da Redazione | Ott 21, 2025 | Diritto d'Impresa
La disciplina del portale ACN è un continua ed incessante evoluzione. All’esito del lavori del quinto Tavolo NIS, l’Agenzia per la Cybersicurezza Nazionale ha annunciato la pubblicazione della Determinazione n. 250916/2025, con cui viene istituzionalizzata la figura del referente CSIRT, destinata a divenire un nuovo presidio tecnico-organizzativo per la gestione degli incidenti di sicurezza informatica. La designazione di tale figura, prevista tra il 20 novembre e il 31 dicembre 2025, rappresenta una novità di rilievo per assicurare la tempestività delle notifiche allo CSIRT Italia e rafforzare la capacità di risposta degli operatori NIS.
Parallelamente, è stato approvato un nuovo aggiornamento dell’elenco dei soggetti NIS attraverso l’integrazione delle registrazioni tardive e delle successive istanze pervenute dopo la scadenza di giugno. Questo processo, destinato a proseguire con ulteriori integrazioni entro la fine dell’anno, mira a mantenere costantemente aggiornato il quadro dei soggetti rilevanti per la protezione delle infrastrutture digitali strategiche.
Ciò premesso, l’obiettivo di questo articolo è fornire una guida chiara e strutturata sul funzionamento del portale ACN, all’esito delle novità apportate dalla Determinazione del 19 settembre 2025. Ci concentreremo, in particolare, sugli adempimenti che gli operatori NIS devono rispettare nelle fasi di registrazione e aggiornamento.
Il portale ACN e il sistema definitorio della Determinazione
La recente Determinazione n. 250916/2025 conferma il ruolo del portale ACN quale infrastruttura digitale unica per la gestione degli adempimenti previsti per i soggetti NIS.
La Determinazione si apre con un riepilogo delle nozioni cardine: “Servizi NIS”, “censimento”, “associazione”, “registrazione”, “aggiornamento annuale” e “aggiornamento continuo”. I Servizi NIS rappresentano l’insieme di funzioni digitali attraverso le quali avvengono tutte le interlocuzioni ufficiali tra operatori e Autorità, consentendo di effettuare la registrazione, modificare le informazioni, aggiornare periodicamente i dati e ricevere comunicazioni istituzionali.
Il censimento e l’associazione definiscono la fase preliminare di accesso, in cui si autenticano le utenze e si stabilisce formalmente il legame tra l’utente e il soggetto NIS di riferimento. La registrazione costituisce il momento di formalizzazione dei dati anagrafici e strutturali del soggetto, mentre l’aggiornamento annuale e l’aggiornamento continuo scandiscono i successivi obblighi periodici di verifica e modifica delle informazioni.
Le modifiche intervenute non hanno toccato l’essenza la “centralità” del portale ACN quale unico canale autorizzato per la trasmissione e la gestione delle informazioni, garantendo tracciabilità, standardizzazione e integrità dei dati. Esso consente agli operatori NIS di organizzare in modo ordinato i flussi informativi interni, di distribuire responsabilità in maniera trasparente e di assicurare il rispetto delle prescrizioni del Decreto Legislativo 4 settembre 2024, n. 138.
Portale ACN: punti di contatto e responsabilità organizzative
Nella disciplina sul funzionamento del portale ACN, un ruolo di primaria importanza è attribuito alla figura del punto di contatto, prevista dall’articolo 4 della Determinazione. Si tratta di una persona fisica designata dal soggetto NIS con il compito di curare, per conto dell’organizzazione, l’esecuzione di tutti gli adempimenti previsti dalla normativa NIS, inclusa la registrazione, l’aggiornamento delle informazioni e l’interlocuzione diretta con l’Autorità nazionale competente.
La determinazione ribadisce che tale figura costituisce l’interfaccia formale e sostanziale tra il soggetto e Agenzia per la Cybersicurezza Nazionale, garantendo così la tracciabilità di ogni attività svolta attraverso il portale ACN.
Il punto di contatto può coincidere con il rappresentante legale del soggetto NIS, con un procuratore generale o con un dipendente formalmente delegato. In presenza di gruppi societari, la funzione può essere esercitata anche da un dipendente di altra impresa del gruppo, purché rientrante nell’ambito applicativo della normativa NIS. Nelle pubbliche amministrazioni, tale funzione può essere affidata anche a personale di altre amministrazioni, previa autorizzazione. In ogni caso, la responsabilità ultima resta in capo agli organi di amministrazione e direttivi, i quali sono tenuti a garantire che le informazioni fornite tramite il portale ACN siano corrette, aggiornate e trasmesse nei tempi stabiliti.
Accanto al punto di contatto è prevista la designazione di un sostituto, anch’egli censito sulla piattaforma, che può operare con le medesime funzioni, salvo la fase di registrazione iniziale. Questa struttura garantisce la continuità operativa e riduce i rischi derivanti da eventuali indisponibilità o impedimenti.
La determinazione precisa inoltre che eventuali avvicendamenti devono essere formalizzati senza ritardo, così da preservare la piena operatività del sistema. L’organizzazione è pertanto chiamata a dotarsi di un assetto interno stabile, chiaro e conforme, nel quale le responsabilità per la gestione del portale ACN siano esattamente individuate e presidiate, a tutela dell’effettività degli obblighi imposti dal Decreto Legislativo 4 settembre 2024, n. 138.
La novità più rilevante: il referente CSIRT
La principale innovazione introdotta dalla Determinazione in esame riguarda l’istituzionalizzazione della figura del referente CSIRT, destinata a integrare in modo significativo la governance operativa della sicurezza cibernetica. A partire dal 20 novembre ed entro il 31 dicembre 2025, ogni soggetto NIS dovrà designare, per il tramite del punto di contatto, una persona fisica con funzioni specifiche di interlocuzione con CSIRT Italia, al fine di garantire una gestione tempestiva ed efficace delle notifiche di incidente informatico.
La designazione del referente CSIRT, che avviene esclusivamente attraverso il portale ACN, rappresenta un passaggio decisivo nella strutturazione dei presidi di sicurezza all’interno delle organizzazioni soggette alla normativa NIS.
Il referente CSIRT è chiamato ad agire quale snodo tecnico-operativo per la trasmissione delle segnalazioni e delle notifiche previste dagli articoli 25 e 26 del Decreto Legislativo 4 settembre 2024, n. 138. La norma consente inoltre di designare uno o più sostituti, al fine di assicurare la continuità funzionale e di prevenire eventuali ritardi o interruzioni nella gestione delle comunicazioni verso l’Autorità.
Per garantire l’effettività del sistema, il referente e i suoi sostituti devono possedere competenze di base in materia di sicurezza informatica e di gestione degli incidenti, nonché una conoscenza adeguata dei sistemi informativi e delle infrastrutture dell’organizzazione di appartenenza.
Questa nuova previsione rafforza il presidio tecnico a supporto del punto di contatto, creando un canale dedicato di comunicazione e coordinamento operativo con il CSIRT nazionale.
Censimento e associazione delle utenze nel portale ACN
L’accesso al portale ACN – come noto – è subordinato a una rigorosa procedura di censimento e associazione delle utenze, che rappresenta la base dell’intero sistema di gestione digitale degli adempimenti dal decreto NIS 2. Tale procedura è finalizzata a garantire l’identificazione certa degli utenti e a stabilire un legame formale e tracciabile tra ciascun utente e il soggetto NIS di appartenenza.
L’autenticazione avviene mediante strumenti di identità digitale qualificata, quali SPID o CIE, assicurando così un elevato livello di garanzia nell’identificazione dell’utente. Una volta autenticato, l’utente è tenuto a completare la propria anagrafica, fornendo informazioni personali e professionali che comprendono, tra le altre, generalità, recapiti, sede di servizio e riferimenti dell’organizzazione di appartenenza. Si tratta di un passaggio essenziale per assicurare la tracciabilità di ogni attività svolta all’interno del portale ACN.
Completata la fase di censimento, il punto di contatto procede all’associazione della propria utenza con il soggetto NIS e, successivamente, può invitare altri utenti a operare sulla piattaforma con ruoli differenziati: sostituto punto di contatto, segreteria e operatori.
Questa articolazione dei profili consente di distribuire le funzioni operative all’interno dell’organizzazione, pur mantenendo la responsabilità ultima in capo al punto di contatto e agli organi di vertice. La procedura telematica di associazione, che si perfeziona attraverso conferme inviate al domicilio digitale del soggetto, costituisce un presidio di affidabilità e integrità del sistema.
Registrazione annuale e dichiarazioni obbligatorie
La registrazione sul portale ACN rappresenta l’antecedente logico fondamentale per la formalizzazione delle informazioni all’interno del portale ACN. L’articolo 11 della Determinazione disciplina in modo puntuale tale procedura, che si svolge annualmente nel periodo compreso tra il 1° gennaio e il 28 febbraio. In questa finestra temporale, il punto di contatto è tenuto a compilare e trasmettere la dichiarazione contenente le informazioni necessarie per l’inquadramento giuridico, economico e tecnico del soggetto NIS, secondo quanto previsto dal Decreto Legislativo 4 settembre 2024, n. 138.
La dichiarazione comprende dati relativi alla natura del soggetto, alla sua eventuale appartenenza a un gruppo di imprese e alle imprese collegate rilevanti ai fini dell’articolo 3, comma 10, del decreto NIS, oltre all’indicazione dei codici ATECO che descrivono l’attività esercitata.
Vengono inoltre richieste informazioni economiche, come i valori di bilancio, il fatturato e il numero di dipendenti, necessari per individuare la corretta dimensione d’impresa secondo la raccomandazione 2003/361/CE, nonché le normative settoriali e le tipologie di soggetto di riferimento previste dagli allegati I, II, III e IV del decreto. La procedura si conclude con una conferma formale da parte del punto di contatto, resa ai sensi del D.P.R. 28 dicembre 2000, n. 445, che attesta la veridicità delle informazioni trasmesse.
Tutte le comunicazioni relative alla registrazione avvengono esclusivamente tramite il portale ACN e sono notificate al domicilio digitale del soggetto NIS, assicurando così la piena tracciabilità e opponibilità delle dichiarazioni rese. L’Autorità nazionale competente può inoltre procedere a verifiche di coerenza, anche a campione, per accertare l’esattezza delle informazioni fornite.
Aggiornamento annuale e aggiornamento continuo delle informazioni sul portale ACN
La gestione dei dati trasmessi tramite il portale ACN, come noto, non si esaurisce con la registrazione iniziale. In coerenza con il Decreto Legislativo 4 settembre 2024, n. 138, la Determinazione in esame disciplina due ulteriori fasi procedurali: l’aggiornamento annuale e l’aggiornamento continuo. Si tratta di strumenti fondamentali per assicurare la costante attualità delle informazioni trasmesse, così da consentire all’Autorità nazionale competente di disporre di dati sempre coerenti e tempestivamente aggiornati, in un contesto normativo che richiede elevati standard di affidabilità e reattività.
L’aggiornamento annuale si svolge tra il 15 aprile e il 31 maggio di ogni anno e ha lo scopo di verificare la correttezza e l’adeguatezza dei dati già presenti nel sistema. In questa fase, il punto di contatto è tenuto ad assicurare l’esattezza delle informazioni relative all’organizzazione, ai recapiti ufficiali, ai rappresentanti legali e ai procuratori generali, nonché ai componenti degli organi di amministrazione e direttivi.
Viene inoltre verificata la correttezza dei dati tecnici relativi ai servizi offerti, agli spazi di indirizzamento IP, ai domini utilizzati e agli eventuali accordi di condivisione. Gli aggiornamenti sono confermati tramite il portale ACN e notificati al domicilio digitale del soggetto, a garanzia della piena tracciabilità dell’operazione.
L’aggiornamento continuo, invece, consente ai soggetti NIS di comunicare ogni variazione intervenuta nel corso dell’anno, dal completamento dell’aggiornamento annuale fino al 14 aprile dell’anno successivo.
Questo meccanismo garantisce che eventuali mutamenti significativi, come modifiche societarie, variazioni di contatti o cambiamenti nelle informazioni tecniche, siano immediatamente recepiti e registrati. Anche in questo caso, la conferma delle modifiche avviene per il tramite del punto di contatto, che ne attesta la veridicità ai sensi del D.P.R. 28 dicembre 2000, n. 445.
Verifiche, controlli e formazione dell’elenco dei soggetti NIS
La normativa attuativa del decreto NIS 2 disciplina con particolare attenzione anche i meccanismi di verifica e controllo da parte di Agenzia per la Cybersicurezza Nazionale e delle Autorità di settore. Tali verifiche hanno la finalità di assicurare che i dati trasmessi dai soggetti NIS siano coerenti, completi e conformi agli obblighi previsti dal Decreto Legislativo 4 settembre 2024, n. 138.
Le verifiche di coerenza possono essere svolte a campione e si inseriscono in un procedimento formalizzato che prevede termini stringenti per la conclusione. L’Autorità competente dispone di trenta giorni per comunicare l’esito della verifica, prorogabili una sola volta per ulteriori venti giorni in presenza di approfondimenti complessi. Nel corso dell’istruttoria, l’Autorità può richiedere integrazioni e chiarimenti, ai quali il soggetto NIS è tenuto a rispondere entro dieci giorni.
L’elaborazione dell’elenco dei soggetti NIS si fonda sulle informazioni validate attraverso le verifiche condotte dall’Autorità. Ai soggetti inseriti viene attribuito un codice identificativo univoco, destinato a facilitare le successive interlocuzioni e a consolidare il tracciamento delle comunicazioni.
Disposizioni finali e decorrenza degli obblighi introdotti dalla nuova Determinazione
La parte conclusiva della Determinazione n. 250916/2025 conferma la volontà di assicurare continuità operativa nell’utilizzo del portale ACN. L’articolo 21 stabilisce espressamente che il provvedimento aggiorna e sostituisce la precedente Determinazione n. 283727 del 22 luglio 2025, mantenendo immutata la struttura funzionale della piattaforma e delle procedure già in essere, ma integrandole con le previsioni relative alla figura del referente CSIRT e con un più articolato regime di aggiornamento e verifica delle informazioni trasmesse.
Questa impostazione consente ai soggetti NIS di operare in un contesto regolatorio già conosciuto, evitando interruzioni nei flussi comunicativi e garantendo una transizione ordinata verso le nuove disposizioni.
La nuova disciplina si applica a decorrere dal 30 settembre 2025, con la sola eccezione dell’articolo relativo all’aggiornamento continuo, la cui efficacia è differita alla pubblicazione del relativo servizio all’interno del portale ACN. Ciò permette di allineare la tempistica applicativa con la piena disponibilità tecnica dello strumento, evitando che obblighi giuridici precedano la funzionalità operativa necessaria per adempiervi.
Affidati a noi per un supporto legale qualificato nelle procedure gestite tramite il portale ACN e nei rapporti con l’Agenzia
La normativa di attuazione del decreto NIS 2 conferma il ruolo strategico del portale ACN come strumento unico e vincolante per la gestione degli adempimenti dei soggetti NIS. L’introduzione della figura del referente CSIRT rafforza ulteriormente la capacità operativa del sistema, affiancando al punto di contatto una funzione dedicata alla gestione degli incidenti informatici e alla comunicazione tempestiva con CSIRT Italia.
In questo quadro normativo e operativo, i soggetti NIS sono chiamati a organizzarsi in modo strutturato e consapevole, adottando procedure interne che consentano di adempiere correttamente e nei termini prescritti a tutti gli obblighi previsti.
Il nostro Studio Legale, grazie a una consolidata expertise dell’Avv. Luca D’Agostino in materia di sicurezza informatica, è a disposizione per assistere operatori pubblici e privati nell’attuazione degli obblighi connessi all’utilizzo del portale ACN.
Rivolgiti a noi per un primo confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
da Redazione | Ott 7, 2025 | Diritto d'Impresa
La Legge 132/2025, anche nota come Legge sull’Intelligenza Artificiale, introduce un quadro di regole organico volto a disciplinare l’uso dei sistemi di intelligenza artificiale in diversi settori dell’attività umana, con l’obiettivo di garantire un equilibrio tra innovazione tecnologica e tutela dei diritti fondamentali.
Pubblicata nella Gazzetta Ufficiale n. 223 del 25 settembre 2025, la norma rappresenta il primo intervento sistematico del legislatore nazionale in materia, a completamento della disciplina del Regolamento (UE) 2024/1689 (c.d. AI Act), cui si affianca per definire un insieme coerente di norme e principi.
Il presente contributo si propone di offrire una panoramica ragionata delle disposizioni più rilevanti della Legge 132, con esclusione della disciplina concernente il trattamento dei dati sanitari, già oggetto di una precedente disamina.
In particolare, saranno esaminati gli articoli relativi all’impiego dell’intelligenza artificiale nelle professioni intellettuali, nella pubblica amministrazione e nell’attività giudiziaria, per poi approfondire le deleghe legislative conferite al Governo in materia di algoritmi, dati e responsabilità penale. Seguirà un commento alle modifiche apportate alla legge sul diritto d’autore e alle disposizioni penali, con particolare riguardo al nuovo art. 612-quater del codice penale e alle aggravanti legate all’uso di sistemi di IA.
Legge 132/2025 e applicazioni dell’intelligenza artificiale nelle professioni, nella Pubblica Amministrazione e nella Giustizia
La Legge 132/2025 dedica una parte significativa del proprio impianto normativo alla regolazione dell’impiego dei sistemi di intelligenza artificiale nei contesti professionali, amministrativi e giudiziari, delineando una cornice di principi ispirata al primato della persona sull’algoritmo. Gli articoli 13, 14 e 15 introducono una disciplina unitaria che mira a garantire l’uso responsabile dell’IA quale strumento di supporto all’attività umana, mai sostitutivo della capacità decisionale e valutativa del professionista o del pubblico funzionario.
Con riferimento alle professioni intellettuali, l’art. 13 ribadisce il principio di prevalenza del lavoro umano rispetto agli strumenti automatizzati, chiarendo che l’intelligenza artificiale può essere utilizzata solo per attività strumentali e di ausilio alla prestazione d’opera. Si tratta di un’affermazione di particolare rilievo, poiché riafferma la natura fiduciaria del rapporto tra professionista e cliente, tutelando l’autonomia intellettuale e la responsabilità personale del primo.
Coerentemente, la norma impone al professionista un dovere di trasparenza informativa, prevedendo che le caratteristiche dei sistemi di IA impiegati siano comunicate al destinatario della prestazione con linguaggio chiaro e comprensibile, così da assicurare piena consapevolezza delle tecnologie utilizzate nel processo di elaborazione e di consulenza.
Per quanto concerne la pubblica amministrazione, l’art. 14 individua l’obiettivo di un impiego dell’intelligenza artificiale funzionale all’efficienza procedimentale e al miglioramento della qualità dei servizi, ma sempre nel rispetto del principio di tracciabilità e conoscibilità degli algoritmi. L’IA, in questa prospettiva, assume un ruolo meramente ausiliario rispetto all’attività provvedimentale, mentre la decisione finale rimane prerogativa dell’essere umano, unico titolare della responsabilità giuridica del procedimento. La norma introduce altresì l’obbligo per le amministrazioni di adottare misure tecniche, organizzative e formative volte a garantire un uso etico, controllato e consapevole delle tecnologie, senza nuovi o maggiori oneri per la finanza pubblica.
Infine, l’art. 15 estende tali principi al settore della giustizia, specificando che ogni decisione in ordine all’interpretazione della legge, alla valutazione delle prove e all’adozione dei provvedimenti resta esclusivamente riservata al magistrato. Il Ministero della giustizia è chiamato a regolamentare l’impiego dei sistemi di intelligenza artificiale per finalità organizzative e di semplificazione del lavoro giudiziario, nonché a promuovere la formazione digitale dei magistrati e del personale amministrativo.
Le deleghe legislative della Legge 132/2025: dati, algoritmi, vigilanza e responsabilità
Nel cuore della Legge 132/2025 si collocano le deleghe legislative che il Parlamento conferisce al Governo per costruire, entro dodici mesi dall’entrata in vigore, un assetto organico delle regole sull’uso dei dati, degli algoritmi e dei metodi matematici impiegati nell’addestramento dei sistemi di intelligenza artificiale, nonché per adeguare l’ordinamento interno al Regolamento (UE) 2024/1689 e tipizzare gli illeciti connessi alla realizzazione o all’impiego abusivo dei medesimi sistemi.
L’art. 16 della Legge 132 delimita con nettezza il perimetro: nel dominio già assoggettato all’AI Act l’intervento nazionale non può introdurre “obblighi ulteriori” rispetto a quelli europei, imponendo al legislatore delegato un delicato esercizio di coordinamento.
In tale cornice, i decreti dovranno innanzitutto individuare le ipotesi in cui si renda necessario disciplinare giuridicamente l’utilizzo di dati, algoritmi e metodi di addestramento, chiarendo diritti e obblighi delle parti che intendano procedervi, e predisponendo strumenti di tutela tanto risarcitori quanto inibitori, affiancati da un apparato sanzionatorio proporzionato.
La scelta di attribuire la cognizione delle relative controversie alle sezioni specializzate in materia di impresa segnala la volontà di concentrare la giurisdizione su giudici tecnicamente attrezzati per governare conflitti ad alta intensità tecnologica e informativa.
Sul piano procedurale, gli schemi dei decreti sono proposti dal Presidente del Consiglio dei ministri e dal Ministro della giustizia, trasmessi alle Camere per il parere delle Commissioni competenti e, decorso il termine di sessanta giorni, possono essere emanati anche in mancanza di parere; è prevista una proroga di sessanta giorni quando il termine parlamentare si sovrapponga alla scadenza della delega, a testimonianza dell’esigenza di un confronto istituzionale non meramente formale.
L’art. 24 della Legge 132 reca una delega più ampia, espressamente incardinata sulle procedure di cui all’art. 31 della legge n. 234/2012, che impone al Governo di acquisire i pareri delle Commissioni parlamentari, della Conferenza unificata e del Garante per la protezione dei dati personali, e di adottare uno o più decreti legislativi per l’adeguamento dell’ordinamento interno all’AI Act e per l’ulteriore specificazione della disciplina dei casi di realizzazione e impiego illecito di sistemi di IA.
Il quadro dei criteri direttivi è particolarmente articolato e innerva l’intero ciclo di vita delle tecnologie: alle autorità di cui all’art. 20 dovranno essere attribuiti, nei limiti della rispettiva designazione, i poteri di vigilanza, ispezione e sanzione previsti dal regolamento europeo, incluse le prerogative tipiche dell’autorità di vigilanza del mercato (richiesta di informazioni, ispezioni in loco e a distanza senza preavviso, controlli sulle prove in condizioni reali e sui sistemi ad alto rischio).
In parallelo, il legislatore delegato è chiamato ad apportare le modifiche necessarie alle normative settoriali – anche in materia di servizi bancari, finanziari, assicurativi e di pagamento – per garantire un adeguamento integrale e coerente, evitando vuoti applicativi o sovrapposizioni.
Di rilievo è poi l’opzione per un uso calibrato della regolazione secondaria da parte delle autorità individuate, nel rispetto delle loro competenze, al fine di tradurre in misure tecniche i principi del regolamento.
Sul terreno repressivo e di enforcement, la Legge 132 indica la strada di un adeguamento del quadro sanzionatorio agli standard dell’art. 99 dell’AI Act, attribuendo alle autorità nazionali il potere di irrogare sanzioni e misure amministrative entro i limiti edittali europei e secondo procedure compatibili con l’ordinamento interno, con possibilità di deroga ai criteri generali dell’art. 32, comma 1, lett. d), della legge n. 234/2012 e alla legge n. 689/1981, quando necessario a dare piena esecuzione al diritto dell’Unione.
L’art. 24, inoltre, orienta l’intervento del Governo verso la prevenzione del rischio attraverso percorsi di alfabetizzazione e formazione all’uso dell’IA: da un lato, promossi dagli ordini professionali, dalle associazioni di categoria e dalle forme aggregative ex legge n. 4/2013, con la possibile introduzione di un equo compenso modulato in base a responsabilità e rischi connessi all’adozione dell’IA; dall’altro lato, mediante il potenziamento dei curricula scolastici nelle discipline STEM e artistiche, lo sviluppo di attività formative in università, e la valorizzazione della ricerca e del trasferimento tecnologico, anche tramite il coinvolgimento del sistema universitario in spazi di sperimentazione normativa (sandbox) in cooperazione con le autorità nazionali.
Non meno significativo è il mandato a definire una disciplina ad hoc per l’uso di sistemi di IA nell’attività di polizia, che impone un fine bilanciamento tra esigenze di sicurezza e garanzie dei diritti fondamentali.
Una specifica proiezione penalistica della delega si rinviene tanto nel comma 1 dell’art. 24 quanto nel suo comma 3, con l’espresso incarico al Governo di adeguare e specificare la disciplina dei casi di realizzazione e impiego illecito di sistemi di IA.
I criteri direttivi, elencati al comma 5, disegnano un’architettura completa: misure – anche cautelari – per inibire la diffusione e rimuovere contenuti generati illecitamente con IA; autonome fattispecie di reato, punite a dolo o colpa, centrate sull’omessa adozione o aggiornamento di misure di sicurezza nella produzione, messa in circolazione e uso professionale dei sistemi, quando l’omissione determini un pericolo concreto per la vita o l’incolumità pubblica o individuale o per la sicurezza dello Stato; criteri di imputazione della responsabilità penale delle persone fisiche e della responsabilità amministrativa degli enti, calibrati sul livello effettivo di controllo esercitato sull’algoritmo; strumenti di tutela nella responsabilità civile.
Da ultimo, nella Legge 132, vi è una regolazione dell’uso dell’IA nelle indagini preliminari improntata ai principi di proporzionalità, non discriminazione e trasparenza, nel pieno rispetto del diritto di difesa e della protezione dei dati dei terzi.
A chiudere il cerchio, la delega prevede interventi di coordinamento sostanziale e processuale sull’ordinamento vigente, affinché le innovazioni non rimangano isolate ma si innestino armonicamente nel tessuto normativo.
In sintesi, le deleghe della Legge 132 articolano una strategia in tre movimenti: prevenzione (regole tecniche, formazione, vigilanza ex ante), correzione (poteri ispettivi e misure di esecuzione), e repressione (tipizzazione degli illeciti e sanzioni effettive), con l’intento dichiarato di allineare il diritto interno al paradigma europeo e di fornire ai soggetti pubblici e privati un quadro certo entro cui progettare, addestrare e impiegare sistemi di intelligenza artificiale.
La Legge 132 e la tutela del diritto d’autore nelle opere generate con l’ausilio dell’intelligenza artificiale
La Legge 132 interviene in modo mirato sulla legge sul diritto d’autore, per chiarire il perimetro della protezione autorale nell’ecosistema digitale governato dai modelli di intelligenza artificiale.
La modifica all’art. 1 afferma espressamente che l’oggetto della tutela sono le «opere dell’ingegno umano», includendo quelle realizzate «con l’ausilio di strumenti di intelligenza artificiale» purché costituiscano risultato del lavoro intellettuale dell’autore.
La scelta lessicale restituisce centralità al requisito dell’apporto creativo umano: l’uso dell’IA non è di per sé ostativo alla protezione, ma la tutela sorge solo quando la creazione rechi l’impronta personale dell’autore, riconoscibile in scelte creative autonome (concezione, selezione, organizzazione, direzione del processo generativo) non riducibili a una mera esecuzione automatica. Ne discende che risultati prodotti in via pienamente automatizzata, privi di contributo creativo umano, difettano del presupposto soggettivo della paternità e non accedono al regime di esclusiva.
In parallelo, la Legge 132 innesta un tassello sistemico sull’estrazione di testo e dati (TDM) a fini di addestramento: il nuovo art. 70-septies consente riproduzioni ed estrazioni da opere o materiali legittimamente accessibili in rete o in banche dati «attraverso modelli e sistemi di IA, anche generativa», ferma la conformità agli artt. 70-ter e 70-quater.
Per i soggetti legittimati (ad es. organismi di ricerca e istituti del patrimonio culturale), l’estrazione ai sensi dell’art. 70-ter è ammessa nei limiti dell’accesso lecito: «Sono consentite le riproduzioni compiute da organismi di ricerca e da istituti di tutela del patrimonio culturale, per scopi di ricerca scientifica, ai fini dell’estrazione di testo e di dati da opere o da altri materiali disponibili in reti o banche di dati cui essi hanno lecitamente accesso, nonché la comunicazione al pubblico degli esiti della ricerca ove espressi in nuove opere originali».
Mentre l’estrazione “generale” ex art. 70-quater resta subordinata all’assenza di opt-out espresso dai titolari: «Fermo restando quanto previsto dall’articolo 70-ter, sono consentite le riproduzioni e le estrazioni da opere o da altri materiali contenuti in reti o in banche di dati cui si ha legittimamente accesso ai fini dell’estrazione di testo e di dati. L’estrazione di testo e di dati è consentita quando l’utilizzo delle opere e degli altri materiali non è stato espressamente riservato dai titolari del diritto d’autore e dei diritti connessi nonché dai titolari delle banche dati».
La Legge 132 assimila così l’addestramento dei sistemi di IA alle ordinarie operazioni di TDM, imponendo a sviluppatori e fornitori un rigoroso governo della filiera dei dati: verifica della liceità dell’accesso, tracciabilità delle fonti, rispetto degli opt-out.
La coerenza dell’impianto è rafforzata sul versante sanzionatorio: l’art. 26 introduce nell’art. 171, comma 1, della legge d’autore la nuova lettera a-ter, che qualifica come illecito penale la riproduzione o estrazione di testo o dati in violazione degli artt. 70-ter e 70-quater, anche mediante sistemi di IA.
La combinazione tra regola abilitante e presidio repressivo (171, a-ter) produce un effetto di chiusura del sistema: l’addestramento è lecito se e nella misura in cui rispetta i presupposti dell’accesso e dell’eventuale opt-out; in caso contrario, l’attività esce dall’alveo dell’eccezione ed è suscettibile di sanzione. In prospettiva applicativa, la Legge 132 sollecita prassi di compliance by design nei contratti di licenza e nei dataset governance frameworks, con clausole su fonti, opt-out, audit dei dati e responsabilità lungo la catena dei fornitori, così da assicurare che l’apporto creativo umano resti al centro della protezione e che l’uso massivo dei contenuti a fini di IA si svolga entro confini normativi chiari e verificabili.
Le nuove disposizioni penali della Legge 132/2025: l’articolo 26 e le modifiche al codice penale e alle leggi speciali
Nell’architettura della Legge 132/202, il Capo VI interviene sul versante sanzionatorio, introducendo di una nuova fattispecie incriminatrice, con l’innesto di circostanze aggravanti e aumenti sanzionatori in ambiti di particolare rilevanza.
La nuova fattispecie di cui all’art. 612-quater c.p. tipizza l’illecita diffusione di contenuti generati o alterati mediante sistemi di intelligenza artificiale. Si tratta di un reato plurioffensivo che tutela il diritto all’identità personale, all’onore e alla reputazione, la libertà di autodeterminazione comunicativa e, più in generale, l’affidabilità delle relazioni sociali e professionali.
La fattispecie richiede che taluno cagioni un danno ingiusto alla persona offesa diffondendo, senza il suo consenso, immagini, video o voci artificiosamente manipolati tramite IA e idonei a indurre in inganno sulla genuinità; le condotte tipiche sono alternative e comprendono la cessione a soggetti determinati, la pubblicazione in spazi accessibili a una pluralità indeterminata e la diffusione in qualsiasi forma.
La fattispecie è a dolo generico, sicché è sufficiente la coscienza e volontà della condotta consapevole della manipolazione e della sua idoneità decettiva; non è richiesto lo specifico fine di nuocere oltre la produzione del danno, che può assumere anche natura non patrimoniale.
La procedibilità è, di regola, a querela della persona offesa; si procede tuttavia d’ufficio quando il fatto è connesso a un delitto perseguibile d’ufficio, ovvero se commesso ai danni di persona incapace, per età o per infermità, o in pregiudizio di una pubblica autorità per ragioni di funzione. La collocazione sistematica accanto all’art. 612-ter c.p. evidenzia la funzione di colmare un vuoto di tutela: mentre quest’ultimo presidia la circolazione non consensuale di contenuti sessualmente espliciti, il novello 612-quater estende la protezione a ogni deepfake o contenuto manipolato idoneo a generare confusione sulla realtà dei fatti, indipendentemente dalla dimensione erotica del materiale.
La Legge 132 prosegue prevedendo una aggravante comune attraverso l’inserimento del n. 11-decies all’art. 61 c.p., destinata ad operare trasversalmente su qualsiasi fattispecie quando il reato sia commesso «mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato».
L’aggravante richiede, dunque, un nesso qualificato tra l’uso dell’IA e l’aumento del disvalore del fatto: non è sufficiente una mera presenza tecnologica di contorno, ma occorre che l’algoritmo incrementi l’offensività (ad es. amplificando la diffusione, occultando l’identità dell’agente, elevando la verosimiglianza del falso). Ne discende un onere probatorio centrato sulla ricostruzione funzionale del ruolo dell’IA nella dinamica delittuosa e sull’accertamento del suo contributo causale alla maggiore pericolosità o all’ostacolo difensivo.
Accanto all’aggravante comune, l’art. 26 delle Legge 132 del 2025 prevede un inasprimento sanzionatorio per altre fattispecie di reato. Per l’art. 294 c.p. (attentati contro i diritti politici del cittadino) è prevista la reclusione da due a sei anni se l’inganno è realizzato con IA: il legislatore tutela così l’integrità del processo democratico, consapevole della capacità dei sistemi generativi di incidere sulla formazione della volontà politica.
Sul versante economico, le Legge 132 del 2025 ha modificato l’art. 2637 c.c. (aggiotaggio) aumentando la pena con reclusione da due a sette anni, quando l’illecito avvenga mediante IA, mentre l’art. 185, comma 1, TUF (manipolazione del mercato) contempla reclusione da due a sette anni e multa da 25.000 a 6.000.000 di euro in caso di uso dell’IA.
In tal modo la novella in esame vuole arginare il rischio di automazione del falso informativo, di scalabilità e di opacità degli strumenti, che amplificano gli effetti distorsivi sui mercati e impongono un trattamento sanzionatorio più severo.
Affidati a una consulenza legale qualificata in ambito AI
La Legge 132 segna una tappa fondamentale nel processo di costruzione di un “diritto dell’intelligenza artificiale” organico e coerente con i principi europei. Ne emerge un quadro di fonti stratificato e in crescenze sofisticazione.
Al cospetto di tali normative, imprese e PA debbono attentamente verificare la conformità dei propri processi decisionali e organizzativi e adotta strategie di compliance nel breve termine.
In questo contesto, il nostro Studio Legale, attivo nei settori dell’intelligenza artificiale, della cybersicurezza e del diritto delle nuove tecnologie, offre supporto giuridico e strategico a imprese e start-up per l’adeguamento alle normative.
Contattaci per un confronto!
[Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale].
da Redazione | Ott 2, 2025 | Diritto d'Impresa
La diffusione di Chatbot AI è un segno evidente dell’evoluzione dei sistemi di intelligenza artificiale conversazionale, i quali vengono impiegati oggi in una pluralità di contesti, dal supporto agli utenti di siti web fino all’assistenza in ambito sanitario, medico, finanziario e giuridico.
Tale fenomeno pone inevitabilmente interrogativi circa i profili giuridici e i rischi legali connessi all’utilizzo di strumenti che, pur offrendo indubbi vantaggi in termini di rapidità ed efficienza, presentano intrinseci limiti strutturali, in particolare la possibilità di generare risposte inesatte o fuorvianti, le cosiddette “allucinazioni”.
L’articolo che segue si propone di esaminare il recente procedimento istruttorio avviato dall’Autorità Garante della Concorrenza e del Mercato nei confronti della società ScaleUp, gestore della piattaforma NOVA AI Chatbox, con l’obiettivo di chiarire le contestazioni formulate dall’Autorità in ordine alla violazione delle norme del Codice del Consumo e di analizzare le possibili ricadute giuridiche per gli operatori economici che offrono servizi basati su Chatbot AI.
L’intento è, pertanto, quello di fornire una ricostruzione organica del quadro normativo di riferimento, approfondendo le disposizioni relative alle pratiche commerciali scorrette e riflettendo sull’esigenza di garantire un elevato livello di trasparenza informativa a tutela degli utenti e della correttezza del mercato digitale.
Chatbot AI e procedimento AGCM: il caso ScaleUp
Il procedimento avviato dall’Autorità Garante della Concorrenza e del Mercato trae origine dall’offerta al pubblico, da parte della società ScaleUp, del servizio denominato NOVA Chatbox AI, accessibile agli utenti italiani sia mediante sito web sia attraverso applicazione mobile.
Secondo quanto emerge dal Bollettino AGCM n. 38 del 29 settembre 2025, il servizio veniva presentato come un assistente virtuale innovativo, fondato sull’integrazione di diversi modelli di intelligenza artificiale, tra cui GPT-4, Gemini, Claude e DeepSeek, con la promessa di garantire risposte versatili e simili al linguaggio umano. L’Autorità ha tuttavia rilevato profili di criticità nella fase informativa, contestando a ScaleUp l’omessa indicazione chiara e intellegibile dei limiti intrinseci dei modelli impiegati, in particolare la possibilità che il sistema generi contenuti errati, fuorvianti o completamente inventati, fenomeno comunemente qualificato come “allucinazione”.
L’assenza di qualsiasi avvertenza in merito, sia nelle finestre di dialogo, sia nelle condizioni generali di contratto, sia nelle descrizioni presenti negli store digitali, ha indotto l’AGCM a ipotizzare una violazione degli artt. 20, 21 e 22 del Codice del Consumo.
Accanto a ciò, è stata rilevata la mancanza di trasparenza in ordine al reale valore aggiunto di NOVA rispetto alle piattaforme sottostanti, con conseguente rischio di indurre i consumatori a sottoscrivere abbonamenti a pagamento sulla base di informazioni parziali o fuorvianti.
Le contestazioni sulle “allucinazioni” dell’IA e i rischi legali per i consumatori
Uno degli aspetti centrali dell’istruttoria avviata dall’AGCM concerne la mancata informativa circa il rischio che i Chatbot AI possano generare, in talune circostanze, contenuti non corrispondenti alla realtà, privi di fondamento o addirittura fuorvianti, fenomeno che in letteratura e nella prassi tecnica viene definito come “allucinazione”.
La rilevanza giuridica di tale omissione risiede nel fatto che la scelta di utilizzare un determinato servizio digitale integra una “decisione commerciale” ai sensi dell’art. 18, comma 1, lett. m), del Codice del Consumo, a prescindere dalla gratuità o dall’onerosità del servizio stesso.
In assenza di adeguate avvertenze, il consumatore potrebbe infatti ritenere, in modo erroneo, che le risposte fornite da un Chatbot AI siano sempre affidabili, assumendo decisioni ulteriori sulla base di contenuti imprecisi, con conseguenze potenzialmente gravi in settori particolarmente delicati, quali la salute, la finanza o l’assistenza legale.
L’omessa indicazione del rischio di allucinazioni non potrebbe essere considerata – secondo l’AGCM – un mero deficit informativo, ma rappresenta una vera e propria omissione ingannevole, idonea a incidere sulla libertà di scelta e sulla corretta formazione della volontà contrattuale del consumatore. In questo senso, il procedimento in corso apre una riflessione più ampia sull’esigenza di disciplinare i limiti intrinseci dei sistemi di intelligenza artificiale, riconoscendo che l’affidabilità tecnica si traduce direttamente in un profilo di responsabilità giuridica e di possibili sanzioni per violazioni delle regole poste a tutela degli utenti.
Le pratiche commerciali scorrette nel Codice del Consumo
La vicenda in esame – relativa al Chatbot AI Nova – non può essere adeguatamente compresa senza richiamare la disciplina generale delle pratiche commerciali scorrette contenuta nel Codice del Consumo.
L’art. 20 stabilisce un divieto generale, disponendo che “le pratiche commerciali scorrette sono vietate”. La norma definisce una pratica commerciale scorretta come quella condotta che, essendo contraria alla diligenza professionale, è falsa o idonea a falsare in misura apprezzabile il comportamento economico del consumatore medio, ossia tale da condizionare le sue decisioni di natura commerciale.
Si tratta, in altri termini, di un comportamento del professionista che altera la libertà di scelta del consumatore, inducendolo ad assumere una determinata decisione che, in condizioni di piena e corretta informazione, non avrebbe altrimenti adottato.
All’interno della categoria generale delle pratiche scorrette, il legislatore distingue le pratiche ingannevoli e quelle aggressive. Le prime sono oggetto di disciplina specifica negli artt. 21 e 22, che assumono rilievo centrale nel procedimento avviato dall’AGCM. Ai sensi dell’art. 21, è qualificata come pratica commerciale ingannevole quella che contiene informazioni non rispondenti al vero oppure, pur fornendo dati di fatto corretti, è presentata in modo tale da indurre in errore il consumatore medio in merito a caratteristiche essenziali del prodotto, come i suoi vantaggi, i rischi, l’idoneità all’uso o i risultati che ci si può attendere dalla sua fruizione.
La conseguenza giuridica di tale condotta è l’induzione del consumatore a compiere una decisione di natura commerciale che non avrebbe altrimenti preso. L’inganno, quindi, può derivare tanto da una falsità oggettiva quanto da una rappresentazione ambigua o fuorviante di dati corretti, quando tale rappresentazione incide sulla formazione della volontà negoziale del destinatario.
Accanto a questa figura, l’art. 22 disciplina l’omissione ingannevole, che ricorre quando il professionista non fornisce informazioni rilevanti, necessarie affinché il consumatore possa adottare una decisione consapevole. L’omissione si configura anche quando le informazioni siano presentate in modo oscuro, incomprensibile o ambiguo, ovvero comunicate in un momento tale da non consentire al consumatore di valutarle prima di assumere la sua decisione.
Si tratta dunque di un concetto ampio, che non si limita al silenzio assoluto del professionista, ma comprende ogni condotta che ostacoli l’accesso dell’utente a informazioni determinanti.
Trasponendo tali definizioni al caso dei Chatbot AI, secondo l’Autorità la mancata indicazione della possibilità di generare “allucinazioni” rappresenterebbe un’omissione ingannevole ai sensi dell’art. 22, in quanto priva il consumatore di una informazione essenziale per valutare l’affidabilità del servizio.
Parimenti, la presentazione del servizio NOVA come piattaforma innovativa e “rivoluzionaria”, senza chiarire i limiti intrinseci dei modelli di intelligenza artificiale impiegati e senza specificare in modo trasparente le effettive differenze tra la versione gratuita e quella a pagamento, integra una potenziale azione ingannevole ai sensi dell’art. 21, poiché induce l’utente a credere che l’abbonamento comporti vantaggi non corrispondenti alla realtà o comunque non chiaramente individuabili.
Chatbot AI, trasparenza e scelta del modello
La trasparenza informativa costituisce il presupposto della libertà contrattuale e della corretta formazione della volontà negoziale. Nel contesto dei Chatbot AI, essa si traduce nella necessità di specificare chiaramente non soltanto le potenzialità dello strumento, ma anche i suoi limiti strutturali, inclusa la possibilità di incorrere in “allucinazioni”.
Parimenti, deve essere reso noto quale modello di intelligenza artificiale venga effettivamente impiegato (ad esempio GPT, Gemini o Claude), giacché ciascuno di essi presenta peculiarità e gradi di affidabilità diversi. Un’informativa incompleta o confusoria priverebbe l’utente della possibilità di operare una scelta consapevole e, conseguentemente, integra un rischio legale rilevante per l’operatore economico che offra tali servizi sul mercato.
È evidente, dunque, che l’adempimento degli obblighi informativi non si limita alla redazione di condizioni generali di contratto formalmente corrette, ma implica un dovere sostanziale di chiarezza e intelligibilità.
In assenza di tali garanzie, il professionista si espone a contestazioni per pratiche commerciali scorrette e alle conseguenti sanzioni. Nel settore dei Chatbot AI, la trasparenza assume dunque il valore di parametro giuridico imprescindibile per la liceità dell’offerta commerciale.
Algorithm auditing e responsabilità degli operatori di Chatbot AI
La questione affrontata dall’AGCM per il Chatbox AI di Nova offre lo spunto per riflettere su un profilo di carattere generale: l’esigenza di un controllo preventivo e sistematico sul funzionamento degli algoritmi che costituiscono la base operativa dei Chatbot AI.
In dottrina e nella prassi regolatoria internazionale, tale attività viene indicata con l’espressione algorithm auditing, ossia il processo di verifica, monitoraggio e valutazione dei modelli di intelligenza artificiale al fine di individuare eventuali distorsioni, bias o rischi di generazione di contenuti inesatti.
In assenza di un’attività di auditing, il professionista si limita a proporre il servizio senza disporre di strumenti idonei a garantire trasparenza e correttezza, ponendosi in una condizione di vulnerabilità rispetto alle contestazioni delle Autorità di vigilanza.
Il caso dei Chatbot AI appare emblematico: l’affidabilità delle risposte generate rappresenta un elemento essenziale nella percezione del valore del servizio. Qualora non siano adottate procedure di verifica degli algoritmi, il rischio di “allucinazioni” non viene correttamente gestito né comunicato, con la conseguenza che il consumatore assume decisioni economiche in condizioni di disinformazione.
Da ciò deriva non soltanto una violazione degli obblighi informativi sanciti dal Codice del Consumo, ma anche un ampliamento della responsabilità contrattuale ed extracontrattuale dell’operatore, il quale potrebbe essere chiamato a rispondere dei danni derivanti dall’utilizzo di informazioni erronee prodotte dal sistema.
In caso di accertata responsabilità, l’Autorità Garante della Concorrenza e del Mercato è legittimata a irrogare sanzioni amministrative pecuniarie di rilevante entità, la cui misura viene determinata tenendo conto della gravità e della durata della pratica scorretta, nonché della capacità economica del professionista. A ciò si aggiunge la possibilità di adottare misure correttive volte a inibire la prosecuzione della condotta illecita e a imporre modifiche sostanziali alle informative, alle condizioni contrattuali e alle comunicazioni commerciali.
La rilevanza delle violazioni appare accresciuta dalla natura stessa dei servizi di intelligenza artificiale, i quali trovano applicazione in contesti nei quali l’affidabilità delle risposte generate può incidere direttamente su decisioni di notevole impatto economico o personale.
Il quadro sanzionatorio è dunque ampio e conferma che la corretta informazione costituisce un presupposto irrinunciabile per l’offerta di servizi basati sull’intelligenza artificiale. L’inosservanza degli obblighi di trasparenza si traduce in violazioni suscettibili di determinare conseguenze economiche e reputazionali.
Chatbot AI e sistemi di Intelligenza Artificiale affidabili. Rivolgiti al nostro Studio per un consulto.
Il procedimento avviato dall’AGCM per il Chatbox AI di Nova mette in luce come le IA generative possano esporre l’azienda a rilevanti responsabilità giuridiche, specie in presenza di omissioni informative.
L’analisi svolta ha mostrato come le norme del Codice del Consumo, originariamente concepite per regolare le pratiche di mercato tradizionali, trovino oggi applicazione anche nei confronti dei servizi digitali basati sull’intelligenza artificiale, con conseguenze in termini di possibili violazioni e sanzioni.
Il nostro Studio Legale si occupa da anni di sicurezza informatica e diritto delle nuove tecnologie, con competenze specifiche nella consulenza su profili di compliance, offrendo un affiancamento qualificato per imprese e pubbliche amministrazioni.
Contattaci per un confronto!!!
Chatbot AI, Intelligenza Artificiale e Start-up digitali. Studio Legale Avvocato Luca D’Agostino esperto in diritto d’impresa e diritto delle nuove tecnologie.
da Redazione | Set 29, 2025 | Diritto d'Impresa
L’utilizzo e la raccolta di dati sanitari per finalità di ricerca e sviluppo di sistemi di Intelligenza Artificiale ha finalmente trovato una disciplina positiva nella Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”.
L’intervento del legislatore nazionale è finalizzato a disciplinare l’uso dei sistemi di intelligenza artificiale all’interno dell’ordinamento italiano. La novella, approvata a seguito di un ampio dibattito parlamentare, si colloca nel solco delle più recenti iniziative dell’Unione europea, ed in particolare del Regolamento (UE) 2024/1689, noto come AI Act, del quale costituisce necessario completamento con riferimento a profili che l’ordinamento europeo ha espressamente rimesso alla discrezionalità degli Stati membri.
La legge si articola in ventotto articoli, raccolti in sei capi, che spaziano dai principi generali e finalità, alle disposizioni di settore, fino alla definizione della strategia nazionale per l’intelligenza artificiale, alla tutela degli utenti, alle misure in materia di diritto d’autore e alle previsioni penali e finanziarie.
Si tratta di una normativa che intende coniugare l’esigenza di promuovere lo sviluppo e la diffusione delle tecnologie digitali avanzate con quella, parimenti essenziale, di preservare i diritti fondamentali della persona, la sicurezza e l’equilibrio del sistema democratico. In questo contesto il legislatore ha posto particolare attenzione all’uso dei dati personali, e in modo precipuo dei dati sanitari, quale ambito privilegiato nel quale si manifesta la tensione tra progresso scientifico e tutela della dignità individuale.
L’obiettivo del presente contributo è quello di illustrare le principali novità introdotte dalla Legge 132/2025 in materia di trattamento dei dati personali e, in particolare, dei dati sanitari per finalità di ricerca e sviluppo di sistemi di intelligenza artificiale. L’analisi verterà dunque sugli articoli che, all’interno della nuova disciplina, recano disposizioni innovative su ricerca, sperimentazione e sanità digitale, rinviando ad un successivo approfondimento l’esame delle deleghe al Governo e delle rilevanti disposizioni penali contenute nella legge.
Principi generali e ambito di applicazione della Legge sull’IA
Il quadro introduttivo della Legge 132/2025 si fonda sulla consapevolezza che lo sviluppo dei sistemi di intelligenza artificiale non possa essere affidato a dinamiche puramente tecnologiche o di mercato, ma debba radicarsi in un impianto giuridico volto a preservare i valori fondamentali dell’ordinamento.
Già all’articolo 1 emerge la finalità di assicurare un impiego dell’intelligenza artificiale conforme ad una prospettiva antropocentrica, rispettosa dei diritti e delle libertà della persona, nonché attenta ai possibili rischi sociali ed economici derivanti da un utilizzo improprio o incontrollato di tali tecnologie.
L’art. 3 specifica ulteriormente i principi generali della disciplina, affermando il rispetto dei diritti fondamentali, delle libertà costituzionali e dello svolgimento con metodo democratico della vita istituzionale e politica, fino a prevedere espressamente che l’uso dei sistemi di intelligenza artificiale non possa in alcun modo pregiudicare la libertà del dibattito democratico né favorire interferenze illecite nella sfera pubblica.
La legge chiarisce altresì che l’applicazione dei sistemi di intelligenza artificiale deve avvenire secondo criteri di trasparenza, proporzionalità, accuratezza, non discriminazione, sostenibilità e sicurezza, estendendo tali principi all’intero ciclo di vita dei sistemi, dalla fase di progettazione fino alla concreta messa in uso. Particolare attenzione è dedicata alla cybersicurezza, che deve essere garantita attraverso misure idonee a prevenire alterazioni, usi distorti o compromissioni delle prestazioni e delle impostazioni di sicurezza.
Dati personali, informazione e utilizzo dell’IA da parte dei minori
Tra le disposizioni di maggiore rilievo della Legge 132/2025 si colloca l’articolo 4, che affronta in modo diretto il tema dell’informazione e della tutela dei dati personali nell’utilizzo dei sistemi di intelligenza artificiale. La norma, muovendo dai principi generali sanciti dagli articoli 1 e 3, introduce specifiche garanzie tese ad assicurare che la diffusione delle tecnologie digitali non determini una compressione della libertà di espressione, del pluralismo dei mezzi di comunicazione e della qualità dell’informazione.
L’impiego di soluzioni basate sull’intelligenza artificiale, pertanto, deve sempre rispettare i criteri di obiettività, completezza, imparzialità e lealtà, in un quadro che intende prevenire i rischi di manipolazione o distorsione dei processi informativi.
Sul piano della protezione dei dati personali, l’articolo 4 ribadisce l’applicazione dei principi del Regolamento (UE) 2016/679 e del Codice della privacy, estendendone la portata specificamente all’ambito dell’intelligenza artificiale. È richiesto che il trattamento avvenga in modo lecito, corretto e trasparente, e che sia compatibile con le finalità originarie della raccolta, in conformità al diritto europeo in materia di riservatezza. Si pone, inoltre, l’esigenza che le informazioni e le comunicazioni relative all’uso dei dati siano fornite agli interessati con linguaggio chiaro e comprensibile, così da garantire una consapevolezza effettiva dei rischi connessi e, al contempo, il pieno esercizio del diritto di opposizione.
Particolare rilievo assumono i dati sanitari, che rappresentano una delle categorie più sensibili e la cui utilizzazione richiede una particolare attenzione in termini di correttezza e proporzionalità del trattamento, soprattutto laddove impiegati per addestrare modelli di intelligenza artificiale in ambito medico e clinico.
Un’ulteriore novità riguarda la disciplina dell’accesso dei minori alle tecnologie di intelligenza artificiale. Per i soggetti infraquattordicenni è necessario il consenso di chi esercita la responsabilità genitoriale, consenso che deve estendersi anche al trattamento dei dati personali connessi all’utilizzo dei sistemi di IA. Per i minori che abbiano compiuto i quattordici anni è riconosciuta invece la facoltà di prestare direttamente il proprio consenso, purché le informazioni siano rese in forma facilmente accessibile e comprensibile.
Tale previsione si coordina con l’articolo 2-quinquies del Codice della privacy, che disciplina il consenso dei minori nei servizi della società dell’informazione, e conferma l’intento del legislatore di introdurre un sistema di protezione graduato, in cui la tutela dei dati sanitari e personali dei soggetti più vulnerabili costituisce principio cardine per un’implementazione responsabile delle nuove tecnologie.
Uso dell’intelligenza artificiale in ambito sanitario e disabilità
L’articolo 7 della Legge 132/2025 introduce principi e limiti specifici per l’impiego dei sistemi di intelligenza artificiale in ambito sanitario, con particolare attenzione alla tutela delle persone con disabilità. La norma, in linea con l’approccio antropocentrico che permea l’intero impianto legislativo, intende promuovere l’utilizzo delle tecnologie di nuova generazione a sostegno del sistema sanitario, ponendo al contempo garanzie idonee a prevenire possibili discriminazioni e abusi.
Viene così previsto che l’impiego di sistemi di intelligenza artificiale debba contribuire al miglioramento della prevenzione, della diagnosi e della cura delle malattie, sempre nel rispetto dei diritti, delle libertà e degli interessi della persona, nonché della normativa europea e nazionale in materia di protezione dei dati personali. In questo quadro, l’utilizzo dei dati sanitari può contribuire all’addestramento degli algoritmi, ma deve essere sottoposto a verifiche di attendibilità, sicurezza e aggiornamento periodico, così da ridurre al minimo il rischio di errori clinici e garantire un elevato livello di tutela per i pazienti.
Particolare rilievo è attribuito al divieto di subordinare l’accesso alle prestazioni sanitarie a criteri discriminatori attraverso l’uso di sistemi di intelligenza artificiale, ponendo così un argine a possibili distorsioni nell’erogazione delle cure. La legge sancisce inoltre il diritto dell’interessato a essere informato circa l’impiego di tecnologie di intelligenza artificiale nel percorso sanitario che lo riguarda, in linea con le prescrizioni dell’AI Act che qualifica tali sistemi come “ad alto rischio” e che impone ai fornitori specifici obblighi di trasparenza e sorveglianza. La dimensione informativa, in questo ambito, rappresenta un requisito imprescindibile per assicurare la consapevolezza del paziente e rafforzare il rapporto fiduciario con il professionista sanitario.
Un ulteriore elemento di innovazione riguarda la disabilità: l’articolo 7 valorizza il ruolo dei sistemi di intelligenza artificiale nello sviluppo di soluzioni tecnologiche idonee a favorire l’accessibilità, la mobilità indipendente, l’autonomia, la sicurezza e i processi di inclusione sociale delle persone con disabilità, anche in attuazione della disciplina sul progetto di vita individuale prevista dal decreto legislativo n. 62 del 2024.
In tal modo, l’utilizzo dei dati sanitari e dei sistemi di IA diventa funzionale non solo alla cura delle patologie, ma anche al miglioramento complessivo delle condizioni di vita, segnando un ampliamento dell’orizzonte applicativo delle tecnologie digitali nella prospettiva dei diritti delle persone più fragili.
Ricerca scientifica e dati sanitari di interesse pubblico
L’articolo 8 della Legge 132/2025 individua un perimetro di liceità specifico per i trattamenti di dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento (UE) 2016/679, finalizzati alla ricerca e alla sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per scopi terapeutici e farmacologici.
La norma, richiamando espressamente gli articoli 32 e 33 della Costituzione e il fondamento di cui all’articolo 9, paragrafo 2, lettera g), del GDPR, dichiara di rilevante interesse pubblico tali trattamenti ove necessari alla costituzione e all’utilizzazione di banche dati e di modelli di base, con ciò approntando la base giuridica nazionale che consente di modulare, in chiave di proporzionalità e adeguate garanzie, le ordinarie restrizioni al trattamento dei dati sanitari.
La scelta legislativa persegue un duplice obiettivo: assicurare al sistema della ricerca condizioni normative certe e coerenti con l’AI Act e, al contempo, preservare l’essenza del diritto alla protezione dei dati personali mediante misure tecniche e organizzative adeguate, secondo un approccio risk-based. È significativo, in tale direzione, che la legge individui le finalità considerate di interesse pubblico, includendo prevenzione, diagnosi e cura delle malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali e interfacce uomo-macchina, nonché ambiti di salute pubblica e sicurezza sanitaria, fino allo studio della fisiologia, della biomeccanica e della biologia umana anche in contesti non strettamente sanitari.
L’ampiezza del perimetro riflette l’esigenza di coprire l’intero ciclo di sviluppo dei sistemi di IA a vocazione clinica, rispetto ai quali i dati sanitari rappresentano il substrato informativo imprescindibile.
La dichiarazione di rilevante interesse pubblico appare strettamente correlata ai soggetti legittimati e alle condizioni operative. I trattamenti devono essere svolti da enti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico, ovvero da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca cui partecipino soggetti pubblici o privati no profit o IRCCS. In tal modo il legislatore costruisce un circuito virtuoso di cooperazione pubblico-privato ancorato a finalità scientifiche, così da scongiurare che l’eccezione in tema di dati sanitari si traduca in un indebito ampliamento degli spazi di trattamento per finalità meramente commerciali.
La mancanza, nel testo, di definizioni positive di “modello di base” e “banca dati” è compensata dal rinvio dinamico alle nozioni dell’AI Act e dall’ancoraggio funzionale alle fasi di realizzazione e impiego dei dataset e dei modelli, il che impone agli operatori una diligente attività di qualificazione tecnica e giuridica del trattamento, con particolare attenzione ai profili di documentazione, tracciabilità e spiegabilità.
Di particolare rilievo è la disciplina dell’uso secondario dei dati personali privi di elementi identificativi diretti. La legge consente che dati sanitari e altre categorie particolari siano riutilizzati, per le finalità di cui al comma 1, senza necessità di un ulteriore consenso dell’interessato, restando fermo l’obbligo informativo, anche mediante informativa generale sul sito del titolare.
La novella chiarisce che la legittimità del riuso non è subordinata alla ripetizione del consenso quando muti l’oggetto specifico del progetto di ricerca, purché il riuso rimanga all’interno del perimetro di interesse pubblico e siano assenti identificatori diretti. La disciplina, in coerenza con il GDPR, non affranca però dall’adozione di adeguate misure di garanzia: il trattamento deve restare proporzionato, necessario e accompagnato da presidi tecnici idonei a minimizzare il rischio di reidentificazione, mentre l’eccezione che consente la conoscenza dell’identità personale quando inevitabile o necessaria a tutela della salute tutela interessi vitali e consente la continuità del percorso clinico.
Sotto il profilo dogmatico, la previsione traduce in norma primaria il principio di compatibilità delle finalità nella ricerca, rafforzando la costruzione europea in tema di trattamenti ulteriori e tracciabilità dei flussi di Dati sanitari all’interno degli ecosistemi di ricerca e delle pipeline di addestramento dei modelli.
La norma affronta poi, con taglio operativo, il tema delle trasformazioni dei dati. È sempre consentito, previa informativa all’interessato, il trattamento volto all’anonimizzazione, alla pseudonimizzazione o alla sintetizzazione dei dati sanitari e delle ulteriori categorie particolari, sia per gli scopi di ricerca di cui al comma 1 sia per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria. Tale disposizione valorizza strumenti tecnologici ormai centrali nella data governance dei sistemi di IA.
L’anonimizzazione, intesa come processo irreversibile, consente di sottrarre i dati all’ambito di applicazione della normativa in materia di protezione dei dati personali; la pseudonimizzazione, quale misura di sicurezza che mantiene la riconducibilità mediata attraverso informazioni aggiuntive separate, continua a integrare trattamento soggetto al GDPR; la sintetizzazione, infine, apre all’impiego di dati artificiali generati a partire da distribuzioni statistiche apprese, idonei a mitigare rischi di privacy leakage pur conservando utilità per addestramento e validazione dei modelli.
Nel valorizzare la soft law “tecnica”, l’articolo 8 contempla la possibile adozione di linee guida per le procedure di anonimizzazione e la creazione di dati sintetici, demandate all’Agenzia nazionale per i servizi sanitari regionali, previo parere del Garante, nel rispetto degli standard internazionali e dello stato dell’arte. Si tratta di un tassello rilevante per rendere effettivi i principi di privacy by design e by default, fornendo alla comunità scientifica e ai titolari del trattamento criteri uniformi, riproducibili e verificabili circa la qualità delle trasformazioni applicate ai Dati sanitari, la valutazione del rischio residuo di reidentificazione, le metriche di utilità e di distorsione, nonché i requisiti documentali delle operazioni svolte.
L’armonizzazione di tali prassi con i requisiti dell’AI Act in tema di qualità dei dati, robustezza, trasparenza e sorveglianza umana potrà agevolare l’immissione sul mercato di sistemi ad alto rischio, sostenendo la conformità sia in fase di sviluppo sia nella successiva vigilanza post-market.
Sul versante procedurale, la legge introduce un meccanismo di comunicazione preventiva al Garante per la protezione dei dati personali per i trattamenti e gli usi di cui ai commi 1 e 2, corredato dalle informazioni sulle misure organizzative e tecniche adottate, sulle valutazioni d’impatto, nonché sull’eventuale designazione dei responsabili del trattamento. I trattamenti possono iniziare decorsi trenta giorni dalla comunicazione, salvo blocco da parte dell’Autorità.
La scelta di sopprimere l’obbligo di preventiva approvazione da parte dei comitati etici, emerso nel corso dell’iter parlamentare, alleggerisce l’onere procedurale senza pregiudicare i poteri ispettivi, interdittivi e sanzionatori del Garante, che restano integri. In termini sistematici, il modello coniuga celerità dell’innovazione e tutela sostanziale, rimettendo alla qualità della DPIA, alla solidità delle misure di sicurezza di cui agli articoli 24, 25 e 32 del GDPR e alla trasparenza dei ruoli ex articolo 28 la condizione per un avvio responsabile dei progetti che trattano dati sanitari su larga scala.
Si è dell’avviso che l’articolo in commento possa produrre effetti dirompenti per l’ecosistema della ricerca biomedica e per lo sviluppo di sistemi di intelligenza artificiale in ambito clinico. La dichiarazione di interesse pubblico, combinata con la disciplina dell’uso secondario e con la legittimazione di tecniche di anonimizzazione e dati sintetici, attenua gli ostacoli derivanti dalla frammentazione dei consensi e dalla rigidità delle basi giuridiche, senza recedere dalle garanzie del GDPR.
Ne derivano, in concreto, traiettorie nuove per la costruzione e la condivisione di dataset di qualità, per la validazione esterna dei modelli, per la replicabilità degli studi e per l’integrazione dei dati sanitari nei flussi di telemedicina e sanità territoriale. Particolarmente rilevanti sono le opportunità per gli operatori del settore privato senza scopo di lucro, che potranno partecipare a progetti con enti pubblici e IRCCS beneficiando di un quadro giuridico certo, idoneo a facilitare la creazione di banche dati interoperabili e di modelli di base orientati alla sicurezza, all’accuratezza e alla tutela dei diritti fondamentali.
In tale cornice si innesta, peraltro, l’impulso sistemico derivante dagli investimenti pubblici in sanità digitale, come evidenziato dai progetti pilota in telemedicina, che potranno fungere da moltiplicatore per l’applicazione industriale e clinica dei sistemi di IA, sempre che la governance dei dati sanitari rispetti le metriche di qualità, i vincoli di minimizzazione e l’effettività delle misure di accountability.
Dati sanitari e normativa ministeriale di attuazione
L’articolo 9 della Legge 132/2025 si pone in stretta continuità con la disciplina delineata dall’articolo 8, introducendo una disposizione di carattere dinamico volta a garantire la concreta attuazione dei principi in materia di trattamento dei dati sanitari per finalità di ricerca e sperimentazione.
La norma prevede infatti che, entro centoventi giorni dall’entrata in vigore della legge, il Ministro della salute, sentiti il Garante per la protezione dei dati personali, gli enti di ricerca, le strutture sanitarie, le autorità competenti e gli operatori del settore, adotti un decreto finalizzato a definire le modalità operative del trattamento dei dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del GDPR.
L’intento del legislatore è quello di predisporre una disciplina applicativa che consenta l’uso di modalità semplificate nei limiti massimi consentiti dal Regolamento europeo, favorendo così la ricerca scientifica e lo sviluppo di sistemi di intelligenza artificiale.
La previsione assume particolare rilievo poiché attribuisce al decreto ministeriale il compito di stabilire regole specifiche per la costituzione e l’utilizzo di spazi di sperimentazione dedicati, nei quali i dati sanitari potranno essere trattati anche per finalità di machine learning e addestramento di modelli di intelligenza artificiale.
Tale scelta normativa risponde all’esigenza di predisporre un ambiente regolatorio flessibile e al contempo sicuro, idoneo a consentire la sperimentazione di soluzioni tecnologiche innovative senza incorrere nei vincoli eccessivamente rigidi che potrebbero derivare dall’applicazione letterale delle disposizioni generali in materia di protezione dei dati personali. La prospettiva è quella di coniugare la necessità di accelerare i processi di ricerca e innovazione con l’obbligo di rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza sanciti dal GDPR e dal Codice della privacy.
Il rinvio alla fonte secondaria ministeriale rivela, inoltre, la consapevolezza del legislatore circa la continua evoluzione delle tecnologie di intelligenza artificiale e dei metodi di analisi dei dati sanitari. Solo attraverso strumenti di normazione flessibili sarà infatti possibile aggiornare costantemente il quadro delle garanzie e delle misure tecniche di protezione, anche tenendo conto dei pareri periodici del Garante e delle indicazioni provenienti dal livello europeo.
Dati sanitari, fascicolo sanitario elettronico e piattaforma nazionale di IA
Un ulteriore tassello del quadro normativo introdotto dalla Legge 132/2025 è rappresentato dall’articolo 10, che interviene sul decreto-legge n. 179 del 2012, recante disposizioni in materia di sanità digitale e fascicolo sanitario elettronico.
La norma inserisce nel corpo del decreto l’articolo 12-bis, dedicato specificamente all’impiego di soluzioni di intelligenza artificiale nel settore sanitario. L’obiettivo dichiarato è quello di garantire strumenti e tecnologie avanzate che, pur mantenendo un ruolo di supporto e non di sostituzione delle decisioni mediche, contribuiscano al miglioramento della qualità delle cure, al rafforzamento dell’assistenza territoriale e alla realizzazione di un modello integrato di sanità digitale.
La disciplina stabilisce che l’utilizzo delle soluzioni di intelligenza artificiale debba essere regolato da decreti ministeriali adottati dal Ministro della salute, di concerto con le autorità politiche competenti in materia di innovazione tecnologica, transizione digitale e cybersicurezza, previo parere della Conferenza Stato-Regioni. Tale procedura evidenzia l’intento di collocare l’uso dell’IA in sanità all’interno di un sistema di governance multilivello, che coinvolga sia le istituzioni centrali sia quelle territoriali, in un’ottica di leale collaborazione e di uniformità di applicazione delle regole.
Elemento centrale è l’istituzione di una piattaforma nazionale di intelligenza artificiale, affidata all’Agenzia nazionale per i servizi sanitari regionali (AGENAS), che ne diventa titolare e responsabile del trattamento dei dati sanitari raccolti e generati al suo interno. La piattaforma è destinata a fornire servizi di supporto non vincolanti ai professionisti sanitari nella presa in carico dei pazienti e nella pratica clinica quotidiana, nonché a consentire agli utenti l’accesso ai servizi sanitari territoriali e alle Case di Comunità. Si configura dunque uno strumento di grande rilevanza operativa, che, pur non sostituendo la valutazione clinica, potrà orientare le scelte terapeutiche e facilitare la gestione delle informazioni sanitarie in modo coordinato ed efficiente.
L’alimentazione della piattaforma avverrà attraverso i dati (inclusi i dati sanitari) trasmessi dai titolari del trattamento, selezionati sulla base del principio di stretta necessità e nel rispetto delle regole del Regolamento (UE) 2016/679. L’AGENAS, acquisiti i pareri del Ministero della salute, del Garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale, dovrà adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, specificando i tipi di dati trattati, le operazioni consentite e le modalità di tutela dei diritti fondamentali degli interessati.
Compliance privacy e trattamento dati in ambito sanitario. Al tuo fianco nello sviluppo di soluzioni AI-based
La disciplina introdotta dalla Legge 132/2025 segna un punto di svolta nel rapporto tra innovazione tecnologica, ricerca scientifica e tutela dei diritti fondamentali, con particolare riguardo al trattamento dei dati sanitari.
La complessità delle nuove disposizioni rende auspicabile per imprese ed enti di ricerca che lo sviluppo di progetti basati sull’Intelligenza Artificiale sia conforme alla normativa vigente, così da evitare di incorrere in responsabilità (anche penali) e, al contempo, valorizzare appieno le opportunità offerte dall’intelligenza artificiale.
Lo Studio Legale D’Agostino, con expertise consolidata nell’ambito del diritto delle nuove tecnologie, fornisce consulenza strategica e supporto operativo a chi intenda sviluppare progetti AI nel settore sanitario e della ricerca. Contattaci per un confronto!
da Redazione | Set 26, 2025 | Diritto d'Impresa
La delega di funzioni, nel diritto d’impresa, rappresenta da sempre un istituto controverso e foriero di numerose criticità applicative. Essa è stata oggetto di ampio dibattito sia in ambito penalistico, in relazione all’esonero del vertice societario da responsabilità per omesso impedimento di reati commessi dai delegati, sia in ambito civilistico, con riferimento alla responsabilità per inadempimenti contrattuali o danni arrecati alla società, sia, infine, nell’ambito del diritto amministrativo, in relazione ai profili di responsabilità contabile e alla gestione delle risorse.
In tale cornice giuridica, la disciplina in materia di cybersicurezza introdotta dal decreto NIS 2 ripropone, con nuova intensità, il tema della delega, sollevando interrogativi sul grado di responsabilità degli organi amministrativi e direttivi e sui limiti delle attività effettivamente delegabili.
L’obiettivo del presente contributo è analizzare le disposizioni del decreto NIS 2, con particolare attenzione all’art. 23 del D. Lgs. 138/2024, e ai chiarimenti forniti dall’Agenzia per la Cybersicurezza Nazionale (ACN), al fine di comprendere chi siano i soggetti chiamati a rispondere degli obblighi di governance in materia di cybersicurezza e quali margini residuino per l’operatività della delega di funzioni.
La questione non è meramente tecnica, poiché dalle scelte interpretative discendono ricadute significative per la responsabilità dei vertici societari e per la stessa organizzazione dei sistemi di gestione della sicurezza informatica.
Organi amministrativi e direttivi nel decreto NIS 2
Il decreto NIS 2 individua con chiarezza gli organi responsabili della gestione della cybersicurezza all’interno delle organizzazioni classificate come soggetti essenziali o soggetti importanti. L’art. 23 del decreto stabilisce che gli organi di amministrazione e gli organi direttivi sono titolari di specifici obblighi, i quali vanno ben oltre la mera supervisione formale, imponendo un ruolo attivo nella definizione e nel controllo delle strategie di sicurezza informatica.
Ai sensi della Determinazione ACN n. 283727/2025, con la locuzione “organi di amministrazione” si fa riferimento principalmente al consiglio di amministrazione o ad organi ad esso assimilabili, dotati di potere di direzione e gestione; gli “organi direttivi”, invece, sono da intendersi quali strutture interne che partecipano, in base alla natura giuridica dell’ente, al governo dell’organizzazione e alla determinazione delle sue politiche.
Gli obblighi normativi si articolano in tre aree principali: in primo luogo, l’approvazione delle modalità di implementazione delle misure di gestione dei rischi; in secondo luogo, la sovrintendenza all’effettiva attuazione degli obblighi previsti dal decreto; infine, la responsabilità diretta per eventuali violazioni. A tali doveri si affianca un impegno specifico in materia di formazione, sia personale sia destinata ai dipendenti, affinché l’intera struttura aziendale acquisisca consapevolezza sui rischi informatici e sulle misure da adottare.
Invero ai sensi dell’art. 23 del D. Lgs. 138/2024:
«1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24;
- b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7;
- c) sono responsabili delle violazioni di cui al presente decreto.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- a) sono tenuti a seguire una formazione in materia di sicurezza informatica;
- b) promuovono l’offerta periodica di una formazione coerente a quella di cui alla lettera a) ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26».
Ne risulta un quadro di responsabilità diretta e personale che segna un significativo avanzamento rispetto alla normativa previgente, poiché non consente agli organi direttivi di limitarsi a un ruolo meramente formale, ma li investe di un dovere sostanziale di vigilanza e di governo della cybersicurezza.
Punto di contatto e sostituto: ruolo e limiti di responsabilità
Accanto agli organi di amministrazione e direttivi, il decreto NIS 2 introduce la figura del punto di contatto e del suo sostituto, come disciplinati dalla Determinazione ACN n. 283727/2025. Tali soggetti hanno la funzione primaria di garantire la costante interlocuzione tra l’organizzazione e l’Autorità nazionale competente NIS, curando l’attuazione degli adempimenti previsti dal decreto e gestendo, anche tramite il Portale NIS, i flussi informativi inerenti agli aggiornamenti annuali e alle notifiche di incidenti di cybersicurezza.
È tuttavia fondamentale sottolineare come, ai sensi delle FAQ pubblicate dall’ACN (PDC.3 e seguenti), il punto di contatto non assuma una responsabilità propria in ordine agli obblighi imposti dal decreto, ma svolga una funzione di collegamento e di cura dell’attuazione.
In altri termini, egli non risponde delle violazioni, in quanto l’art. 23 del decreto NIS 2 attribuisce la responsabilità ultima e non delegabile agli organi di amministrazione e direttivi. Analoga posizione si rinviene per il sostituto del punto di contatto, il quale, pur essendo abilitato a svolgere le medesime attività operative e ad interloquire direttamente con l’Autorità, rimane un soggetto di supporto privo di autonoma responsabilità giuridica.
Questa distinzione appare di grande rilievo sistematico: il legislatore ha inteso concentrare la responsabilità strategica in capo ai vertici societari, evitando che figure tecniche o operative, pur essenziali per l’attuazione quotidiana delle misure di cybersicurezza, si trovino a rispondere di obblighi che richiedono invece decisioni di indirizzo e governo.
La delega di funzioni nel diritto d’impresa: quadro generale
La delega di funzioni rappresenta uno degli istituti più problematici del diritto d’impresa, poiché consente al vertice societario di trasferire ad altri soggetti determinati compiti gestionali e, in parte, le relative responsabilità. La sua disciplina non si rinviene in un’unica fonte normativa, ma emerge dall’elaborazione giurisprudenziale e dall’applicazione trasversale nei diversi rami dell’ordinamento.
In sede penalistica, ad esempio, la Corte di Cassazione ha più volte ribadito che la delega può costituire causa di esclusione della responsabilità del vertice qualora presenti requisiti rigorosi: deve essere conferita per iscritto, circoscrivere con precisione l’ambito di competenza, attribuire al delegato reali poteri decisionali e di spesa, e deve essere effettivamente accettata dal delegato stesso. In difetto di tali condizioni, la responsabilità penale per l’omesso impedimento di reati permane in capo al soggetto apicale, ai sensi dell’art. 40, comma 2, c.p.
In ambito civilistico, la delega di funzioni si inserisce nel sistema delle responsabilità degli amministratori delineato dagli artt. 2381 e 2392 c.c., operando come strumento di ripartizione interna degli obblighi di gestione. L’amministratore che abbia conferito correttamente una delega può sottrarsi a responsabilità per inadempimenti imputabili al delegato, salvo che abbia omesso di vigilare sul corretto esercizio delle funzioni trasferite.
Analogamente, nel diritto amministrativo e contabile, la giurisprudenza contabile ha riconosciuto che la delega, se formalizzata e rispettosa dei requisiti di concretezza ed effettività, può esonerare l’organo delegante da responsabilità per danni arrecati alla pubblica amministrazione dal delegato.
Ciò che emerge trasversalmente è un principio costante: la delega di funzioni non può mai riguardare le scelte di indirizzo strategico e l’obbligo generale di vigilanza, che restano in capo all’organo apicale. La delega, quindi, non opera come strumento di deresponsabilizzazione totale, ma come meccanismo di distribuzione funzionale che consente un’organizzazione più efficiente dell’impresa.
In questo quadro, la disciplina introdotta dal decreto NIS 2 si inserisce pone in linea con una scia consolidata, ribadendo la centralità degli organi amministrativi e direttivi nella governance della cybersicurezza, ma al tempo stesso aprendo spazi di riflessione sul possibile utilizzo della delega per le attività di attuazione operativa.
I chiarimenti dell’ACN sulla delega di funzioni nel decreto NIS 2
Il nodo della delega di funzioni in materia di cybersicurezza è stato affrontato dall’Agenzia per la Cybersicurezza Nazionale (ACN) nelle FAQ pubblicate nei mesi estivi del 2025, le quali costituiscono un primo tentativo di precisazione interpretativa dell’art. 23 del D. Lgs. 138/2024.
Nella FAQ ODA.8 l’Agenzia ha chiarito che «gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti possono delegare al proprio interno lo svolgimento delle attività finalizzate all’assolvimento degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS».
Tuttavia, lo stesso documento precisa che la delega incontra limiti invalicabili: «ferma restando in capo agli organi di amministrazione e agli organi direttivi […] la responsabilità ai sensi dell’articolo 23 del decreto NIS di (i) approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica […] (ii) sovrintendere alla loro implementazione […] (iii) essere responsabili delle violazioni […] (iv) seguire una formazione in materia di sicurezza informatica; (v) promuovere l’offerta periodica di formazione per i dipendenti coerente con quella seguita dagli organi di amministrazione e direttivi».
Questi obblighi, individuati dall’art. 23 del decreto NIS 2, assumono la natura di obblighi di indirizzo e pianificazione strategica e, come tali, non sono suscettibili di delega.
La successiva FAQ ODA.9 ribadisce infatti che «la responsabilità ex articolo 23 del decreto NIS discende per legge in capo agli organi di amministrazione e direttivi» e che le attribuzioni appena richiamate “non sono delegabili”. Diversamente, la delega può riguardare soltanto «lo svolgimento delle attività finalizzate all’attuazione dei predetti obblighi», vale a dire gli aspetti più operativi connessi all’implementazione delle misure di cybersicurezza, senza che ciò comporti un trasferimento della responsabilità in capo al delegato.
Ne deriva che l’ACN delinea un sistema duale: da un lato, compiti di alto livello strategico, che restano inderogabilmente in capo agli organi amministrativi e direttivi; dall’altro, attività esecutive o tecniche, che possono essere delegate ma senza che la delega produca un esonero totale di responsabilità.
Resta infatti fermo, come ricorda l’Agenzia, quanto disposto dagli artt. 2381 e 2392 c.c., i quali ribadiscono il dovere generale di vigilanza degli amministratori deleganti. In tal senso, l’istituto della delega di funzioni nel decreto NIS 2 si conforma al modello tradizionale del diritto societario, che ammette la distribuzione di compiti, ma mantiene intatta la responsabilità degli organi apicali per le scelte strategiche e per la sorveglianza sull’operato dei delegati.
Profili critici e questioni irrisolte sulla delega di funzioni in cybersicurezza
Nonostante lo sforzo chiarificatore compiuto dall’ACN attraverso le FAQ ODA.8 e ODA.9, il tema della delega di funzioni nel contesto del decreto NIS 2 continua a sollevare rilevanti incertezze interpretative.
In particolare, appare problematica la definizione del perimetro delle attività che, pur potendo essere formalmente delegate, rimangono nella sostanza indissolubilmente connesse alla responsabilità strategica degli organi amministrativi e direttivi.
L’art. 23 del D. Lgs. 138/2024 stabilisce che tali organi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendere alla loro implementazione. Ora, se è vero che la prima attività integra un obbligo di alta direzione, non suscettibile di alcuna delega, assai più difficile risulta tracciare un confine netto fra il dovere di “sovrintendere” e le “attività finalizzate all’attuazione” che, secondo l’ACN, sembrerebbero poter essere delegate.
Il concetto di sovrintendere implica infatti un controllo costante sull’attività di attuazione, così che la linea di demarcazione tra vigilanza strategica e gestione operativa si rivela labile. In concreto, il rischio è che una parte delle funzioni delegate continui ad attrarre la responsabilità degli organi apicali, anche laddove l’errore o l’omissione siano imputabili al delegato. Ne deriva una potenziale “zona grigia” nella quale l’efficacia liberatoria della delega di funzioni rimane incerta, esponendo i vertici societari a responsabilità difficilmente delimitabili.
Questa ambiguità appare tanto più rilevante in un settore come quello della cybersicurezza, nel quale l’attuazione delle misure richiede un elevato grado di specializzazione tecnica, che mal si concilia con il carattere prevalentemente strategico e di governo proprio degli organi di amministrazione e direttivi.
L’assenza di un confine chiaro tra attività di indirizzo e attività di esecuzione rischia dunque di compromettere la funzione stessa della delega di funzioni, trasformandola in uno strumento di mera distribuzione operativa, privo di reale capacità di incidere sulla sfera delle responsabilità.
Valutiamo in concreto la soluzione più adeguata. Supporto legale esperto in materia di cybersicurezza
La disciplina della delega di funzioni in materia di cybersicurezza, come delineata dal decreto NIS 2 e chiarita dall’ACN, evidenzia la centralità degli organi di amministrazione e direttivi nel governo strategico della sicurezza informatica, pur consentendo forme di delega operativa.
Rimane tuttavia una significativa incertezza interpretativa sul confine tra attività delegabili e non delegabili, che rischia di generare criticità applicative. In un simile contesto, assume rilevanza per imprese e pubbliche amministrazioni dotarsi di strumenti organizzativi adeguati, in grado di coniugare efficienza operativa e allocare in modo giusto le responsabilità.
Il nostro Studio legale, sotto la guida dell’Avv. Luca D’Agostino, vanta una specifica expertise in materia di cybersicurezza ,e offre supporto qualificato nell’implementazione dei modelli organizzativi e delle strategie di gestione del rischio informatico.
Contattaci per un confronto!
da Redazione | Set 25, 2025 | Diritto d'Impresa, Diritto civile
L’esclusione del socio rappresenta uno degli istituti di maggiore delicatezza nella disciplina delle società a responsabilità limitata, poiché incide direttamente sul rapporto contrattuale che lega il singolo socio alla compagine sociale e determina, in via definitiva, lo scioglimento del vincolo societario nei suoi confronti.
La possibilità di estromettere un socio dalla società si colloca in un’area di equilibrio complessa, in cui l’autonomia statutaria, riconosciuta e valorizzata dalla riforma del diritto societario, incontra i limiti imposti dalla legge a tutela sia del socio escluso sia degli interessi dei creditori sociali.
In questa prospettiva, l’istituto si caratterizza come strumento funzionale alla protezione dell’interesse collettivo dei soci e della società stessa, evitando che condotte inadempienti o comportamenti pregiudizievoli di un singolo possano compromettere l’attività comune.
Obiettivo del presente articolo è offrire un’analisi sistematica dei presupposti e delle condizioni che consentono l’esclusione del socio, approfondendo il ruolo della giusta causa, il procedimento deliberativo, le modalità di liquidazione della quota e le più recenti applicazioni pratiche nelle Srl e nelle start-up. In particolare, sarà posta attenzione agli scenari nei quali l’inerzia o l’irreperibilità di un socio possono tradursi in un ostacolo al funzionamento della società.
Tale esigenza si avverte in modo ancora più pressante nelle start-up innovative, dove l’esclusione del socio inattivo diventa spesso uno strumento necessario per prevenire situazioni di stallo decisionale e, soprattutto, per garantire la continuità dei rapporti con investitori, venture capital e finanziatori istituzionali.
Esclusione del socio: la disciplina normativa
La disciplina dell’esclusione del socio nelle società a responsabilità limitata si fonda su due norme centrali del Codice Civile, che offrono soluzioni diverse a seconda della natura dell’interesse tutelato.
L’art. 2466 c.c. disciplina l’ipotesi del socio moroso nel versamento dei conferimenti, imponendo agli amministratori un preciso percorso che si apre con la diffida ad adempiere e si conclude, in mancanza di soluzioni alternative, con la vendita coattiva della quota o, in ultima istanza, con l’esclusione del socio. In questa prospettiva, la norma risponde alla necessità di assicurare l’effettività del capitale sociale, a tutela non solo della società ma soprattutto dei creditori, i quali confidano nella consistenza patrimoniale della società quale garanzia delle proprie ragioni.
La disciplina assume carattere imperativo e lascia agli amministratori un margine di discrezionalità limitato, poiché l’inadempimento del socio incide direttamente su interessi esterni alla compagine.
Diversa è la logica sottesa all’art. 2473-bis c.c., introdotto con la riforma del 2003, che rappresenta una delle principali innovazioni del diritto societario. Esso attribuisce ai soci, attraverso l’atto costitutivo, la facoltà di prevedere specifiche ipotesi di esclusione del socio per giusta causa.
In tal modo, la Srl si caratterizza per un accento personalistico che la distingue dalla società per azioni, consentendo di tener conto non solo dell’apporto economico, ma anche della condotta e delle qualità personali dei soci. È tuttavia essenziale che la clausola statutaria sia redatta con particolare attenzione, poiché il legislatore richiede che le cause di esclusione siano puntualmente indicate e non affidate a formule generiche, pena la nullità.
Esclusione del socio e la nozione di giusta causa
Il concetto di giusta causa rappresenta il nucleo essenziale dell’esclusione del socio ai sensi dell’art. 2473-bis c.c. e costituisce il limite invalicabile all’autonomia statutaria nella predisposizione delle clausole che disciplinano tale istituto.
La norma, introdotta con la riforma del 2003, ha segnato una cesura rispetto al passato, attribuendo ai soci un’ampia libertà di individuare le ipotesi in cui sia consentita l’estromissione di un componente della compagine sociale, purché esse siano specifiche e riconducibili a giusta causa. L’assenza di tali requisiti comporta la nullità della clausola, come ribadito da una consolidata giurisprudenza di merito (Tribunale di Milano, 2013-2014; Tribunale di Napoli, 2020-2022), che ha sempre sottolineato l’esigenza di determinatezza e non genericità.
Il requisito della specificità impedisce che l’atto costitutivo si limiti a prevedere, in via astratta, l’esclusione del socio per giusta causa, rinviando a una valutazione discrezionale successiva da parte degli organi sociali. Occorre, invece, che lo statuto individui in modo chiaro le condotte o gli eventi che legittimano l’estromissione. Tale esigenza risponde a una duplice funzione: garantire la certezza dei rapporti interni e impedire abusi da parte della maggioranza, che potrebbe altrimenti utilizzare lo strumento in modo opportunistico per liberarsi di soci scomodi.
Il riferimento alla giusta causa opera quale filtro oggettivo: non è sufficiente la volontà della maggioranza, ma occorre che la fattispecie di esclusione corrisponda a un interesse meritevole di tutela e sia idonea a preservare l’ordinato svolgimento dell’attività sociale. Ne deriva che le ipotesi di esclusione devono presentare una stretta attinenza alla persona del socio, in modo che la sua condotta o la sua condizione abbiano una ricaduta diretta sull’organizzazione e sulla funzionalità della società.
In questa prospettiva, rientrano certamente le ipotesi di inadempimento ad obblighi previsti dalla legge o dall’atto costitutivo, ma anche eventi diversi dall’inadempimento, purché attinenti alla sfera personale del socio e potenzialmente pregiudizievoli per la società, come la perdita dei requisiti soggettivi essenziali, l’interdizione, l’inabilitazione o la condanna penale che comporti un discredito sulla società.
Una distinzione utile per comprendere la portata della giusta causa è quella tra inadempimenti e fatti diversi dall’inadempimento. Mentre nelle società di persone la legge prevede come regola generale l’esclusione per grave inadempimento, nelle Srl il legislatore ha scelto una via opposta, imponendo che anche le condotte inadempienti siano tipizzate espressamente nello statuto.
Ciò significa che non è sufficiente il richiamo generico all’obbligo di collaborazione o al vincolo fiduciario, tipico delle società personali: nella Srl è necessaria una clausola puntuale che ricolleghi l’esclusione del socio a un preciso obbligo violato. Solo in presenza di tale specificazione la clausola potrà dirsi conforme ai requisiti di validità.
Oltre agli inadempimenti, la giusta causa può riguardare circostanze ulteriori, purché collegate alla persona del socio e tali da incidere negativamente sul perseguimento dell’oggetto sociale. È in questa prospettiva che la dottrina e la giurisprudenza hanno ritenuto legittime clausole che prevedano, ad esempio, l’esclusione del socio che ostacoli il funzionamento dell’assemblea non partecipando alle riunioni e impedendo il raggiungimento dei quorum, o che abusi del diritto di informazione e consultazione dei documenti sociali esercitandolo in modo ostruzionistico o in funzione concorrenziale.
Viceversa, sono state giudicate invalide le clausole che si limitano a richiamare formule vaghe, come quelle che parlano di “gravi inadempienze che impediscano il perseguimento dello scopo sociale”, perché lasciano agli organi sociali una valutazione discrezionale incompatibile con il principio di specificità.
Altro profilo da considerare riguarda la proporzionalità: l’esclusione del socio deve essere uno strumento adeguato e proporzionato rispetto al danno potenziale arrecato all’interesse sociale. La condotta del socio deve presentare un grado di serietà tale da giustificare l’espulsione, analogamente a quanto previsto dall’art. 1455 c.c. in materia di inadempimento contrattuale. Non ogni inadempimento, dunque, legittima l’esclusione, ma solo quelli che incidono in maniera significativa sull’attività e sull’organizzazione della società.
In definitiva, la giusta causa si configura come un criterio oggettivo che bilancia l’autonomia statutaria e la tutela dell’interesse sociale: essa delimita il perimetro entro cui i soci possono muoversi nella redazione dello statuto, evitando che l’esclusione del socio diventi uno strumento arbitrario. La sua corretta definizione consente di coniugare due esigenze contrapposte: da un lato, garantire stabilità e continuità alla società, dall’altro, assicurare al socio escluso un adeguato livello di tutela delle proprie posizioni giuridiche.
Esclusione del socio inattivo o irreperibile nelle Srl e nelle start-up
Una questione particolarmente delicata nell’ambito dell’esclusione del socio riguarda l’ipotesi del socio inattivo o irreperibile, fenomeno tutt’altro che raro nelle start-up e nelle piccole società a responsabilità limitata. Accade frequentemente che un socio, in seguito a divergenze con gli altri membri o per semplice disinteresse, smetta di partecipare alla vita sociale, abbandonando di fatto la società senza tuttavia cedere le proprie quote.
Tale situazione può determinare conseguenze gravi, specialmente quando il socio inattivo detiene una partecipazione significativa, ostacolando il regolare funzionamento dell’assemblea e precludendo l’adozione delle delibere necessarie alla gestione e allo sviluppo della società.
La prassi notarile ha riconosciuto la legittimità di clausole statutarie che prevedono l’esclusione del socio inattivo, ritenendo che l’interesse della società debba prevalere sul mero disinteresse individuale. In particolare, si è affermata la validità di previsioni che consentono l’estromissione del socio che, per un periodo significativo – ad esempio ventiquattro mesi – non partecipi ad alcuna assemblea. Si tratta di un’interpretazione che tutela l’operatività della società, prevenendo il rischio di scioglimento per impossibilità di funzionamento, previsto dall’art. 2484 c.c.
Nelle start-up, la rilevanza di questa clausola è ancora più evidente: la presenza di un socio inattivo può compromettere l’accesso a investimenti e finanziamenti, scoraggiando venture capital e partner istituzionali. L’esclusione del socio inattivo diviene, pertanto, uno strumento essenziale per salvaguardare la continuità aziendale e garantire la stabilità dei rapporti interni.
La centralità dello statuto e delle clausole di esclusione del socio
Si è dunque chiarito che l’esclusione del socio in una società a responsabilità limitata trova il suo fondamento nella previsione statutaria. L’art. 2473-bis c.c. stabilisce, infatti, che l’atto costitutivo può contemplare ipotesi specifiche di esclusione per giusta causa. Da ciò discende la centralità dello statuto quale strumento di disciplina dei rapporti tra soci e di prevenzione delle situazioni di conflitto o stallo.
Una clausola generica, che si limiti a rinviare ad una “giusta causa” indeterminata, è invalida, poiché la norma impone la puntuale indicazione degli eventi o comportamenti che possono giustificare l’estromissione.
In questa prospettiva, è essenziale che le clausole statutarie siano redatte con precisione, contemperando l’interesse della società alla continuità operativa con la tutela dei diritti del singolo socio. La specificità richiesta dal legislatore non impedisce, tuttavia, di considerare un’ampia gamma di ipotesi, che possono spaziare dall’inadempimento di obblighi sociali alla perdita di requisiti soggettivi, fino alla condanna penale o allo svolgimento di attività concorrenziale.
Nelle start-up, la redazione dello statuto riveste un ruolo strategico, poiché spesso i soci fondatori sottoscrivono anche patti parasociali o piani di equity che fissano impegni operativi e obblighi di collaborazione attiva. Tali accordi, se richiamati nello statuto o trasfusi in clausole di esclusione redatte con precisione, garantiscono che il venir meno del contributo promesso da un socio possa legittimare la sua estromissione.
Il procedimento di esclusione del socio
L’esclusione del socio in una S.r.l. deve seguire un procedimento conforme ai principi generali dell’ordinamento e alle previsioni dell’atto costitutivo. La legge non disciplina in modo puntuale le modalità attraverso le quali l’esclusione deve essere deliberata, rinviando così all’autonomia statutaria. In mancanza di previsioni specifiche, la dottrina e la giurisprudenza prevalente hanno ritenuto che la competenza spetti ai soci, riuniti in assemblea.
La decisione deve essere adeguatamente motivata, richiamando la clausola statutaria e i fatti che integrano la giusta causa di esclusione. È inoltre necessario che il socio interessato sia posto in condizione di conoscere le contestazioni mosse a suo carico e di esercitare il diritto di difesa. Per questo motivo, la deliberazione o la decisione dell’organo competente deve essere comunicata al socio escluso in forma idonea e tempestiva.
Il socio, dal canto suo, dispone di strumenti di tutela. Può impugnare la delibera di esclusione ai sensi dell’art. 2479-ter c.c., entro novanta giorni, oppure proporre opposizione dinanzi al tribunale, sulla base delle regole generali. In pendenza di giudizio, può anche richiedere la sospensione cautelare degli effetti della delibera, così da evitare che l’esclusione produca conseguenze irreversibili prima della decisione giudiziale.
Liquidazione della quota del socio escluso
La fase successiva all’esclusione del socio riguarda la liquidazione della sua partecipazione, che rappresenta il momento più delicato sotto il profilo della tutela patrimoniale e della continuità aziendale.
L’art. 2473-bis c.c. rinvia alla disciplina del recesso per quanto concerne i criteri di rimborso, ma introduce una differenza significativa: è esclusa la possibilità di liquidare la partecipazione attraverso la riduzione del capitale sociale. Questa scelta normativa riflette l’esigenza di tutelare l’integrità del patrimonio sociale a garanzia dei creditori, subordinando l’interesse dei soci al mantenimento della stabilità dell’impresa.
Il rimborso della quota deve quindi avvenire mediante l’acquisto da parte degli altri soci o di terzi individuati dalla compagine, oppure, in mancanza, attraverso l’utilizzo delle riserve disponibili. Qualora non sia possibile procedere al rimborso entro i termini stabiliti dalla legge, si apre un tema di forte criticità: parte della dottrina ritiene che la delibera di esclusione divenga inefficace, mentre altri autori ammettono come extrema ratio la liquidazione della società stessa, equiparando il caso a quello di impossibilità di rimborso nel recesso.
Sul piano pratico, resta centrale la corretta valutazione della quota. Essa deve essere determinata in base al valore effettivo del patrimonio sociale, con possibilità, secondo alcune opinioni, di introdurre nello statuto criteri di liquidazione anche meno favorevoli per il socio escluso, purché la clausola sia espressa con chiarezza e nel rispetto dei principi di buona fede e parità di trattamento.
Assistenza legale dedicata ed esperienza in materia di diritto d’impresa
La disciplina dell’esclusione del socio nelle società a responsabilità limitata dimostra come l’ordinamento richieda un delicato bilanciamento tra la tutela dell’interesse collettivo alla prosecuzione dell’attività sociale e la salvaguardia dei diritti individuali del socio estromesso. Si tratta di situazioni che, se non regolate preventivamente nello statuto, possono sfociare in conflitti paralizzanti per la società, rendendo necessario un intervento giuridico anche in sede contenziosa.
Lo Studio Legale D’Agostino, attivo nel campo del diritto d’impresa e dell’assistenza a start-up innovative, offre competenze consolidate nella redazione di statuti, patti parasociali e strumenti contrattuali idonei a prevenire contenziosi, nonché nell’affrontare le problematiche legate all’esclusione o al recesso del socio in una prospettiva di tutela strategica e conforme alla normativa vigente.
Contattaci per un primo confronto.
