offerti dal nostro ordinamento penale.
In particolare, l’inquadramento giuridico del fatto e l’individuazione degli strumenti repressivi più efficaci possono richiedere, sin dalle prime fasi, il contributo di competenze specialistiche nel campo del diritto penale dell’informatica, trattandosi di un settore normativo in continua evoluzione e di non agevole interpretazione.
Il sistema normativo sul danneggiamento informatico nel codice penale
Il legislatore italiano ha progressivamente elaborato un vero e proprio microsistema penale dedicato al danneggiamento informatico, collocato nel titolo XIII del codice penale, tra i delitti contro il patrimonio. Sebbene l’apparente collocazione sistematica richiami la tutela del bene patrimoniale, l’interesse protetto dalle norme incriminatrici va ben oltre la mera protezione economica, mirando piuttosto a garantire l’integrità e la disponibilità dei dati, dei programmi e dei sistemi informatici e telematici.
Si tratta di beni giuridici autonomi, affermatisi con l’avvento delle tecnologie digitali, i quali assumono una dimensione talvolta individuale e talvolta collettiva, in ragione della funzione che tali strumenti assolvono nella società contemporanea.
Il cuore del sistema è rappresentato dagli articoli 635-bis e seguenti del codice penale, introdotti inizialmente con la legge 23 dicembre 1993, n. 547 e successivamente ampliati con la legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest sulla criminalità informatica. Le modifiche più recenti sono state apportate dalla legge 28 giugno 2024, n. 90, che ha ulteriormente raffinato le fattispecie incriminatrici, inasprendo il trattamento sanzionatorio e adeguando la normativa alle esigenze emergenti in materia di cybersicurezza.
Il sistema si articola in una pluralità di disposizioni, distinte in base alla natura del bene tutelato: da un lato, la protezione delle informazioni, dei dati e dei programmi informatici (c.d. danneggiamento logico), dall’altro, la tutela dei sistemi informatici o telematici (c.d. danneggiamenti fisico), con ulteriore specificazione per quelli di interesse pubblico.
A queste si affiancano norme che puniscono le condotte prodromiche o preparatorie, come la detenzione e diffusione di strumenti informatici dannosi, completando un quadro normativo coerente e strutturato, finalizzato a reprimere in modo differenziato tutte le possibili aggressioni alla dimensione digitale del patrimonio informativo.
Si darà ora uno sguardo alle singole fattispecie, per illustrare l’effettivo perimetro dell’incriminazione.
Il danneggiamento informatico “logico”: art. 635-bis c.p.
L’articolo 635-bis punisce, salvo che il fatto non costituisca reato più grave, chiunque distrugge, deteriora, cancella, altera o sopprime dati o programmi informatici, delineando una pluralità di condotte alternative che si prestano a una casistica applicativa estremamente ampia. Il legislatore ha così recepito, anche alla luce delle indicazioni della Convenzione di Budapest del 2001, una visione moderna del bene giuridico tutelato, sganciata dalla nozione tradizionale di “cosa” e costruita sulla funzionalità dei contenuti digitali.
Il danneggiamento informatico “logico” si configura come un delitto comune, essendo previsto a carico di “chiunque”, ed è a forma libera, potendo essere realizzato mediante azioni diverse purché riconducibili a una violazione dell’integrità o della disponibilità del bene informatico. Le singole condotte hanno una portata autonoma e devono essere interpretate in base alla loro effettiva incidenza sulla struttura e sull’utilizzabilità del dato: si pensi, ad esempio, alla cancellazione, che può avvenire mediante tecniche di sovrascrittura o di smagnetizzazione; oppure all’alterazione, che consiste nella modifica sostanziale delle istruzioni o delle sequenze logiche di un programma, con perdita della funzionalità originaria.
L’altruità dei dati costituisce un presupposto fondamentale, sebbene la giurisprudenza abbia nel tempo esteso l’interpretazione di tale requisito, ricomprendendo non solo il proprietario, ma anche il soggetto legittimamente titolare di un interesse all’integrità o al godimento del contenuto digitale. Il reato richiede il dolo generico, ovvero la consapevolezza e volontà di porre in essere una delle condotte tipizzate con riferimento a dati altrui.
La recente legge n. 90 del 2024 (per un quadro sulle novità apportate dalle legge rinviamo a un precedente approfondimento) ha introdotto nuove aggravanti e ha elevato le pene edittali, portando la reclusione per la fattispecie base fino a sei anni e prevedendo pene più severe nei casi di abuso di funzione, minaccia, violenza o uso di armi. Si rafforza così il ruolo dell’art. 635-bis c.p. nella repressione del danneggiamento informatico dei contenuti digitali.
Danneggiamento informatico “fisico”: art. 635-quater c.p.
Con l’articolo 635-quater del codice penale si introduce una specifica fattispecie di danneggiamento informatico avente ad oggetto non più i dati o i programmi, ma direttamente i sistemi informatici o telematici, intesi come l’insieme coordinato di componenti hardware e software destinato all’elaborazione o alla trasmissione automatizzata di informazioni.
Il legislatore, recependo quanto previsto dall’art. 5 della Convenzione di Budapest, ha distinto chiaramente tra la compromissione dei contenuti informatici (disciplinata dall’art. 635-bis c.p.) e l’aggressione all’infrastruttura che li ospita o elabora. La norma punisce, salvo che il fatto non costituisca reato più grave, chiunque, mediante le condotte già descritte all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende inservibili in tutto o in parte i sistemi informatici o telematici altrui, oppure ne ostacola gravemente il funzionamento.
Il danneggiamento informatico “fisico” si configura come reato di evento, che si perfeziona nel momento in cui si verifica l’effetto lesivo su uno dei sistemi target. L’aspetto peculiare di questa disposizione è l’apertura alla cosiddetta condotta di sabotaggio informatico, che si realizza tramite l’inserimento di comandi, dati alterati o programmi malevoli – come i malware – finalizzati a compromettere le funzionalità del sistema.
L’introduzione può avvenire localmente o da remoto, anche mediante supporti fisici o rete Internet, e produce un risultato che, se non equivale alla distruzione, può comunque comportare gravi disfunzioni operative. Il bene tutelato, in tal caso, si estende alla continuità e regolarità del funzionamento dei sistemi informatici, i quali, seppur di natura privata, spesso svolgono un ruolo cruciale nelle attività produttive o nei servizi digitali.
L’elemento soggettivo richiesto per il danneggiamento informatico è il dolo generico, comprendente la coscienza e volontà sia della condotta che dell’evento che ne deriva. Anche in questo caso la legge n. 90/2024 ha significativamente inasprito il trattamento sanzionatorio anche per questa fattispecie, prevedendo una reclusione da tre a otto anni nei casi aggravati, in particolare quando il reato è commesso da pubblici ufficiali o operatori del sistema, o con violenza, minaccia o armi.
Danneggiamento informatico di dati e sistemi di interesse pubblico: artt. 635-ter e 635-quinquies c.p.
La necessità di garantire una tutela rafforzata nei confronti dei contenuti e delle infrastrutture digitali che svolgono una funzione pubblica o di rilevante interesse collettivo ha condotto il legislatore all’introduzione di specifiche figure criminose, oggi disciplinate dagli articoli 635-ter e 635-quinquies del codice penale.
Tali disposizioni si collocano nel solco della bipartizione già delineata tra il danneggiamento informatico di contenuti (dati, programmi e informazioni) e quello di sistemi, ma si caratterizzano per l’ulteriore elemento della destinazione pubblica o dell’interesse collettivo del bene giuridico leso.
In particolare, l’art. 635-ter c.p. punisce chi commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi di interesse militare, relativi all’ordine pubblico, alla sanità, alla sicurezza pubblica, alla protezione civile o comunque di interesse pubblico, secondo una nozione funzionale che prescinde dalla titolarità pubblica del sistema.
Viene quindi sanzionata una condotta diretta e idonea a produrre un effetto lesivo, anticipando così la soglia di punibilità al momento in cui si verifica il pericolo concreto per il bene tutelato, secondo la logica propria dei reati di attentato. Una struttura analoga è prevista all’art. 635-quinquies c.p., che incrimina gli atti diretti a danneggiare o ostacolare gravemente il funzionamento di sistemi informatici o telematici di pubblico interesse, con modalità analoghe a quelle previste per i sistemi privati, ma con un disvalore penale rafforzato.
Le aggravanti introdotte dal legislatore nel 2024 riflettono tale maggiore gravità: tra esse si segnala, oltre alla commissione del reato da parte di pubblici ufficiali o soggetti qualificati, anche l’effettiva produzione di eventi lesivi, quali la distruzione o l’inaccessibilità delle informazioni, ovvero la loro sottrazione, anche mediante trasmissione. Inoltre, la nuova aggravante del comma 3 comporta un innalzamento ulteriore della pena fino a dodici anni di reclusione.
Queste disposizioni evidenziano il ruolo strategico che i dati e i sistemi pubblici assumono in una società digitale, nella quale la sicurezza informatica non è più solo un’esigenza tecnica, ma una priorità giuridica e istituzionale, oggetto di specifica tutela penale attraverso il reato di danneggiamento informatico in forma qualificata.
Condotte prodromiche al danneggiamento informatico: l’art. 635-quater.1 c.p. e i dual-use software
Il sistema di tutela penale delineato in materia di danneggiamento informatico si completa con la previsione dell’articolo 635-quater.1 del codice penale, il quale incrimina una serie di condotte prodromiche o preparatorie alla commissione di reati informatici, aventi ad oggetto strumenti tecnologici intrinsecamente pericolosi.
La disposizione punisce, infatti, chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, o di favorirne l’interruzione o l’alterazione del funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna, installa o mette a disposizione di altri apparecchiature, dispositivi o programmi informatici idonei a tal fine.
La norma risponde all’esigenza di anticipare la soglia della rilevanza penale in un settore in cui l’offensività si manifesta spesso con rapidità e gravità. Trattandosi di una fattispecie di mera condotta e a dolo specifico, essa richiede non solo la consapevolezza e volontà della detenzione o diffusione abusiva, ma anche il fine di realizzare un successivo danno o interruzione di un sistema informatico o dei dati in esso contenuti.
Sul piano oggettivo, l’articolo in esame ricomprende anche i cosiddetti dual-use software, ossia quei programmi suscettibili di un impiego sia lecito che illecito (vale a dire: possono essere impiegati per un danneggiamento informatico o per finalità di testing di sicurezza), la cui punibilità dipende dunque dall’uso concreto che l’agente intende farne. In tal senso, l’elemento della abusività della condotta diviene decisivo per distinguere l’attività lecita (si pensi alla ricerca informatica o al testing etico) da quella penalmente rilevante.
La norma è stata significativamente riformulata dalla legge n. 90 del 2024, che ne ha trasferito la collocazione tra i delitti contro il patrimonio, ha introdotto nuove aggravanti e ha confermato l’applicabilità delle attenuanti di cui all’art. 639-ter c.p., nei casi in cui il fatto risulti di lieve entità o l’autore collabori con l’autorità per evitare conseguenze ulteriori.
Danneggiamento informatico e indagini digitali: il ruolo dei log e delle denunce circostanziate
Le indagini relative a ipotesi di danneggiamento informatico presentano specificità tecniche che impongono un approccio investigativo altamente specializzato. Trattandosi di reati che si manifestano mediante condotte digitali spesso non direttamente percepibili, l’accertamento del fatto e l’individuazione dell’autore presuppongono l’impiego di strumenti di analisi forense e metodologie informatiche idonee a garantire la tracciabilità delle operazioni eseguite sui sistemi coinvolti.
In tale ambito, particolare rilevanza assumono i file di log, ossia i registri digitali che documentano le attività effettuate all’interno di un sistema, sia da parte degli utenti sia da parte delle applicazioni. Tali registrazioni possono contenere informazioni essenziali, come gli indirizzi IP, gli orari di accesso, le modifiche apportate ai dati o ai programmi, nonché le operazioni di installazione o esecuzione di software che causano un danneggiamento informatico.
L’analisi forense dei log, ove tempestivamente conservati e messi a disposizione degli inquirenti, può dunque consentire la ricostruzione del percorso digitale seguito dall’agente, anche in presenza di tecniche di offuscamento o dissimulazione.
Ai fini dell’efficacia dell’azione investigativa, risulta fondamentale anche la qualità e la tempestività della denuncia sporta dalla persona offesa. Una denuncia dettagliata, corredata da informazioni tecniche specifiche, consente infatti di indirizzare con maggiore precisione l’attività della polizia giudiziaria e del pubblico ministero, riducendo il rischio di dispersione probatoria.
È altresì opportuno che, nelle prime fasi successive all’evento, vengano effettuate attività di preservazione delle prove digitali, mediante procedure di duplicazione forense dei supporti e acquisizione certificata dei file. In questo scenario, la sinergia tra competenze tecniche e giuridiche permette una risposta efficace agli episodi di danneggiamento informatico, la cui individuazione richiede spesso la collaborazione tra autorità inquirenti, consulenti tecnici e operatori del settore informatico.
Assistenza legale in casi di danneggiamento informatico
Nel contesto della crescente esposizione delle imprese e delle organizzazioni a condotte di danneggiamento informatico, l’assistenza legale non deve essere intesa unicamente come presidio da attivare nella fase patologica, a seguito di un attacco subito o di un evento già consumato.
Al contrario, l’intervento di un avvocato penalista con specifica competenza in materia di reati informatici può rivelarsi determinante anche in una prospettiva di prevenzione, orientando l’ente verso l’adozione di policy di sicurezza in grado di ridurre il rischio di aggressioni esterne e interferenze sui sistemi e sui dati aziendali.
Il diritto penale dell’informatica, infatti, non è solo uno strumento repressivo, ma costituisce anche un parametro normativo cui devono conformarsi le misure di tutela dell’integrità di dati e sistemi. In tal senso, un avvocato esperto può contribuire all’elaborazione di policy interne coerenti con gli standard di diligenza richiesti, favorendo una gestione consapevole degli accessi ai sistemi, una tracciabilità completa delle attività digitali e un impiego sicuro dei software e delle infrastrutture tecnologiche.
Ciò risulta particolarmente rilevante in un contesto nel quale il patrimonio informativo di un’impresa rappresenta l’asset strategico per eccellenza, suscettibile di essere gravemente leso da un danneggiamento informatico, con conseguenze gravi sul piano economico, reputazionale e operativo.
I nostri professionisti sono a disposizione per un confronto sulle strategie di prevenzione e repressione di reati informatici.
da Redazione | Mar 31, 2025 | Diritto d'Impresa
Il consenso marketing assume un rilievo fondamentale quale base giuridica necessaria per la liceità del trattamento ai sensi del Regolamento (UE) 2016/679, c.d. General Data Protection Regulation (GDPR), laddove non sussistano altre condizioni di legittimità previste dall’art. 6 del Regolamento.
L’attività di profilazione dell’utenza e l’invio di comunicazioni a contenuto commerciale, specie mediante strumenti automatizzati o con operatore, comportano un potenziale impatto significativo sui diritti e sulle libertà fondamentali degli interessati. Ne consegue che le modalità di raccolta, gestione e documentazione del consenso marketing devono avvenire nel pieno rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e accountability imposti dal Regolamento.
Il Garante per la protezione dei dati personali ha recentemente riaffermato, con un articolato provvedimento del 27 febbraio 2025, l’importanza di una corretta governance del trattamento con riferimento specifico al consenso per finalità promozionali. Il caso esaminato dall’Autorità ha evidenziato alcune prassi illecite nella raccolta del consenso mediante moduli generici, ambigui o formulati in modo da ostacolare l’effettivo esercizio della volontà dell’interessato. Tale pronuncia, di particolare interesse applicativo, conferma che una scorretta gestione del consenso marketing può determinare l’irrogazione di significative sanzioni pecuniarie, ai sensi dell’art. 83 GDPR, nonché l’adozione di misure correttive o inibitorie ex art. 58 del medesimo Regolamento.
In questa cornice, il presente contributo si propone di analizzare i principali riferimenti normativi e interpretativi in materia di consenso marketing, evidenziando i profili critici emersi nella prassi applicativa e offrendo spunti per l’adeguamento delle prassi aziendali alla disciplina europea e alle indicazioni fornite dall’Autorità garante.
Il consenso marketing come base giuridica del trattamento: requisiti di validità ai sensi del GDPR
Il consenso marketing, affinché possa costituire una valida base giuridica del trattamento per finalità promozionali, deve rispettare i requisiti stringenti stabiliti dal Regolamento (UE) 2016/679, in particolare dagli articoli 4, punto 11, e 7. In base alla definizione normativa, il consenso è valido solo se rappresenta una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, espressa mediante dichiarazione o azione positiva inequivocabile. Tale manifestazione, come ribadito anche dalle Linee guida n. 5/2020 del Comitato europeo per la protezione dei dati (EDPB), non può mai essere presunta o desunta dal silenzio, da caselle preselezionate o da comportamenti ambigui.
Il principio di granularità, direttamente collegato alla specificità del consenso, impone che l’interessato possa scegliere in modo autonomo e differenziato tra le diverse finalità del trattamento, e in particolare tra l’invio di comunicazioni dirette da parte del titolare e la cessione dei dati a terzi per finalità analoghe. Inoltre, in ossequio al principio di libertà, il consenso marketing deve poter essere rifiutato o revocato senza che ciò comporti svantaggi per l’interessato, né sotto il profilo contrattuale né in termini di fruibilità dei servizi.
L’esperienza applicativa, confermata nel recente provvedimento del Garante del 27 febbraio 2025, ha mostrato come il ricorso a formule contrattuali o informative generiche – che raggruppano sotto un’unica clausola il consenso all’invio di comunicazioni commerciali, alla profilazione e alla cessione a soggetti terzi – non sia conforme al dettato normativo. Il consenso marketing così ottenuto risulta privo dei requisiti di validità, con conseguente illiceità del trattamento ai sensi degli articoli 6, paragrafo 1, lettera a), e 5, paragrafo 1, lettera a), del GDPR.
Ne deriva, in via sistematica, l’obbligo per il titolare del trattamento di predisporre strumenti tecnici e giuridici idonei a garantire che il consenso marketing sia acquisito e documentato nel rispetto di tutti i requisiti di validità prescritti dalla normativa europea, al fine di evitare effetti nullificanti e, in ultima istanza, l’applicazione di sanzioni.
Consenso marketing e Registro Pubblico delle Opposizioni: interferenze e limiti alla liceità del trattamento
Un ulteriore profilo critico in materia di consenso marketing attiene all’interazione tra il regime del consenso espresso e gli effetti prodotti dall’iscrizione dell’interessato al Registro Pubblico delle Opposizioni (RPO). L’articolo 130 del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato, stabilisce che, per l’invio di comunicazioni promozionali mediante telefono con operatore, è necessario acquisire il previo consenso dell’interessato, salvo che questi non abbia iscritto la propria utenza al RPO, manifestando così una volontà contraria al trattamento a fini promozionali, configurabile come un opt-out generalizzato.
La disciplina vigente, dunque, impone una valutazione attenta dell’effettiva validità del consenso marketing prestato in presenza dell’opposizione espressa tramite l’iscrizione al RPO. In linea con il principio di accountability, il titolare del trattamento è tenuto a dimostrare che il consenso, eventualmente rilasciato successivamente all’iscrizione al Registro, sia stato espresso con piena consapevolezza e in modo inequivocabile, non potendo contare su mere dichiarazioni generiche o su acquisizioni ambigue.
Il provvedimento del Garante in commento ha chiarito che il semplice rilascio di un consenso omnibus, privo dei requisiti di libertà e granularità, non è idoneo a neutralizzare gli effetti dell’opposizione manifestata con l’iscrizione al Registro. È dunque illecito il trattamento dei dati personali effettuato per finalità promozionali qualora si fondi su un consenso genericamente prestato attraverso form o clausole contrattuali non conformi, anche se cronologicamente successivo all’opposizione.
Consenso marketing e requisiti di validità secondo il GDPR
La legittimità del trattamento dei dati personali per finalità promozionali dipende in modo imprescindibile dalla validità del consenso marketing acquisito. Ai sensi dell’articolo 4, paragrafo 11, del Regolamento (UE) 2016/679 (GDPR), il consenso deve consistere in una manifestazione di volontà libera, specifica, informata e inequivocabile da parte dell’interessato, con la quale egli esprime l’assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.
Tale previsione, letta congiuntamente agli articoli 6 e 7 del Regolamento, impone al titolare un onere probatorio particolarmente gravoso, volto a dimostrare che il consenso sia stato prestato secondo modalità coerenti con i principi di trasparenza, correttezza e responsabilizzazione.
In ambito di consenso marketing, la giurisprudenza e la prassi del Garante per la protezione dei dati personali hanno posto in rilievo la necessità che l’interessato possa compiere una scelta consapevole e priva di coercizioni. Ciò significa, tra l’altro, che non può ritenersi valido il consenso espresso in assenza di una previa informativa adeguata, ovvero mediante accorgimenti grafici e testuali tali da indurre confusione, condizionamento o passività dell’utente.
Il principio di granularità impone, inoltre, che le varie finalità del trattamento siano tenute distinte, così da consentire all’interessato di prestare o negare il consenso con riferimento a ciascuna di esse. In tal senso, il trattamento dei dati per finalità promozionali deve poter essere separato da quello per l’invio di newsletter informative, dalla profilazione commerciale o dalla cessione a terzi.
Il recente provvedimento, qui in esame, ha ribadito come il consenso marketing non possa dirsi valido laddove sia acquisito tramite formule omnicomprensive o mediante meccanismi che non permettano la selezione autonoma dei canali di contatto e delle categorie merceologiche di interesse. Si tratta, in sostanza, di un consolidato orientamento che pone al centro la volontà libera dell’interessato, nella prospettiva di rafforzare la tutela del diritto alla protezione dei dati personali quale diritto fondamentale di rango europeo.
Consenso marketing e requisiti di validità: libertà, specificità e granularità
Ai sensi dell’articolo 4, punto 11), del Regolamento (UE) 2016/679, il consenso marketing rappresenta una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale egli accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
L’articolo 7 dello stesso Regolamento disciplina le condizioni per la validità del consenso, stabilendo che il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso e che quest’ultimo può revocarlo in qualsiasi momento. Inoltre, il consenso deve essere chiaramente distinguibile da altre questioni, in forma comprensibile e facilmente accessibile.
La specificità del consenso marketing implica che questo debba riferirsi a finalità determinate, come l’invio di comunicazioni promozionali da parte del titolare o la cessione dei dati a soggetti terzi. È invalido, ad esempio, un unico flag che copra contemporaneamente l’autorizzazione al marketing, alla profilazione e alla condivisione con partner commerciali.
La granularità, invece, impone che l’interessato possa selezionare le modalità di contatto preferite (telefono, e-mail, SMS) e, se del caso, indicare le categorie di prodotti o servizi per cui desidera ricevere comunicazioni. Si pensi ai moduli che, al contrario, impongono un consenso generalizzato alla ricezione di offerte da “società operanti nei settori energia, telefonia, finanza, automotive, retail, formazione”, senza che l’interessato possa escludere le categorie non desiderate.
Nella recente prassi, il Garante ha ritenuto illecito l’utilizzo di form in cui il consenso marketing era formulato in termini eccessivamente ampi e indifferenziati, con riferimento a una lista di centinaia di aziende terze raggiungibili attraverso diversi canali comunicativi (email, SMS, telefono, posta), senza che l’interessato potesse selezionare modalità o destinatari. In tali casi, non si realizza una manifestazione di volontà valida ai sensi dell’articolo 6, paragrafo 1, lettera a), del Regolamento, poiché mancano i requisiti della libertà, della chiarezza e del controllo effettivo da parte dell’interessato sul trattamento dei propri dati personali.
Consenso marketing e design delle interfacce: obblighi informativi e trasparenza nella raccolta del consenso online
Nel contesto della raccolta del consenso marketing attraverso strumenti digitali, l’architettura informativa dei moduli online assume un ruolo centrale nel garantire il rispetto dei principi di trasparenza, correttezza e comprensibilità sanciti dagli articoli 12 e 13 del Regolamento (UE) 2016/679.
Il titolare del trattamento è tenuto a presentare all’interessato, prima della raccolta dei dati personali, un’informativa facilmente accessibile, redatta con linguaggio chiaro e comprensibile, tale da consentire una decisione consapevole sul rilascio del consenso. La presenza di form complessi, con voci informative nascoste o accessibili solo tramite ulteriori interazioni, contrasta con tali obblighi e incide negativamente sulla validità del consenso.
Il recente provvedimento del Garante ha posto in luce numerose criticità sotto questo profilo, evidenziando come la presentazione di checkbox multiple, l’utilizzo di formule generiche o cumulative per la cessione dei dati a terzi e l’assenza di distinzione tra categorie merceologiche e strumenti di contatto (telefono, e-mail, SMS, posta cartacea) costituiscano ostacoli concreti all’effettiva autodeterminazione dell’interessato.
È stato ritenuto inadeguato, ad esempio, un sistema che richiedeva di cliccare su più link successivi per accedere all’elenco dei destinatari dei dati o ai dettagli sul tipo di comunicazioni previste, compromettendo la possibilità di esprimere un consenso granulare e realmente informato.
Inoltre, si è riscontrato l’impiego di tecniche persuasive improprie – quali accorgimenti grafici volti a spingere l’utente a confermare tutte le opzioni di contatto o a generare ambiguità sulla natura facoltativa del consenso – che, pur senza determinare un consenso “pre-flaggato”, ne pregiudicano comunque la validità sostanziale.
In linea con quanto affermato dal Comitato europeo per la protezione dei dati, l’informativa deve consentire all’interessato di comprendere agevolmente chi tratterà i dati, per quali finalità e attraverso quali canali, offrendo un controllo effettivo sul trattamento. In assenza di tali garanzie, il consenso marketing raccolto online rischia di essere affetto da invalidità, esponendo il titolare a responsabilità e sanzioni.
Supporto legale dedicato nelle strategie di marketing in conformità con il GDPR
L’acquisizione di un valido consenso marketing rappresenta la chiave di una buona strategia commerciale in conformità con il GDPR. Ogni scelta relativa alla raccolta del consenso deve essere attentamente ponderata, tenendo conto non solo della lettera della legge, ma anche degli indirizzi interpretativi consolidati, al fine di evitare condotte suscettibili di determinare la nullità del consenso e, nei casi più gravi, l’applicazione di pesanti sanzioni amministrative.
In questo contesto, l’impresa che intenda sviluppare strategie di e-commerce e marketing digitale deve necessariamente integrare la dimensione giuridica all’interno dei propri processi commerciali. È dunque fondamentale dotarsi di informative chiare e facilmente accessibili, di procedure di acquisizione del consenso rispondenti ai principi di trasparenza e accountability, e di un sistema di controllo interno sulla liceità del trattamento dei dati raccolti attraverso form, portali e campagne online.
Lo Studio Legale D’Agostino vanta esperienza nel supportare imprese e realtà organizzative nella definizione di strategie di marketing compliant al GDPR, nella redazione di informative strutturate in modo chiaro, completo e conforme alla normativa vigente, nonché nella predisposizione di procedure efficaci per la raccolta e la documentazione del consenso.
Offriamo assistenza specifica per la nomina di un Data Protection Officer (DPO) interno o esterno, e per la predisposizione di policy aziendali in materia di privacy, garantendo una consulenza personalizzata, in grado di integrare le esigenze commerciali con il rispetto delle regole sulla protezione dei dati personali. Contattaci qui per un primo confronto.
