Ricorso contro il silenzio inadempimento nel processo amministrativo: artt. 31 e 117 c.p.a.

da Redazione | Giu 4, 2026 | Diritto d'Impresa

Nel diritto amministrativo, il silenzio inadempimento ricorre quando l’amministrazione, pur essendo tenuta per legge a concludere un procedimento mediante l’adozione di un provvedimento espresso, omette di pronunciarsi entro il termine previsto dall’ordinamento.

La questione non attiene, dunque, a un semplice ritardo materiale o a una mera inefficienza organizzativa, quanto piuttosto alla violazione dell’art. 2 della L. 241/1990, secondo cui i procedimenti amministrativi devono essere conclusi con un provvedimento espresso quando conseguano obbligatoriamente a un’istanza di parte o debbano essere iniziati d’ufficio.

Il silenzio inadempimento assume particolare rilievo in quanto incide direttamente sull’effettività della tutela del privato nei confronti della pubblica amministrazione. L’inerzia amministrativa, infatti, può paralizzare l’esercizio di situazioni giuridiche soggettive, impedire la definizione di rapporti amministrativi, ritardare l’accesso a provvedimenti favorevoli o mantenere il cittadino e l’impresa in una condizione di incertezza incompatibile con i principi di buon andamento, imparzialità e trasparenza dell’azione amministrativa.

Con questo articolo ci proponiamo di offrire un inquadramento del silenzio inadempimento e del relativo rimedio processuale, con particolare riferimento agli artt. 31 e 117 del codice del processo amministrativo.

Silenzio inadempimento, silenzio assenso e silenzio rigetto. Le differenze

Per comprendere correttamente la funzione del ricorso avverso il silenzio inadempimento, occorre distinguere tale figura dalle altre forme di silenzio conosciute dal diritto amministrativo. Non ogni mancata risposta della pubblica amministrazione produce i medesimi effetti giuridici poiché, in alcuni casi il silenzio ha valenza significativa: esso viene qualificato dalla legge come comportamento idoneo a produrre effetti equivalenti a quelli di un provvedimento; in altri casi, invece, esso rimane mera inerzia, priva di valore provvedimentale, ma lesiva dell’obbligo di concludere il procedimento.

Il silenzio inadempimento si ha quando l’amministrazione non provvede entro il termine stabilito, pur essendo tenuta ad adottare un provvedimento espresso. In tale ipotesi l’ordinamento non considera il silenzio come accoglimento o rigetto dell’istanza. Il relativo rimedio processuale non consiste, pertanto, nell’impugnazione di un atto tacito, bensì nell’azione diretta ad accertare l’obbligo dell’amministrazione di pronunciarsi.

Diversa è la figura del silenzio assenso, nella quale l’inerzia amministrativa assume, nei casi previsti dalla legge, valore legale di accoglimento dell’istanza. In tale ipotesi il decorso del termine produce un effetto favorevole per il privato, secondo il modello generale previsto dall’art. 20 della L. 241/1990.

Ancora diverso è il silenzio rigetto, che ricorre quando la legge attribuisce alla mancata risposta dell’amministrazione valore di diniego tacito (come del caso della mancata risposta sull’istanza di accesso ai documenti amministrativi).

L’obbligo di provvedere e la scadenza del termine procedimentale

Il silenzio inadempimento si forma quando la pubblica amministrazione rimane inerte oltre il termine previsto per la conclusione del procedimento, sempre che sussista un obbligo giuridico di provvedere.

Il presupposto essenziale dell’istituto è l’esistenza di una norma che imponga all’amministrazione di avviare o concludere un procedimento mediante l’adozione di un provvedimento espresso. In assenza di tale obbligo, l’inerzia amministrativa può assumere rilievo sul piano politico, organizzativo o meramente sollecitatorio, ma non integra propriamente un silenzio inadempimento azionabile dinanzi al giudice amministrativo.

Il riferimento normativo fondamentale è l’art. 2 della L. 241/1990, secondo cui, ove il procedimento consegua obbligatoriamente a un’istanza di parte, ovvero debba essere iniziato d’ufficio, la pubblica amministrazione ha il dovere di concluderlo mediante un provvedimento espresso.

Il termine decorre, nei procedimenti a istanza di parte, dal ricevimento della domanda, mentre nei procedimenti d’ufficio decorre dall’avvio del procedimento stesso. Se non vi sono termini speciali previsti dalla legge o dai regolamenti dell’amministrazione competente, trova applicazione il termine generale di trenta giorni.

Una volta decorso inutilmente il termine di conclusione del procedimento, il silenzio inadempimento si considera formato senza che sia più necessaria, secondo l’attuale disciplina, la previa notificazione di una diffida o messa in mora. L’interessato può quindi chiedere al giudice amministrativo l’accertamento dell’obbligo dell’amministrazione di provvedere, purché l’inadempimento perduri e l’azione venga proposta entro i limiti temporali stabiliti dall’art. 31 c.p.a. (v. infra).

Ciò premesso, risulta chiaro che il silenzio inadempimento non possa essere configurato in presenza di qualsiasi istanza rivolta alla pubblica amministrazione, ma soltanto quando l’amministrazione sia titolare di un obbligo giuridico di provvedere, ossia di un dovere normativamente riconoscibile di concludere il procedimento mediante un atto espresso.

Restano, pertanto, estranee al rimedio avverso il silenzio inadempimento le ipotesi in cui l’istanza del privato sia diretta a sollecitare l’esercizio di poteri di alta amministrazione, di funzioni politiche o di potestà ampiamente discrezionali che l’ordinamento riserva all’iniziativa officiosa dell’amministrazione.

Particolare attenzione deve essere riservata agli atti generali e agli atti di pianificazione. Di regola, la richiesta del privato volta a ottenere l’adozione o la modifica di strumenti generali, come quelli di pianificazione urbanistica, non determina automaticamente un obbligo puntuale di provvedere.

Diversa è invece l’ipotesi degli atti applicativi o esecutivi di una disciplina già vigente, nei quali l’amministrazione sia chiamata a dare concreta attuazione a previsioni normative o pianificatorie già definite. In questi casi, ove ricorrano i presupposti di legge, l’inerzia può integrare silenzio inadempimento, poiché l’amministrazione non è chiamata a compiere una scelta generale di indirizzo, ma a concludere uno specifico procedimento amministrativo.

L’azione avverso il silenzio inadempimento ex art. 31 c.p.a.

L’azione avverso il silenzio inadempimento trova fondamento nell’art. 31 del codice del processo amministrativo, che consente a chi vi abbia interesse di chiedere al giudice amministrativo l’accertamento dell’obbligo della pubblica amministrazione di provvedere.

Si tratta di un’azione che non ha natura impugnatoria in senso proprio, poiché non è diretta contro un provvedimento amministrativo espresso, ma contro l’inerzia dell’amministrazione, intesa come mancato esercizio doveroso della funzione amministrativa entro il termine stabilito dall’ordinamento.

Il contenuto essenziale dell’azione consiste nell’accertamento giudiziale dell’illegittimità dell’inerzia e dell’obbligo dell’amministrazione di concludere il procedimento. Il ricorrente, dunque, non chiede necessariamente al giudice di sostituirsi all’amministrazione nell’adozione del provvedimento finale, ma di dichiarare che l’amministrazione era tenuta a pronunciarsi e di ordinare l’adozione di una determinazione espressa.

Quanto ai termini, l’azione può essere proposta dopo la scadenza del termine di conclusione del procedimento e fintanto che perdura l’inadempimento, ma comunque non oltre un anno da tale scadenza.

Decorso tale limite, l’art. 31 c.p.a. fa salva la possibilità di riproporre l’istanza di avvio del procedimento, ove ne ricorrano i presupposti, con conseguente formazione di un nuovo eventuale silenzio inadempimento in caso di ulteriore inerzia.

Il rito speciale contro il silenzio inadempimento ex art. 117 c.p.a.

I profili processuali del ricorso contro il silenzio inadempimento sono disciplinati dall’art. 117 del codice del processo amministrativo, che prevede un rito speciale, camerale e accelerato, coerente con l’esigenza di assicurare una tutela effettiva contro l’inerzia della pubblica amministrazione.

La specialità del rito dipende dalla particolare natura della controversia, in cui si deve accertare se l’amministrazione fosse tenuta a pronunciarsi e se abbia illegittimamente omesso di farlo entro il termine previsto.

Il ricorso può essere proposto anche senza previa diffida, mediante atto notificato all’amministrazione e ad almeno un controinteressato, ove individuabile in relazione al procedimento amministrativo nel quale il silenzio inadempimento si è formato. La notificazione al controinteressato assume rilievo nei casi in cui l’adozione del provvedimento richiesto possa incidere sulla posizione giuridica di terzi, sebbene l’individuazione di tali soggetti possa risultare meno immediata rispetto ai giudizi impugnatori, nei quali il controinteressato è normalmente desumibile dall’atto gravato.

Il giudizio si svolge in camera di consiglio e viene definito con sentenza in forma semplificata. In caso di accoglimento, il giudice ordina all’amministrazione di provvedere entro un termine determinato, che di norma non può essere superiore a trenta giorni.

L’art. 117 c.p.a. consente inoltre al giudice di nominare, già con la sentenza o con successivo provvedimento, un commissario ad acta, destinato a intervenire qualora l’amministrazione persista nell’inadempimento anche dopo la pronuncia.

I poteri del giudice amministrativo nel ricorso avverso il silenzio

Come anticipato, nel giudizio avverso il silenzio inadempimento il giudice amministrativo è chiamato ad accertare se la pubblica amministrazione fosse tenuta a provvedere e se il termine di conclusione del procedimento sia inutilmente decorso.

Il nucleo essenziale della tutela consiste, pertanto, nell’accertamento dell’obbligo di provvedere e nella conseguente condanna dell’amministrazione ad adottare un provvedimento espresso. Tale provvedimento potrà essere favorevole o sfavorevole al richiedente, poiché il rimedio contro il silenzio inadempimento non attribuisce automaticamente il bene della vita domandato, ma assicura anzitutto la conclusione del procedimento.

Vi sono casi in cui il giudice può spingersi oltre il semplice ordine di provvedere e pronunciarsi anche sulla fondatezza della pretesa sostanziale dedotta in giudizio. Ai sensi dell’art. 31, comma 3, c.p.a., ciò è possibile soltanto quando si tratti di attività vincolata, oppure quando risulti che non residuano ulteriori margini di esercizio della discrezionalità amministrativa e non siano necessari adempimenti istruttori che debbano essere compiuti dall’amministrazione.

Questa previsione esprime un punto di equilibrio tra effettività della tutela giurisdizionale e rispetto della funzione amministrativa. Il giudice non può sostituirsi ordinariamente all’amministrazione nelle valutazioni discrezionali, né può compiere accertamenti istruttori che spettano all’apparato amministrativo. Tuttavia, quando la discrezionalità risulti esaurita in concreto, la tutela può estendersi alla fondatezza della pretesa.

Cosa accade se sopravviene un provvedimento espresso durante il giudizio?

La proposizione del ricorso contro il silenzio inadempimento non determina il venir meno del potere dell’amministrazione di pronunciarsi sull’istanza rimasta inevasa. Anche dopo l’instaurazione del giudizio, infatti, la pubblica amministrazione conserva il potere-dovere di concludere il procedimento mediante l’adozione di un provvedimento espresso.

Quando il provvedimento espresso sopravviene nel corso del giudizio, occorre distinguere a seconda del suo contenuto. Se l’amministrazione adotta un provvedimento favorevole, idoneo ad attribuire al ricorrente il bene della vita richiesto, il giudizio può concludersi con una pronuncia di cessazione della materia del contendere. In tale ipotesi, l’interesse alla decisione sull’inerzia viene meno perché l’amministrazione ha ormai soddisfatto la pretesa procedimentale e sostanziale fatta valere.

Diversa è l’ipotesi in cui il provvedimento sopravvenuto sia sfavorevole. In questo caso, il ricorso avverso il silenzio inadempimento diviene normalmente improcedibile per sopravvenuta carenza di interesse, poiché l’inerzia è cessata; tuttavia, il privato potrà contestare il nuovo provvedimento con autonoma impugnazione oppure mediante motivi aggiunti nel medesimo giudizio.

Se il provvedimento viene impugnato con motivi aggiunti, il processo prosegue secondo il rito previsto per l’atto sopravvenuto, con eventuale conversione del rito. Resta inoltre ferma, ove ne ricorrano i presupposti, la possibilità di coltivare domande risarcitorie per il danno derivante dal ritardo o dall’inosservanza dolosa o colposa del termine di conclusione del procedimento.

Assistenza legale e rappresentanza in giudizi dinanzi al giudice amministrativo

Il nostro Studio Legale presta assistenza in materia di diritto amministrativo, con particolare riguardo alla tutela dei privati, delle imprese e degli enti nei rapporti con la pubblica amministrazione. Lo Studio ha esperienza nel supporto a clienti coinvolti in procedimenti amministrativi e contenziosi dinanzi al TAR.

Contattaci per un confronto!

Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.

Cessione di azienda o di ramo: oggetto e contenuto del contratto

da Redazione | Mag 24, 2026 | Diritto d'Impresa

La cessione di azienda è una delle operazioni più rilevanti nella circolazione dei complessi produttivi. Essa può riguardare l’intero complesso aziendale oppure soltanto una sua articolazione funzionalmente autonoma, comunemente definita ramo d’azienda.

Quest’ultima ipotesi assume particolare importanza nella prassi commerciale, perché consente all’imprenditore di trasferire una specifica linea di attività, un settore produttivo, un’unità organizzativa o un segmento economicamente autonomo dell’impresa, conservando invece la titolarità delle restanti attività aziendali. Proprio per tale ragione, la cessione del ramo d’azienda è utilizzato cone strumento di riorganizzazione dell’impresa, idoneo a consentire operazioni di crescita o la ridefinizione degli assetti produttivi.

Con il presente articolo si intende offrire un quadro della disciplina sulla cessione di azienda, con particolare riguardo alla disciplina civilistica e al contenuto tipico dell’atto di cessione.

La disciplina civilistica della cessione di azienda: artt. 2555, 2556, 2558 e 2112 c.c.

L’ azienda viene definita all’art. 2555 c.c. a mente del quale essa è “il complesso dei beni organizzati dall’imprenditore per l’esercizio dell’impresa”. Ciò che rileva, dunque, non è soltanto la titolarità di beni mobili, immobili, rapporti contrattuali, autorizzazioni, segni distintivi o beni immateriali, ma la loro destinazione unitaria all’esercizio di una determinata attività economica.

Sul piano formale il successivo art. 2556 c.c. stabilisce che, per le imprese soggette a registrazione, “i contratti che hanno per oggetto il trasferimento della proprietà o il godimento dell’azienda devono essere provati per iscritto”, salva l’osservanza delle forme richieste dalla legge per il trasferimento dei singoli beni che compongono l’azienda o per la particolare natura del contratto. La medesima disposizione prevede inoltre il deposito dell’atto per l’iscrizione nel Registro delle imprese, adempimento che assume rilievo ai fini pubblicitari e dell’opponibilità ai terzi.

Particolare importanza assume poi l’art. 2558 c.c., secondo cui, “se non è pattuito diversamente, l’acquirente dell’azienda subentra nei contratti stipulati per l’esercizio dell’azienda stessa che non abbiano carattere personale”. La cessione di azienda, pertanto, produce un effetto circolatorio peculiare, diverso dalla comune cessione del contratto di cui all’art. 1406 c.c., poiché il subentro del cessionario nei rapporti aziendali opera, di regola, senza necessità del consenso del contraente ceduto, ferma la possibilità di recesso nei casi previsti dalla legge.

Infine, l’art. 2112 c.c. disciplina gli effetti del trasferimento sui rapporti di lavoro e precisa che per trasferimento d’azienda deve intendersi “qualsiasi operazione che, in seguito a cessione contrattuale o fusione, comporti il mutamento nella titolarità di un’attività economica organizzata”, preesistente al trasferimento e idonea a conservare la propria identità.

La stessa norma estende tale disciplina anche al trasferimento di parte dell’azienda, purché si tratti di una “articolazione funzionalmente autonoma di un’attività economica organizzata”. Tale previsione è decisiva per comprendere la natura della cessione di ramo d’azienda, che non può risolversi nel trasferimento artificioso di rapporti isolati, ma deve avere ad oggetto un nucleo organizzato, autonomo e idoneo alla prosecuzione dell’attività.

La nozione di ramo d’azienda assume particolare rilievo perché consente di distinguere la vera cessione di azienda da operazioni meramente traslative di singoli asset. L’autonomia funzionale non richiede necessariamente che il ramo disponga di tutti gli elementi tipici di un’impresa integralmente strutturata, né impone sempre la presenza di beni materiali, sedi operative, dipendenti o attrezzature.

Ciò che occorre verificare è se il complesso trasferito, considerato nella sua unitarietà, sia idoneo a consentire la prosecuzione, anche potenziale, dell’attività economica cui era destinato.

La giurisprudenza ha più volte chiarito che l’accertamento deve essere condotto in concreto, tenendo conto della natura dell’impresa e delle caratteristiche dell’attività trasferita. In alcuni settori, infatti, l’organizzazione aziendale può essere fortemente dematerializzata e fondarsi prevalentemente su rapporti contrattuali, know-how, competenze professionali, clientela, procedure operative o relazioni commerciali. In altri casi, invece, l’autonomia del ramo può dipendere dalla presenza di beni strumentali, autorizzazioni, licenze, personale dedicato o contratti essenziali per la prosecuzione dell’attività.

La forma del contratto di cessione di azienda e l’iscrizione nel Registro delle imprese

La cessione di azienda richiede una particolare attenzione anche sotto il profilo della forma del contratto. L’art. 2556 c.c. stabilisce che, per le imprese soggette a registrazione, i contratti aventi ad oggetto il trasferimento della proprietà o il godimento dell’azienda devono essere provati per iscritto. La forma scritta, pertanto, assume anzitutto rilievo probatorio, ma nella prassi diviene indispensabile anche per l’esatta delimitazione dell’operazione e per la regolazione degli effetti tra le parti.

Il medesimo art. 2556 c.c. prevede inoltre che i contratti di cessione di azienda debbano essere depositati per l’iscrizione nel Registro delle imprese. A tal fine, il contratto deve essere redatto in forma idonea al deposito, normalmente mediante atto pubblico o scrittura privata autenticata. L’iscrizione assolve una funzione di pubblicità legale e consente di rendere conoscibile ai terzi il trasferimento del complesso aziendale, incidendo anche sulla certezza dei rapporti giuridici che fanno capo all’azienda ceduta.

Nella cessione di azienda, e ancor più nella cessione di ramo d’azienda, il contratto deve consentire di individuare con precisione il perimetro del complesso trasferito. È quindi opportuno che l’atto descriva i beni materiali e immateriali inclusi nella cessione, i contratti trasferiti, le autorizzazioni rilevanti, l’eventuale know-how, i rapporti commerciali, la data di decorrenza degli effetti e gli elementi espressamente esclusi dal trasferimento. A tal rinviamo, per fornire al lettore un’idea della struttura delle clausole, al fac-simile di contratto in calce al presente articolo.

Individuazione del ramo ceduto: beni materiali, immateriali, contratti, rapporti e know-how

Nella cessione di azienda avente ad oggetto un ramo, quest’ultimo deve essere descritto un’articolazione organizzata e funzionalmente autonoma, composta dagli elementi necessari o utili alla prosecuzione dell’attività economica cui è destinata.

Nel contratto di cessione di azienda è quindi opportuno indicare, con adeguato grado di precisione, i beni materiali inclusi nel trasferimento, quali arredi, impianti, macchinari, attrezzature, strumenti informatici, merci, giacenze o altri beni strumentali.

Accanto a tali elementi, particolare importanza possono assumere i beni immateriali, tra cui segni distintivi, marchi, domini, software, banche dati, autorizzazioni, licenze, certificazioni, documentazione tecnica, procedure operative, informazioni commerciali e know-how. In molte attività contemporanee, proprio gli elementi immateriali rappresentano il nucleo economicamente più rilevante del ramo ceduto.

Analoga attenzione deve essere riservata ai contratti e ai rapporti giuridici funzionali all’esercizio dell’attività. Il contratto dovrebbe indicare quali rapporti siano destinati a trasferirsi al cessionario, distinguendo, ove necessario, i contratti aziendali, i rapporti con clienti e fornitori, le eventuali polizze assicurative, le licenze d’uso, i rapporti di concessione, i contratti di servizio e ogni altra posizione giuridica collegata al ramo.

Infine, vi è la previsione di elementi esclusi dalla cessione. L’atto dovrà chiarire se restano estranei al trasferimento determinati crediti, debiti, disponibilità liquide, rapporti commerciali, contratti, beni o passività anteriori alla data di decorrenza.

Successione nei contratti, debiti aziendali e rapporti di lavoro

Uno degli effetti più rilevanti della cessione di azienda riguarda la sorte dei rapporti giuridici collegati al complesso trasferito. L’ordinamento, infatti, prevede una disciplina speciale proprio perché l’azienda non è considerata come una somma di beni separati, ma come un’organizzazione destinata a proseguire la propria attività anche dopo il mutamento della titolarità.

Detto altrimenti: la cessione produce conseguenze non soltanto tra cedente e cessionario, ma anche nei confronti dei terzi che intrattengono rapporti con l’azienda ceduta.

Al riguardo, l’art. 2558 c.c. prevede, salvo patto contrario, il subentro dell’acquirente nei contratti stipulati per l’esercizio dell’azienda che non abbiano carattere personale. Si tratta di una regola di particolare importanza, perché distingue la cessione di azienda dalla comune cessione del contratto: mentre quest’ultima richiede, ai sensi dell’art. 1406 c.c., il consenso del contraente ceduto, nel trasferimento d’azienda il subentro opera come effetto legale dell’operazione, ferma la possibilità per il terzo contraente di recedere nei termini e nei limiti previsti dalla legge, ove ricorra una giusta causa.

Altro profilo centrale è quello dei debiti aziendali. L’art. 2560 c.c. disciplina la responsabilità per i debiti relativi all’azienda ceduta, prevedendo, per l’azienda commerciale, la responsabilità dell’acquirente per i debiti anteriori al trasferimento quando essi risultino dai libri contabili obbligatori.

Per tale ragione, nella prassi della cessione di azienda rilevano le attività di due diligence, la verifica delle scritture contabili e la predisposizione di clausole contrattuali volte a ripartire tra le parti il rischio delle passività pregresse, anche mediante dichiarazioni, garanzie e obblighi di indennizzo.

Specifiche tutele sono poi previste per i rapporti di lavoro. Il citato art. 2112 c.c. stabilisce che, in caso di trasferimento d’azienda, il rapporto di lavoro continua con il cessionario e il lavoratore conserva tutti i diritti che ne derivano. La norma mira a garantire la continuità occupazionale e impedisce che la cessione di azienda o del ramo sia utilizzata come strumento per eludere le garanzie riconosciute ai lavoratori.

Corrispettivo, garanzie e clausole di tutela delle parti

La determinazione del corrispettivo nella cessione di azienda può tenere conto di molteplici elementi, quali la consistenza patrimoniale del ramo, il valore dei beni materiali e immateriali, i contratti in essere, la clientela, il know-how, l’avviamento, le eventuali passività collegate all’attività ceduta.

Nella prassi, il prezzo della cessione di azienda può essere determinato in misura fissa al momento della stipula, oppure essere oggetto di meccanismi più articolati, soprattutto quando la consistenza effettiva del ramo debba essere verificata sulla base di una situazione patrimoniale aggiornata. In tali ipotesi, il contratto può prevedere clausole di aggiustamento del prezzo, pagamenti differiti, rateizzazioni, garanzie bancarie, depositi fiduciari o meccanismi di verifica successiva, al fine di assicurare un equilibrio tra il valore dichiarato al momento della cessione e quello effettivamente accertato al momento del trasferimento o successivamente al closing.

Accanto alla disciplina del corrispettivo, meritano speciale menzione le dichiarazioni e garanzie rese dal cedente. Il cessionario ha infatti interesse a ottenere garanzie sulla titolarità del ramo, sull’assenza di vincoli non dichiarati, sulla regolarità dei contratti trasferiti, sulla validità delle autorizzazioni, sull’esistenza dei beni, sull’assenza di passività occulte e sulla conformità dell’attività alla normativa applicabile. Tali garanzie sono spesso accompagnate da obblighi di manleva e indennizzo, destinati a regolare le conseguenze economiche di eventuali inesattezze, omissioni o sopravvenienze riferibili alla gestione anteriore.

Anche il cedente, tuttavia, può avere esigenza di specifiche tutele, soprattutto quando il pagamento del prezzo sia differito o subordinato a condizioni. Il contratto di cessione di azienda può quindi prevedere clausole risolutive, garanzie personali o reali, caparre, penali, limitazioni alla compensazione, obblighi di cooperazione e pattuizioni relative alla gestione del ramo nel periodo compreso tra la firma e la decorrenza degli effetti.

La cessione di azienda come strumento di riorganizzazione dell’impresa. Ecco le opportunità

La cessione di azienda e, in particolare, la cessione di ramo d’azienda sono strumenti di riorganizzazione dell’impresa. Attraverso il trasferimento di un ramo funzionalmente autonomo, l’imprenditore può infatti separare una linea di attività, valorizzare un settore produttivo, favorire l’ingresso di un nuovo operatore economico, concentrare le risorse sul core business oppure assicurare continuità a un’attività che, all’interno della precedente organizzazione, non risulti più coerente con le strategie aziendali.

Essa risponde, dunque, a esigenze molto diverse. Può essere utilizzata per razionalizzare gruppi societari, trasferire unità operative a soggetti specializzati, realizzare operazioni di outsourcing quando il ramo ceduto conservi una propria effettiva autonomia, agevolare processi di aggregazione imprenditoriale o consentire la prosecuzione di attività economiche dotate di valore autonomo.

Assistenza legale in operazioni di cessione di azienda e nei contratti d’impresa

Il nostro Studio Legale a Roma presta assistenza in materia di diritto commerciale e contrattualistica d’impresa, sovrintendendo alle operazioni di trasferimento e elaborando contratti di cessione di azienda su misura per le vostre esigenze.

Contattaci per un confronto!

FACSIMILE DI CONTRATTO DI CESSIONE DI RAMO D’AZIENDA

Tra:

[●], con sede in [●], codice fiscale e partita IVA [●], in persona del legale rappresentante pro tempore [●], di seguito, per brevità, anche la “Cedente”;

[●], con sede in [●], codice fiscale e partita IVA [●], in persona del legale rappresentante pro tempore [●], di seguito, per brevità, anche la “Cessionaria”;

congiuntamente indicate come le “Parti”.

Premesso che:

La Cedente esercita l’attività di [●] ed è titolare di un complesso organizzato di beni, rapporti, contratti e risorse destinato allo svolgimento dell’attività relativa a [●].

La Cedente intende trasferire alla Cessionaria il predetto complesso, qualificabile come ramo d’azienda ai sensi degli artt. 2555 e 2112 c.c., in quanto articolazione funzionalmente autonoma di un’attività economica organizzata, idonea alla prosecuzione dell’attività cui è destinata.

La Cessionaria dichiara di avere esaminato la consistenza del ramo d’azienda, di conoscerne lo stato di fatto e di diritto e di essere interessata ad acquisirlo alle condizioni di seguito indicate.

Tutto ciò premesso, le Parti convengono quanto segue.

Art. 1 – Premesse

Le premesse costituiscono parte integrante e sostanziale del presente contratto.

Art. 2 – Oggetto della cessione

La Cedente cede alla Cessionaria, che accetta, il ramo d’azienda relativo all’attività di [●], comprensivo dei beni, rapporti e contratti funzionalmente organizzati per l’esercizio della predetta attività, nello stato di fatto e di diritto in cui si trova alla data di efficacia del presente contratto.

La cessione è effettuata ai sensi e per gli effetti degli artt. 2555, 2556, 2558 e 2112 c.c., ove applicabili.

Art. 3 – Individuazione del ramo d’azienda

Il ramo d’azienda oggetto di cessione comprende, nei limiti indicati nel presente contratto e negli eventuali allegati, i beni materiali strumentali all’attività, i beni immateriali, l’avviamento, il know-how, la documentazione tecnica e commerciale, le autorizzazioni trasferibili, nonché i contratti stipulati per l’esercizio del ramo e non aventi carattere personale.

Sono esclusi dalla cessione i beni, i rapporti, i crediti, i debiti, le disponibilità liquide e le obbligazioni non espressamente ricompresi nel perimetro del ramo ceduto, salvo diversa pattuizione scritta tra le Parti.

Art. 4 – Decorrenza e consegna

La cessione avrà efficacia a decorrere dal [●]. A tale data la Cedente immetterà la Cessionaria nel possesso del ramo d’azienda e consegnerà la documentazione necessaria alla prosecuzione dell’attività.

Fino alla data di efficacia, la Cedente si impegna a gestire il ramo secondo criteri di ordinaria amministrazione, astenendosi dal compiere atti idonei ad alterarne la consistenza o la funzionalità.

Art. 5 – Corrispettivo

Il corrispettivo della cessione è determinato in euro [●], oltre eventuali imposte di legge, e sarà corrisposto dalla Cessionaria alla Cedente secondo le seguenti modalità: [●].

Le Parti potranno prevedere, ove necessario, meccanismi di aggiustamento del prezzo, garanzie di pagamento o condizioni sospensive connesse alla verifica della consistenza patrimoniale del ramo ceduto.

Art. 6 – Contratti, crediti e debiti

Salvo quanto diversamente previsto, la Cessionaria subentrerà, ai sensi dell’art. 2558 c.c., nei contratti stipulati per l’esercizio del ramo d’azienda che non abbiano carattere personale.

I debiti anteriori alla data di efficacia resteranno a carico della Cedente, salvo quelli per i quali trovi applicazione la disciplina inderogabile prevista dalla legge. I debiti e le obbligazioni sorti successivamente alla data di efficacia saranno a carico della Cessionaria.

Art. 7 – Rapporti di lavoro

Qualora il ramo d’azienda comprenda rapporti di lavoro subordinato, troverà applicazione l’art. 2112 c.c., con prosecuzione dei rapporti in capo alla Cessionaria e conservazione dei diritti maturati dai lavoratori.

Art. 8 – Dichiarazioni e garanzie

La Cedente dichiara di avere la piena disponibilità del ramo d’azienda e garantisce che lo stesso è libero da vincoli, gravami o diritti di terzi non dichiarati, salvo quanto indicato nel presente contratto o nei relativi allegati.

La Cessionaria dichiara di avere ricevuto le informazioni necessarie e di avere valutato la consistenza del ramo ceduto.

Art. 9 – Spese, legge applicabile e foro competente

Le spese del presente contratto, comprese quelle di registrazione e iscrizione nel Registro delle imprese, saranno a carico di [●].

Il presente contratto è regolato dalla legge italiana. Per ogni controversia relativa alla validità, interpretazione, esecuzione o risoluzione del presente contratto sarà competente in via esclusiva il Foro di [●].

Letto, confermato e sottoscritto.

[●], lì [●]

La Cedente

[●]

La Cessionaria

[●]

Anonimizzazione dei dati personali, gestione documentale e conformità al GDPR

da Redazione | Mag 21, 2026 | Diritto d'Impresa

L’anonimizzazione dei dati personali è lo strumento con cui è possibile conciliare l’utilizzazione del patrimonio informativo delle imprese con le esigenze di tutela della riservatezza. La progressiva digitalizzazione dei processi aziendali determina, inevitabilmente, la produzione e la conservazione di una quantità crescente di documenti contenenti dati anagrafici, informazioni economiche, o ulteriori elementi idonei a rendere identificabile una persona fisica.

Come noto, il rapporto tra protezione dei dati personali e intelligenza artificiale assume una particolare delicatezza. La recente vicenda OpenAI ne costituisce conferma significativa: il provvedimento n. 755/2024 del Garante privacy è stato temporaneamente rimosso dal sito dell’Autorità a seguito della sentenza del Tribunale di Roma n. 4153/2026, pubblicata il 18 marzo 2026, che ha accolto l’opposizione proposta avverso il provvedimento.

In quest’articolo vogliamo offrire le coordinate normative dell’anonimizzazione nel GDPR, chiarendone presupposti, effetti, differenze rispetto alla pseudonimizzazione e possibili applicazioni nella gestione documentale, anche grazie a sistemi di intelligenza artificiale.

L’anonimizzazione nel GDPR: dal dato personale al dato anonimo

L’anonimizzazione indica il processo mediante il quale un’informazione, originariamente riconducibile a una persona fisica identificata o identificabile, viene trasformata in un dato non più riferibile, direttamente o indirettamente, a un interessato.

La nozione assume rilievo sistematico alla luce dell’art. 4, n. 1, del Regolamento (UE) 2016/679, che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Ne deriva che, quando l’informazione cessa di essere collegabile a un soggetto identificato o identificabile, essa perde la propria qualificazione giuridica di dato personale.

Il riferimento centrale è contenuto nel considerando 26 del GDPR, secondo cui i principi di protezione dei dati “non dovrebbero applicarsi a informazioni anonime” né ai “dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.

L’anonimizzazione, pertanto, non coincide con una mera operazione materiale di cancellazione o mascheramento di alcuni elementi del documento, ma con il conseguimento di un risultato giuridicamente rilevante: l’impossibilità, secondo un criterio ragionevole e contestuale, di identificare nuovamente la persona fisica cui le informazioni si riferivano. La valutazione deve tenere conto dei mezzi ragionevolmente utilizzabili, anche alla luce dei costi, dei tempi, delle tecnologie disponibili e dell’evoluzione tecnica.

Anonimizzazione e pseudonimizzazione: le differenze

L’anonimizzazione deve essere distinta dalla pseudonimizzazione, poiché le due tecniche, pur potendo entrambe ridurre l’esposizione dei dati personali, producono effetti giuridici profondamente diversi.

L’art. 4, n. 5, GDPR definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive”, purché tali informazioni siano conservate separatamente e soggette a misure tecniche e organizzative idonee.

La pseudonimizzazione, dunque, non elimina il collegamento tra dato e interessato, ma lo rende mediato, indiretto e subordinato alla disponibilità di ulteriori informazioni. Il dato pseudonimizzato rimane, pertanto, un dato personale e continua a essere soggetto all’intera disciplina del GDPR. L’anonimizzazione, invece, presuppone che il collegamento con l’interessato sia definitivamente reciso o, quantomeno, non più ricostruibile mediante mezzi ragionevolmente utilizzabili.

La distinzione incide sul regime giuridico applicabile. Mentre la pseudonimizzazione costituisce una misura di sicurezza e di riduzione del rischio, l’anonimizzazione effettiva determina l’uscita dell’informazione dall’ambito di applicazione della normativa in materia di protezione dei dati personali.

Oscuramento, cifratura e anonimizzazione

Nella prassi applicativa, il termine anonimizzazione viene talvolta utilizzato in modo improprio per indicare operazioni tecniche assai diverse, quali l’oscuramento di alcuni dati, la cifratura di identificativi diretti o la sostituzione di nomi e codici con valori convenzionali. Tali operazioni possono certamente assumere rilievo nell’ambito delle misure di sicurezza, ma non comportano necessariamente la trasformazione del dato personale in dato anonimo.

L’oscuramento di un nominativo, ad esempio, non impedisce di per sé l’identificazione dell’interessato quando il documento continui a contenere riferimenti indiretti, informazioni contestuali, date, luoghi, qualifiche professionali, rapporti familiari, vicende giudiziarie o elementi economici idonei a consentire la re-identificazione.

Allo stesso modo, la cifratura non determina anonimizzazione se il dato può essere nuovamente reso intelligibile attraverso la chiave di decrittazione o mediante informazioni aggiuntive nella disponibilità del titolare o di terzi.

La corretta qualificazione giuridica dipende, dunque, dal risultato effettivamente conseguito. Può parlarsi di anonimizzazione soltanto quando, alla luce del contesto, dello stato dell’arte e dei mezzi ragionevolmente utilizzabili, l’interessato non sia più identificabile, né direttamente né indirettamente.

Anonimizzazione, minimizzazione e limitazione della conservazione

L’anonimizzazione assume particolare rilievo sistematico se letta in rapporto ai principi generali del trattamento sanciti dall’art. 5 GDPR. In particolare, l’art. 5, par. 1, lett. c), stabilisce che i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Tale principio di minimizzazione impone al titolare di interrogarsi non soltanto sulla liceità del trattamento, ma anche sulla reale necessità di conservare o utilizzare informazioni identificative rispetto alla finalità concretamente perseguita.

L’anonimizzazione consente di preservare il valore conoscitivo, statistico, organizzativo o documentale dell’informazione, riducendo al contempo l’esposizione della persona fisica cui il dato originariamente si riferiva.

Il documento anonimizzato può, infatti, continuare a essere impiegato per finalità di analisi, revisione, studio, audit interno, formazione, ricerca o elaborazione aziendale, senza che sia necessario mantenere inalterati gli elementi identificativi.

L’anonimizzazione si collega altresì al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), secondo cui i dati devono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità”. Quando la finalità può essere perseguita mediante dati anonimi, la permanenza di dati personali nel patrimonio documentale dell’organizzazione deve essere oggetto di specifica giustificazione.

L’anonimizzazione può essere ricondotta anche alla logica della protezione dei dati fin dalla progettazione e per impostazione predefinita. L’art. 25 GDPR impone al titolare di adottare, “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le garanzie necessarie per tutelare i diritti degli interessati. In tale prospettiva, l’anonimizzazione dovrebbe essere incorporata nell’architettura ordinaria dei processi documentali.

Analoga rilevanza emerge dall’art. 32 GDPR, che impone misure adeguate al rischio, richiamando espressamente la pseudonimizzazione e la cifratura. Sebbene distinta da tali tecniche, l’anonimizzazione può concorrere a ridurre l’impatto di accessi non autorizzati, divulgazioni indebite o violazioni di sicurezza, poiché limita o elimina la riconducibilità delle informazioni a persone fisiche determinate.

Opinion 05/2014, pseudonimizzazione e future linee guida EDPB

La disciplina dell’anonimizzazione si colloca in un quadro interpretativo europeo ancora in evoluzione. In assenza, allo stato, di linee guida definitive dell’EDPB specificamente dedicate all’anonimizzazione, il principale riferimento applicativo resta l’Opinion 05/2014 del Gruppo Articolo 29, che ha individuato tre rischi fondamentali da considerare: la singolarizzazione dell’individuo, la collegabilità tra insiemi di dati e l’inferenza di informazioni riferibili alla persona.

Più recentemente, l’EDPB ha adottato le Guidelines 01/2025 sulla pseudonimizzazione, chiarendo che essa costituisce una misura idonea a ridurre i rischi per gli interessati, ma non determina, di per sé, l’uscita dei dati dall’ambito applicativo del GDPR. La futura adozione di linee guida europee sull’anonimizzazione, annunciata dall’EDPB nell’aprile 2026, conferma la centralità del tema e l’esigenza di criteri tecnici e giuridici aggiornati allo stato dell’arte.

Quali opportunità per imprese e professionisti?

Si è detto che l’anonimizzazione assume una particolare rilevanza nella gestione documentale, soprattutto quando le organizzazioni trattano archivi composti da documenti non strutturati, nei quali i dati personali non sono collocati in campi predefiniti, ma risultano dispersi nel testo, negli allegati, nelle descrizioni fattuali e nei riferimenti di contesto.

In questi casi, la mera rimozione di nomi, codici fiscali o indirizzi può risultare insufficiente, poiché l’identificazione dell’interessato può derivare anche dalla combinazione di informazioni indirette.

Le tecnologie basate su intelligenza artificiale e sistemi di elaborazione del linguaggio naturale possono agevolare questo processo, individuando categorie semantiche di dati e consentendo la produzione di documenti privi di riferimenti personali non necessari.

Per imprese e professionisti, ciò apre rilevanti opportunità: archivi, contratti, report, fascicoli, comunicazioni e possono essere utilizzati per analisi, audit, formazione, ricerca o ulteriori finalità economiche, riducendo il rischio privacy e valorizzando il patrimonio informativo in modo più conforme al GDPR.

**Assistenza legale in progetti digitali in compliance con il GDPR**

Il nostro Studio Legale assiste imprese e start-up e nell’elaborazione e attuazione di progetti innovativi con particolare attenzione alla protezione dei dati personali e alla compliance GDPR e all’impiego di sistemi di Intelligenza Artificiale.

Contattaci per un confronto!

Marchio d’impresa: opposizione alla registrazione ex art. 176 CPI

da Redazione | Mag 14, 2026 | Diritto d'Impresa

In cosa consiste l’opposizione alla registrazione del marchio? Come si svolge la relativa procedura?

Il Codice della Proprietà Industriale (D. Lgs. 30/2005, di seguito “Codice” o “CPI”), all’art. 15, stabilisce espressamente che «i diritti esclusivi considerati da questo codice sono conferiti con la registrazione» e precisa che «gli effetti della prima registrazione decorrono dalla data di deposito della domanda».

Tale effetto costitutivo rende particolarmente rilevante il controllo, preventivo e successivo al deposito, sulla validità della domanda di marchio. Non ogni segno, infatti, può essere validamente registrato, poiché il Codice richiede la sussistenza di specifici presupposti di registrabilità, tra cui assumono particolare rilievo la novità, la capacità distintiva e l’assenza di diritti anteriori di terzi.

In un precedente approfondimento sono state esaminate le modalità operative attraverso cui procedere alla registrazione del marchio d’impresa. Questo contributo si concentra, invece, sulla diversa e complementare prospettiva dell’opposizione alla registrazione, disciplinata dagli artt. 174 e seguenti del Codice della Proprietà Industriale.

Vogliamo pertanto offrire una sintesi ragionata della procedura di opposizione alla registrazione, illustrandone i presupposti, i soggetti legittimati, i motivi azionabili, i termini procedimentali e gli effetti della decisione dell’Ufficio italiano brevetti e marchi.

I presupposti della registrazione del marchio ex art. 7 CPI

In tanto può esservi opposizione alla registrazione in quanto vi sia stata una domanda di marchio ritenuta astrattamente registrabile dall’Ufficio italiano brevetti e marchi. Prima di esaminare il conflitto tra il segno richiesto e i diritti anteriori di terzi, occorre richiamare i presupposti generali che consentono a un segno di accedere alla tutela propria del marchio d’impresa.

Il punto di partenza è rappresentato dall’art. 7 CPI, il quale dispone che «possono costituire oggetto di registrazione come marchio d’impresa tutti i segni», indicando, a titolo esemplificativo, «le parole, compresi i nomi di persone, i disegni, le lettere, le cifre, i suoni, la forma del prodotto o della confezione di esso, le combinazioni o le tonalità cromatiche».

La norma, tuttavia, non attribuisce protezione a qualsiasi segno in quanto tale, ma subordina la registrabilità alla sussistenza di una duplice condizione. Il segno deve essere, da un lato, idoneo «a distinguere i prodotti o i servizi di un’impresa da quelli di altre imprese» e, dall’altro, deve poter essere rappresentato nel registro «in modo tale da consentire alle autorità competenti ed al pubblico di determinare con chiarezza e precisione l’oggetto della protezione conferita al titolare».

Questa impostazione assume rilievo anche rispetto all’opposizione alla registrazione, poiché il procedimento oppositivo si innesta su una domanda che ha già superato una prima verifica di registrabilità formale e sostanziale.

L’opposizione non si sostituisce integralmente all’esame dell’Ufficio, ma consente ai soggetti titolari di specifici diritti anteriori di far emergere l’esistenza di un conflitto giuridicamente rilevante tra il marchio richiesto e segni già protetti o comunque anteriori.

Novità del marchio e opposizione alla registrazione: il ruolo dell’art. 12 CPI

Tra i presupposti della registrazione assume un rilievo, anzitutto, il requisito della novità del marchio, disciplinato dall’art. 12 CPI. La novità non deve essere intesa come assoluta originalità creativa del segno, ma come assenza di anteriorità giuridicamente rilevanti idonee a impedire la valida acquisizione di un diritto esclusivo.

In altri termini, il marchio può essere registrato soltanto se, alla data di deposito della domanda, non interferisce con segni distintivi anteriori già registrati, depositati, notoriamente conosciuti o comunque utilizzati nell’attività economica da terzi, nei limiti previsti dalla legge.

L’art. 12 CPI stabilisce, infatti, che non possono costituire oggetto di registrazione come marchio d’impresa i segni che, alla data del deposito della domanda, «siano identici o simili ad un segno già noto come marchio o segno distintivo di prodotti o servizi» altrui, quando, a causa dell’identità o somiglianza tra i segni e dell’identità o affinità tra i prodotti o servizi, possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni.

La medesima logica opera anche rispetto a ditta, denominazione o ragione sociale, insegna, nome a dominio usato nell’attività economica o altro segno distintivo adottato da altri, ove ricorra un rischio di confusione per il pubblico.

Il requisito della novità è il principale punto di collegamento tra disciplina sostanziale del marchio e procedura di opposizione alla registrazione. Invero, attraverso l’opposizione, il titolare di un diritto anteriore può contestare la domanda successiva quando ritenga che il nuovo segno sia identico o simile al proprio marchio e venga richiesto per prodotti o servizi identici o affini.

Capacità distintiva del marchio e limiti alla registrazione

La capacità distintiva è un ulteriore presupposto per la registrazione del marchio. Se la novità riguarda il rapporto tra il segno richiesto e le anteriorità di terzi, la capacità distintiva attiene invece alla struttura intrinseca del segno e alla sua idoneità a svolgere la funzione tipica del marchio, ossia distinguere i prodotti o i servizi di un’impresa da quelli provenienti da altre imprese.

L’art. 13 CPI dispone espressamente che «non possono costituire oggetto di registrazione come marchio d’impresa i segni privi di carattere distintivo» e individua, in particolare, due categorie di segni non registrabili: quelli «divenuti di uso comune nel linguaggio corrente o negli usi costanti del commercio» e quelli costituiti «esclusivamente dalle denominazioni generiche di prodotti o servizi o da indicazioni descrittive che ad essi si riferiscono».

La norma menziona, tra le indicazioni descrittive, quelle che possono servire a designare la specie, la qualità, la quantità, la destinazione, il valore, la provenienza geografica, l’epoca di fabbricazione del prodotto o della prestazione del servizio, ovvero altre caratteristiche del prodotto o servizio.

Un aspetto va subito chiarito: la carenza originaria di distintività attiene normalmente all’esame d’ufficio e può essere segnalata mediante osservazioni dei terzi ai sensi dell’art. 175 CPI. L’opposizione alla registrazione, invece, è lo strumento attraverso il quale determinati soggetti fanno valere posizioni giuridiche anteriori e qualificate.

Osservazioni dei terzi e opposizione alla registrazione

Nell’iter procedura della registrazione, occorre tener distinte osservazioni dei terzi dalla opposizione alla registrazione in senso stretto, poiché si tratta di strumenti diversi per presupposti, funzione e conseguenze procedimentali.

Entrambi intervengono nella fase amministrativa dinanzi all’Ufficio italiano brevetti e marchi, ma rispondono a logiche differenti: le osservazioni mirano a sollecitare l’esercizio dei poteri di controllo dell’Ufficio, mentre l’opposizione introduce un vero contraddittorio tra il richiedente e il soggetto che invoca un diritto anteriore.

L’art. 175 CPI prevede che qualsiasi interessato possa indirizzare all’Ufficio italiano brevetti e marchi osservazioni scritte, specificando i motivi per i quali un marchio deve essere escluso d’ufficio dalla registrazione. La norma chiarisce che il soggetto che presenta osservazioni non diventa parte del procedimento e non assume una posizione processuale assimilabile a quella dell’opponente. Le osservazioni, se ritenute pertinenti e rilevanti, sono comunicate dall’Ufficio al richiedente, il quale può presentare le proprie deduzioni entro trenta giorni.

L’opposizione alla registrazione, disciplinata dall’art. 176 CPI, ha invece una natura più propriamente “contenziosa”, perché può essere proposta soltanto dai soggetti legittimati ai sensi dell’art. 177 CPI e deve fondarsi su specifici impedimenti relativi o su diritti anteriori qualificati. Mentre le osservazioni consentono di segnalare all’Ufficio ragioni ostative rilevabili d’ufficio, l’opposizione permette al titolare di un marchio anteriore, di una domanda anteriore o di altra posizione giuridica tutelata di impedire la registrazione di un segno successivo interferente.

Opposizione alla registrazione ex art. 176 CPI: termini, forma e contenuto dell’atto

Il procedimento di opposizione alla registrazione è contenuto nell’art. 176 CPI. La norma attribuisce ai soggetti legittimati ai sensi dell’art. 177 CPI la possibilità di reagire alla domanda di registrazione di un marchio quando ritengano che essa interferisca con un proprio diritto anteriore o con una delle cause ostative azionabili nel procedimento oppositivo.

L’opposizione alla registrazione deve essere presentata, a pena di inammissibilità, in forma scritta, motivata e documentata entro il termine perentorio di tre mesi. Tale termine decorre, a seconda dei casi, dalla data di pubblicazione della domanda di registrazione ritenuta registrabile, dalla data di pubblicazione della registrazione quando la domanda non sia stata previamente pubblicata.

La previsione di un termine conferma la natura acceleratoria e selettiva del procedimento di opposizione alla registrazione. Il titolare del diritto anteriore deve monitorare tempestivamente le domande pubblicate e intervenire entro la finestra temporale stabilita dalla legge, poiché il decorso del termine impedisce di utilizzare lo strumento oppositivo, ferma restando, ove ne ricorrano i presupposti, la possibilità di agire successivamente con altri rimedi.

Quanto al contenuto, l’art. 176 CPI richiede che l’opposizione riguardi una sola domanda o registrazione di marchio, sia redatta in lingua italiana e contenga l’identificazione del richiedente, il numero e la data della domanda o della registrazione contestata, nonché i prodotti e servizi contro cui l’opposizione è proposta. L’atto deve inoltre individuare il marchio o il diritto anteriore dell’opponente e indicare i motivi sui quali si fonda la contestazione.

Chi può proporre opposizione alla registrazione: la legittimazione

La procedura di opposizione alla registrazione presuppone una specifica legittimazione attiva. Il Codice della Proprietà Industriale distingue, infatti, tra le osservazioni dei terzi, che possono essere presentate da qualsiasi interessato senza assunzione della qualità di parte, e l’opposizione, che può essere proposta soltanto dai soggetti espressamente individuati dall’art. 177 CPI.

La norma stabilisce che sono legittimati all’opposizione, anzitutto, il titolare di un marchio già registrato nello Stato o con efficacia nello Stato da data anteriore e il soggetto che ha depositato nello Stato domanda di registrazione di un marchio in data anteriore o avente effetto nello Stato da data anteriore in forza di un diritto di priorità o di una valida rivendicazione di preesistenza.

La legittimazione spetta, inoltre, al licenziatario dell’uso esclusivo del marchio, nonché alle persone, agli enti e alle associazioni titolari dei diritti relativi a nomi, ritratti e segni notori ai sensi dell’art. 8 CPI.

I principali motivi di opposizione alla registrazione

La opposizione alla registrazione non può essere fondata su qualsiasi profilo di invalidità del marchio richiesto, ma soltanto sui motivi espressamente ammessi dal Codice della Proprietà Industriale. L’art. 176, comma 5, CPI stabilisce che con l’opposizione possono farsi valere gli impedimenti alla registrazione previsti dall’art. 12, comma 1, lettere c), d), e) ed f).

Il motivo più ricorrente di opposizione alla registrazione è rappresentato dal rischio di confusione con un marchio anteriore. L’art. 12 CPI esclude la registrabilità dei segni identici o simili a un marchio già registrato nello Stato, o con efficacia nello Stato, per prodotti o servizi identici o affini, quando «a causa dell’identità o somiglianza fra i segni e dell’identità o affinità fra i prodotti o i servizi possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni».

L’opposizione alla registrazione può assumere rilievo anche in presenza di marchi anteriori dotati di rinomanza. In tale ipotesi, l’art. 12 CPI estende la tutela anche ai prodotti o servizi non affini, quando l’uso del marchio successivo, senza giusto motivo, trarrebbe indebitamente vantaggio dal carattere distintivo o dalla rinomanza del segno anteriore, oppure recherebbe pregiudizio agli stessi.

Procedimento di opposizione alla registrazione e decisione dell’UIBM

Una volta depositata l’opposizione alla registrazione, il procedimento dinanzi all’Ufficio italiano brevetti e marchi si sviluppa secondo una sequenza volta a garantire il contraddittorio tra l’opponente e il richiedente la registrazione.

L’art. 178 CPI prevede che l’Ufficio, verificate la ricevibilità e l’ammissibilità dell’opposizione, comunichi l’opposizione alle parti con l’avviso della facoltà di raggiungere un accordo di conciliazione entro due mesi dalla comunicazione. Tale termine può essere prorogato su istanza comune delle parti, secondo quanto previsto dalla disciplina attuativa.

In mancanza di accordo, il procedimento di opposizione alla registrazione prosegue con la fase contenziosa. Il richiedente, ricevuta la documentazione depositata dall’opponente, può presentare per iscritto le proprie deduzioni entro il termine fissato dall’Ufficio. Nel corso del procedimento, l’UIBM può inoltre invitare le parti a produrre ulteriori documenti, deduzioni od osservazioni, entro un termine non superiore a trenta giorni e non prorogabile, così da acquisire gli elementi necessari alla decisione.

Particolare importanza assume la prova dell’uso effettivo del marchio anteriore. L’art. 178, comma 4, CPI stabilisce che, su istanza del richiedente, l’opponente che fondi l’opposizione alla registrazione su un marchio anteriore registrato da almeno cinque anni dalla data di deposito o di priorità del marchio contestato deve fornire documenti idonei a provare l’uso effettivo del marchio, da parte sua o con il suo consenso, per i prodotti e servizi sui quali l’opposizione si fonda, nel quinquennio precedente. In mancanza di tale prova, da fornire entro sessanta giorni dalla comunicazione dell’istanza, l’opposizione è respinta.

All’esito del procedimento, l’Ufficio decide se accogliere o respingere l’opposizione alla registrazione. Ai sensi dell’art. 178, comma 7, CPI, l’UIBM accoglie l’opposizione respingendo la domanda di registrazione in tutto o in parte, qualora risulti che il marchio non possa essere registrato per la totalità o per una parte dei prodotti o servizi indicati nella domanda. In caso contrario, l’opposizione viene respinta.

La decisione può inoltre incidere anche sul piano economico, poiché il comma 7-bis prevede che, con il provvedimento conclusivo, l’Ufficio ponga a carico del richiedente soccombente il rimborso dei diritti di opposizione e, a domanda, le spese di rappresentanza professionale nei limiti stabiliti dalla normativa applicabile.

Assistenza legale in materia di proprietà industriale

La corretta gestione dell’opposizione alla registrazione richiede un’attenta valutazione preliminare del marchio contestato, dei prodotti o servizi rivendicati, della forza distintiva del segno anteriore, della documentazione disponibile e, se necessario, della prova dell’uso effettivo del marchio.

Il nostro Studio Legale presta assistenza in materia di diritto dell’innovazione e della proprietà industriale, con particolare riguardo alla protezione dei marchi.

Contattaci per un confronto!

Atto di nomina del responsabile del trattamento ex art. 28 GDPR: presupposti e contenuti

da Redazione | Mag 8, 2026 | Diritto d'Impresa

La nomina del responsabile del trattamento ex art. 28 GDPR è l’atto con cui il titolare disciplina il ricorso a soggetti esterni chiamati a trattare dati personali per suo conto.

Nel sistema delineato dal Regolamento (UE) 2016/679, infatti, l’esternalizzazione di attività che implicano il trattamento di dati personali richiede una regolamentazione specifica, idonea a vincolare il responsabile del trattamento al rispetto delle istruzioni impartite dal titolare e degli obblighi previsti dalla normativa europea in materia di protezione dei dati personali.

L’art. 28 GDPR si inserisce nel più ampio principio di responsabilizzazione del titolare del trattamento, imponendo a quest’ultimo di selezionare soltanto soggetti che presentino garanzie sufficienti in ordine all’adozione di misure tecniche e organizzative adeguate.

Il presente articolo ha l’obiettivo di offrire una guida pratica alla redazione dell’atto di nomina del responsabile del trattamento, illustrandone i presupposti giuridici, la forma richiesta, il contenuto essenziale, e i connessi profili di responsabilità. L’analisi muoverà dalla distinzione tra titolare e responsabile, per poi esaminare le condizioni di validità della nomina, gli obblighi imposti dall’art. 28 GDPR, il ricorso a sub-responsabili, e le cautele redazionali necessarie per costruire un atto di nomina.

Chi è il responsabile del trattamento e quando deve essere nominato

Il responsabile del trattamento è definito dall’art. 4, n. 8, del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. La definizione consente di cogliere il tratto distintivo della figura: il responsabile del trattamento non determina autonomamente le finalità del trattamento, né stabilisce in via indipendente i mezzi essenziali dello stesso, ma opera nell’ambito di un incarico ricevuto dal titolare, attenendosi alle istruzioni documentate da quest’ultimo impartite.

La nomina diventa necessaria ogniqualvolta il titolare affidi a un soggetto esterno lo svolgimento di attività che comportano operazioni su dati personali. Tali operazioni possono consistere, secondo l’ampia nozione di trattamento prevista dall’art. 4, n. 2, GDPR, nella raccolta, registrazione, conservazione, consultazione, elaborazione, comunicazione, cancellazione o distruzione dei dati.

Non è quindi decisivo il tipo di servizio contrattualmente affidato, ma la circostanza che, nell’esecuzione di quel servizio, il soggetto esterno acceda, utilizzi o comunque tratti dati personali riconducibili alla sfera di titolarità del committente.

Rientrano frequentemente in questa ipotesi i fornitori di servizi informatici, i gestori di piattaforme digitali, i consulenti del lavoro, i commercialisti, le società incaricate della manutenzione di software, i provider cloud, i soggetti che gestiscono newsletter, CRM, servizi di assistenza clienti o attività amministrative esternalizzate.

Il rapporto tra titolare e responsabile del trattamento nell’art. 28 GDPR

L’art. 28 GDPR disciplina il rapporto tra titolare e responsabile del trattamento secondo una logica di controllo e responsabilizzazione. Il titolare del trattamento, infatti, non può affidare attività di trattamento a qualunque soggetto esterno, ma deve ricorrere soltanto a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti degli interessati.

La scelta del responsabile del trattamento diventa, pertanto, una decisione rilevante sotto il profilo della compliance, perché presuppone una verifica preventiva dell’affidabilità del fornitore, della sua organizzazione interna, delle misure di sicurezza adottate.

L’atto deve definire la materia disciplinata e la durata del trattamento, la natura e la finalità delle operazioni svolte, il tipo di dati personali trattati, le categorie di interessati coinvolti, nonché gli obblighi e i diritti del titolare.

Più precisamente, l’atto di nomina del responsabile del trattamento svolge una duplice funzione. Da un lato, documenta le istruzioni del titolare e delimita l’ambito entro cui il responsabile può operare; dall’altro, consente di dimostrare, in ossequio al principio di accountability, che il titolare ha regolato in modo consapevole e verificabile la filiera del trattamento.

Forma e contenuto essenziale dell’atto di nomina del responsabile del trattamento

L’atto di nomina del responsabile del trattamento deve essere redatto in forma scritta, anche in formato elettronico, e deve contenere una disciplina sufficientemente precisa del rapporto instaurato tra titolare e soggetto esterno. L’art. 28 GDPR individua il contenuto minimo del contratto o dell’atto giuridico che vincola il responsabile del trattamento al titolare. La nomina deve descrivere l’oggetto del trattamento, la sua durata, la natura delle operazioni affidate, le finalità perseguite, il tipo di dati personali trattati e le categorie di interessati coinvolti.

Accanto alla descrizione del trattamento, l’atto deve prevedere gli obblighi specifici del responsabile del trattamento. Tra questi rientrano il dovere di trattare i dati soltanto su istruzione documentata del titolare, l’obbligo di garantire la riservatezza delle persone autorizzate al trattamento, l’adozione delle misure di sicurezza di cui all’art. 32 GDPR, l’assistenza al titolare nella gestione delle richieste degli interessati, la collaborazione per l’adempimento degli obblighi in materia di data breach, valutazione d’impatto e consultazione preventiva, nonché la cancellazione o restituzione dei dati al termine del rapporto.

La nomina può, inoltre, disciplinare la possibilità di ricorrere a sub-responsabili, le modalità di audit e controllo da parte del titolare, gli obblighi informativi verso quest’ultimo e le conseguenze dell’eventuale violazione delle istruzioni ricevute.

Le istruzioni documentate al responsabile del trattamento e le misure di sicurezza

Uno degli elementi più rilevanti dell’atto di nomina è rappresentato dalle istruzioni documentate che il titolare impartisce al responsabile del trattamento. Il GDPR non consente al responsabile di trattare i dati personali secondo valutazioni autonome o finalità proprie, ma impone che ogni operazione sia eseguita entro il perimetro tracciato dal titolare. Le istruzioni devono indicare, con sufficiente precisione, le attività consentite, le modalità di accesso ai dati, i limiti di utilizzo, le regole di conservazione, le procedure di cancellazione o restituzione.

Il contenuto dell’atto di nomina è strettamente coordinato con l’art. 32 GDPR, che impone l’adozione di misure tecniche e organizzative adeguate al rischio. Non esiste, sotto questo profilo, un modello unico valido per ogni trattamento, poiché le misure richieste dipendono dalla natura dei dati, dal numero degli interessati, dalle tecnologie impiegate, dal contesto operativo e dai possibili effetti pregiudizievoli per i diritti e le libertà delle persone fisiche.

In presenza di trattamenti digitali, piattaforme cloud, sistemi gestionali o servizi informatici, l’atto dovrà quindi disciplinare con particolare attenzione i profili relativi all’autenticazione degli utenti, alla gestione delle credenziali, alla segregazione degli accessi, alla cifratura, ai backup, ai log, alla continuità operativa, alla protezione da accessi abusivi e alla gestione degli incidenti.

L’atto di nomina deve infine prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora ritenga che un’istruzione ricevuta violi il GDPR o altre disposizioni in materia di protezione dei dati personali.

Sub-responsabili, fornitori ulteriori e catena del trattamento

Un profilo particolarmente delicato dell’atto di nomina riguarda la possibilità che il responsabile del trattamento si avvalga, a sua volta, di ulteriori soggetti per l’esecuzione di specifiche attività di trattamento.

L’art. 28 GDPR disciplina tale ipotesi stabilendo che il responsabile non può ricorrere a un altro responsabile senza previa autorizzazione scritta del titolare, specifica o generale. La previsione risponde all’esigenza di evitare che la catena del trattamento si estenda senza controllo, sottraendo al titolare la possibilità di conoscere quali soggetti abbiano accesso ai dati personali e con quali garanzie.

Nella prassi, il tema dei sub-responsabili assume rilievo soprattutto nei servizi digitali, informatici e cloud, nei quali il fornitore principale può avvalersi di infrastrutture esterne, hosting provider, società di manutenzione, servizi di assistenza tecnica, piattaforme di comunicazione o ulteriori strumenti applicativi. In questi casi, l’atto di nomina del responsabile del trattamento deve stabilire se il ricorso a sub-responsabili sia vietato, consentito solo previa autorizzazione specifica, oppure ammesso sulla base di un’autorizzazione generale accompagnata dall’obbligo di informare il titolare di ogni successiva modifica.

L’art. 28 GDPR chiarisce inoltre che, qualora il sub-responsabile ometta di adempiere ai propri obblighi, il responsabile del trattamento iniziale conserva nei confronti del titolare l’intera responsabilità per l’adempimento degli obblighi del soggetto ulteriore.

Responsabile del trattamento, data breach e obblighi di collaborazione

La nomina ex art. 28 GDPR incide direttamente sulla ripartizione delle responsabilità tra titolare e responsabile del trattamento. Quest’ultimo, infatti, non assume una posizione neutra o meramente esecutiva, poiché il Regolamento gli attribuisce obblighi propri, la cui violazione può determinare conseguenze sanzionatorie.

Il responsabile del trattamento risponde, in particolare, quando non adempie agli obblighi specificamente posti a suo carico dal GDPR o quando agisce in modo difforme o contrario rispetto alle legittime istruzioni ricevute dal titolare.

L’atto di nomina deve prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora venga a conoscenza di un data breach, fornendo tutte le informazioni necessarie per consentire la valutazione dell’evento, l’eventuale notifica all’Autorità di controllo e, ove necessario, la comunicazione agli interessati.

La tempestività della comunicazione è essenziale, poiché il titolare è tenuto, nei casi previsti dall’art. 33 GDPR, a notificare la violazione al Garante entro settantadue ore dal momento in cui ne è venuto a conoscenza. Per questa ragione, nella prassi contrattuale si prevede spesso un termine interno più breve a carico del responsabile, così da consentire al titolare di rispettare i propri obblighi normativi.

Il responsabile del trattamento è inoltre tenuto ad assistere il titolare nell’adempimento degli obblighi connessi alla sicurezza del trattamento, alla valutazione d’impatto sulla protezione dei dati, alla consultazione preventiva dell’Autorità e alla gestione delle richieste di esercizio dei diritti degli interessati.

Occorre infine considerare che, ai sensi dell’art. 28, paragrafo 10, GDPR, qualora il responsabile del trattamento violi il Regolamento determinando autonomamente le finalità e i mezzi del trattamento, esso può essere considerato titolare del trattamento in relazione a quelle specifiche operazioni.

Assistenza legale dedicata in materia privacy

L’atto di nomina del responsabile del trattamento è parte integrante della contrattualistica privacy e della più ampia governance dei dati personali. La sua predisposizione richiede l’analisi del servizio affidato, dei flussi informativi, delle infrastrutture utilizzate, delle categorie di dati trattati, dei soggetti autorizzati, e della catena dei fornitori coinvolti.

Il nostro Studio assiste imprese e startup nella predisposizione di atti di nomina del responsabile del trattamento, data processing agreement e, in generale, nell’elaborazione della documentazione GDPR.

Contattaci per un confronto!

Fac simile sintetico di atto di nomina del responsabile del trattamento ex art. 28 GDPR

Di seguito si propone uno schema meramente esemplificativo di atto di nomina del responsabile del trattamento, predisposto al solo fine di illustrare la struttura minima del documento.

Il modello non è destinato a essere utilizzato senza preventiva verifica del caso concreto e senza il supporto di un professionista.

ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO

ai sensi dell’art. 28 del Regolamento (UE) 2016/679

Tra:

[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Titolare del trattamento”;

[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Responsabile del trattamento”.

Premesse

Il Titolare ha affidato al Responsabile lo svolgimento del servizio di [●], regolato dal contratto/accordo del [●].

Nell’esecuzione di tale servizio, il Responsabile potrà trattare dati personali per conto del Titolare, nei limiti necessari allo svolgimento dell’incarico ricevuto.

Ai sensi dell’art. 28 GDPR, il Titolare

nomina

[●] quale Responsabile del trattamento per le attività connesse al servizio di [●].

Oggetto del trattamento

Il Responsabile è autorizzato a trattare i dati personali esclusivamente per le seguenti finalità:

[indicare sinteticamente le finalità del trattamento]

Le operazioni di trattamento consentite sono:

[indicare sinteticamente le operazioni: raccolta, conservazione, consultazione, elaborazione, comunicazione, cancellazione, altro]

Dati personali e interessati

Le categorie di dati personali trattati sono:

[●]

Le categorie di interessati coinvolti sono:

[●]

Durata

La presente nomina ha durata pari a quella del rapporto contrattuale principale, salvo diversa istruzione scritta del Titolare.

Alla cessazione del rapporto, il Responsabile dovrà restituire o cancellare i dati personali secondo le istruzioni del Titolare.

Istruzioni del Titolare

Il Responsabile si impegna a trattare i dati personali soltanto sulla base delle istruzioni documentate del Titolare e nei limiti del servizio affidato.

Il Responsabile non potrà utilizzare i dati per finalità proprie o diverse da quelle indicate nel presente atto.

Obblighi del Responsabile

Il Responsabile si impegna a garantire la riservatezza delle persone autorizzate al trattamento, ad adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, ad assistere il Titolare nell’adempimento degli obblighi privacy e a mettere a disposizione le informazioni necessarie per dimostrare il rispetto della presente nomina.

Sub-responsabili

Il Responsabile potrà ricorrere a sub-responsabili soltanto previa autorizzazione scritta del Titolare, secondo le seguenti modalità:

[autorizzazione specifica / autorizzazione generale / divieto di ricorso a sub-responsabili]

Violazione dei dati personali

In caso di violazione dei dati personali, il Responsabile dovrà informare il Titolare senza ingiustificato ritardo e comunque entro il termine di:

[●] ore

La comunicazione dovrà contenere le informazioni disponibili sulla natura della violazione, sui dati coinvolti, sulle possibili conseguenze e sulle misure adottate.

Misure di sicurezza

Il Responsabile dichiara di adottare misure tecniche e organizzative adeguate rispetto al trattamento affidato, consistenti in particolare in:

Audit e controlli

Il Responsabile si impegna a collaborare con il Titolare in caso di richieste documentali, verifiche o controlli relativi al trattamento dei dati personali svolto per conto del Titolare.

Accettazione della nomina

Con la sottoscrizione del presente atto, il Responsabile accetta la nomina ai sensi dell’art. 28 GDPR e si impegna a rispettare gli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali.

Luogo e data: [●]

Il Titolare del trattamento

Il Responsabile del trattamento

Categorizzazione di attività e servizi: la nuova Determina di ACN ex art. 30 D. Lgs. 138/2024

da Redazione | Mag 5, 2026 | Diritto d'Impresa

La categorizzazione delle attività e dei servizi nel sistema NIS 2 è ufficialmente entrata nella sua fase attuativa. Con la Determinazione del Direttore Generale n. 155238 del 20 aprile 2026, adottata in attuazione dell’art. 30, comma 2, del D. Lgs. 4 settembre 2024, n. 138, l’Agenzia per la Cybersicurezza Nazionale ha fornito il modello attraverso il quale gli operatori ricompresi nel perimetro NIS sono chiamati a procedere alla categorizzazione delle proprie attività e dei propri servizi, secondo criteri omogenei.

La categorizzazione serve a qualificare le attività rilevanti e a comprendere quale impatto potrebbe derivare dalla compromissione di un determinato servizio o processo sulla capacità del soggetto NIS di continuare a svolgere correttamente le attività per le quali rientra nell’ambito di applicazione del Decreto.

In questo breve articolo vogliamo offrire un quadro aggiornato degli obblighi derivanti dall’art. 30 del D. Lgs. 138/2024 e dalla nuova Determina ACN, con particolare attenzione agli adempimenti che devono essere assolti, ogni anno, nella finestra temporale compresa tra il 1° maggio e il 30 giugno.

L’obbligo annuale di elencazione, caratterizzazione e categorizzazione

L’art. 30 del D. Lgs. 138/2024 prevede che, dal 1° maggio al 30 giugno di ogni anno, a partire dalla ricezione della prima comunicazione di inclusione nell’elenco dei soggetti NIS, i soggetti essenziali e i soggetti importanti debbano comunicare e aggiornare, tramite la piattaforma digitale di cui all’art. 7, comma 1, l’elenco delle proprie attività e dei propri servizi, comprensivo degli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

La disposizione attribuisce alla categorizzazione una funzione – per così dire – sistematica, poiché essa consente di raccordare l’identità operativa del soggetto NIS con il complesso degli obblighi di sicurezza, gestione del rischio e continuità operativa previsti dal decreto

In questa prospettiva, l’art. 30 va letto in stretta connessione con l’art. 24 del decreto, relativo agli obblighi in materia di misure di sicurezza. L’elencazione e la categorizzazione delle attività e dei servizi costituiscono infatti la base informativa sulla quale il soggetto NIS è chiamato a costruire un sistema di presidio coerente, proporzionato e documentabile.

Ciò posto, la Determinazione del 20 aprile 2026 interviene per stabilire le categorie di rilevanza, nonché il processo, le modalità e i criteri attraverso i quali i soggetti NIS devono procedere all’elencazione, alla caratterizzazione e alla categorizzazione delle proprie attività e dei propri servizi. Nel dettaglio, ACN ha introdotto un modello uniforme, fondato su dieci macro-aree e su quattro categorie di rilevanza, destinato a guidare i soggetti obbligati nella rappresentazione ordinata delle proprie attività e dei propri servizi.

La Determina distingue, inoltre, tra due modelli di categorizzazione, contenuti negli Allegati 1 e 2, applicabili a diverse tipologie di soggetti NIS. Il primo modello riguarda i soggetti riconducibili alle tipologie espressamente richiamate dall’art. 2, comma 2, della Determinazione (la maggior parte dei soggetti essenziali); il secondo si applica, invece, in via residuale, a tutti i soggetti NIS non ricompresi in tale previsione (soggetti importanti e altre categorie soggettive).

È bene precisare che la Determinazione si applica a decorrere dal 1° maggio 2026, data che coincide con l’apertura della finestra annuale prevista dall’art. 30 del decreto. Ne deriva che, già a partire dal primo ciclo applicativo successivo alla sua entrata in vigore, i soggetti essenziali e importanti sono tenuti a utilizzare il modello ACN quale parametro di riferimento per la corretta categorizzazione delle attività e dei servizi comunicati tramite la piattaforma digitale.

Le categorie di rilevanza nella categorizzazione: impatto alto, medio, basso e minimo

La Determinazione ACN n. 155238 del 20 aprile 2026 individua quattro categorie di rilevanza, denominate impatto alto, impatto medio, impatto basso e impatto minimo. In tali categorie il soggetto NIS dovrà qualificare ciascuna attività e ciascun servizio oggetto di comunicazione, valutando l’incidenza che una possibile compromissione potrebbe avere sulla capacità dell’organizzazione di svolgere correttamente le attività e i servizi rilevanti ai fini del decreto NIS.

Il modello ACN assegna alle macro-aree una categoria di rilevanza predefinita, ma il soggetto NIS resta chiamato a verificare se, nel proprio specifico contesto organizzativo, la compromissione di una determinata attività o di un determinato servizio possa produrre effetti più gravi o meno gravi rispetto alla classificazione ordinaria. Proprio per questa ragione, la Determina consente di indicare una categoria diversa da quella pre-assegnata, purché tale scelta sia sorretta da una valutazione interna e dalla conservazione della relativa documentazione.

I modelli di categorizzazione allegati alla Determina: le dieci macro-aree

Il modello dell’Agenzia si fonda sull’individuazione di dieci macro-aree, destinate a costituire la “griglia” attraverso la quale i soggetti NIS dovranno rappresentare le attività svolte e i servizi erogati.

Gli Allegati 1 e 2 contemplano, in particolare, le macro-aree del monitoraggio e controllo, della produzione di beni e servizi, della ricerca, sviluppo e progettazione, della gestione finanziaria, della gestione dei clienti, della gestione delle risorse umane, della logistica, della comunicazione e marketing, della gestione amministrativa e, in via residuale, degli altri servizi e attività.

Emerge ictu oculi come la categorizzazione non riguardi soltanto le componenti strettamente tecniche o informatiche, ma investe l’intero assetto operativo del soggetto NIS, includendo anche attività interne, servizi di supporto, funzioni amministrative, rapporti con i clienti, gestione dei fornitori e processi organizzativi trasversali.

Particolare rilievo assume la macro-area “monitoraggio e controllo”, alla quale entrambi gli allegati attribuiscono la categoria di impatto alto. Essa comprende le attività e i servizi finalizzati al supporto degli organi di amministrazione e direttivi, all’orchestrazione e al coordinamento della sicurezza informatica e fisica, alla continuità operativa, al controllo di qualità e al controllo di conformità, anche in relazione ai fornitori.

Le macro-aree relative alla produzione di beni e servizi e alla ricerca, sviluppo e progettazione sono invece pre-classificate a impatto medio, mentre la gestione finanziaria, la gestione dei clienti e la gestione delle risorse umane sono collocate nell’area dell’impatto basso. Comunicazione e marketing, gestione amministrativa e altri servizi e attività sono ricondotti all’impatto minimo.

Il processo operativo sulla piattaforma digitale ACN

Sul piano procedimentale, la Determinazione ACN del 20 aprile 2026 stabilisce che i soggetti NIS provvedano all’elencazione e alla categorizzazione delle attività e dei servizi tramite la piattaforma digitale di cui all’art. 7, comma 1, del D. Lgs. 138/2024.

L’adempimento deve essere svolto secondo le modalità stabilite dalla Determinazione adottata ai sensi dell’art. 40, comma 5, lett. b), e si colloca nella finestra temporale annuale prevista dall’art. 30, vale a dire tra il 1° maggio e il 30 giugno di ciascun anno.

La comunicazione tramite il Portale deve riguardare tutte le attività svolte e tutti i servizi erogati dal soggetto NIS, sia internamente sia esternamente. Devono essere considerate anche le attività interne che concorrono al funzionamento dell’organizzazione e che, in caso di compromissione, potrebbero incidere sulla capacità del soggetto di assicurare la continuità e la correttezza delle attività e dei servizi NIS.

Per ciascuna attività o servizio, il soggetto deve indicare la macro-area corrispondente, la denominazione e la descrizione dell’attività o del servizio, nonché la relativa categoria di rilevanza. La compilazione richiede, pertanto, una previa attività di mappatura organizzativa, idonea a ricostruire i processi effettivamente svolti, le dipendenze operative, le funzioni di supporto, le interazioni con i fornitori e le aree suscettibili di incidere sulla continuità aziendale o istituzionale. La Determina precisa, inoltre, che il soggetto NIS non è tenuto a indicare attività o servizi per una o più macro-aree qualora non svolga attività e non eroghi servizi riconducibili alle stesse.

È riconosciuta la possibilità ai soggetti NIS di attribuire a una determinata attività o a un determinato servizio una categoria di rilevanza diversa da quella pre-assegnata alla macro-area di riferimento. Tale facoltà consente di evitare che il modello di categorizzazione operi in modo rigido o meramente tabellare, valorizzando invece la concreta realtà organizzativa del soggetto obbligato e l’effettivo impatto che la compromissione di un’attività o di un servizio potrebbe produrre sulla continuità delle attività e dei servizi NIS.

In termini operativi, la documentazione dovrebbe quindi dare conto dei criteri utilizzati, delle funzioni coinvolte, delle dipendenze organizzative e tecnologiche considerate, nonché degli effetti prevedibili in caso di compromissione.

La procedura di valutazione e il riscontro di ACN

L’art. 30 del D. Lgs. 138/2024 disciplina anche la successiva fase di verifica da parte dell’Autorità nazionale competente NIS. Entro novanta giorni dalla comunicazione effettuata tramite la piattaforma digitale, l’ACN fornisce riscontro ai soggetti essenziali e importanti circa la conformità di quanto comunicato rispetto alle modalità e ai criteri stabiliti ai sensi del comma 2. Tale termine può essere prorogato, per una sola volta, fino a un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere approfondimenti.

La disciplina prevede altresì che, ove l’Autorità richieda integrazioni o informazioni aggiuntive, i termini siano interrotti sino alla data di ricevimento delle stesse. Le integrazioni devono essere rese dal soggetto NIS entro il termine di trenta giorni dalla richiesta.

Particolarmente rilevante è poi la previsione secondo cui, in assenza del riscontro dell’ACN entro i termini previsti, la conformità della comunicazione si intende convalidata.

La Determinazione ACN introduce, infine, due importanti clausole di coordinamento. I soggetti NIS che hanno già svolto la classificazione dei dati e dei servizi ai sensi del Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024 applicano quel modello ai fini dell’elencazione e della categorizzazione, in luogo del modello previsto dalla Determina.

Inoltre, alle attività e ai servizi soggetti agli obblighi del perimetro di sicurezza nazionale cibernetica è attribuita direttamente la categoria di impatto alto, con esclusione dall’ordinario processo di cui all’art. 3 della Determinazione.

Assistenza nella categorizzazione di attività e servizi per soggetti NIS 2

Nel periodo compreso tra il 1° maggio e il 30 giugno di ogni anno si apre una finestra temporale, in cui i soggetti NIS dovranno “mappare” le proprie attività e servizi. Il corretto adempimento dei dettami dell’art. 30 D. Lgs. 138/2024 richiede un approccio integrato tra comprensione dei processi aziendali e valutazione dei profili tecnico-organizzativi.

Il nostro Studio assiste imprese e destinatari della disciplina nell’interpretazione degli obblighi derivanti dal D. Lgs. 138/2024, nella predisposizione della documentazione interna, nella mappatura dei processi e nella definizione di percorsi di compliance in materia di cybersecurity e NIS 2.

Contattaci per un confronto!

« Post precedenti

Ricorso contro il silenzio inadempimento nel processo amministrativo: artt. 31 e 117 c.p.a.

Silenzio inadempimento, silenzio assenso e silenzio rigetto. Le differenze

L’obbligo di provvedere e la scadenza del termine procedimentale

L’azione avverso il silenzio inadempimento ex art. 31 c.p.a.

Il rito speciale contro il silenzio inadempimento ex art. 117 c.p.a.

I poteri del giudice amministrativo nel ricorso avverso il silenzio

Cosa accade se sopravviene un provvedimento espresso durante il giudizio?

Assistenza legale e rappresentanza in giudizi dinanzi al giudice amministrativo

Cessione di azienda o di ramo: oggetto e contenuto del contratto

La disciplina civilistica della cessione di azienda: artt. 2555, 2556, 2558 e 2112 c.c.

La forma del contratto di cessione di azienda e l’iscrizione nel Registro delle imprese

Individuazione del ramo ceduto: beni materiali, immateriali, contratti, rapporti e know-how

Successione nei contratti, debiti aziendali e rapporti di lavoro

Corrispettivo, garanzie e clausole di tutela delle parti

La cessione di azienda come strumento di riorganizzazione dell’impresa. Ecco le opportunità

Assistenza legale in operazioni di cessione di azienda e nei contratti d’impresa

Anonimizzazione dei dati personali, gestione documentale e conformità al GDPR

L’anonimizzazione nel GDPR: dal dato personale al dato anonimo

Anonimizzazione e pseudonimizzazione: le differenze

Oscuramento, cifratura e anonimizzazione

Anonimizzazione, minimizzazione e limitazione della conservazione

Opinion 05/2014, pseudonimizzazione e future linee guida EDPB

Quali opportunità per imprese e professionisti?

Assistenza legale in progetti digitali in compliance con il GDPR

Marchio d’impresa: opposizione alla registrazione ex art. 176 CPI

I presupposti della registrazione del marchio ex art. 7 CPI

Novità del marchio e opposizione alla registrazione: il ruolo dell’art. 12 CPI

Capacità distintiva del marchio e limiti alla registrazione

Osservazioni dei terzi e opposizione alla registrazione

Opposizione alla registrazione ex art. 176 CPI: termini, forma e contenuto dell’atto

Chi può proporre opposizione alla registrazione: la legittimazione

I principali motivi di opposizione alla registrazione

Procedimento di opposizione alla registrazione e decisione dell’UIBM

Assistenza legale in materia di proprietà industriale

Atto di nomina del responsabile del trattamento ex art. 28 GDPR: presupposti e contenuti

Chi è il responsabile del trattamento e quando deve essere nominato

Il rapporto tra titolare e responsabile del trattamento nell’art. 28 GDPR

Forma e contenuto essenziale dell’atto di nomina del responsabile del trattamento

Le istruzioni documentate al responsabile del trattamento e le misure di sicurezza

Sub-responsabili, fornitori ulteriori e catena del trattamento

Responsabile del trattamento, data breach e obblighi di collaborazione

Assistenza legale dedicata in materia privacy

Fac simile sintetico di atto di nomina del responsabile del trattamento ex art. 28 GDPR

Categorizzazione di attività e servizi: la nuova Determina di ACN ex art. 30 D. Lgs. 138/2024

L’obbligo annuale di elencazione, caratterizzazione e categorizzazione

Le categorie di rilevanza nella categorizzazione: impatto alto, medio, basso e minimo

I modelli di categorizzazione allegati alla Determina: le dieci macro-aree

Il processo operativo sulla piattaforma digitale ACN

La procedura di valutazione e il riscontro di ACN

Assistenza nella categorizzazione di attività e servizi per soggetti NIS 2

Ultime novità

**Assistenza legale in progetti digitali in compliance con il GDPR**