da Redazione | Giu 9, 2025 | Diritto d'Impresa
Ecco a voi il Codice della Cybersicurezza! Siamo lieti di annunciare che, per i tipi di Merita Edizioni, è stato pubblicato in Italia il primo, unico e inimitabile Codice della Cybersicurezza. Per esplorare il Codice, visionare l’indice e acquistarlo, è possibile collegarsi direttamente con il sito Internet dell’editore.
Per i primi acquisti è possibile beneficiare del codice sconto inserendo il coupon: Cybersicurezza2025
Obiettivi del Codice della Cybersicurezza
L’idea di un Codice della Cybersicurezza nasce dall’esigenza di offrire uno strumento sistematico e di raccolta delle numerose fonti normative che, con ritmo sempre più incalzante, hanno disciplinato il settore della sicurezza cibernetica, sia a livello nazionale che sovranazionale.
Negli ultimi anni, il quadro regolatorio si è evoluto in modo tanto rapido quanto significativo, dando luogo a un vero e proprio nuovo settore del diritto, caratterizzato da crescente complessità, pluralità di fonti e un elevato grado di sofisticazione. Il presente volume si propone dunque come il primo tentativo di “codificazione” della materia, con l’obiettivo di ordinare le fonti secondo criteri di afferenza e coerenza sistematica, articolandole per ambiti tematici e settori disciplinari.
La premessa metodologica da cui muove questa raccolta normativa è quella di una concezione ampia della cybersicurezza, intesa non soltanto come protezione dei sistemi e delle infrastrutture, ma come presidio dell’ordine pubblico digitale e garanzia effettiva dei diritti fondamentali dei cittadini nel cyberspazio. In questa prospettiva, sono stati inclusi non soltanto i provvedimenti riferibili alla sicurezza informatica in senso stretto, ma anche le normative in materia di repressione dei reati informatici, protezione dei dati personali, digitalizzazione della pubblica amministrazione, tutela delle comunicazioni elettroniche, sicurezza dei prodotti digitali.
Il background dell’autore
Il Codice della Cybersicurezza è il risultato di un percorso di studio e ricerca condotto negli ultimi dieci anni in ambito accademico dall’Avv. Luca D’Agostino, come docente universitario in diritto e sicurezza informatica, e dell’esperienza maturata come professionista nell’assistenza a enti pubblici e privati per l’adeguamento alle normative vigenti e lo sviluppo di strategie di compliance.
A chi si rivolge e come è strutturata l’opera
L’auspicio è che questo Codice possa costituire un utile strumento di lavoro per studiosi, operatori del diritto, pubbliche amministrazioni e imprese, contribuendo a una più consapevole e ordinata applicazione delle norme in un settore ormai fondamentale per la vita democratica ed economica nazionale.
Completa il volume un indice analitico–glossario, concepito per agevolare la consultazione del testo anche da parte di chi si approcci alla materia da prospettive non giuridiche. Attraverso un sistema di parole chiave e riferimenti incrociati, il lettore può individuare rapidamente le disposizioni normative di interesse, partendo da concetti tecnici, termini di uso corrente o categorie giuridiche.
Questo strumento contribuisce a rendere l’opera non solo un repertorio sistematico delle fonti, ma anche un supporto operativo nella ricerca normativa, adatto tanto allo studio quanto all’attività professionale quotidiana.
da Redazione | Mag 27, 2025 | Diritto d'Impresa
L’NDA è davvero così importante? Nel contesto altamente competitivo dell’innovazione tecnologica, la tutela delle informazioni aziendali riservate rappresenta un’esigenza ineludibile, specie per le imprese di nuova costituzione che operano nel settore digitale.
Le start-up, in particolare, si trovano frequentemente nella necessità di condividere contenuti sensibili con potenziali investitori, partner commerciali, sviluppatori, fornitori di servizi o consulenti esterni, nel corso delle fasi preliminari alla conclusione di un contratto o di un accordo di collaborazione. In tali situazioni, l’impiego di un NDA (Non Disclosure Agreement) consente di regolare in via preventiva e vincolante gli obblighi di riservatezza gravanti sulla parte destinataria delle informazioni.
L’NDA, nella sua struttura generale, è un accordo con cui una parte (detta “Parte Comunicante”) si riserva di trasmettere contenuti informativi alla controparte (detta “Parte Ricevente”) per finalità specifiche e circoscritte, subordinando tale trasmissione all’impegno, da parte di quest’ultima, a non divulgarli, riprodurli o utilizzarli per scopi diversi da quelli indicati. La stipulazione di un NDA ben redatto garantisce la segretezza di algoritmi proprietari, modelli di business, architetture software, dati di training e validazione, documentazione tecnica e piani di sviluppo commerciale.
L’obiettivo del presente contributo è quello di illustrare le principali clausole che compongono un NDA efficace, con particolare riferimento al settore delle start-up digitali, offrendo spunti di riflessione, esempi pratici e inquadramento giuridico delle disposizioni contrattuali maggiormente ricorrenti.
L’NDA come contratto atipico: qualificazione e inquadramento giuridico
Dal punto di vista definitorio, l’NDA si configura come un contratto atipico, ossia privo di una specifica disciplina codicistica, ma pienamente lecito in forza del principio di autonomia contrattuale sancito dall’art. 1322, comma 2, c.c. In base a tale norma, le parti possono concludere accordi non espressamente previsti dalla legge, purché diretti a realizzare interessi meritevoli di tutela secondo l’ordinamento giuridico.
L’NDA risponde chiaramente a tale requisito, in quanto è finalizzato alla salvaguardia dell’interesse legittimo di un soggetto a preservare la confidenzialità delle proprie informazioni aziendali.
L’accordo di riservatezza trova, inoltre, fondamento nei principi generali di correttezza e buona fede (artt. 1175 e 1375 c.c.), che permeano l’intero rapporto obbligatorio e, in particolare, la fase delle trattative precontrattuali. L’art. 1337 c.c. sancisce infatti che le parti sono tenute a comportarsi secondo buona fede nello svolgimento delle trattative e nella formazione del contratto: da ciò discende, tra l’altro, l’obbligo di non abusare delle informazioni ricevute in sede negoziale.
Tuttavia, la sola norma generale non è sufficiente a proteggere pienamente il contenuto tecnico e strategico dell’informazione. Da qui l’utilità pratica dell’NDA, che consente di tipizzare convenzionalmente gli obblighi di riservatezza e i limiti di utilizzo, conferendo certezza giuridica alla disciplina applicabile.
Attraverso la stipulazione di un NDA, le parti delimitano in modo preciso l’ambito informativo soggetto a tutela, e individuano altresì le condotte vietate, le modalità di gestione dei dati e la durata degli obblighi, predisponendo così un presidio giuridico efficace in chiave preventiva e patrimoniale.
NDA e obbligo di riservatezza: delimitazione dell’oggetto e contenuto informativo
Elemento strutturale essenziale di ogni NDA è la clausola che definisce le Informazioni Riservate, ossia l’oggetto del vincolo di segretezza. La delimitazione del contenuto informativo protetto è tanto più rilevante nel contesto delle start-up digitali, ove le informazioni confidenziali possono riguardare non solo dati tradizionalmente protetti dal diritto industriale, ma anche elementi ancora in fase di ideazione o sperimentazione, come algoritmi, software, architetture logiche, modelli predittivi, PoC (Proof-of-Concept), dataset e interfacce prototipali.
La clausola di definizione svolge una funzione sostanziale di delimitazione del perimetro contrattuale e consente alla Parte Comunicante di circoscrivere il contenuto della protezione, evitando interpretazioni ambigue o contestazioni circa la riservatezza dell’informazione. Una formulazione particolarmente efficace è quella secondo cui:
“Ai fini del presente Accordo, per Informazioni Riservate si intendono tutti i dati, i contenuti, i materiali e le conoscenze che la Parte Comunicante renda accessibili alla Parte Ricevente, relativi a soluzioni tecnologiche, algoritmi, software, codice sorgente, prototipi, modelli di business, strategie e documentazione tecnica…”
L’ampiezza della definizione deve essere tuttavia bilanciata da criteri di ragionevolezza e riconoscibilità, evitando che il vincolo si estenda a informazioni già note alla controparte o di dominio pubblico, tema che sarà oggetto di disciplina specifica in altra clausola. È consigliabile, inoltre, estendere la nozione anche al contenuto dell’accordo stesso e al fatto della sua stipula, così da rafforzare la tutela in chiave strategica, specie in fase precompetitiva.
Un NDA ben redatto deve dunque contenere una clausola definitoria che traduca in chiave giuridica ciò che, in termini operativi, costituisce il patrimonio informativo della start-up.
NDA e obblighi della parte ricevente: riservatezza, uso limitato e misure di protezione
La parte ricevente di un NDA è gravata da un insieme articolato di obblighi, il cui rispetto è condizione necessaria per il corretto bilanciamento degli interessi contrattuali e per l’effettiva tutela delle informazioni riservate trasmesse dalla start-up. Tali obblighi non si limitano alla mera astensione dalla divulgazione, ma si estendono a profili di utilizzo, custodia, accesso interno, restituzione, distruzione e responsabilità derivante da uso improprio. Di seguito se ne analizzano i profili essenziali.
a) Obbligo di riservatezza formale e sostanziale
Il fondamento dell’NDA è l’obbligo di riservatezza in senso stretto: la Parte Ricevente è tenuta ad astenersi dal comunicare, diffondere o rendere accessibili a terzi – con qualsiasi mezzo, forma o modalità – le informazioni riservate ricevute. L’estensione di tale divieto va intesa in senso ampio, ricomprendendo anche la comunicazione involontaria, la trasmissione interna non autorizzata e la perdita di dati per difetto di protezione. È prassi raccomandabile prevedere una clausola esplicita secondo cui:
“La Parte Ricevente si impegna a mantenere il più stretto riserbo sulle Informazioni Riservate in qualunque forma ricevute e a salvaguardarle adottando misure di sicurezza non inferiori a quelle utilizzate per proteggere le proprie informazioni più sensibili.”
b) Obbligo di uso limitato e finalismo negoziale
L’NDA deve poi vincolare espressamente la Parte Ricevente all’impiego delle informazioni riservate esclusivamente per le finalità individuate nelle premesse contrattuali, ad esempio l’analisi tecnica, la valutazione economica o la definizione di un’intesa. Ogni uso eccedente tali scopi – come la riproposizione di modelli, la replica di interfacce, l’addestramento di altri algoritmi o il trasferimento di documentazione a soggetti concorrenti – costituisce violazione contrattuale. A tal proposito, una formulazione efficace è la seguente:
“La Parte Ricevente si impegna ad utilizzare le Informazioni Riservate ricevute dall’altra con esclusivo riferimento agli scopi indicati nelle premesse, impegnandosi ad astenersi da qualsiasi altro uso.”
c) Divieto di divulgazione e controllo degli accessi
È altresì necessario che l’NDA imponga alla Parte Ricevente di non rivelare né concedere accesso alle informazioni riservate, salvo che a soggetti interni (dipendenti, collaboratori, consulenti) che abbiano effettiva necessità di accedervi e siano a loro volta vincolati da obblighi di riservatezza. L’accordo deve rendere la Parte Ricevente direttamente responsabile per le violazioni compiute dai propri incaricati. A questo proposito, è utile richiamare testualmente che:
“La Parte Ricevente ha diritto di rivelare e dare accesso alle Informazioni Riservate ai propri dipendenti e consulenti, a condizione che gli stessi ne abbiano necessità in relazione agli scopi indicati nelle premesse ed abbiano sottoscritto un impegno di riservatezza.”.
d) Restituzione e distruzione delle informazioni
Al termine delle trattative, o in caso di recesso dall’accordo, la Parte Ricevente è obbligata a restituire o a distruggere tutte le Informazioni Riservate ricevute, indipendentemente dal supporto su cui esse si trovino. Tale obbligo costituisce un presidio essenziale per impedire la conservazione ingiustificata di materiali riservati e per garantire che l’impegno alla riservatezza non venga eluso attraverso l’accumulo di archivi informali, backup o copie di lavoro.
La disciplina deve prevedere una distinzione tra supporti materiali e digitali:
“Le Informazioni Riservate in formato cartaceo o custodite su supporto materiale dovranno essere restituite alla Parte Comunicante, salvo diversa istruzione; le Informazioni Riservate in formato digitale, inclusi file, documenti elettronici, codici o dati archiviati, dovranno essere definitivamente cancellate da ogni sistema, dispositivo o ambiente informatico della Parte Ricevente o dei suoi incaricati.”
L’NDA può prevedere, a tutela della Parte Comunicante, la possibilità di richiedere una dichiarazione scritta dell’avvenuta distruzione o restituzione, rafforzando l’obbligo di cooperazione e buona fede anche nella fase di chiusura del rapporto. In assenza di tale clausola, il rischio è che la Parte Ricevente continui a disporre di conoscenze acquisite contrattualmente, ma non più legittimate da alcuna finalità lecita.
NDA e informazioni escluse dalla tutela: le eccezioni agli obblighi di riservatezza
L’equilibrio di un NDA dipende anche dalla corretta delimitazione negativa del suo ambito di applicazione, ossia dall’individuazione delle ipotesi in cui le informazioni, pur apparentemente riservate, non sono soggette agli obblighi di segretezza. Si tratta di un aspetto da non trascurare, volto ad evitare una tutela contrattuale illimitata o irragionevole, che potrebbe pregiudicare la libertà operativa della Parte Ricevente e generare contenzioso.
La clausola sulle eccezioni prevede, in genere, che non rientrino tra le Informazioni Riservate:
“(a) le informazioni che la Parte Ricevente dimostri di aver già conosciuto prima della sottoscrizione dell’Accordo; (b) le informazioni già divenute di pubblico dominio al momento della comunicazione; (c) le informazioni acquisite legittimamente da terzi non vincolati da obblighi di riservatezza; (d) le informazioni la cui comunicazione sia imposta da obblighi di legge o da ordini dell’autorità.”
Queste clausole assumono rilevanza soprattutto nel contesto delle start-up digitali, ove la linea di demarcazione tra innovazione proprietaria e conoscenze diffuse può talvolta essere sottile. È perciò prassi che l’onere della prova della sussistenza delle eccezioni gravi sulla Parte Ricevente, la quale dovrà fornire evidenze documentali della preesistenza dell’informazione o della legittimità della fonte.
Particolare attenzione deve essere riservata alla comunicazione obbligatoria per legge: in tal caso, è doveroso prevedere una clausola secondo cui la Parte Ricevente debba dare tempestiva notizia alla Parte Comunicante dell’ordine ricevuto, per consentirle di opporsi alla divulgazione o di limitarne la portata. La clausola di eccezione, se ben strutturata, garantisce equilibrio tra tutela della riservatezza e salvaguardia degli obblighi legali o degli interessi legittimi della Parte Ricevente.
NDA e durata degli obblighi di riservatezza: efficacia postuma e cessazione del rapporto
Una clausola fondamentale all’interno di ogni NDA concerne la durata dell’accordo e, in particolare, il periodo per il quale le obbligazioni di riservatezza continuano a produrre effetti anche dopo la cessazione del rapporto tra le Parti. Nel contesto delle start-up digitali, questa previsione assume rilievo strategico, considerata la frequente interruzione dei contatti senza che si giunga alla formalizzazione di un contratto vero e proprio.
L’accordo deve distinguere tra la durata formale del contratto e la durata degli obblighi di riservatezza. È usuale prevedere una durata fissa, pari ad esempio a due anni dalla sottoscrizione, ma con l’aggiunta di una clausola che estenda l’efficacia del vincolo di riservatezza oltre la scadenza. Una formulazione ricorrente dispone che:
“Gli obblighi di riservatezza, protezione e limitazione d’uso delle Informazioni Riservate resteranno efficaci per un periodo di ulteriori due (2) anni dalla data di cessazione delle trattative o dalla comunicazione di recesso, qualunque ne sia la causa.”
In questo modo, il soggetto che ha comunicato informazioni strategiche può essere ragionevolmente certo che le stesse non vengano sfruttate o divulgate nel periodo immediatamente successivo all’interruzione dei rapporti, fase in cui si registra il maggior rischio di appropriazione impropria. Tale clausola è coerente con i principi di buona fede contrattuale e si fonda sulla necessità di garantire una protezione continuativa delle conoscenze trasferite, indipendentemente dalla sorte dell’intesa.
NDA e clausole accessorie: legge applicabile, foro competente, validità parziale e divieto di cessione
Un modello di NDA destinato ad essere utilizzato da una start-up in contesti variegati, anche internazionali, non può prescindere dall’inserimento di una serie di clausole accessorie, volte a definire con chiarezza l’ordinamento giuridico applicabile, il foro competente, nonché le regole in caso di invalidità parziale del contratto o di cessione dello stesso.
In primo luogo, l’NDA deve individuare in modo espresso la legge applicabile, la quale, nel caso di operatori italiani, è normalmente la legge dello Stato italiano. Tale scelta è tanto più rilevante nel caso in cui la controparte sia estera, onde evitare incertezze interpretative derivanti dall’applicazione di normative straniere. È buona prassi specificare che:
“Il presente Accordo è regolato dalla legge italiana, con esclusione dell’applicazione di norme di conflitto o di rinvio a ordinamenti stranieri.”
Altrettanto rilevante è la clausola sul foro competente, che consente di concentrare la giurisdizione su un tribunale scelto convenzionalmente dalle Parti. Una start-up con sede in Italia può prevedere, ad esempio:
“Ogni controversia relativa al presente Accordo sarà devoluta in via esclusiva alla competenza del Foro di Roma.” Tale clausola garantisce prevedibilità nei rapporti futuri ed evita l’apertura di contenziosi in sedi estere o disagevoli.
Infine, risulta opportuna l’inserzione di un divieto di cessione, volto a impedire che i diritti e gli obblighi derivanti dall’NDA siano trasferiti a terzi senza il consenso della Parte Comunicante, fatta salva la possibilità di cessione in caso di operazioni societarie straordinarie.
NDA per start-up digitali: l’importanza di una consulenza legale specialistica
La redazione di un NDA è la “base di lancio” della strategia di protezione delle informazioni sensibili per tutte le imprese operanti nel settore digitale e, in particolare, per le start-up che sviluppano soluzioni tecnologiche innovative. La natura flessibile e atipica di questo tipo di accordo impone un’attenta personalizzazione delle clausole in funzione del contesto, delle parti coinvolte, del contenuto informativo e delle finalità della condivisione.
Una consulenza giuridica qualificata consente di calibrare con precisione il linguaggio contrattuale, evitando formulazioni generiche o ambigue che rischierebbero di vanificare la protezione cercata.
Allo stesso modo, l’assistenza professionale è utile per individuare le clausole critiche (quali il divieto di concorrenza, la gestione delle informazioni riservate, la responsabilità per uso improprio, le modalità di distruzione dei dati) e per adattare il modello alle specificità del business e delle tecnologie impiegate.
Il nostro Studio, con expertise nel diritto d’impresa e delle nuove tecnologie, offre supporto nella predisposizione di modelli contrattuali personalizzati, assicurando che ogni NDA risponda alle esigenze concrete della start up, e alle aspettative di affidabilità e rigore richieste dai partner, dagli investitori e dal mercato. Contattaci per un confronto senza impegno!
da Redazione | Apr 30, 2025 | Diritto d'Impresa
La costituzione di società a responsabilità limitata rappresenta una delle modalità più ricorrenti mediante le quali un soggetto, persona fisica o giuridica, può avviare un’attività economica organizzata. La società a responsabilità limitata è una società di capitali, disciplinata dagli articoli da 2462 a 2483 del codice civile, dotata di personalità giuridica autonoma e contraddistinta dall’istituto dell’autonomia patrimoniale perfetta.
In forza di tale principio, la società risponde delle obbligazioni assunte con il solo patrimonio sociale, rimanendo escluso l’obbligo patrimoniale diretto in capo ai soci, salvo i casi espressamente previsti dalla legge o derivanti da garanzie personali rilasciate dagli stessi.
A differenza delle società di persone, nelle quali l’elemento soggettivo è centrale e comporta una responsabilità solidale e illimitata dei soci, la società a responsabilità limitata si fonda su una struttura patrimoniale e organizzativa flessibile, adattabile alle più diverse esigenze imprenditoriali. Essa può essere costituita da una pluralità di soci oppure da un solo socio, senza che ciò pregiudichi il regime normativo ordinario. Il legislatore ha inteso offrire uno strumento societario idoneo tanto alla gestione di imprese individuali strutturate, quanto allo sviluppo di iniziative collettive con un alto potenziale di evoluzione. Alle start-up innovative abbiamo dedicato una specifica guida, alla quale facciamo rinvio.
In tale contesto, il presente contributo si propone di offrire una guida sistematica alla costituzione di società a responsabilità limitata, illustrando in modo puntuale e progressivo ciascuna delle fasi e degli adempimenti necessari per l’avvio regolare e conforme alla legge di un’attività economica in forma societaria.
Fase 1 – Studio preliminare e redazione dell’atto costitutivo, dello statuto e dei patti parasociali
Costituzione di società: contenuto obbligatorio dell’atto costitutivo e dello statuto
Nell’ambito della costituzione di società a responsabilità limitata, l’atto costitutivo e lo statuto rappresentano i documenti fondamentali che delineano la struttura genetica e funzionale dell’ente societario. Ai sensi dell’articolo 2463 del codice civile, l’atto costitutivo deve essere redatto in forma di atto pubblico a pena di nullità e può essere predisposto anche da un unico socio. Esso deve contenere, tra gli altri, l’indicazione dei dati anagrafici dei soci, la denominazione sociale, la sede legale, l’oggetto sociale, l’ammontare del capitale, le modalità di conferimento, la composizione dell’organo amministrativo e l’eventuale nomina dell’organo di controllo o del soggetto incaricato della revisione legale dei conti.
Lo statuto, pur potendo essere contenuto nel corpo dell’atto costitutivo o in documento separato, ne costituisce parte integrante e ne condivide la medesima forma pubblica. Esso regola in modo puntuale l’organizzazione interna della società, definendo le regole di funzionamento degli organi sociali, i quorum deliberativi, le modalità di convocazione e svolgimento delle assemblee, la disciplina delle partecipazioni sociali e ogni altra clausola funzionale alla vita societaria. In particolare, lo statuto può prevedere l’attribuzione di diritti particolari a singoli soci, clausole di prelazione, gradimento o esclusione, nonché condizioni specifiche per il trasferimento delle quote.
La costituzione di società richiede pertanto un’attenta attività di redazione dei documenti costitutivi, i quali, oltre a conformarsi alla normativa vigente, devono essere strutturati in modo coerente con le esigenze economiche, strategiche e operative dell’impresa.
Patti parasociali e studio dell’assetto organizzativo: adempimenti preliminari alla costituzione di società
Nel processo di costituzione di società commerciale, la definizione dell’assetto organizzativo e dei rapporti tra i futuri soci si rivela spesso fondamentale per la corretta impostazione dell’impresa e per la prevenzione di futuri conflitti interni.
In tale contesto, l’elaborazione di patti parasociali è un scelta fortemente caldeggiata per regolare accordi che, pur restando esterni rispetto all’atto costitutivo, producono effetti giuridici vincolanti tra i soci in ordine alla governance, alla circolazione delle quote, alla distribuzione degli utili o all’esercizio dei diritti di voto. Ad essi abbiamo dedicato uno specifico approfondimento.
I patti parasociali, disciplinati all’articolo 2341-bis del codice civile (applicabile in via analogica anche alle società a responsabilità limitata), consentono una gestione più flessibile e riservata degli equilibri interni, risultando particolarmente utili in contesti partecipativi complessi o in presenza di soci finanziatori, investitori esterni o gruppi familiari.
Al tempo stesso, lo studio della futura attività imprenditoriale e dei suoi obiettivi richiede un’attenta analisi giuridico-economica delle risorse disponibili, della divisione dei ruoli, della strategia di ingresso nel mercato e dei rischi connessi. L’individuazione della miglior organizzazione dei mezzi e delle funzioni è, pertanto, un passaggio non eludibile e deve precedere la formalizzazione dell’atto costitutivo.
In tale fase, il ruolo dell’avvocato si configura non solo come tecnico del diritto, ma come consulente strategico capace di affiancare i soci fondatori nella costruzione di un’impresa solida, coerente con gli obiettivi perseguiti e conforme alla normativa applicabile.
Fase 2 – Stipula dell’atto pubblico e disciplina dei conferimenti
Forma dell’atto costitutivo e ruolo del notaio
La costituzione di società a responsabilità limitata richiede, quale condizione di validità, la forma dell’atto pubblico, come espressamente previsto dall’articolo 2463 del codice civile. Ciò implica l’intervento obbligatorio di un notaio, il quale riveste una funzione centrale non solo in qualità di pubblico ufficiale rogante, ma anche come soggetto deputato al controllo di legalità dell’atto.
L’atto costitutivo redatto in forma pubblica garantisce infatti l’accertamento della volontà delle parti, la verifica della capacità giuridica dei contraenti, la conformità delle clausole statutarie alla legge e la sussistenza delle condizioni prescritte per la validità della società.
Nel procedimento di costituzione di società, il notaio svolge una funzione essenziale di “filtro” tra l’autonomia privata dei soci fondatori e l’ordinamento giuridico, assicurando che l’atto costitutivo sia idoneo a produrre effetti giuridici validi e opponibili. Solo attraverso questa fase di formalizzazione pubblica si pone il presupposto legale per procedere agli adempimenti successivi, primo tra tutti l’iscrizione nel Registro delle Imprese.
Costituzione di società: versamento del capitale sociale e disciplina dei conferimenti
Nel procedimento di costituzione di società a responsabilità limitata, l’effettuazione dei conferimenti è contestuale alla stipula dell’atto costitutivo. Ai sensi dell’articolo 2464 del codice civile, i soci devono conferire beni o diritti suscettibili di valutazione economica, che costituiscono il patrimonio iniziale della società.
I conferimenti, in via generale, avvengono in denaro mediante assegni circolari, consegnati nelle mani dell’amministratore designato all’atto costitutivo, come espressamente previsto dalla prassi notarile e dalla disciplina societaria.
Nelle S.r.l. ordinarie, quando il capitale sociale è pari o superiore a euro 10.000,00, la legge consente che i soci versino, al momento della costituzione, solo il venticinque per cento del capitale sottoscritto in denaro, ferma restando l’obbligazione di versare l’intero ammontare in un momento successivo. Tale obbligazione residua ha natura giuridica di debito verso la società e grava su ciascun socio in misura proporzionale alla quota sottoscritta.
L’integrale versamento dovrà avvenire nei tempi e con le modalità stabilite dall’assemblea o dall’organo amministrativo, potendo la società esigere coattivamente l’adempimento. Diversamente, nel caso di S.r.l. unipersonale, il versamento deve avvenire per intero contestualmente alla costituzione, a tutela del principio di effettività patrimoniale.
Ove il conferimento abbia ad oggetto beni in natura, crediti o prestazioni d’opera, il valore del conferimento deve essere determinato con precisione e documentato, nei casi richiesti, mediante relazione giurata di stima redatta da un revisore legale.
I conferimenti non in denaro devono essere eseguiti integralmente all’atto costitutivo, e la loro esecuzione condiziona la validità dell’operazione. Una valutazione errata o inattendibile del valore dei beni conferiti può determinare squilibri patrimoniali, profili di responsabilità del conferente e potenziali invalidità statutarie.
Fase 3 – Iscrizione della società al Registro delle Imprese
Cosa accade dopo la costituzione di società: iscrizione al Registro delle Imprese e acquisizione della personalità giuridica
La costituzione di società commerciale si perfeziona mediante l’iscrizione dell’atto costitutivo nel Registro delle Imprese, la quale segna il momento genetico della personalità giuridica. Ai sensi dell’articolo 2330, comma 1, del codice civile, è compito del notaio rogante provvedere al deposito dell’atto costitutivo entro il termine perentorio di dieci giorni dalla stipula, presso l’ufficio del Registro delle Imprese competente in base alla sede legale della società.
L’iscrizione ha effetto costitutivo, nel senso che solo con essa la società acquista la capacità di essere titolare di diritti e obblighi giuridici e può validamente operare sul mercato.
L’ufficio del Registro delle Imprese è chiamato a verificare la regolarità formale della documentazione depositata e a riscontrare la sussistenza delle condizioni richieste dall’articolo 2329 del codice civile, ovvero: la sottoscrizione integrale del capitale sociale, la regolarità dei conferimenti (con particolare riferimento agli articoli 2342, 2343 e 2343-ter c.c.), nonché l’acquisizione delle autorizzazioni eventualmente previste da normative settoriali. Il notaio, tuttavia, svolge un controllo sostanziale e preliminare più ampio, volto a garantire il rispetto della legge già nella fase redazionale dell’atto costitutivo.
Senza l’iscrizione nel Registro delle Imprese la costituzione di società commerciale è un contenitore vuoto: essa non può operare e per gli atti eventualmente compiuti sono responsabili i soggetti che li hanno posti in essere, come stabilito dall’articolo 2331 c.c. (“Con l’iscrizione nel registro la società acquista la personalità giuridica. Per le operazioni compiute in nome della società prima dell’iscrizione sono illimitatamente e solidalmente responsabili verso i terzi coloro che hanno agito. Sono altresì solidalmente e illimitatamente responsabili il socio unico fondatore e quelli tra i soci che nell’atto costitutivo o con atto separato hanno deciso, autorizzato o consentito il compimento dell’operazione”).
Fase 4 – Attribuzione della partita IVA e adempimenti funzionali all’operatività
Quali sono gli adempimenti necessari dopo l’iscrizione nel Registro delle Imprese?
Completata l’iscrizione presso il Registro delle Imprese, la costituzione di società a responsabilità limitata (o altra società commerciale) prosegue con l’esecuzione di ulteriori adempimenti amministrativi necessari per acquisire la piena operatività giuridico-fiscale.
In primo luogo, è necessario richiedere l’attribuzione del codice fiscale e della partita IVA, mediante presentazione del relativo modello all’Agenzia delle Entrate. Tale richiesta può essere contestuale alla pratica di Comunicazione Unica, che consente di assolvere, mediante un’unica trasmissione telematica, tutti gli obblighi anagrafici, previdenziali, assistenziali e fiscali previsti dalla normativa.
Tra gli adempimenti successivi alla costituzione di società, rientrano l’iscrizione all’INPS per la posizione aziendale e, se vi sono dipendenti o soci lavoratori, l’iscrizione alla gestione previdenziale appropriata.
Inoltre, se la società esercita attività che comportano rischi specifici, è obbligatoria anche l’iscrizione all’INAIL per la copertura assicurativa contro gli infortuni sul lavoro. Non può poi essere omessa la comunicazione al Comune territorialmente competente dell’inizio dell’attività, attraverso la presentazione della SCIA (Segnalazione Certificata di Inizio Attività), ove prevista per il settore economico considerato.
Alcune attività regolamentate, quali ad esempio quelle nel settore sanitario, finanziario, edilizio o alimentare, richiedono anche autorizzazioni specifiche o l’iscrizione a registri settoriali, la cui assenza preclude l’effettivo esercizio dell’attività.
La consulenza legale, in questa fase risulta spesso determinante per garantire il coordinamento e il corretto svolgimento di tutti gli obblighi, assicurando che la società sia pienamente conforme al quadro normativo e abilitata a operare regolarmente.
Assistenza e consulenza legale per l’avvio d’impresa e la gestione societaria
Nella costituzione di società commerciale, è fondamentale poter contare su un’assistenza qualificata, capace di guidare l’imprenditore nelle scelte più rilevanti e di garantire la regolarità di ogni passaggio. Il nostro Studio Legale offre una consulenza integrata e multidisciplinare, finalizzata ad assicurare una costituzione conforme, tempestiva e strategicamente efficace della società.
In particolare, affianchiamo i nostri clienti nella scelta del tipo societario più idoneo agli obiettivi imprenditoriali, valutando gli aspetti normativi ed economici connessi. Redigiamo in modo personalizzato l’atto costitutivo e lo statuto, curando ogni clausola rilevante per la governance, la circolazione delle quote, la distribuzione degli utili e l’ingresso di nuovi soci. Elaboriamo patti parasociali per disciplinare in via riservata i rapporti tra i soci, anche in presenza di investitori, gruppi familiari o soci di capitali.
Lo Studio provvede inoltre a coordinare tutti gli adempimenti formali connessi alla costituzione di società, gestendo i rapporti con il notaio e con gli enti pubblici coinvolti nella procedura autorizzatoria.
Grazie a una consolidata esperienza nel diritto societario e nella consulenza d’impresa, lo Studio è in grado di offrire un servizio completo, efficiente e coerente con la visione di crescita dell’imprenditore.
Contattaci per ricevere una consulenza personalizzata e pianificare in modo consapevole e sicuro la costituzione della tua società.
| Fase |
Attività di supporto legale dello Studio |
| Costituzione di società
Fase 1
Studio preliminare e redazione dell’atto costitutivo, dello statuto e dei patti parasociali |
· Analisi giuridica del progetto imprenditoriale
· Scelta del tipo societario più idoneo
· Redazione personalizzata di atto costitutivo e statuto-
· Redazione e formalizzazione di patti parasociali |
| Costituzione di società
Fase 2
Stipula dell’atto pubblico e disciplina dei conferimenti |
· Coordinamento con il notaio
· Verifica dei conferimenti
· Predisposizione della documentazione di supporto
· Assistenza alla corretta formalizzazione dell’atto pubblico |
| Costituzione di società
Fase 3
Iscrizione della società al Registro delle Imprese |
· Controllo della documentazione da depositare
· Verifica della regolarità formale e sostanziale dell’iscrizione |
| Costituzione di società
Fase 4
Attribuzione di partita IVA, iscrizione presso enti pubblici e altri adempimenti operativi |
· Coordinamento con commercialista e consulenti fiscali
· Supporto per SCIA, autorizzazioni e iscrizioni obbligatorie
· Assistenza continuativa all’avvio operativo della società |
da Redazione | Apr 22, 2025 | Diritto d'Impresa
Quali sono le prossime scadenze NIS per l’anno 2025? È questa la domanda che molte organizzazioni classificate come soggetti essenziali o importanti si pongono all’approssimarsi del termine del 31 maggio.
Come noto, in attuazione della Direttiva (UE) 2022/2555, l’Italia ha adottato il Decreto Legislativo 4 settembre 2024, n. 138, che ha introdotto un articolato sistema di obblighi in materia di cybersicurezza. Tra questi, uno degli adempimenti fondamentali riguarda l’aggiornamento e la trasmissione annuale all’Agenzia per la Cybersicurezza Nazionale (ACN) di una serie di informazioni rilevanti ai fini della gestione del rischio e della resilienza dei servizi digitali.
Secondo quanto stabilito dall’art. 7, comma 4, del decreto, i soggetti che hanno ricevuto formale classificazione da parte dell’ACN come essenziali o importanti devono, a partire dal 15 aprile ed entro la scadenza del 31 maggio, aggiornare o confermare tramite la piattaforma digitale istituita dall’Agenzia una serie di dati tecnici, organizzativi e identificativi. Le scadenze NIS 2025 si inseriscono in un processo annuale di verifica e validazione che costituisce il presupposto per una vigilanza efficace e per l’integrazione nel sistema europeo di cybersicurezza.
L’obiettivo del presente articolo è quello di illustrare in modo sistematico e conforme al dato normativo quali adempimenti devono essere assolti e quali sono le scadenze NIS, chiarendo la portata delle informazioni da trasmettere, i soggetti coinvolti e le conseguenze di un eventuale inadempimento.
Scadenze NIS: cosa devono comunicare i soggetti essenziali e importanti
Nell’ambito degli obblighi imposti dal Decreto Legislativo 4 settembre 2024, n. 138, le scadenze NIS 2025 assumono un rilievo operativo di primaria importanza per tutti i soggetti classificati come essenziali e importanti (qui un approfondimento sulla formazione dell’elenco degli operatori NIS). In conformità a quanto disposto dall’art. 7, comma 4, tali soggetti sono tenuti, annualmente e con decorrenza dal 15 aprile, a trasmettere all’Agenzia per la Cybersicurezza Nazionale (ACN) un insieme di informazioni aggiornate che riguardano l’assetto tecnico e organizzativo dell’ente.
Tali dati devono essere inviati telematicamente tramite l’apposita piattaforma digitale NIS, e l’adempimento deve avvenire entro e non oltre il 31 maggio 2025.
Più precisamente, la norma richiede l’aggiornamento di almeno quattro categorie di informazioni. In primo luogo, devono essere comunicati lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto, elementi essenziali per la mappatura delle superfici esposte a rischio.
In secondo luogo, ove applicabile, occorre indicare l’elenco degli Stati membri dell’Unione europea in cui l’organizzazione fornisce servizi che rientrano nell’ambito di applicazione del decreto.
Devono poi essere identificati i responsabili ai sensi dell’art. 38, comma 5, ossia le persone fisiche che esercitano poteri decisionali o di rappresentanza e che, pertanto, sono giuridicamente tenute a garantire il rispetto della disciplina.
Infine, si richiede la designazione di un sostituto del punto di contatto già comunicato ai sensi dell’art. 7, comma 1, con l’indicazione del relativo ruolo e dei recapiti aggiornati, inclusi indirizzo e-mail e numero di telefono.
I dati da verificare sulla piattaforma ACN secondo la Determina n. 36117/2025
In vista delle scadenze NIS 2025, la Determinazione del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale n. 36117 del 10 aprile 2025 ha definito in modo puntuale le modalità operative per l’accesso e l’utilizzo della piattaforma digitale NIS, nonché l’elenco delle informazioni aggiuntive che i soggetti devono verificare e confermare entro il 31 maggio 2025, nell’ambito del processo annuale di aggiornamento. Il riferimento principale è costituito dagli articoli 15 e 16 del provvedimento, i quali delineano un articolato insieme di attività che devono essere svolte dagli utenti abilitati in rappresentanza del soggetto obbligato.
Ai sensi dell’art. 15, comma 1, il processo di aggiornamento si svolge dal 15 aprile al 31 maggio di ciascun anno, tramite il servizio denominato “NIS/Aggiornamento annuale”, con l’obbligo per tutti i soggetti NIS di assicurare la correttezza dei dati trasmessi.
Le informazioni da verificare includono, tra l’altro, i dati anagrafici e di contatto del soggetto NIS, il codice fiscale, la denominazione, la sede legale, l’identità del rappresentante legale, l’elenco dei procuratori generali, nonché il numero di telefono, il domicilio digitale e un indirizzo di posta elettronica ordinaria funzionale. L’articolo 15 richiede inoltre l’aggiornamento dell’elenco dei componenti degli organi di amministrazione e direttivi, dei servizi offerti nell’Unione europea, dello spazio di indirizzamento IP pubblico, dei domini registrati e degli eventuali accordi di condivisione delle informazioni.
L’art. 16 impone che, ai fini della conformità all’art. 7, comma 4, lettera c), del D. Lgs. 138/2024, i soggetti elenchino i codici fiscali e gli indirizzi di posta elettronica certificata delle persone fisiche che compongono gli organi di amministrazione e direttivi.
Tali dati devono essere confermati dal punto di contatto ed accettati dai soggetti stessi accedendo al Portale ACN, secondo la procedura prevista.
Scadenze NIS: il ruolo dei responsabili e degli organi direttivi
Il rispetto delle scadenze NIS non può prescindere dal coinvolgimento attivo e consapevole dei soggetti apicali delle organizzazioni classificate come essenziali o importanti. Il legislatore ha inteso attribuire una responsabilità diretta e personale agli organi di amministrazione e agli organi direttivi, chiamati non solo a sovrintendere all’adempimento degli obblighi previsti dal decreto, ma anche ad approvare le modalità di implementazione delle misure di sicurezza adottate ai sensi dell’art. 24.
In tal senso, l’art. 23 del D. Lgs. 138/2024 stabilisce che tali organi devono altresì assicurare l’adempimento degli obblighi informativi e comunicativi previsti dall’art. 7, con espressa previsione di responsabilità per le eventuali violazioni.
È opportuno rilevare che la nozione di “organi di amministrazione” e “organi direttivi” non è definita in modo univoco dalla normativa vigente, né dal decreto né dalla Direttiva NIS 2, e la sua applicazione concreta può risultare non agevole, specialmente in presenza di strutture organizzative complesse o articolate. Pertanto, i soggetti essenziali e importanti sono chiamati a operare una valutazione accurata dell’assetto interno, con riferimento alle effettive funzioni esercitate e ai poteri di gestione o indirizzo strategico attribuiti alle singole figure apicali.
In tale ottica, avvalersi di una consulenza specialistica può risultare determinante per garantire l’individuazione corretta dei soggetti responsabili e per assicurare una trasmissione conforme e completa delle informazioni richieste entro le scadenze NIS.
Oltre a ciò, il medesimo art. 23 impone ai componenti degli organi direttivi un obbligo di formazione in materia di sicurezza informatica, con il compito di promuovere percorsi formativi periodici anche per i dipendenti, così da accrescere la capacità complessiva dell’organizzazione di individuare i rischi cyber e di gestirli in modo strutturato. Gli organi devono inoltre essere informati con cadenza periodica (o comunque tempestivamente) degli incidenti e delle notifiche di cui agli articoli 25 e 26 del decreto.
Ulteriore responsabilità individuale è prevista per le persone fisiche che, pur non appartenendo formalmente agli organi collegiali, esercitano poteri decisionali o rappresentano legalmente l’organizzazione. In base all’art. 38, comma 5, infatti, “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto”. Dette persone possono essere ritenute responsabili dell’inadempimento in caso di violazione delle disposizioni normative.
Alla luce di tali previsioni, è evidente l’obbligo comunicativo non si configura come un mero adempimento amministrativo, bensì come un passaggio determinante nella governance della cybersicurezza, destinato a incidere sulle responsabilità giuridiche e operative dei vertici aziendali.
Scadenze NIS: conseguenze in caso di mancata comunicazione
Il mancato rispetto delle scadenze NIS è sanzionato in modo significativo dal legislatore. In particolare, l’art. 38 del D. Lgs. 138/2024, ai commi 10 e 11, stabilisce un apparato sanzionatorio amministrativo pecuniario a carico dei soggetti classificati come essenziali o importanti che omettano di comunicare o aggiornare le informazioni richieste nei termini stabiliti.
La disposizione prevede che, in caso di violazione degli obblighi di comunicazione di cui all’art. 7, comma 4 e in genere, delle scadenza NIS, l’Agenzia per la Cybersicurezza Nazionale possa irrogare una sanzione amministrativa fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale, riferito all’esercizio precedente del soggetto obbligato.
Il dato normativo è chiaro nell’indicare che la responsabilità per l’inosservanza delle scadenze NIS può ricadere non soltanto sull’ente, ma anche su specifiche figure apicali, come previsto dall’art. 38, comma 5, laddove si accerti che la mancata comunicazione dipenda da condotte omissive o negligenti di soggetti titolari di poteri decisionali o di rappresentanza.
Scadenze NIS: il valore di una consulenza esperta nella gestione degli adempimenti
Sebbene gli obblighi informativi da adempiere possano apparire, a un primo sguardo, di natura meramente compilativa e amministrativa, l’esperienza dimostra come la corretta esecuzione degli adempimenti richieda un’attenta valutazione sotto il profilo giuridico e organizzativo.
La trasmissione dei dati tramite la piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale, infatti, non si esaurisce in un semplice aggiornamento formale, ma implica la corretta identificazione dei soggetti responsabili, l’attribuzione di ruoli conformi a quanto previsto dalla normativa e la verifica puntuale della completezza e veridicità delle informazioni rese.
In particolare, come evidenziato nei precedenti paragrafi, la nozione di organi di amministrazione e organi direttivi non risulta agevolmente determinabile in tutti i contesti, specialmente in presenza di strutture complesse, articolazioni interne o assetti societari non lineari. Una valutazione sommaria o approssimativa potrebbe condurre all’inserimento in piattaforma di dati non conformi, esponendo l’organizzazione al rischio di sanzioni, anche personali, e compromettendo il rapporto di collaborazione con l’autorità di vigilanza.
In questa prospettiva, affidarsi all’assistenza di uno studio legale con expertise specifica in materia di cybersicurezza può rappresentare un fattore determinante per assicurare una gestione rigorosa e tempestiva degli obblighi.
Siamo a disposizione per un confronto sulle scelte operative della PA o dell’azienda nella fase di analisi organizzativa interna, al fine di assicurare il rispetto delle scadenze NIS per l’anno in corso.
Scadenze previste dal D. Lgs. 138/2024 (Direttiva NIS 2), con focus sugli adempimenti e obblighi di cybersicurezza per le imprese.
da Redazione | Apr 15, 2025 | Diritto d'Impresa
La registrazione del software, pur non costituendo un adempimento obbligatorio ai fini dell’acquisizione del diritto d’autore, rappresenta uno strumento di primaria rilevanza sotto il profilo giuridico e probatorio. Il diritto d’autore, infatti, tutela automaticamente l’opera dell’ingegno sin dal momento della sua creazione, a condizione che essa possieda il requisito dell’originalità ai sensi dell’art. 2, n. 8, della Legge 22 aprile 1941, n. 633.
Tuttavia, in assenza di un sistema pubblico di accertamento formale della paternità e della data di creazione, l’onere della prova in caso di contestazione grava sull’autore o sul titolare dei diritti. In tale prospettiva, la registrazione del software si configura come un presidio giuridico per attribuire certezza legale all’identità dell’autore, alla titolarità dei diritti e all’anteriorità dell’opera rispetto a eventuali rivendicazioni concorrenti.
In ambito imprenditoriale, inoltre, la registrazione del software assume ulteriore rilievo quale elemento idoneo a soddisfare specifici requisiti normativi. In particolare, l’art. 25, comma 2, del Decreto-Legge 18 ottobre 2012, n. 179, nel definire le condizioni per l’iscrizione nella sezione speciale delle startup innovative, richiede che la società sia titolare, depositaria o licenziataria di almeno un brevetto ovvero di un software registrato.
Sebbene la registrazione non sia imposta come un obbligo generalizzato, essa diventa, in casi normativamente tipizzati come quello testé menzionato, una condizione necessaria per accedere a specifici benefici giuridici e fiscali. La registrazione del software si pone dunque non solo come mezzo di tutela, ma anche come chiave di accesso a misure di incentivazione e riconoscimento dell’innovazione nel sistema economico nazionale.
Dopo aver approfondito, in un precedente contributo, i presupposti di brevettabilità del software e le peculiarità della tutela industriale, nel presente articolo ci si concentra sulla registrazione del software quale strumento volto a rafforzare la protezione legale dell’opera dell’ingegno attraverso modalità formali riconosciute dall’ordinamento.
Registrazione del software e tutela brevettuale: profili distintivi
Nel contesto della protezione giuridica del software, è essenziale distinguere con chiarezza la registrazione del software ai fini del diritto d’autore dalla tutela brevettuale prevista dal Codice della Proprietà Industriale. Le due forme di protezione si fondano su presupposti differenti, operano su piani giuridici distinti e producono effetti di diversa portata.
La registrazione del software, riconducibile all’ambito del diritto d’autore, riguarda la tutela dell’opera nella sua forma espressiva, ossia del codice sorgente quale prodotto creativo dell’ingegno umano. Tale protezione, che sorge automaticamente con la creazione dell’opera, ha per oggetto la specifica modalità con cui l’autore ha dato forma al programma, indipendentemente dalla funzione tecnica o dall’effetto che esso è in grado di produrre.
La tutela brevettuale, al contrario, è riservata a quei programmi per elaboratore che, integrandosi con un processo tecnico o con una soluzione innovativa, risultino idonei a soddisfare i requisiti di novità, attività inventiva e applicabilità industriale, come richiesto dagli articoli 45 e seguenti del Decreto Legislativo 10 febbraio 2005, n. 30.
In questo caso, l’oggetto della protezione non è la forma del codice, bensì la soluzione tecnica sottesa al software e il risultato industriale che essa consente di ottenere. Mentre il diritto d’autore consente di vietare la riproduzione o la diffusione non autorizzata del codice nella sua espressione letterale, il brevetto conferisce al titolare il diritto esclusivo di impedire a terzi la realizzazione della stessa invenzione funzionale, anche se implementata con codice differente.
Ne deriva che la registrazione del software, pur offrendo una tutela efficace sotto il profilo espressivo, non impedisce la riproduzione dell’idea funzionale sottostante, se non protetta da brevetto. Per tale ragione, le due forme di protezione sono tra loro diverse, e devono essere valutate in funzione della natura dell’opera e degli obiettivi attesi.
Registrazione del software presso la SIAE: disciplina ed efficacia giuridica
Tra le modalità riconosciute per formalizzare la registrazione del software, il deposito presso la Società Italiana degli Autori ed Editori (SIAE) rappresenta – per così dire – la via più istituzionale. La registrazione presso la SIAE consente al titolare del software di ottenere un attestato di deposito recante data certa, con effetto probatorio opponibile a terzi.
Tale attestazione non incide sull’esistenza del diritto d’autore, che nasce ex lege al momento della creazione dell’opera ai sensi dell’art. 6 della Legge 22 aprile 1941, n. 633 (“Il titolo originario dell’acquisto del diritto di autore è costituito dalla creazione dell’opera, quale particolare espressione del lavoro intellettuale”), ma fornisce uno strumento documentale utile a comprovare la titolarità dell’opera, la sua esistenza a una determinata data e la specifica forma espressiva del codice sorgente. In questo senso, la registrazione del software presso la SIAE assolve una funzione certificativa che si rivela determinante in sede di contenzioso o per l’accesso a bandi o agevolazioni pubbliche.
La procedura di registrazione del software presso la SIAE si articola in una serie di adempimenti di natura documentale, tra cui la presentazione del modulo di richiesta, una descrizione tecnica dell’opera, una porzione significativa del codice sorgente (solitamente in formato .pdf) e una dichiarazione sostitutiva di atto notorio in cui il dichiarante attesti la titolarità del software e l’originalità dell’elaborato.
La SIAE, pur non effettuando una valutazione qualitativa del contenuto del codice, si limita a custodire e certificare il materiale depositato, garantendo la riservatezza dell’opera e la possibilità per il titolare di far valere i propri diritti patrimoniali e morali con il supporto di un documento ufficiale.
Ai sensi dell’art. 2704 del Codice civile, la data riportata nell’attestazione di deposito acquisisce efficacia legale e costituisce prova certa nei confronti di terzi. In conclusione, la registrazione del software presso la SIAE si configura come uno strumento di alto profilo per consolidare il regime giuridico di protezione dell’opera, rappresentando una scelta preferenziale per le imprese che intendano tutelare i propri diritti.
Registrazione del software mediante atto notarile
La registrazione del software può essere validamente effettuata anche tramite atto notarile, nelle forme dell’atto pubblico o della scrittura privata autenticata. Tale modalità consente di attribuire al deposito del software un valore probatorio rafforzato, grazie all’intervento di un pubblico ufficiale che garantisce l’identità delle parti, la data dell’atto e la conformità formale della documentazione allegata.
Invero, ai sensi dell’art. 2700 del Codice civile, l’atto pubblico fa piena prova, fino a querela di falso, della provenienza del documento dal pubblico ufficiale che lo ha redatto, delle dichiarazioni delle parti e degli altri fatti che il notaio attesti avvenuti in sua presenza (tra cui la struttura del codice sorgente).
La forma notarile offre ulteriori garanzie sul piano della riservatezza, della conservazione nel tempo e della possibilità di aggiornamento del contenuto depositato. È prassi consolidata allegare all’atto una descrizione funzionale del software e una copia del codice sorgente, integralmente o per estratti significativi, redatti in modo da permettere l’individuazione dell’opera e la sua riconducibilità al dichiarante.
A differenza della registrazione presso la SIAE, l’intervento notarile consente altresì di formalizzare contestualmente clausole contrattuali tra le parti, come patti di riservatezza, impegni di sviluppo o attribuzione dei diritti in ambito aziendale o tra coautori. Ciò conferisce alla registrazione del software mediante atto notarile una potenziale dimensione negoziale, idonea a supportare l’organizzazione dei rapporti giuridici sottostanti alla creazione e allo sfruttamento dell’opera.
In tale prospettiva, la forma pubblica si rivela particolarmente adatta nei contesti imprenditoriali, start-up e joint venture tecnologiche, in cui la certezza giuridica costituisce un valore importante per l’affermazione competitiva sul mercato.
Registrazione del software con validazione temporale: modalità “alternative”
La registrazione del software può avvenire anche mediante l’impiego di strumenti digitali idonei a conferire data certa, autenticità e integrità al documento informatico contenente l’opera. Tale modalità trova fondamento giuridico nel quadro normativo delineato dal Codice dell’Amministrazione Digitale (D. Lgs. 7 marzo 2005, n. 82) e nel Regolamento (UE) n. 910/2014 (eIDAS), che disciplina i servizi fiduciari qualificati in ambito elettronico.
Ai sensi dell’art. 20, comma 1-bis, del Codice dell’Amministrazione Digitale, la data e l’ora di formazione di un documento informatico sono opponibili a terzi se apposte mediante firma elettronica qualificata o altro sistema che consenta di stabilire con certezza il momento della creazione del documento stesso. La validazione temporale, specie se associata a firma digitale, conferisce al documento un valore giuridico che lo rende equiparabile, sotto il profilo probatorio, a un atto dotato di data certa ex art. 2704 del Codice civile.
In questo contesto, la registrazione del software si realizza mediante il deposito, in formato elettronico, di una copia del codice sorgente e della documentazione tecnica allegata, da sottoporre a marcatura temporale presso un prestatore di servizi fiduciari qualificato, iscritto nell’elenco pubblico tenuto da AgID.
Tale operazione può avvenire in autonomia da parte del titolare o con l’assistenza di un soggetto terzo abilitato, e consente di ottenere un certificato elettronico attestante la data e l’immutabilità del contenuto depositato.
Sebbene la validazione temporale non comporti il deposito presso un ente pubblico, essa soddisfa pienamente i requisiti di certezza e tracciabilità richiesti dall’ordinamento, risultando particolarmente adatta nei contesti in cui sia necessario versionare frequentemente il software, tutelare singole evoluzioni successive o operare in ambienti digitali dinamici.
Tra le modalità riconosciute per la registrazione del software, merita attenzione anche il servizio reso disponibile da alcune Camere di Commercio, che consente di ottenere una marcatura temporale legalmente valida attraverso un sistema di deposito digitale certificato.
Il servizio, accessibile mediante l’area riservata del portale DIRE (Deposito Informatico Registrazioni Elettroniche), consente a imprese, professionisti e persone fisiche di depositare un documento informatico contenente il codice sorgente o la documentazione descrittiva del software, ottenendo contestualmente una marca temporale qualificata che ne certifica la data di esistenza e ne garantisce l’integrità. La procedura è conforme ai requisiti tecnici e giuridici stabiliti dal Regolamento (UE) n. 910/2014 (eIDAS) e dal Codice dell’Amministrazione Digitale (D. Lgs. 82/2005), in quanto prevede l’utilizzo di un sistema di firma digitale e conservazione a norma, gestito da un prestatore di servizi fiduciari qualificato.
Supporto legale nella registrazione del software: perché rivolgersi a un avvocato?
Nel quadro normativo attuale, la registrazione del software riveste una funzione particolarmente rilevante per le start-up innovative, ossia per quelle società di capitali che, ai sensi dell’art. 25, comma 2, del Decreto-Legge 18 ottobre 2012, n. 179, possono accedere a un regime agevolato se in possesso di determinati requisiti oggettivi e soggettivi.
Tra questi ultimi, è espressamente previsto che la società sia titolare, depositaria o licenziataria di almeno un brevetto o di un software registrato. In tal senso, la registrazione del software non è soltanto uno strumento di tutela, ma costituisce anche una condizione legale per il riconoscimento dello status di impresa innovativa, con tutti i benefici che ne derivano in termini fiscali, societari e di accesso semplificato a procedure pubbliche e private di finanziamento.
Le modalità di registrazione analizzate nel presente articolo – deposito presso la SIAE, atto notarile o deposito camerale – appaiono idonee a tal fine. Ma la scelta sulla modalità in concreto più opportuna è il frutto di una valutazione strategica e di convenienza in relazione alla specifica natura del software e all’utilizzo che ne viene fatto.
Oltre al contesto delle start-up, la registrazione del software rappresenta in generale un presidio giuridico di fondamentale importanza per qualsiasi soggetto economico o professionale che intenda attribuire certezza alla propria paternità creativa, prevenire contenziosi, regolamentare i rapporti giuridici con soggetti terzi o consolidare il valore di mercato dell’opera.
È in questa prospettiva che si comprende appieno il ruolo dell’assistenza legale nella gestione strategica della proprietà intellettuale: un avvocato può orientare nella scelta dello strumento di registrazione più adeguato al contesto operativo, redigere i necessari accordi di sviluppo, licenza e riservatezza, predisporre dichiarazioni autoriali coerenti con le esigenze probatorie e, più in generale, assicurare che l’intera architettura giuridica che circonda il software sia coerente con le aspettative economiche dell’impresa.
Il nostro Studio Legale assiste imprese, professionisti e start-up nell’intero percorso di tutela del software, offrendo supporto qualificato in materia di diritto dell’innovazione e delle nuove tecnologie. Contattaci per un confronto!
Studio legale D’Agostino. Protezione del software e assistenza legale su programmi per elaboratore e diritto d’autore.
da Redazione | Apr 14, 2025 | Diritto d'Impresa
Tutto pronto per la formazione dell’elenco dei soggetti NIS?
Nell’ambito della prima fase attuativa del decreto legislativo 4 settembre 2024, n. 138, recante attuazione della Direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2), l’Agenzia per la Cybersicurezza Nazionale ha avviato in questi giorni l’invio delle comunicazioni formali di inserimento nell’elenco dei soggetti NIS a favore delle organizzazioni che hanno completato la procedura di registrazione nei termini previsti.
Tale attività si inserisce in un percorso più ampio di definizione del perimetro applicativo della normativa nazionale in materia di cybersicurezza, ed è volta a notificare ufficialmente ai soggetti interessati la loro riconducibilità all’ambito soggettivo delineato dagli articoli 3 e 7 del decreto.
La comunicazione viene trasmessa tramite posta elettronica certificata e si fonda su una Determinazione del Direttore Generale dell’Agenzia, che ha accolto (o eventualmente modificato) le valutazioni preliminari rilasciate in fase di registrazione, anche previa consultazione con l’Autorità di settore competente.
L’inserimento nell’elenco dei soggetti NIS comporta per l’organizzazione l’obbligo di conformarsi a un articolato regime di adempimenti, tra cui l’adozione di misure tecniche e organizzative di sicurezza, la notifica degli incidenti e l’aggiornamento costante delle informazioni registrate presso il portale dei servizi ACN.
Sotto il profilo sostanziale, l’effetto principale della comunicazione consiste nell’attribuzione della qualifica di soggetto “essenziale” o “importante”, con l’ulteriore conseguenza dell’assoggettamento a vigilanza, ispezioni e responsabilità specifiche.
Tuttavia, la natura amministrativa del procedimento e il carattere unilaterale del provvedimento consentono alle organizzazioni di attivare, entro termini determinati, importanti strumenti di tutela dei propri interessi, soprattutto qualora sussistano dubbi o contestazioni circa la correttezza dell’inquadramento operato dall’Autorità. I paragrafi che seguono illustreranno i principali rimedi esperibili da parte dei soggetti destinatari della comunicazione di inserimento nell’elenco dei soggetti NIS.
La registrazione al portale e la fase preliminare dell’inserimento nell’elenco dei soggetti NIS
Ai sensi dell’articolo 7 del decreto legislativo 4 settembre 2024, n. 138, i soggetti pubblici e privati potenzialmente rientranti nell’ambito di applicazione della normativa in materia di cybersicurezza avevano l’onere di provvedere alla propria registrazione tramite l’apposita piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale.
Il termine ultimo per la trasmissione della dichiarazione di registrazione era stato fissato al 28 febbraio 2025, come indicato dal combinato disposto degli articoli 7 e 42 del decreto. Tale adempimento si configurava quale presupposto necessario per consentire all’ACN di avviare il procedimento di individuazione dei soggetti “essenziali” e “importanti” da includere nell’elenco dei soggetti NIS, sulla base di criteri normativi e valutazioni tecnico-settoriali.
La procedura di registrazione è avvenuta attraverso il Portale dei Servizi dell’Agenzia, accessibile all’indirizzo portale.acn.gov.it, mediante l’invio telematico di una dichiarazione strutturata secondo un modello predefinito.
All’interno della piattaforma, le organizzazioni hanno avuto modo non soltanto di fornire le informazioni richieste in modo standardizzato, ma anche di compilare un campo libero, espressamente previsto per permettere agli operatori di inserire eventuali elementi informativi integrativi ritenuti utili ai fini della corretta valutazione da parte dell’Autorità.
In particolare, molte organizzazioni hanno utilizzato tale spazio per segnalare circostanze rilevanti ai fini di una potenziale esclusione dall’ambito soggettivo della disciplina, come ad esempio la non appartenenza a settori critici, il mancato superamento delle soglie dimensionali previste o la mancata rilevanza in concreto dell’attività formalmente svolta.
L’inserimento nell’elenco dei soggetti NIS è dunque l’esito di una valutazione complessa, che si pone a valle di un procedimento amministrativo. I destinatari della comunicazione di ACN potrebbero ritenere necessario attivare i rimedi previsti dall’ordinamento, qualora ritengano che l’attribuzione della qualifica di soggetto NIS non rispecchi correttamente la propria posizione.
Accesso agli atti e diritto alla conoscenza della Determinazione di inserimento nell’elenco dei soggetti NIS
Il primo rimedio esperibile da parte dei soggetti che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS consiste nella proposizione di un’istanza di accesso agli atti, ai sensi degli articoli 22 e seguenti della Legge 7 agosto 1990, n. 241, entro il termine di trenta giorni dalla ricezione della comunicazione trasmessa dall’Agenzia per la Cybersicurezza Nazionale.
L’istanza consente alla persona giuridica interessata di prendere visione e di estrarre copia dei documenti amministrativi che hanno condotto all’inserimento, tra cui in particolare la Determinazione del Direttore Generale dell’ACN che ha formalmente disposto l’iscrizione del soggetto come “essenziale” o “importante” nell’elenco previsto dall’articolo 7, comma 3, lettera a), del decreto legislativo 138/2024.
L’accesso è finalizzato alla conoscenza integrale del procedimento istruttorio, dei presupposti tecnici, dei pareri eventualmente acquisiti e delle valutazioni espresse dall’Autorità di settore, al fine di consentire al soggetto interessato una valutazione consapevole e tempestiva delle possibili iniziative difensive, sia in sede procedimentale che contenziosa.
In particolare, qualora la qualificazione disposta dall’ACN risulti divergente rispetto alla dichiarazione inizialmente resa in fase di registrazione, sarà utile verificare se la rivalutazione sia stata fondata su presupposti e motivazioni giuridicamente fondati.
L’istanza deve essere presentata nelle forme previste per i procedimento di accesso agli atti. Salvo che sia diversamente stabilito, l’amministrazione ha l’obbligo di concludere il procedimento entro trenta giorni, adottando un provvedimento espresso e motivato sull’accoglimento o il rigetto dell’istanza, ai sensi dell’articolo 25 della legge n. 241/1990.
In caso di diniego, espresso o tacito, il soggetto potrà ricorrere al giudice amministrativo secondo quanto previsto dall’articolo 116 del Codice del processo amministrativo, tutelando così il proprio diritto alla trasparenza e al contraddittorio effettivo nell’ambito dell’inserimento nell’elenco dei soggetti NIS.
Memoria integrativa nel procedimento di verifica ex post dell’inserimento nell’elenco dei soggetti NIS
Oltre al rimedio dell’accesso agli atti, le organizzazioni che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS possono esercitare una forma di partecipazione procedimentale diretta mediante la presentazione, entro sessanta giorni dalla ricezione della comunicazione, di una memoria integrativa nell’ambito del procedimento di verifica ex post previsto dalla normativa.
Tale facoltà trova fondamento nel più generale principio di partecipazione procedimentale sancito dall’articolo 10 della Legge n. 241/1990. La memoria integrativa consente al soggetto interessato di apportare nuovi elementi valutativi, chiarimenti documentali o osservazioni giuridiche che possano incidere sulla conferma o sull’eventuale revisione della classificazione operata dall’Agenzia.
In particolare, la fase di verifica ex post si configura come una prosecuzione del procedimento amministrativo, nel corso della quale l’Agenzia per la Cybersicurezza Nazionale potrà riesaminare le determinazioni assunte alla luce di quanto rappresentato dalla parte. Ciò si rivela particolarmente rilevante nei casi in cui la valutazione inizialmente effettuata in sede di registrazione sia stata modificata senza un contraddittorio anticipato o su presupposti non conosciuti dall’organizzazione.
Di regola, la comunicazione ricevuta da ACN contiene l’indicazione dell’apertura della fase di verifica e invita espressamente le organizzazioni ad attivarsi mediante il Portale dei Servizi, entro il termine perentorio di sessanta giorni. È in tale sede che potrà essere trasmessa la memoria integrativa, corredata da eventuale documentazione tecnica o da pareri giuridici, in grado di dimostrare l’inapplicabilità della disciplina o l’erroneità dell’inquadramento come soggetto “essenziale” o “importante”.
La trasmissione della memoria, pur non sospendendo gli effetti della comunicazione di inserimento nell’elenco dei soggetti NIS, potrà consentire una rivalutazione della posizione dell’Agenzia.
Ricorso al TAR contro la comunicazione di inserimento nell’elenco dei soggetti NIS: termini e presupposti
Nel quadro dei rimedi esperibili da parte delle organizzazioni destinatarie della comunicazione di inserimento nell’elenco dei soggetti NIS, assume particolare rilievo la possibilità di proporre ricorso giurisdizionale dinanzi al Tribunale amministrativo regionale del Lazio, sede di Roma, ai sensi dell’articolo 29 del Codice del processo amministrativo.
Tale ricorso è proponibile entro il termine di sessanta giorni dalla ricezione della comunicazione adottata dall’Agenzia per la Cybersicurezza Nazionale, laddove sussistano fondati motivi di illegittimità del provvedimento impugnato.
Il ricorso al TAR rappresenta un’extrema ratio, e presuppone una prudente valutazione della fondatezza delle censure proponibili, alla luce sia della normativa vigente, sia delle risultanze documentali acquisite, in particolare a seguito di eventuale accesso agli atti.
A titolo esemplificativo, possono rilevare profili di difetto di motivazione, violazione del contraddittorio, errore nei presupposti di fatto, errata applicazione della normativa di settore o insussistenza dei criteri oggettivi di inclusione di cui agli Allegati I-IV del decreto.
È importante sottolineare che, nel sistema delineato dal decreto legislativo 138/2024, la comunicazione di inserimento nell’elenco dei soggetti NIS non costituisce una mera presa d’atto formale, bensì incide in modo significativo sul regime giuridico cui l’organizzazione sarà sottoposta, comportando obblighi di sicurezza, responsabilità, controlli e sanzioni.
Ne deriva la necessità, per il soggetto interessato, di considerare il contenzioso solo qualora si ravvisi un pregiudizio concreto e attuale, fondato su elementi oggettivi e sostenuto da una solida ricostruzione dei fatti e del diritto.
Assistenza legale specializzata nei procedimenti di inserimento nell’elenco dei soggetti NIS
L’inserimento nell’elenco dei soggetti NIS comporta per le organizzazioni interessate una profonda trasformazione nel proprio assetto regolatorio e operativo. L’attribuzione della qualifica di soggetto “essenziale” o “importante” incide direttamente sull’organizzazione interna, imponendo l’adozione di specifiche misure tecniche e organizzative, l’obbligo di notifica degli incidenti e la soggezione a controlli, ispezioni e regimi sanzionatori.
L’attivazione dei rimedi previsti dall’ordinamento – sia nella forma dell’accesso agli atti e della partecipazione procedimentale, sia attraverso un eventuale contenzioso giurisdizionale – richiede una competenza specifica e settoriale. Il nostro Studio offre assistenza qualificata a imprese e pubbliche amministrazioni tenute alla registrazione sul portale dei soggetti NIS; siamo a disposizione per un confronto preliminare sull’inserimento della vostra organizzazione nell’elenco dei soggetti NIS.
