da Redazione | Mar 18, 2025 | Diritto d'Impresa
Il decreto DORA (D. Lgs. 10 marzo 2025, n. 23) ha introdotto le disposizioni necessarie per garantire la piena applicabilità nell’ordinamento italiano del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA).
A partire dal 17 gennaio 2025, il Regolamento DORA è divenuto direttamente applicabile in tutti gli Stati membri dell’Unione Europea, imponendo standard uniformi in materia di resilienza operativa digitale nel settore finanziario. Tuttavia, per garantire un’effettiva implementazione delle disposizioni europee nel contesto normativo nazionale, si è reso necessario l’intervento del legislatore italiano, che con il decreto DORA ha individuato le autorità competenti, precisato gli obblighi di compliance e disciplinato il regime sanzionatorio.
L’obiettivo di questo articolo è quello di fornire una panoramica del D. Lgs. 23/2025, analizzando gli obblighi posti a carico delle entità finanziarie, le competenze delle autorità di vigilanza e il sistema delle sanzioni previste per il mancato rispetto delle disposizioni. Si esamineranno in particolare gli articoli più rilevanti del decreto, evidenziando come il legislatore italiano abbia provveduto a integrare il quadro normativo europeo con specifiche misure attuative.
Per un’analisi più approfondita sulle implicazioni del Regolamento DORA, invitiamo i lettori a consultare i nostri precedenti articoli relativi all’analisi dei rischi e agli obblighi di resilienza operativa nel settore finanziario. Tali approfondimenti consentiranno di comprendere in modo più chiaro anche le novità introdotte dal Decreto DORA.
Il decreto DORA e l’adeguamento dell’ordinamento italiano
Con il decreto DORA il legislatore ha adeguato le disposizioni nazionali al Regolamento (UE) 2022/2554, armonizzando la disciplina al nuovo quadro sulla resilienza operativa digitale nel settore finanziario. La necessità di un adeguamento normativo deriva dal carattere direttamente applicabile del Regolamento DORA, che, tuttavia, lascia agli Stati membri il compito di definire aspetti operativi rilevanti, tra cui le autorità competenti, il sistema di vigilanza e le sanzioni per le violazioni degli obblighi imposti dalla disciplina europea.
L’articolo 2 del decreto DORA chiarisce che il provvedimento ha lo scopo di assicurare l’effettiva applicazione del Regolamento (UE) 2022/2554, disciplinando l’integrazione con la normativa nazionale preesistente, in particolare con il Testo Unico Bancario (TUB), il Testo Unico della Finanza (TUF) e il Codice delle Assicurazioni Private. Inoltre, il legislatore ha ritenuto necessario stabilire un quadro di coordinamento tra le disposizioni del Regolamento DORA e le norme già vigenti in materia di sicurezza informatica, in particolare quelle introdotte dal D. Lgs. 138/2024, con cui l’Italia ha recepito la Direttiva NIS 2.
Le autorità competenti nel decreto DORA
Il decreto DORA, attraverso l’articolo 3, individua le autorità competenti per l’attuazione e la vigilanza sulle disposizioni del Regolamento (UE) 2022/2554 in ambito nazionale. La scelta del legislatore italiano si è orientata verso un modello di supervisione plurale, affidando le funzioni di controllo a più enti, ciascuno competente in relazione ai soggetti vigilati. In particolare, la Banca d’Italia, la Commissione Nazionale per le Società e la Borsa (Consob), l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) e la Commissione di Vigilanza sui Fondi Pensione (COVIP) sono state designate quali Autorità competenti DORA, in conformità con quanto previsto dall’articolo 46 del Regolamento DORA.
La Banca d’Italia assume un ruolo centrale nella vigilanza sugli obblighi di resilienza operativa digitale, essendo responsabile del controllo sugli intermediari finanziari, su Cassa Depositi e Prestiti S.p.A. e su Bancoposta. La Consob è invece l’ente deputato a monitorare l’attuazione delle norme DORA per quanto riguarda le società di intermediazione mobiliare (SIM), le società di gestione del risparmio (SGR) e gli altri soggetti del mercato finanziario regolamentato. Analogamente, l’IVASS esercita le proprie funzioni di vigilanza sulle imprese assicurative, mentre la COVIP è l’autorità di riferimento per i fondi pensione.
Oltre a queste autorità di settore, il decreto DORA stabilisce un collegamento con l’Agenzia per la Cybersicurezza Nazionale (ACN), che assume il ruolo di Autorità nazionale competente NIS ai sensi dell’articolo 10 del D. Lgs. 138/2024. L’ACN opera in sinergia con il CSIRT Italia, il team nazionale per la gestione degli incidenti di cybersicurezza, che ha il compito di ricevere segnalazioni e coordinare le risposte alle minacce informatiche. Tale sistema di collaborazione tra diverse autorità è stato previsto per garantire un coordinamento efficace tra la normativa sulla resilienza digitale nel settore finanziario e il quadro generale di cybersecurity nazionale.
Il decreto prevede anche la possibilità di definire protocolli d’intesa tra le autorità di vigilanza, al fine di regolamentare lo scambio di informazioni e l’adozione di misure coordinate in materia di resilienza operativa digitale.
Il decreto DORA e gli obblighi di resilienza operativa digitale
L’articolo 6 del decreto DORA disciplina in modo specifico gli obblighi di resilienza operativa digitale posti a carico degli intermediari finanziari, sancendo l’applicabilità di un cospicuo numero di disposizioni del Regolamento DORA. Il primo comma dell’articolo 6 stabilisce che tali disposizioni si applicano “in quanto compatibili”, una clausola di portata incerta, che non consente di delineare con chiarezza l’effettiva applicabilità di ogni singola norma nel contesto nazionale. Questo significa che gli intermediari finanziari saranno onerati di una valutazione caso per caso, al fine di stabilire in che misura ciascuna disposizione del Regolamento DORA trovi applicazione nel loro specifico settore.
Tuttavia, appare plausibile ritenere che il principio di compatibilità debba essere interpretato in senso estensivo, con la conseguenza che la maggioranza delle disposizioni del Regolamento si intenderà applicabile a questi soggetti. Di fatto, il decreto DORA introduce un modello di compliance generalizzata, che impone agli intermediari finanziari l’adozione di misure di sicurezza avanzate per la protezione delle infrastrutture digitali e dei dati sensibili.
Una deroga è prevista dal secondo comma dell’articolo 6, che introduce una clausola di esenzione a favore degli intermediari finanziari qualificati come microimprese. Per questi soggetti non si applica l’articolo 24 del Regolamento DORA, che disciplina i requisiti generali per lo svolgimento dei test di resilienza operativa digitale. In sostituzione degli obblighi più stringenti previsti dal Regolamento, il terzo comma dell’articolo 25 del Regolamento DORA prevede un regime agevolato per lo svolgimento dei test di resilienza digitale da parte delle microimprese.
Tali soggetti potranno combinare un approccio basato sul rischio con una pianificazione strategica delle verifiche relative alle tecnologie dell’informazione e della comunicazione (TIC). L’obiettivo è garantire un equilibrio tra le risorse disponibili e la necessità di verificare periodicamente la tenuta dei sistemi informatici, tenendo conto della criticità dei dati gestiti, dell’urgenza degli interventi e della capacità dell’impresa di gestire i rischi in modo proporzionato.
Infine, il terzo comma dell’articolo 6 conferisce alla Banca d’Italia un potere regolamentare significativo, che le consente di individuare, nelle disposizioni attuative adottate ai sensi dell’articolo 9, una categoria di intermediari finanziari ai quali, in base alla dimensione e all’attività svolta, si applichino le disposizioni ordinarie del Regolamento DORA, anziché il regime semplificato previsto dall’articolo 16, paragrafi 1 e 2. In particolare, tali soggetti potrebbero essere sottoposti agli obblighi previsti dagli articoli 5, 6, 7, 8, 9, 10, 11, 12, 13 e 14 del Regolamento DORA, evitando l’applicazione del quadro semplificato per la gestione dei rischi informatici.
Ciò significa che la Banca d’Italia potrà stabilire che determinati intermediari finanziari, pur di dimensioni contenute, siano comunque soggetti agli obblighi più stringenti in materia di gestione del rischio digitale, in ragione della loro attività e della loro incidenza sul sistema finanziario.
Segnalazione degli incidenti nel decreto DORA
L’articolo 4 del decreto DORA disciplina il sistema di segnalazione degli incidenti informatici nelle tecnologie dell’informazione e della comunicazione (TIC) e la notifica volontaria delle minacce informatiche significative, in attuazione dell’articolo 19 del Regolamento DORA. La disposizione attribuisce agli intermediari finanziari, alle infrastrutture di mercato finanziario e agli altri soggetti obbligati l’onere di segnalare tempestivamente qualsiasi grave incidente TIC alle autorità competenti DORA, secondo precise modalità stabilite dal decreto.
Le autorità competenti per la ricezione delle segnalazioni sono state individuate sulla base della tipologia di soggetto vigilato. In particolare, la Banca d’Italia è competente per ricevere le notifiche provenienti dalle banche, dagli intermediari finanziari, da Cassa Depositi e Prestiti S.p.A. e da Bancoposta. La Consob, invece, riceve le segnalazioni da parte delle SIM, delle SGR e delle altre entità finanziarie vigilate ai sensi dell’articolo 2, paragrafo 1, lettere g) e i), del Regolamento DORA. Per quanto riguarda le imprese assicurative, la competenza spetta all’IVASS, mentre la COVIP è responsabile della ricezione delle notifiche relative ai fondi pensione.
Una disposizione di particolare rilievo è contenuta nel comma 2 dell’articolo 4, secondo cui, nel caso in cui un’entità finanziaria sia soggetta alla vigilanza di più autorità competenti DORA, la prima autorità ricevente è tenuta a trasmettere tempestivamente la notifica iniziale e i successivi aggiornamenti alle altre autorità di vigilanza coinvolte. Questo meccanismo di cooperazione interistituzionale mira a evitare duplicazioni di segnalazioni e a garantire un coordinamento efficace tra le diverse autorità competenti.
Un ulteriore livello di obblighi è previsto per le entità finanziarie appartenenti al settore bancario e delle infrastrutture dei mercati finanziari, qualora queste siano classificate come soggetti critici ai sensi della Direttiva (UE) 2022/2557. Per tali soggetti, l’articolo 4, comma 3, del decreto DORA prevede che la notifica iniziale dei gravi incidenti TIC debba essere trasmessa anche al CSIRT Italia, secondo i modelli e i termini stabiliti dall’articolo 20 del Regolamento DORA.
Il comma 4 dell’articolo 4 del Decreto DORA introduce invece la possibilità per le entità finanziarie di effettuare notifiche volontarie relative a minacce informatiche significative, in aggiunta agli obblighi di segnalazione degli incidenti TIC già previsti. Le notifiche volontarie possono essere trasmesse anche al CSIRT Italia, con la garanzia che le informazioni fornite rimangano coperte dal segreto d’ufficio. L’obiettivo di questa previsione è incoraggiare una maggiore collaborazione tra il settore finanziario e le istituzioni preposte alla cybersicurezza, al fine di sviluppare un sistema di condivisione delle informazioni sulle minacce emergenti.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUB
L’articolo 10 del decreto DORA introduce importanti modifiche al Testo Unico Bancario (TUB), con l’obiettivo di disciplinare il regime sanzionatorio applicabile alle banche, agli intermediari finanziari e ai fornitori terzi di servizi TIC che non rispettano gli obblighi imposti dal Regolamento (UE) 2022/2554. Il legislatore ha integrato le disposizioni del TUB introducendo nuovi commi all’articolo 144, nei quali vengono specificate le sanzioni per le violazioni delle norme sulla resilienza operativa digitale.
Il comma 8-bis stabilisce che l’inosservanza di una serie di disposizioni del Regolamento DORA, tra cui gli articoli 5, 6, 16, 19 e 24, nonché delle relative norme tecniche di regolamentazione e attuazione, comporta l’applicazione di sanzioni amministrative pecuniarie. In particolare, nei confronti delle banche, degli intermediari finanziari e dei fornitori terzi di servizi TIC, la sanzione può variare da un minimo di 30.000 euro fino al 10% del fatturato dell’ente responsabile. Per gli istituti di pagamento e gli istituti di moneta elettronica, la sanzione può arrivare fino a 5 milioni di euro, o, qualora il fatturato dell’ente sia superiore a tale cifra, fino al 10% del fatturato complessivo.
Il successivo comma 8-ter disciplina ulteriori ipotesi sanzionatorie per le violazioni di altre disposizioni del Regolamento DORA, tra cui gli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29 e 30. Anche in questo caso, il decreto prevede un sistema sanzionatorio progressivo, stabilendo che le banche, gli intermediari finanziari e i fornitori di servizi TIC possano essere sanzionati con un importo che varia da 30.000 euro fino al 7% del fatturato annuo. Per gli istituti di pagamento e gli istituti di moneta elettronica, la soglia massima della sanzione pecuniaria viene fissata a 3,5 milioni di euro, salvo che il 7% del fatturato annuo risulti un importo superiore.
Di particolare rilievo è poi la disciplina introdotta dal nuovo comma 2-bis dell’articolo 144-ter del TUB, che introduce un regime sanzionatorio specifico per le persone fisiche responsabili delle violazioni. In caso di inosservanza delle disposizioni di cui ai commi 8-bis e 8-ter, le persone fisiche che ricoprono ruoli di amministrazione, direzione o controllo all’interno delle entità responsabili possono essere sanzionate con una sanzione amministrativa pecuniaria variabile da 5.000 euro fino a 5 milioni di euro, nel caso delle violazioni più gravi. Se la violazione riguarda le disposizioni meno stringenti, la soglia massima si riduce a 3,5 milioni di euro.
L’articolo 144-ter, comma 2-ter, introduce inoltre un regime di responsabilità personale aggravata, stabilendo che la sanzione per le persone fisiche si applica quando la violazione deriva dalla mancata osservanza di doveri propri del soggetto, o quando la condotta abbia inciso in modo significativo sulla struttura organizzativa dell’ente o sulla sua gestione del rischio aziendale. Inoltre, qualora la violazione sia connessa al mancato rispetto di provvedimenti specifici adottati dalla Banca d’Italia, la sanzione può essere ulteriormente inasprita.
Infine, il comma 2-quater dell’articolo 144-ter introduce una previsione particolarmente severa per i casi in cui la violazione abbia comportato un vantaggio economico per l’autore della condotta illecita. Se il profitto ottenuto dalla violazione supera il limite massimo della sanzione prevista, la sanzione potrà essere raddoppiata fino a raggiungere un importo pari al doppio del vantaggio economico indebitamente ottenuto.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUF
L’articolo 10 del decreto DORA introduce un rigoroso regime sanzionatorio per gli intermediari finanziari, mediante l’inserimento del nuovo articolo 190-bis.3 nel Testo Unico della Finanza (TUF). La norma disciplina le sanzioni amministrative applicabili alle Società di Intermediazione Mobiliare (SIM), alle Società di Gestione del Risparmio (SGR), alle Società di Investimento a Capitale Variabile (SICAV), alle Società di Investimento a Capitale Fisso (SICAF), nonché agli altri soggetti operanti nei mercati finanziari, con particolare attenzione ai fornitori terzi di servizi TIC.
Il primo comma dell’articolo 190-bis.3 del TUF stabilisce le sanzioni pecuniarie per l’inosservanza di una serie di obblighi imposti dal Regolamento (UE) 2022/2554, tra cui gli articoli 5, 6, 10, 12, 16, 17, 19 e 24, relativi alla resilienza operativa digitale e alla gestione del rischio informatico.
Per le SIM, le SGR, le SICAV, le SICAF, le controparti centrali e i gestori di mercati regolamentati, la sanzione può variare da 30.000 euro fino a 5 milioni di euro, oppure fino al 10% del fatturato annuo, qualora quest’ultimo risulti superiore a tale soglia. Per i depositari centrali di titoli, la sanzione può raggiungere 20 milioni di euro o il 10% del fatturato, mentre per i fornitori di servizi di crowdfunding, la sanzione pecuniaria è compresa tra 500 e 500.000 euro, con un limite del 5% del fatturato annuo. Analogamente, per gli amministratori di indici di riferimento critici, la sanzione massima è fissata a 1 milione di euro o il 10% del fatturato.
Il secondo comma dell’articolo 190-bis.3 introduce un regime sanzionatorio specifico per le persone fisiche che abbiano violato le disposizioni del Regolamento DORA. In caso di inadempienza da parte di amministratori, dirigenti o responsabili della compliance, la sanzione pecuniaria può variare da 5.000 euro fino a 5 milioni di euro, a seconda della gravità della violazione e del tipo di soggetto coinvolto. Per i fornitori di servizi di crowdfunding, la sanzione pecuniaria per le persone fisiche può arrivare a 500.000 euro, mentre per gli amministratori di indici di riferimento critici, la soglia massima è di 500.000 euro.
Il terzo comma dell’articolo 190-bis.3 disciplina un’ulteriore ipotesi di violazione, che riguarda il mancato rispetto di specifici obblighi previsti dagli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29, 30 e 31 del Regolamento DORA. In questi casi, la sanzione massima per SIM, SGR, SICAV, SICAF e controparti centrali può arrivare a 3,5 milioni di euro, oppure fino al 7% del fatturato annuo. Per i depositari centrali di titoli, la multa può raggiungere 14 milioni di euro, mentre per i fornitori di crowdfunding, la sanzione varia tra 500 e 350.000 euro, con un limite del 3,5% del fatturato.
Si prevedono specifiche sanzioni per le persone fisiche, qualora abbiano avuto un ruolo diretto nella violazione delle disposizioni del Regolamento DORA. In questi casi, l’importo della sanzione pecuniaria può arrivare a 3,5 milioni di euro per i soggetti responsabili di SIM, SGR, SICAV, SICAF e depositari centrali di titoli, e fino a 350.000 euro per i fornitori di servizi di crowdfunding e gli amministratori di indici di riferimento critici.
Il quinto comma dell’articolo 190-bis.3 introduce una clausola di responsabilità aggravata per i dirigenti, amministratori e soggetti che esercitano funzioni di controllo all’interno degli intermediari finanziari. Se la violazione è conseguenza del mancato rispetto di obblighi specifici o ha inciso significativamente sulla gestione del rischio aziendale, il soggetto responsabile potrà essere sanzionato personalmente. Inoltre, se la violazione ha comportato l’inosservanza di provvedimenti adottati da Consob o Banca d’Italia, la sanzione sarà più severa.
Vi è una sanzione rafforzata nel caso in cui la violazione abbia comportato un vantaggio economico superiore al massimo della multa prevista. In questo caso, la sanzione potrà essere raddoppiata fino a un importo pari al doppio del vantaggio economico ottenuto, purché l’ammontare sia determinabile.
Infine, il settimo comma dell’articolo 190-bis.3 prevede sanzioni accessorie per i soggetti responsabili di violazioni gravi. In caso di infrazione particolarmente rilevante, potrà essere applicata l’interdizione dall’esercizio di funzioni di amministrazione, direzione o controllo all’interno di intermediari finanziari, per un periodo compreso tra sei mesi e tre anni.
Conclusioni
Il decreto DORA introduce un impianto normativo tecnico e articolato, caratterizzato da un elevato grado di complessità e da numerosi rinvii al Regolamento (UE) 2022/2554 e alla normativa settoriale preesistente. La sua applicazione presuppone una conoscenza approfondita del diritto bancario e dei mercati finanziari, oltre che una padronanza della disciplina in materia di cybersicurezza. L’integrazione tra questi due ambiti giuridici evidenzia la volontà del legislatore di rafforzare la resilienza operativa digitale attraverso un approccio interdisciplinare, che impone agli operatori finanziari di adottare misure strutturali per la sicurezza delle infrastrutture digitali.
Un ulteriore elemento di rilievo decreto DORA è rappresentato dalla gradualità dell’applicazione del Regolamento, che prevede un’attivazione progressiva degli obblighi normativi e un modello di compliance a più livelli. Questo implica che gli operatori soggetti alla disciplina debbano predisporre un piano di adeguamento dettagliato, rispettando le scadenze normative per evitare di trovarsi impreparati all’entrata in vigore delle disposizioni più stringenti. L’obbligo di segnalazione degli incidenti TIC, l’adozione di test di resilienza operativa e il monitoraggio della supply chain digitale impongono una pianificazione accurata, in modo da integrare le nuove misure di sicurezza all’interno della governance aziendale.
Il nostro Studio è a disposizione per supportare imprese e intermediari finanziari nell’adeguamento alla normativa, offrendo consulenza specialistica in materia di corporate compliance e cybersicurezza. L’approccio integrato e interdisciplinare dello Studio consente di affiancare le aziende nel processo di implementazione delle misure richieste dal decreto DORA, garantendo un supporto strategico nella definizione dei modelli organizzativi e nella gestione delle nuove responsabilità operative.
da Redazione | Mar 6, 2025 | Diritto d'Impresa
Il settore dei crediti in sofferenza è stato recentemente oggetto di un significativo intervento normativo volto a garantire maggiore trasparenza e stabilità nel mercato secondario del credito. Con il decreto legislativo n. 116 del 2024, l’Italia ha recepito la Direttiva (UE) 2021/2167 (Secondary Market Directive – SMD), introducendo un nuovo quadro regolatorio per gli acquirenti e i gestori di crediti in sofferenza.
La riforma, inserita nel Capo II del Titolo V del Testo Unico Bancario (TUB), ha comportato rilevanti novità, tra cui l’introduzione della figura del Gestore di crediti in sofferenza (Gestore NPL), soggetto vigilato e autorizzato dalla Banca d’Italia.
In attuazione di questa normativa, il 13 febbraio 2025 la Banca d’Italia ha pubblicato le Disposizioni di vigilanza per la gestione di crediti in sofferenza, disciplinando le condizioni per l’accesso al mercato, gli obblighi informativi e le modalità di operatività. Queste nuove regole hanno un impatto rilevante sugli operatori del settore, imponendo adempimenti specifici e scadenze rigorose per la regolarizzazione della loro attività.
Il presente articolo si propone di illustrare le principali novità introdotte, soffermandosi in particolare sulle tempistiche per l’autorizzazione e sugli obblighi connessi alla gestione dei crediti in sofferenza.
Crediti in sofferenza: il nuovo quadro normativo e il ruolo della Banca d’Italia
Il decreto legislativo n. 116/2024 ha riformato la disciplina dei crediti in sofferenza, introducendo un assetto normativo che regola l’attività degli acquirenti e dei gestori di crediti deteriorati, con l’obiettivo di garantire un mercato più trasparente ed efficiente. La riforma si inserisce nell’ambito del recepimento della Direttiva (UE) 2021/2167, che mira a facilitare lo sviluppo del mercato secondario dei crediti non performanti e a rafforzare le tutele nei confronti dei debitori ceduti.
A tal fine, il legislatore italiano ha modificato il Testo Unico Bancario (TUB), introducendo il nuovo Capo II del Titolo V, che disciplina le condizioni di accesso e operatività per i soggetti coinvolti nella gestione dei crediti in sofferenza.
Uno degli aspetti centrali della riforma è la regolamentazione dell’attività del Gestore di crediti in sofferenza (Gestore NPL), figura professionale che assume un ruolo chiave nella gestione dei crediti deteriorati. La normativa stabilisce che tali soggetti siano sottoposti a un regime autorizzativo e di vigilanza da parte della Banca d’Italia, al fine di assicurare il rispetto di elevati standard di correttezza e trasparenza.
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate il 13 febbraio 2025, disciplinano in dettaglio i requisiti organizzativi e operativi che i Gestori devono rispettare, nonché gli obblighi informativi nei confronti dell’Autorità di Vigilanza e dei potenziali acquirenti di crediti in sofferenza.
Il nuovo quadro normativo ha profonde implicazioni per il mercato, poiché introduce regole più stringenti per i soggetti che operano nel settore, ridefinendo le modalità con cui i crediti in sofferenza possono essere acquistati, gestiti ed eventualmente recuperati. In tale contesto, la Banca d’Italia ha assunto un ruolo centrale nel garantire la corretta applicazione della normativa, esercitando poteri di autorizzazione e supervisione per assicurare che l’attività dei Gestori NPL risponda ai principi di stabilità e tutela dei debitori.
Nell’ambito della nuova disciplina, per crediti in sofferenza si intendono le esposizioni creditizie per cassa e “fuori bilancio” nei confronti di soggetti che versano in uno stato di insolvenza, anche non accertato giudizialmente, o in situazioni assimilabili, indipendentemente dalle previsioni di perdita formulate dalla banca. Sono escluse le esposizioni la cui criticità sia riconducibile a profili di rischio legati al Paese di riferimento.
La gestione di crediti in sofferenza, invece, comprende una serie di attività finalizzate all’amministrazione di tali crediti, tra cui la riscossione e il recupero dei pagamenti dovuti dai debitori, la rinegoziazione dei termini e delle condizioni contrattuali in conformità alle istruzioni dell’acquirente, la gestione dei reclami presentati dai debitori e la comunicazione di eventuali variazioni relative agli oneri finanziari o ai pagamenti dovuti.
Crediti in sofferenza: i requisiti per l’autorizzazione dei Gestori NPL
L’accesso al mercato della gestione di crediti in sofferenza è subordinato all’ottenimento di un’apposita autorizzazione da parte della Banca d’Italia, che verifica il possesso di requisiti stringenti sotto il profilo organizzativo, patrimoniale e di onorabilità. La disciplina introdotta dal decreto legislativo n. 116 del 2024 prevede che i soggetti che intendono operare come Gestori di crediti in sofferenza (gestori NPL) debbano soddisfare una serie di condizioni, tra cui il possesso di specifici requisiti di idoneità da parte dei titolari di partecipazioni qualificate e degli esponenti aziendali.
In particolare, le Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate dalla Banca d’Italia il 13 febbraio 2025, stabiliscono che il soggetto richiedente debba dimostrare un’adeguata struttura organizzativa, un efficace sistema di controlli interni e procedure idonee a garantire la corretta gestione dei crediti in sofferenza.
L’iter per l’ottenimento dell’autorizzazione segue un procedimento rigoroso e strutturato. La Banca d’Italia, attraverso la funzione di licensing, esamina le domande per valutare la sussistenza dei requisiti previsti dalla normativa. Il procedimento autorizzativo si articola in più fasi e ha una durata massima di 90 giorni a decorrere dalla ricezione di una domanda completa.
Qualora la documentazione presentata sia ritenuta incompleta, l’Autorità di Vigilanza può richiedere integrazioni, che dovranno essere fornite entro il termine indicato nella comunicazione della richiesta. Durante il processo di valutazione, la Banca d’Italia esamina i profili di solidità patrimoniale e gestionale del richiedente, nonché il rispetto degli obblighi in materia di trasparenza e tutela del debitore.
Tra gli ulteriori requisiti imposti dalla normativa rientra la necessità che il gestore NPL mantenga un’operatività sostanziale, evitando di trasformarsi in una mera entità formale priva di autonomia gestionale.
La normativa impone, infatti, che il soggetto autorizzato svolga direttamente almeno una parte delle attività di gestione dei crediti in sofferenza, garantendo l’adeguatezza delle proprie strutture e procedure operative. Questo requisito è volto a prevenire il fenomeno della delega totale a terzi senza un’effettiva supervisione interna, assicurando che i Gestori NPL mantengano un ruolo attivo e responsabile nell’amministrazione dei crediti deteriorati.
Crediti in sofferenza: obblighi informativi e attività dei gestori
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, emanate dalla Banca d’Italia, non si limitano a disciplinare il processo di autorizzazione, ma introducono anche una serie di obblighi informativi e operativi che i gestori di crediti in sofferenza devono rispettare nel corso della loro attività. La normativa prevede un quadro dettagliato di adempimenti volti a garantire trasparenza, stabilità e un’adeguata protezione dei debitori coinvolti nelle operazioni di gestione dei crediti in sofferenza.
Le Disposizioni di vigilanza si articolano in due parti principali. La prima parte disciplina gli obblighi e le modalità operative dei Gestori NPL, specificando le condizioni di operatività sia in Italia che all’estero, l’organizzazione amministrativa e contabile e il sistema di controlli interni.
La seconda parte riguarda gli obblighi informativi imposti a banche e intermediari finanziari che cedono crediti in sofferenza o che ne gestiscono il recupero per conto di acquirenti terzi. In particolare, questi soggetti sono tenuti a fornire alla Banca d’Italia una serie di informazioni sulla natura e sulla gestione dei crediti in sofferenza, nonché a garantire adeguata informativa nei confronti dei potenziali acquirenti e delle autorità di vigilanza.
Un aspetto rilevante della nuova disciplina è la possibilità per i Gestori NPL di esternalizzare alcune attività di gestione a soggetti terzi, come le società di recupero crediti autorizzate ai sensi dell’articolo 115 del TULPS. Tuttavia, la normativa impone precise limitazioni: il Gestore NPL rimane responsabile della corretta amministrazione dei crediti in sofferenza e deve garantire che il soggetto esternalizzato operi nel rispetto delle disposizioni vigenti.
Crediti in sofferenza: le scadenze per l’autorizzazione e il periodo transitorio
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza ha previsto un regime transitorio volto a consentire agli operatori già attivi di adeguarsi alle nuove regole senza interruzioni operative.
Il 10 marzo 2025 è la data presumibile di pubblicazione delle Disposizioni di vigilanza nella Gazzetta Ufficiale. Dal giorno successivo, le nuove regole entreranno ufficialmente in vigore e inizierà a decorrere il periodo transitorio. Da questo momento, tutti i soggetti che già operano nel settore della gestione di crediti in sofferenza dovranno valutare attentamente i requisiti imposti dalla normativa e provvedere a regolarizzare la propria posizione.
Assumendo che le Disposizioni saranno effettivamente pubblicate in Gazzetta il 10 marzo 2025, il primo termine fondamentale da rispettare è quello del 10 giugno 2025, data entro la quale i soggetti già attivi nel mercato devono presentare domanda di autorizzazione alla Banca d’Italia. La normativa prevede che coloro che inoltrano l’istanza entro questa scadenza possano continuare a operare fino alla conclusione del procedimento autorizzativo, anche oltre la fine del periodo transitorio.
Coloro che, invece, non presentano domanda entro il 10 giugno 2025, avranno tempo fino al 10 settembre 2025 per cessare definitivamente l’attività. Superata questa data, qualsiasi operatore sprovvisto di autorizzazione sarà escluso dal mercato e non potrà più svolgere attività di gestione di crediti in sofferenza.
Queste scadenze assumono particolare rilievo per tutti gli operatori che intendono mantenere la propria operatività nel settore. Il mancato rispetto dei termini stabiliti dalla Banca d’Italia potrebbe comportare non solo l’impossibilità di proseguire l’attività, ma anche l’applicazione di sanzioni o misure di vigilanza per chi operasse in assenza di autorizzazione.
Per questo motivo, la tempestiva presentazione dell’istanza di autorizzazione entro il 10 giugno 2025 rappresenta un passaggio imprescindibile per garantire la continuità aziendale e l’adeguamento alla nuova disciplina.
Calendario delle scadenze per l’autorizzazione dei Gestori di crediti in sofferenza
- 13 febbraio 2025 – Pubblicazione delle Disposizioni di vigilanza per la gestione di crediti in sofferenza sul sito della Banca d’Italia.
- 10 marzo 2025 – Presumibile pubblicazione in Gazzetta Ufficiale delle Disposizioni; dal giorno successivo le nuove regole entrano in vigore.
- 10 giugno 2025 – Termine ultimo per la presentazione della domanda di autorizzazione per i soggetti già operativi.
- 10 settembre 2025 – Termine per la cessazione dell’attività per i soggetti che non hanno presentato domanda entro il 10 giugno.
- I soggetti che presentano domanda entro il 10 giugno 2025 possono continuare a operare fino alla conclusione del procedimento, anche oltre il 10 settembre 2025.
Crediti in sofferenza e domanda di autorizzazione
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza segna un importante passo avanti nella regolamentazione del mercato secondario dei crediti deteriorati, imponendo requisiti stringenti per i soggetti che intendono operare nel settore. La necessità di ottenere l’autorizzazione da parte della Banca d’Italia e il rispetto degli obblighi informativi e organizzativi rappresentano elementi fondamentali per garantire la stabilità del mercato e la tutela dei debitori.
Il rispetto delle scadenze previste per la presentazione delle istanze di autorizzazione e per la cessazione dell’attività, ove necessario, è essenziale per evitare l’exit dal mercato e possibili sanzioni.
Il nostro studio legale fornisce consulenza e assistenza legale alle imprese nei rapporti con le autorità pubbliche di vigilanza, supportando gli operatori nella corretta applicazione della normativa e nella predisposizione delle istanze autorizzative.
Per qualsiasi chiarimento sulla disciplina relativa alla gestione di crediti in sofferenza o per assistenza nella fase di adeguamento ai nuovi requisiti, è possibile contattarci per una consulenza specifica.
Lo Studio Legale D’Agostino offre consulenza in corporate compliance e diritto commerciale per aziende, con soluzioni legali mirate a garantire il rispetto delle normative.
da Redazione | Mar 4, 2025 | Diritto civile
La vendita internazionale è la base per la crescita economica delle imprese e del Paese, consentendo ai soggetti commerciali di espandere il proprio mercato oltre i confini nazionali. Tuttavia, la natura transnazionale di tali operazioni rende necessario individuare con precisione quale normativa regoli il rapporto contrattuale tra le parti e quale sia l’autorità giurisdizionale competente in caso di controversia.
Nel diritto internazionale privato dell’Unione Europea, le questioni relative alla legge applicabile ai contratti di vendita internazionale e alla competenza giurisdizionale sono disciplinate principalmente da tre fonti normative. Il Regolamento (CE) n. 593/2008 (Roma I) stabilisce i criteri per determinare la legge applicabile in assenza di una scelta esplicita delle parti. Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la competenza giurisdizionale e il riconoscimento delle decisioni giudiziarie all’interno dell’Unione Europea.
Il presente contributo analizzerà sommariamente i criteri di individuazione della legge applicabile nei contratti di vendita internazionale, i principi che regolano la competenza giurisdizionale e le strategie contrattuali per prevenire controversie in ambito transfrontaliero.
Vendita internazionale di beni e determinazione della legge applicabile
Nell’ambito della vendita internazionale, la questione relativa alla legge applicabile al contratto riveste un ruolo di centrale importanza, in quanto disciplina gli obblighi reciproci delle parti e regola le conseguenze dell’eventuale inadempimento. L’ordinamento dell’Unione Europea fornisce una cornice normativa chiara per individuare la disciplina giuridica applicabile ai contratti transfrontalieri, evitando conflitti normativi che potrebbero pregiudicare la certezza del diritto e la prevedibilità delle decisioni giudiziarie.
Il Regolamento (CE) n. 593/2008 (Roma I) rappresenta il principale strumento di diritto internazionale privato in materia contrattuale e sancisce il principio cardine della libertà di scelta delle parti. L’articolo 3 del Regolamento dispone che i contraenti possono designare la legge applicabile al loro rapporto contrattuale, purché tale scelta sia espressa o risulti con ragionevole certezza dai termini del contratto o dalle circostanze della fattispecie. La selezione della legge regolatrice è di fondamentale rilevanza nella vendita internazionale, in quanto consente alle parti di stabilire ex ante il quadro normativo di riferimento, evitando incertezze interpretative e possibili controversie sulla disciplina applicabile.
Qualora le parti non abbiano effettuato una scelta esplicita, il Regolamento Roma I stabilisce un criterio di collegamento oggettivo. L’articolo 4, paragrafo 1, lettera a) prevede che, in assenza di una clausola di elezione della legge applicabile, il contratto di vendita internazionale di beni mobili sia regolato dalla legge dello Stato in cui il venditore ha la propria residenza abituale.
Tale disposizione si giustifica con la considerazione che il venditore è colui che esegue la prestazione caratteristica del contratto, ovvero la fornitura della merce. Per effetto di questa norma, un’impresa italiana che cede beni a un soggetto estero, in assenza di diversa pattuizione, vedrà regolato il proprio rapporto dalla legge italiana.
A tale disciplina si affianca la Convenzione delle Nazioni Unite sui contratti di vendita internazionale di beni mobili (CISG), adottata a Vienna nel 1980, la quale si applica automaticamente quando entrambe le parti contraenti hanno sede in Stati aderenti alla Convenzione, salvo espressa esclusione da parte delle stesse. La CISG regola vari aspetti della vendita internazionale, tra cui la formazione del contratto, gli obblighi del venditore e dell’acquirente, nonché le conseguenze dell’inadempimento.
Vendita internazionale di beni e competenza giurisdizionale
Nell’ambito della vendita internazionale, la frammentazione normativa tra i diversi ordinamenti giuridici potrebbe ingenerare incertezze sul riparto di competenza e sulla giurisdizione, con il rischio di lungaggini procedurali e difficoltà nell’esecuzione delle decisioni giudiziarie.
A tal fine, il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la giurisdizione nelle controversie civili e commerciali all’interno dell’Unione Europea, fornendo criteri chiari e uniformi per determinare il foro competente nei contratti di vendita internazionale.
Secondo la regola generale sancita dall’articolo 4 del Regolamento Bruxelles I-bis, un soggetto domiciliato in uno Stato membro deve essere convenuto dinanzi ai tribunali dello Stato in cui ha il proprio domicilio. Tale principio garantisce la tutela della parte convenuta, imponendo al creditore di agire nel foro naturale del debitore.
Tuttavia, in materia contrattuale, il Regolamento prevede un’importante deroga alla regola generale, disciplinata dall’articolo 7, paragrafo 1, lettera b), che consente di convenire una parte anche dinanzi al giudice del luogo in cui l’obbligazione contrattuale dedotta in giudizio è stata o deve essere eseguita. Nel caso di un contratto di vendita internazionale di beni mobili, il luogo di esecuzione dell’obbligazione è quello in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
La determinazione del luogo di consegna è dunque fondamentale per stabilire la competenza giurisdizionale in una controversia derivante dalla vendita internazionale. Se le parti non hanno previsto specifiche condizioni di consegna, il giudice dovrà accertare quale fosse il luogo effettivo di esecuzione della prestazione caratteristica.
Vendita internazionale di beni, clausola di foro e incidenza della clausola “franco magazzino”
Nel contesto della vendita internazionale, le parti contrattuali possono evitare incertezze in merito alla giurisdizione mediante l’inserimento di una clausola di elezione del foro, ossia una disposizione contrattuale che individua il giudice competente per la risoluzione delle eventuali controversie derivanti dal rapporto commerciale.
Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina le condizioni di validità di tali pattuizioni, prevedendo che le parti possano convenire, in forma scritta o mediante una prassi consolidata, che una determinata autorità giurisdizionale abbia competenza esclusiva in caso di controversie contrattuali.
L’articolo 25 del Regolamento Bruxelles I-bis sancisce il principio secondo cui una clausola di scelta del foro è valida ed efficace se è stata stipulata: (i) per iscritto o verbalmente con conferma scritta, (ii) secondo usi che le parti conoscevano o avrebbero dovuto conoscere, oppure (iii) nell’ambito di relazioni commerciali precedenti che abbiano consolidato una consuetudine tra i contraenti. La previsione di una clausola di foro consente di evitare l’incertezza derivante dall’applicazione dei criteri generali di competenza giurisdizionale e permette alle imprese di pianificare con maggiore sicurezza la gestione del rischio legale nella vendita internazionale.
Un ulteriore elemento di rilievo nella vendita internazionale riguarda la clausola “franco magazzino” la quale incide direttamente sulla determinazione del foro competente. Con tale clausola, il venditore si libera dall’obbligo di consegna nel momento in cui mette la merce a disposizione dell’acquirente presso il proprio magazzino o stabilimento. Ne consegue che il rischio e la responsabilità per il trasporto ricadono interamente sull’acquirente, il quale si assume l’onere di provvedere al ritiro della merce e alla sua spedizione.
Dal punto di vista della competenza giurisdizionale, la clausola “franco magazzino” ha una rilevanza determinante, poiché il luogo di esecuzione dell’obbligazione contrattuale coincide con la sede del venditore. In base all’articolo 7, paragrafo 1, lettera b, del Regolamento Bruxelles I-bis, il giudice competente nelle controversie relative alla vendita internazionale è quello del luogo in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
Pertanto, laddove il contratto preveda una consegna “franco magazzino”, è ragionevole ritenere che la competenza spetta al tribunale dello Stato in cui il venditore ha la propria sede, in quanto la prestazione caratteristica del contratto si considera eseguita nel momento in cui la merce viene resa disponibile presso il suo stabilimento.
La combinazione della clausola di foro esclusivo e della clausola “franco magazzino” rappresenta un efficace strumento di tutela per il venditore che operi nella vendita internazionale, in quanto consente di rafforzare la propria posizione giuridica in caso di contenzioso con il compratore. La previsione congiunta di entrambe le clausole nei documenti contrattuali e commerciali permette di radicare la giurisdizione nel paese del venditore e di semplificare l’eventuale azione di recupero del credito.
Vendita internazionale di beni e tutela del creditore in caso di inadempimento
Nell’ambito della vendita internazionale, il mancato pagamento del corrispettivo da parte del compratore rappresenta una delle problematiche più ricorrenti per le imprese che operano nel commercio transfrontaliero.
La Convenzione di Vienna del 1980 (CISG) disciplina in modo specifico le conseguenze dell’inadempimento contrattuale nella vendita internazionale. In particolare, ai sensi dell’articolo 53, l’acquirente ha l’obbligo di pagare il prezzo pattuito e di accettare la consegna della merce nei termini previsti dal contratto. Qualora il compratore ometta di adempiere all’obbligo di pagamento, il venditore può avvalersi dei rimedi previsti dagli articoli 61 e seguenti, che comprendono la richiesta di esecuzione forzata del pagamento, la risoluzione del contratto e la richiesta di risarcimento del danno. Tuttavia, la CISG non disciplina gli aspetti procedurali relativi all’azione di recupero del credito, i quali sono regolati dal diritto nazionale dello Stato competente.
Uno degli strumenti più efficaci per ottenere rapidamente il pagamento del credito è il procedimento per decreto ingiuntivo, che consente al creditore di ottenere un titolo esecutivo senza dover intraprendere un’azione ordinaria di cognizione. In base all’articolo 633 del codice di procedura civile italiano, il decreto ingiuntivo può essere richiesto quando il credito risulta fondato su prova scritta, quale una fattura, un ordine di acquisto, un documento di trasporto o una conferma d’ordine sottoscritta.
Un’ulteriore tutela, particolarmente utile per rapporti transfrontalieri UE, è offerta dal Regolamento (CE) n. 1896/2006, che ha introdotto il procedimento europeo d’ingiunzione di pagamento, applicabile nelle controversie transfrontaliere tra parti domiciliate in Stati membri diversi. Tale strumento consente al creditore di ottenere un titolo esecutivo europeo senza dover avviare procedimenti giurisdizionali in più ordinamenti, garantendo una maggiore rapidità ed efficienza nell’azione di recupero del credito nella vendita internazionale.
La tutela legale nella vendita internazionale
L’individuazione della legge applicabile e della competenza giurisdizionale in un contratto di vendita internazionale è un elemento strategico di centrale importanza per facilitare l’eventuale azione di recupero del credito in caso di mancato pagamento da parte del compratore estero.
Il nostro Studio Legale è a disposizione per assistere imprese e operatori commerciali nei rapporti di vendita internazionale, fornendo un supporto altamente qualificato nella redazione della documentazione contrattuale e nella gestione delle controversie transfrontaliere. Offriamo un servizio di consulenza strategica per mitigare i rischi legali, strutturare accordi che garantiscano la massima tutela e, laddove possibile, radicare la giurisdizione in Italia e la competenza dinanzi ai tribunali nazionali.
Assistiamo i nostri clienti sia nella fase preventiva di negoziazione e stipula dei contratti, sia nella fase patologica del rapporto contrattuale, affiancandoli nelle azioni di recupero del credito e nelle strategie di tutela giudiziaria.
da Redazione | Feb 26, 2025 | Diritto Penale
Phishing è il termine con cui si identifica una delle più insidiose forme di truffa informatica, caratterizzata dall’inganno finalizzato alla sottrazione di dati sensibili e informazioni riservate. L’evoluzione tecnologica e la crescente digitalizzazione delle attività quotidiane hanno ampliato le possibilità di comunicazione e gestione dei servizi online, ma al contempo hanno esposto gli utenti a nuove minacce. Il phishing, in particolare, si avvale di tecniche fraudolente attraverso le quali il soggetto agente, comunemente noto come phisher, induce la vittima a rivelare spontaneamente dati personali, quali credenziali di accesso a servizi bancari, numeri di carte di credito e informazioni finanziarie.
L’attacco si concretizza mediante l’invio di comunicazioni apparentemente legittime, che riproducono i segni distintivi di istituti bancari, enti pubblici o aziende note, al fine di persuadere l’utente a fornire informazioni riservate o a eseguire azioni che compromettano la sicurezza dei suoi dati. Generalmente, il phishing avviene attraverso e-mail fraudolente, messaggi di testo o chiamate telefoniche, all’interno delle quali la vittima viene indotta a cliccare su link malevoli o a scaricare allegati dannosi, con il conseguente rischio di compromissione dei propri dispositivi e dell’integrità delle informazioni personali.
L’impatto del phishing non si esaurisce nel mero contesto informatico, ma determina rilevanti conseguenze economiche e giuridiche per le vittime, che possono subire ingenti perdite patrimoniali e la violazione della propria privacy. L’elevato grado di sofisticazione delle tecniche adottate dai phisher, unito alla crescente difficoltà nel riconoscere le comunicazioni fraudolente, rende indispensabile un’attenta analisi del fenomeno, con l’obiettivo di comprenderne le modalità operative e individuare misure efficaci di prevenzione e tutela.
Phishing e social engineering: il meccanismo dell’inganno
Phishing e ingegneria sociale rappresentano due fenomeni strettamente connessi, in quanto il successo degli attacchi si fonda sull’applicazione di tecniche psicologiche volte a manipolare il comportamento della vittima. L’ingegneria sociale, infatti, è l’insieme di strategie basate sulla persuasione e sullo sfruttamento delle reazioni automatiche della mente umana, con lo scopo di indurre il soggetto passivo a compiere un’azione specifica senza che questi si renda conto di essere stato influenzato da un soggetto esterno.
Nel contesto del phishing, il truffatore elabora messaggi ingannevoli che riproducono fedelmente il linguaggio, la struttura e i segni distintivi di comunicazioni ufficiali inviate da istituti bancari, enti pubblici o aziende. L’obiettivo è quello di suscitare nella vittima un senso di urgenza o di pericolo, inducendola a ritenere che sia necessario compiere un’azione immediata per evitare presunte conseguenze negative.
Un esempio tipico è rappresentato dai messaggi che informano l’utente di un presunto problema di sicurezza del proprio conto bancario, della necessità di aggiornare le credenziali di accesso o di verificare transazioni sospette. Simili comunicazioni sono progettate per far leva sulla paura e sull’ansia della vittima, spingendola ad agire impulsivamente senza effettuare i necessari controlli.
L’efficacia del phishing è accresciuta dalla capacità del phisher di creare un contesto comunicativo verosimile e coerente, che lasci intendere alla vittima di avere il controllo della situazione e di poter risolvere il problema autonomamente.
A tale scopo, il linguaggio utilizzato nelle comunicazioni fraudolente è attentamente calibrato per mantenere un tono istituzionale e rassicurante, evitando espressioni eccessivamente intimidatorie che potrebbero destare sospetti. L’elemento psicologico gioca un ruolo determinante nella riuscita dell’attacco, poiché il soggetto passivo, convinto di agire in modo razionale e autodeterminato, finisce per eseguire le istruzioni dell’attaccante, fornendo i propri dati personali o accedendo a piattaforme compromesse.
Le diverse forme di phishing e il loro funzionamento
Il phishing è un fenomeno in costante evoluzione, caratterizzato dall’adattamento delle tecniche di attacco alle nuove abitudini digitali degli utenti e ai sistemi di sicurezza implementati dalle piattaforme online. Sebbene il principio di base rimanga invariato, esistono diverse varianti di phishing, ciascuna con modalità operative specifiche, studiate per aumentare l’efficacia dell’inganno e rendere più complesso il riconoscimento della truffa. Per una sintesi sulla descrizione del fenomeno, rinviamo al sito della Polizia Postale.
Una delle forme più comuni è il deceptive phishing, che si basa sull’invio massivo di comunicazioni fraudolente a un numero indeterminato di utenti, senza una selezione specifica della vittima. Il messaggio, solitamente veicolato tramite e-mail, riproduce l’identità grafica e il linguaggio di enti bancari, piattaforme di pagamento o servizi online di largo utilizzo, inducendo il destinatario a inserire le proprie credenziali di accesso in una pagina web contraffatta. Questa tipologia di attacco si caratterizza per l’approccio generico, in quanto mira a raggiungere il maggior numero possibile di utenti, confidando nel fatto che una percentuale di essi cadrà nella trappola.
Un’evoluzione del phishing tradizionale è rappresentata dallo spear Phishing, una tecnica più sofisticata che prevede una fase preliminare di raccolta delle informazioni sulla vittima, al fine di personalizzare il messaggio-esca. A differenza del deceptive Phishing, che si affida a una strategia indiscriminata, lo spear Phishing colpisce in modo mirato, utilizzando dettagli specifici sulla persona o sull’organizzazione attaccata per conferire maggiore credibilità alla comunicazione fraudolenta. L’elemento distintivo di questa variante è l’elevato grado di verosimiglianza, che riduce la capacità della vittima di riconoscere la natura ingannevole del messaggio.
Ulteriori varianti del phishing includono lo smishing e il vishing, che differiscono dal modello classico per il mezzo di comunicazione impiegato. Lo smishing sfrutta l’invio di SMS contenenti link dannosi o richieste di informazioni personali, mentre il vishing utilizza chiamate telefoniche nelle quali il truffatore si spaccia per un operatore di banca, un ente pubblico o un servizio clienti, inducendo la vittima a fornire dati sensibili. In questi casi, l’attacco si avvale spesso della tecnica dello spoofing, che consente di alterare il numero di telefono del mittente per far apparire la chiamata come proveniente da un’istituzione affidabile.
Tra le forme più recenti di phishing si segnala il deepfake phishing, una tecnica che combina l’uso dell’intelligenza artificiale con strumenti di manipolazione multimediale avanzati. Di tale nuova tipologia tratteremo nei paragrafi seguenti.
Phishing e il quadro giuridico: truffa e frode informatica
Il phishing rappresenta una condotta illecita priva di una specifica incriminazione autonoma all’interno del codice penale italiano. Tuttavia, la sua realizzazione si articola attraverso comportamenti riconducibili a diverse fattispecie criminose, tra cui la truffa prevista dall’art. 640 c.p., la frode informatica disciplinata dall’art. 640-ter c.p., la sostituzione di persona ex art. 494 c.p. e l’accesso abusivo a un sistema informatico sanzionato dall’art. 615-ter c.p.. L’inquadramento giuridico della fattispecie varia a seconda delle modalità con cui il phishing viene perpetrato e degli strumenti utilizzati dal soggetto agente per appropriarsi indebitamente delle informazioni riservate della vittima.
La qualificazione del phishing come truffa ai sensi dell’art. 640 c.p. è stata oggetto di dibattito in dottrina e giurisprudenza. La disposizione punisce chi, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno. Il soggetto agente utilizza un messaggio decettivo, inducendo la vittima a ritenere autentica una comunicazione fraudolenta e a compiere volontariamente un’azione che determina un pregiudizio economico. La condotta del phisher, pertanto, può rientrare nella nozione di truffa tradizionale, in quanto l’induzione in errore della vittima avviene mediante raggiri finalizzati all’ottenimento di un vantaggio patrimoniale illecito.
L’applicazione dell’art. 640-ter c.p., che disciplina la frode informatica, diventa rilevante qualora l’attacco si realizzi attraverso l’alterazione di un sistema informatico o telematico. La norma punisce chiunque, “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico”, ottenga un profitto illecito con danno altrui.
Tale disposizione potrebbe trovare applicazione nei casi in cui il phishing si concretizzi mediante l’uso di malware o software autoinstallanti che sottraggono dati sensibili della vittima senza che vi sia un’interazione consapevole da parte di quest’ultima. Secondo un recente orientamento giurisprudenziale, la frode informatica potrebbe applicarsi anche alle condotte più “tradizionali”, qualora l’attaccante riesca a ottenere il profitto intervenendo senza diritto su sistemi informatici (es. facendo uso delle credenziali precedentemente sottratte per eseguire un bonifico).
Un ulteriore profilo giuridico del phishing riguarda la sostituzione di persona, sanzionata dall’art. 494 c.p., qualora l’attaccante utilizzi illecitamente l’identità di un soggetto terzo, come un istituto bancario o un ente pubblico, per rendere più credibile l’inganno. Tale condotta si realizza quando il truffatore falsifica l’intestazione di un’e-mail o manipola l’identità del mittente per far apparire la comunicazione come proveniente da un soggetto istituzionale reale.
Infine, nelle ipotesi in cui l’autore del reato utilizzi le credenziali sottratte per accedere indebitamente agli account online della vittima, potrebbe configurarsi il il reato di accesso abusivo a un sistema informatico o telematico, previsto dall’art. 615-ter c.p.. La disposizione punisce chi si introduce in un sistema informatico protetto senza autorizzazione o vi si mantiene contro la volontà del titolare. Tale reato assume particolare rilevanza nei casi in cui il phishing abbia come obiettivo il controllo degli account bancari della vittima o l’accesso a dati riservati custoditi in piattaforme online.
La sovrapposizione tra queste diverse fattispecie penali dimostra come la condotta, nel suo complesso, possa integrare una pluralità di reati, a seconda delle modalità esecutive adottate dal phisher. La giurisprudenza ha chiarito che, in determinati casi, può configurarsi un concorso di reati.
Phishing e nuove tecnologie: l’intelligenza artificiale al servizio della frode
Il phishing è un fenomeno in continua evoluzione, che trae vantaggio dall’innovazione tecnologica per affinare le proprie modalità operative e incrementare il tasso di successo degli attacchi. L’introduzione di strumenti avanzati, tra cui sistemi di intelligenza artificiale, ha reso le truffe informatiche ancora più sofisticate e difficili da individuare, riducendo sensibilmente la capacità delle vittime di riconoscere la natura fraudolenta delle comunicazioni ricevute.
L’intelligenza artificiale, grazie alla capacità di elaborare grandi quantità di dati e simulare il linguaggio naturale, viene impiegata dai criminali informatici per generare contenuti personalizzati che aumentano la credibilità dei messaggi di phishing. Gli algoritmi avanzati consentono di analizzare i comportamenti digitali delle vittime, raccogliere informazioni dai social network e creare messaggi ingannevoli altamente verosimili.
Un ulteriore sviluppo che ha incrementato la pericolosità del phishing è rappresentato dall’impiego della tecnologia deepfake, che sfrutta l’intelligenza artificiale per creare contenuti multimediali falsificati. Questa innovazione ha portato alla diffusione di una nuova forma di attacco, nota come deepfake phishing, che si distingue per l’utilizzo di video, immagini o messaggi audio alterati in modo da riprodurre fedelmente l’aspetto e la voce di persone reali. Attraverso questi strumenti, i truffatori possono impersonare dirigenti aziendali, funzionari di enti pubblici o persone di fiducia della vittima, aumentando la probabilità che quest’ultima cada nell’inganno.
Il deepfake phishing ha trovato particolare applicazione nelle frodi aziendali e nei tentativi di CEO fraud, in cui i criminali informatici si spacciano per alti dirigenti di un’azienda e inducono dipendenti o collaboratori a effettuare bonifici fraudolenti o a condividere informazioni riservate. La capacità di generare contenuti audio e video realistici rende questa tipologia di attacco estremamente efficace, poiché la vittima, ritenendo di interagire con un interlocutore affidabile, difficilmente mette in dubbio l’autenticità della richiesta.
L’evoluzione tecnologica ha inoltre ampliato il raggio d’azione del phishing, consentendo la creazione di siti web contraffatti con livelli di realismo sempre più elevati. Gli attacchi che un tempo si limitavano alla semplice riproduzione grafica di una pagina web ora sfruttano l’intelligenza artificiale per replicare in tempo reale le interazioni tipiche di un portale legittimo, generando risposte dinamiche agli utenti e simulando il comportamento di un servizio autentico. Queste tecniche avanzate riducono la percezione del rischio e inducono le vittime a inserire le proprie credenziali senza sospettare la natura fraudolenta del sito visitato.
L’influenza delle nuove tecnologie sul phishing dimostra come la criminalità informatica sia in grado di adattarsi rapidamente ai cambiamenti del panorama digitale, sfruttando strumenti innovativi per perfezionare le proprie strategie fraudolente. La crescente sofisticazione degli attacchi richiede un approccio integrato alla sicurezza informatica, basato su una combinazione di prevenzione, formazione degli utenti e strumenti avanzati di protezione, al fine di contrastare efficacemente le minacce emergenti.
Prevenire il phishing: strategie e accorgimenti per difendersi
La prevenzione è l’elemento cardine nella difesa contro le frodi informatiche, poiché il riconoscimento tempestivo dei segnali d’allarme può evitare conseguenze dannose per gli utenti e le organizzazioni. La protezione contro il phishing si fonda su una combinazione di buone pratiche di sicurezza informatica, strumenti tecnologici avanzati e un’adeguata consapevolezza del rischio.
Uno degli aspetti fondamentali della prevenzione è il riconoscimento delle caratteristiche comuni degli attacchi Phishing. Le comunicazioni fraudolente presentano spesso elementi ricorrenti, tra cui un linguaggio persuasivo che richiama situazioni di emergenza, la richiesta di inserire credenziali personali, link che rimandano a pagine web contraffatte e mittenti dall’apparenza ingannevole.
L’analisi critica del contenuto di un’e-mail o di un messaggio, unita alla verifica dell’indirizzo del mittente e dell’autenticità dei collegamenti ipertestuali, rappresenta il primo strumento di autodifesa. Nessuna istituzione bancaria o azienda affidabile richiede l’inserimento di dati sensibili tramite e-mail o SMS, pertanto, la ricezione di simili richieste deve essere considerata un chiaro indicatore di un tentativo di Phishing.
Un ulteriore accorgimento essenziale è l’utilizzo dell’autenticazione a più fattori, che aggiunge un ulteriore livello di protezione agli account personali e aziendali. Questo sistema impedisce agli aggressori di ottenere accesso non autorizzato anche nel caso in cui riescano a sottrarre le credenziali di accesso, poiché sarà necessario un secondo codice di verifica generato su un dispositivo di proprietà dell’utente. L’implementazione di password robuste e uniche per ciascun servizio online riduce, inoltre, il rischio che la compromissione di un singolo account possa estendersi ad altre piattaforme.
L’installazione e l’aggiornamento regolare di software di sicurezza, tra cui antivirus, firewall e filtri anti-phishing, contribuisce in modo significativo alla protezione dalle minacce informatiche. Molti servizi di posta elettronica integrano già sistemi di rilevamento automatico che segnalano i messaggi sospetti o li collocano direttamente nella cartella spam. Tuttavia, è opportuno adottare ulteriori misure, come l’abilitazione di funzionalità avanzate di protezione della navigazione e l’uso di estensioni browser progettate per identificare siti web malevoli prima che l’utente inserisca informazioni sensibili.
Un ruolo determinante nella prevenzione del phishing è svolto dalla cybersecurity awareness, ovvero la formazione degli utenti sui rischi legati alle truffe informatiche e sulle corrette pratiche di comportamento online. In ambito aziendale, l’adozione di programmi di formazione periodica per il personale riduce sensibilmente la vulnerabilità delle organizzazioni agli attacchi mirati.
Molti attacchi di phishing, infatti, prendono di mira dipendenti e dirigenti per ottenere accesso alle infrastrutture informatiche aziendali, sfruttando la mancanza di consapevolezza sui rischi informatici. L’organizzazione di simulazioni di attacchi phishing, in cui gli utenti vengono esposti a e-mail fraudolente create a scopo didattico, rappresenta un metodo efficace per migliorare la capacità di riconoscere e reagire correttamente ai tentativi di frode.
Nel caso in cui si sospetti di aver ricevuto una comunicazione fraudolenta, è essenziale evitare di cliccare su link o scaricare allegati, e verificare l’autenticità del messaggio contattando direttamente l’ente o l’azienda presunta mittente attraverso i canali ufficiali. In caso di dubbio, è sempre preferibile non eseguire alcuna azione e procedere a una verifica preventiva. Le autorità di regolamentazione e gli istituti bancari forniscono strumenti per segnalare i tentativi di phishing, contribuendo così a identificare e bloccare gli attacchi in corso.
In definitiva, la prevenzione del Phishing richiede un approccio multidisciplinare, che combini tecnologie di protezione, consapevolezza e buone pratiche di sicurezza digitale.
Conclusioni: cosa fare in caso di attacco phishing
La crescente sofisticazione delle tecniche di attacco rende essenziale l’adozione di misure preventive efficaci, basate sulla consapevolezza dei rischi e sull’utilizzo di strumenti di sicurezza avanzati. Il riconoscimento tempestivo dei segnali di un tentativo di phishing, unito all’applicazione di protocolli di autenticazione e verifica, è la strategia più efficace per evitare di cadere vittima di truffe informatiche.
Nel caso in cui un attacco abbia già avuto successo, è fondamentale intervenire immediatamente, segnalando l’accaduto alle autorità competenti, contattando il proprio istituto bancario per limitare i danni finanziari e adottando misure per ripristinare la sicurezza dei propri account e dispositivi.
La protezione dalle frodi informatiche non può prescindere da un’adeguata consulenza legale e da un’efficace gestione della sicurezza cibernetica. Il nostro Studio fornisce supporto specializzato a privati e aziende nella prevenzione e gestione delle conseguenze derivanti da attacchi informatici, offrendo assistenza nella valutazione dei rischi, nella predisposizione di strategie di tutela e nella difesa dei diritti di reati informatici.
da Redazione | Feb 21, 2025 | Notizie e Aggiornamenti Legislativi
Riportiamo di seguito alcune informazioni sul ricorso alla Corte di Giustizia, patrocinato dall’avvocato Luca D’Agostino, sul tema del downlisting nel regime di tutela del lupo, riportate sulla stampa nazionale ed europea.
Il ricorso, promosso da cinque associazioni ambientaliste e animaliste – Green Impact, Earth, Nagy Tavak, LNDC Animal Protection e One Voice – è stato depositato dinanzi al Tribunale dell’Unione Europea con l’obiettivo di ottenere l’annullamento della Decisione (UE) 2024/2669 del Consiglio, con la quale l’Unione Europea ha proposto alla Convenzione di Berna il declassamento del lupo grigio (Canis lupus) dall’Appendice II all’Appendice III della Convenzione stessa. Tale modifica, che ha ricevuto il voto favorevole dell’Unione Europea nella riunione del 3 dicembre 2024, comporta una riduzione del regime di protezione del lupo, aprendo la strada a misure di gestione meno rigorose e potenzialmente più permissive delle pratiche di abbattimento (v. Comunicato Stampa).
Le associazioni ricorrenti sostengono che la Decisione impugnata sia viziata da profili di illegittimità, tra cui il mancato rispetto dei principi di precauzione, proporzionalità e del criterio della best available science, nonché l’assenza di una motivazione fondata su dati scientifici aggiornati e verificabili.
Il ricorso alla Corte di Giustizia mira a ottenere non solo l’annullamento della Decisione del Consiglio, ma anche di tutti gli atti successivi connessi, inclusa la proposta dell’UE alla Convenzione di Berna e il voto espresso in quella sede. L’accoglimento del ricorso avrebbe effetti giuridici rilevanti, in quanto determinerebbe l’invalidità dell’intero procedimento di declassamento del lupo, impedendo che la modifica della Convenzione di Berna possa essere applicata nell’ordinamento giuridico europeo.
I motivi espressi nel ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea si fonda su due principali motivi di diritto, entrambi connessi alla violazione delle norme europee in materia di protezione della biodiversità e al mancato rispetto dei principi sanciti dal Trattato sul Funzionamento dell’Unione Europea (TFUE), dalla Direttiva Habitat e dalla Carta dei Diritti Fondamentali dell’UE (v. notizia del ricorso pubblicato in Gazzetta Ufficiale).
Le ricorrenti lamentano la violazione dell’art. 191, paragrafo 3, TFUE, dell’art. 6, paragrafo 1, TUE e dell’art. 37 della Carta dei Diritti Fondamentali dell’Unione Europea, in quanto il Consiglio ha adottato la Decisione impugnata senza tenere conto dei dati scientifici e tecnici disponibili.
Il ricorso alla Corte di Giustizia evidenzia come la documentazione scientifica esistente – compresi i rapporti elaborati dalla Large Carnivore Initiative for Europe (LCIE) e da altri istituti di ricerca accreditati – indichi chiaramente che il lupo non ha raggiunto uno stato di conservazione favorevole in Europa. Nonostante ciò, il Consiglio e la Commissione hanno deciso di proporre il declassamento della specie basandosi sugli stessi dati che, nel 2022, avevano portato l’Unione Europea a rifiutare una proposta analoga avanzata dalla Svizzera.
Inoltre, la giurisprudenza della Corte di Giustizia dell’UE ha più volte ribadito che le deroghe al regime di protezione del lupo possono essere concesse solo se non pregiudicano il mantenimento di uno stato di conservazione soddisfacente della popolazione della specie nella sua area di ripartizione naturale. Tale principio, espresso nelle recenti sentenze C-436/22 e C-601/22, è stato completamente ignorato dal Consiglio nel proporre il declassamento della specie a livello continentale, senza considerare le differenze nei singoli stati membri e senza garantire una valutazione rigorosa basata su parametri scientifici aggiornati.
Oltre alla violazione di tali principi, il ricorso alla Corte di Giustizia evidenzia come la Decisione impugnata si ponga in contrasto con la Raccomandazione n. 56 (1997) del Comitato Permanente della Convenzione di Berna, che impone che le modifiche agli allegati della Convenzione avvengano in modo coerente e fondato sulle migliori conoscenze scientifiche disponibili. Il mancato rispetto di tali obblighi mina l’intero impianto normativo europeo in materia di tutela della fauna selvatica, creando un precedente pericoloso che potrebbe essere esteso ad altre specie protette.
A ulteriore conferma delle criticità della Decisione impugnata, il Mediatore Europeo ha recentemente aperto un fascicolo d’indagine, sollevando dubbi sulla trasparenza del processo decisionale e sulla metodologia adottata dalla Commissione Europea nella raccolta e nella valutazione dei dati scientifici. L’assenza di un’adeguata istruttoria e il peso preponderante delle pressioni politiche nella decisione finale rappresentano ulteriori elementi che il Tribunale dell’Unione Europea dovrà valutare nell’ambito del giudizio di annullamento.
I prossimi sviluppi del ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea contro il declassamento del lupo ha ora raggiunto un’importante fase procedurale. L’atto introduttivo è stato formalmente registrato e pubblicato nella Gazzetta Ufficiale dell’Unione Europea,
Le Associazioni ricorrenti (v. Comunicato sulla stampa internazionale) ribadiscono la loro posizione secondo cui il declassamento del lupo è stato adottato in violazione delle migliori conoscenze scientifiche disponibili, con un’eccessiva ingerenza di considerazioni politiche prive di fondamento tecnico. La giurisprudenza della Corte di Giustizia ha più volte stabilito che le decisioni relative alla protezione della fauna selvatica devono essere basate su dati scientifici solidi e su un’istruttoria rigorosa, senza essere distorte da pressioni di natura socio-economica che non trovano riscontro nei dati oggettivi.
Nei prossimi mesi, il procedimento giudiziario proseguirà con le memorie difensive delle istituzioni convenute, seguite dall’eventuale fase dibattimentale, durante la quale il Tribunale dell’Unione Europea sarà chiamato a valutare la legittimità della Decisione del Consiglio UE e la fondatezza dei motivi di ricorso presentati dalle Associazioni.
L’esito del ricorso alla Corte di Giustizia avrà un impatto significativo non solo sulla tutela del lupo grigio in Europa, ma anche sui futuri standard di protezione della biodiversità nell’Unione. In un contesto globale in cui la crisi ecologica e la perdita di biodiversità sono riconosciute come emergenze prioritarie, la vicenda giudiziaria in corso rappresenta un banco di prova per l’efficacia della governance ambientale europea e per il rispetto dei principi sanciti dai Trattati dell’Unione.
Per ulteriori informazioni sul ricorso alla Corte di Giustizia contattaci qui.
