da Redazione | Set 24, 2024 | Diritto civile, Diritto d'Impresa
Il commercio elettronico, o e-commerce, è oggi uno dei settori più dinamici e in rapida crescita nell’economia globale del digital business. Con la diffusione di internet e delle tecnologie digitali, sempre più imprese scelgono di aprire siti web o marketplace per vendere i propri prodotti o servizi online. Tuttavia, avviare e gestire un’attività di e-commerce richiede la scrupolosa osservanza di normative nazionali e comunitarie che regolano questo settore. Il commercio elettronico è, infatti, un ambito estremamente regolamentato, poiché implica questioni di protezione del consumatore, gestione dei dati personali, sicurezza delle transazioni e tutela della concorrenza.
In particolare, a livello dell’Unione Europea, esistono diverse normative che disciplinano l’e-commerce, come la Direttiva sul commercio elettronico (2000/31/CE), la Direttiva sui diritti dei consumatori (2011/83/UE) e, più recentemente, il Digital Services Act (DSA), che introduce nuovi obblighi per le piattaforme digitali, inclusi i marketplace.
Per i gestori di siti di e-commerce, adeguarsi a queste normative è fondamentale non solo per evitare sanzioni, ma anche per garantire una concorrenza leale e una maggiore fiducia da parte dei consumatori. Questo articolo fornisce una panoramica approfondita delle principali normative che regolano l’e-commerce, con un focus specifico sulle novità introdotte dal DSA e sugli obblighi previsti dal Codice del consumo italiano.
La direttiva sul commercio elettronico e sulla protezione dei consumatori
La Direttiva 2000/31/CE è uno dei principali strumenti normativi dell’Unione Europea in materia di commercio elettronico. Essa si applica a tutti i fornitori di servizi della società dell’informazione, e ha come obiettivo la creazione di un quadro giuridico armonizzato che favorisca lo sviluppo del mercato interno. La direttiva disciplina aspetti chiave legati alla prestazione di servizi online, garantendo trasparenza e fiducia nelle transazioni digitali.
Uno degli aspetti centrali della direttiva riguarda la conclusione dei contratti di e-commerce, ovvero i cosiddetti “contratti a distanza”. I fornitori di servizi sono obbligati a fornire informazioni dettagliate e accessibili ai consumatori, inclusi i dettagli sull’identità del venditore, il prezzo complessivo, le caratteristiche principali del prodotto o servizio, e i costi di spedizione. Inoltre, devono garantire che il consumatore riceva una conferma tempestiva del contratto una volta che l’ordine è stato inviato. Tale conferma può essere fornita tramite e-mail o un altro mezzo elettronico equivalente.
La direttiva stabilisce, inoltre, che i contratti elettronici abbiano piena validità giuridica, purché rispettino i requisiti di trasparenza e informazione previsti dalla normativa. Per garantire la sicurezza nelle transazioni online, i fornitori di servizi devono implementare meccanismi che consentano al consumatore di correggere eventuali errori prima della conclusione del contratto.
Successivamente, la Direttiva 2011/83/UE sui diritti dei consumatori è intervenuta per regolamentare i contratti a distanza. Questa direttiva rafforza la tutela dei consumatori nell’e-commerce, introducendo il diritto di recesso, che consente al consumatore di annullare l’acquisto entro 14 giorni dalla ricezione del bene o dalla conclusione del contratto, senza dover fornire alcuna motivazione. Il venditore è obbligato a informare chiaramente il consumatore di tale diritto e a rimborsare tutti i pagamenti, inclusi i costi di spedizione, entro 14 giorni dal ricevimento della comunicazione di recesso. Qualora il venditore non fornisca le informazioni necessarie sul diritto di recesso, il periodo per esercitare tale diritto può estendersi fino a 12 mesi.
Entrambe le direttive mirano a garantire un elevato livello di protezione per i consumatori che effettuano acquisti online, favorendo la trasparenza e la fiducia nelle transazioni digitali. Tuttavia, con l’evoluzione delle tecnologie e l’aumento del commercio elettronico, si è reso necessario un aggiornamento delle normative per affrontare nuove sfide, come la contraffazione online, la trasparenza degli algoritmi e la responsabilità delle piattaforme digitali.
Le novità introdotte dal Digital Services Act: cosa cambia per l’e-commerce?
Il Digital Services Act (DSA), divenuto applicabile a partire dal mese di febbraio del 2024, rappresenta un pilastro della normativa comunitaria in materia di servizi digitali, inclusi i siti di e-commerce. Il DSA integra e modifica alcune delle disposizioni della Direttiva 2000/31/CE, mantenendo in vigore i principi fondamentali della responsabilità limitata per gli intermediari online, ma introducendo nuovi obblighi di diligenza e trasparenza.
Una delle novità più rilevanti riguarda l’obbligo per le piattaforme di e-commerce di garantire la tracciabilità dei venditori. In base al DSA, i marketplace devono raccogliere e verificare informazioni come l’identità legale, il numero di partita IVA e altre informazioni rilevanti prima di consentire ai venditori di offrire i propri prodotti o servizi. Questa misura mira a contrastare la vendita di beni contraffatti e illegali, migliorando la sicurezza per i consumatori. Inoltre, le piattaforme devono assicurarsi che queste informazioni siano facilmente accessibili ai consumatori, in modo che possano identificare chiaramente chi è il venditore e quali sono i loro diritti in caso di problemi con il prodotto o servizio acquistato.
Un altro aspetto cruciale del DSA è l’introduzione di obblighi di trasparenza sugli algoritmi utilizzati dalle piattaforme per raccomandare prodotti o servizi. I consumatori devono essere informati su come vengono selezionati i prodotti che vedono, e devono avere la possibilità di scegliere se accettare o meno la personalizzazione delle raccomandazioni basata sui loro dati personali. Questo aumenta la trasparenza e la fiducia nelle transazioni digitali, poiché i consumatori possono prendere decisioni più consapevoli riguardo ai prodotti da acquistare.
Il DSA introduce anche nuove misure per la gestione dei contenuti illegali e la protezione dei minori. Le piattaforme di e-commerce devono implementare sistemi efficaci per la segnalazione e la rimozione di contenuti o prodotti che violano la legge, come quelli che infrangono i diritti di proprietà intellettuale o che mettono in pericolo la sicurezza dei consumatori. Inoltre, le piattaforme che sono utilizzate prevalentemente da minori devono adottare misure aggiuntive per proteggere i giovani utenti, garantendo che non vengano esposti a contenuti inappropriati o pericolosi.
Infine, il DSA rafforza le disposizioni sulla trasparenza delle recensioni dei prodotti. Le piattaforme devono adottare misure per garantire che le recensioni pubblicate siano autentiche e provenienti da utenti reali, prevenendo così pratiche ingannevoli che potrebbero danneggiare i consumatori.
Le disposizioni del Codice del consumo sull’e-commerce
Il Codice del consumo italiano, disciplinato dal Decreto Legislativo n. 206/2005, rappresenta uno dei pilastri fondamentali della tutela dei consumatori in Italia, con particolare attenzione alla disciplina dei contratti a distanza, incluso il commercio elettronico. Questo corpus normativo, che recepisce molte delle disposizioni contenute nella Direttiva 2011/83/UE sui diritti dei consumatori, stabilisce una serie di obblighi a carico dei professionisti e dei venditori online al fine di garantire la trasparenza e la tutela dei diritti dei consumatori.
Una delle disposizioni centrali del Codice del consumo riguarda l’obbligo per il venditore di fornire al consumatore informazioni chiare, comprensibili e dettagliate prima della conclusione del contratto. Il legislatore ha posto particolare enfasi su questo aspetto al fine di garantire che il consumatore sia pienamente consapevole delle caratteristiche essenziali del prodotto o del servizio offerto, del prezzo totale, comprese tutte le imposte e i costi aggiuntivi, e delle modalità di consegna e pagamento. Inoltre, è previsto che il venditore fornisca informazioni precise sui tempi di consegna, sulla durata del contratto (nel caso di servizi) e sulle condizioni per l’esercizio del diritto di recesso.
Il diritto di recesso costituisce un altro importante elemento di protezione per il consumatore nei contratti a distanza. Il Codice del consumo stabilisce che il consumatore ha il diritto di recedere dal contratto entro 14 giorni dalla ricezione del bene, o dalla conclusione del contratto nel caso di servizi, senza dover fornire alcuna motivazione. Questo diritto, introdotto per garantire la sicurezza nelle transazioni a distanza, consente al consumatore di esaminare il bene o valutare il servizio prima di decidere definitivamente di mantenerlo. Una volta che il consumatore ha esercitato il recesso, il venditore è obbligato a rimborsare tutte le somme ricevute, inclusi i costi di consegna standard, entro 14 giorni dal ricevimento della notifica di recesso.
Oltre al diritto di recesso, il Codice del consumo affronta anche la questione delle clausole vessatorie nei contratti a distanza. Le clausole che comportano un significativo squilibrio tra i diritti e gli obblighi delle parti, a svantaggio del consumatore, sono considerate nulle e non vincolanti. Questo principio è essenziale per evitare che il venditore possa imporre condizioni inique o sproporzionate, come ad esempio limitazioni indebite al diritto del consumatore di far valere le proprie pretese o modifiche unilaterali del contratto.
In sintesi, il Codice del consumo italiano impone una serie di obblighi ai venditori online, con l’obiettivo di garantire trasparenza, equità e protezione per i consumatori. L’osservanza di tali disposizioni è fondamentale per i gestori di siti di e-commerce, poiché il mancato rispetto delle normative non solo comporta sanzioni amministrative, ma può anche avere ripercussioni significative sulla fiducia dei consumatori e sulla reputazione dell’impresa.
Conclusioni sulla conformità legale nell’ambito dell’e-commerce
In un contesto normativo in rapida evoluzione come quello dell’e-commerce, la compliance legale è diventata un fattore imprescindibile per il successo e la sostenibilità di un’attività online. Le norme europee, come la Direttiva 2000/31/CE, la Direttiva 2011/83/UE, il Digital Services Act e il Codice del consumo italiano, offrono un quadro completo e articolato per la tutela dei consumatori e la regolamentazione dei contratti a distanza.
Ignorare o sottovalutare l’importanza della conformità a queste normative può esporre i gestori di siti di e-commerce o marketplace a sanzioni significative. In particolare, le violazioni delle disposizioni del Digital Services Act possono comportare multe fino al 6% del fatturato annuo globale dell’impresa, rendendo estremamente rischioso operare senza una corretta gestione della conformità.
Per chi decide di avviare o gestire un’attività di e-commerce, è fondamentale comprendere che il rispetto delle normative non è solo un obbligo giuridico, ma anche una garanzia per la stabilità e la crescita del business. L’inosservanza delle norme può comportare sanzioni amministrative, ma può anche avere conseguenze molto più gravi in termini di perdita di reputazione e di fiducia da parte dei consumatori, elementi chiave per il successo di qualsiasi attività online.star
Il nostro Studio Legale, grazie alla sua esperienza nel settore, offre consulenza specializzata per le imprese che operano nel commercio elettronico, aiutandole a navigare nel complesso panorama normativo e a garantire la piena conformità alle leggi in vigore. L’assistenza di un professionista è essenziale per evitare errori che potrebbero risultare fatali per l’impresa, sia dal punto di vista legale che economico. Forniamo supporto completo, dalla redazione e verifica delle condizioni generali di vendita, alla gestione dei reclami dei consumatori, fino alla protezione dei dati e alla conformità con le normative in materia di proprietà intellettuale e diritto d’autore.
In un mercato sempre più competitivo e regolamentato, affidarsi a esperti del settore è la scelta più sicura per garantire il successo a lungo termine della propria attività di e-commerce.
Contatta il nostro Studio per un primo confronto, senza impegno!
Consulenza legale per start-up su termini e condizioni nell’e-commerce. Contatta lo Studio Legale D’Agostino per una consulenza personalizzata
da Redazione | Set 23, 2024 | Diritto d'Impresa, Diritto Penale
Modello 231 per le PMI: è davvero così importante? Il Decreto Legislativo 231/2001 ha rappresentato una rivoluzione normativa nel panorama giuridico italiano. Con esso è stata introdotta una forma di responsabilità amministrativa degli enti che si affianca alla responsabilità penale individuale delle persone fisiche. Il decreto ha colmato un vuoto del nostro ordinamento, rispondendo alle crescenti esigenze internazionali di combattere la criminalità economica e garantire che le imprese, così come gli enti non profit, rispondano dei reati commessi nel loro interesse o vantaggio da parte di dirigenti, amministratori o dipendenti.
Per effetto di tale normativa, le aziende possono essere ritenute responsabili e subire gravi conseguenze economiche e reputazionali, quali sanzioni pecuniarie, interdizioni dall’attività, revoca di licenze o concessioni, confisca dei beni e persino la sospensione delle attività aziendali, quando i reati vengono commessi a loro vantaggio.
Tuttavia, il decreto ha anche introdotto una sorta di “scudo” per le imprese, offrendo loro la possibilità di sottrarsi a tale responsabilità. In particolare, se l’impresa è in grado di dimostrare di aver adottato e attuato efficacemente un Modello di organizzazione, gestione e controllo finalizzato alla prevenzione dei reati, e di aver istituito un Organismo di Vigilanza (OdV) che sovraintende alla sua attuazione, l’azienda può evitare l’applicazione delle pesanti sanzioni previste dal decreto.
Questo articolo si propone di illustrare i motivi per cui l’adozione del Modello 231 è un adempimento fondamentale anche per le Piccole e Medie Imprese (PMI) e le start-up. Non si tratta di una formalità burocratica pensata esclusivamente per le grandi aziende, ma di uno strumento di governance che offre numerosi vantaggi pratici. Dall’aumento della competitività sul mercato alla protezione legale e reputazionale, il Modello 231 può rappresentare un elemento centrale nella strategia di crescita delle PMI.
Disciplina e requisiti normativi del Modello 231
Il Modello 231 è concepito come un insieme di regole, procedure e controlli che mirano a prevenire la commissione dei reati indicati nel D.Lgs. 231/2001. Le linee guida normative contenute negli articoli 6 e 7 del decreto specificano che l’adozione di un modello organizzativo è una condizione necessaria per poter invocare l’esimente della responsabilità amministrativa, qualora si verifichi un reato nell’ambito aziendale. Questo modello, anche se spesso redatto sulla base di linee guida, non è un documento standard: deve essere personalizzato in base alla realtà aziendale e ai rischi specifici del settore in cui opera l’impresa.
L’art. 6 del decreto stabilisce che il Modello 231 deve rispondere a determinati requisiti di idoneità. In primo luogo, deve essere in grado di identificare le attività aziendali dove è più probabile che si possano commettere reati (cosiddetta mappatura dei rischi). Questa fase è cruciale, poiché consente di avere una visione chiara dei punti critici nei processi aziendali e di individuare le aree in cui sono necessari interventi di controllo.
La normativa prevede, inoltre, l’obbligo di creare protocolli operativi che stabiliscano le modalità di gestione e di esecuzione delle decisioni all’interno dell’impresa, al fine di ridurre il rischio di condotte penalmente rilevanti.
Un altro elemento fondamentale è l’istituzione di un Organismo di Vigilanza (OdV), che deve avere autonomia e indipendenza per poter monitorare efficacemente il rispetto del modello. L’OdV è chiamato a garantire che le procedure siano applicate correttamente e che vengano adottate le necessarie misure correttive in caso di violazioni. Questo organismo, che può essere costituito sia da membri interni che esterni all’azienda, ha il compito di verificare che il modello sia aggiornato e adeguato ai mutamenti normativi o organizzativi che possono riguardare l’impresa.
Il modello deve anche prevedere un sistema disciplinare che consenta di sanzionare chiunque violi le regole e i protocolli aziendali. Questo sistema deve essere proporzionato e adeguato alle specificità aziendali, ma soprattutto effettivamente applicato, per non rimanere una mera formalità. Un ulteriore elemento richiesto dal decreto è l’adozione di un adeguato sistema di gestione delle risorse finanziarie, volto a impedire che tali risorse possano essere utilizzate per la commissione di reati.
Infine, il Modello 231 deve essere comunicato e diffuso all’interno dell’organizzazione aziendale. È obbligatorio che il personale, sia apicale che subordinato, riceva adeguata formazione sui contenuti del modello e sulle procedure da seguire. Solo una corretta conoscenza del modello e un’adeguata sensibilizzazione ai temi della legalità possono garantire la sua effettiva applicazione.
Il processo di adozione del modello segue un iter complesso, che parte dalla mappatura dei rischi, passa attraverso la stesura di protocolli specifici per le diverse aree di attività aziendale e si conclude con l’adozione formale da parte del Consiglio di Amministrazione o dell’organo dirigente.
I documenti che compongono il modello includono generalmente una Parte Generale, che descrive i principi di fondo e le linee guida normative, e una Parte Speciale, dove vengono specificate le misure di prevenzione per ciascun reato considerato rilevante per l’azienda. Un Codice Etico è spesso integrato nel modello, indicando i valori e le regole di comportamento che l’impresa si impegna a rispettare. Infine, viene predisposto un manuale disciplinare, con il quale si regolano le sanzioni interne in caso di violazione delle norme
L’importanza del Modello 231 per le PMI
Molti imprenditori, soprattutto nel contesto delle Piccole e Medie Imprese (PMI), potrebbero ritenere che l’adozione del Modello 231 sia un’operazione complessa e costosa, più adatta a grandi realtà aziendali. Tuttavia, i benefici che questo strumento può portare alle PMI sono molteplici e ne giustificano ampiamente l’adozione, soprattutto nel medio e lungo termine.
Uno dei primi vantaggi è rappresentato dal rafforzamento della fiducia da parte delle controparti contrattuali e degli stakeholder. Le PMI che adottano un Modello 231 dimostrano una maggiore trasparenza e un impegno concreto nel prevenire reati come la corruzione, la frode e il riciclaggio. Questo può migliorare notevolmente la reputazione aziendale, rendendo l’impresa più affidabile agli occhi di clienti, fornitori, banche e investitori. In un mercato sempre più attento ai temi della compliance e della sostenibilità, poter dimostrare di essere conformi alla normativa 231 rappresenta un plus competitivo di grande rilevanza. I potenziali partner commerciali vedono in queste imprese un minor rischio contrattuale, migliorando così le opportunità di affari e facilitando la creazione di relazioni commerciali solide e durature.
In secondo luogo, l’adozione del Modello 231 offre alle PMI un importante presidio della legalità nella gestione aziendale. La mappatura dei rischi e la definizione di protocolli operativi garantiscono un controllo più efficace su tutte le attività sensibili dell’impresa. Questo contribuisce a migliorare la governance interna, riducendo il rischio di condotte illecite che potrebbero compromettere l’azienda. Inoltre, la presenza di un Organismo di Vigilanza indipendente rappresenta una garanzia ulteriore che le procedure vengano rispettate e che eventuali problemi vengano affrontati tempestivamente. Tutto questo si traduce in un maggior ordine e in un monitoraggio costante delle operazioni, riducendo la possibilità che si verifichino eventi critici capaci di danneggiare l’impresa, non solo dal punto di vista legale, ma anche reputazionale.
Un altro aspetto cruciale per le PMI riguarda i vantaggi nella partecipazione a gare d’appalto. Con l’entrata in vigore del D.Lgs. 36/2023, il nuovo Codice degli Appalti, l’adozione di un Modello 231 diventa ancora più rilevante. L’articolo 94 del nuovo Codice prevede che le imprese coinvolte in determinati reati possano essere escluse dalle gare pubbliche.
Tuttavia, se l’impresa dimostra di aver adottato un Modello 231 idoneo a prevenire tali reati, l’esclusione può essere evitata; in tal senso la compliance 231 funziona come misura di self-cleaning, ossia come dimostrazione dell’efficace attuazione di misure correttive e preventive che l’azienda ha implementato per evitare futuri illeciti. Questo rappresenta un chiaro incentivo per le PMI a dotarsi di tale modello, poiché consente non solo di rispettare i requisiti di legge, ma anche di migliorare la competitività nelle commesse pubbliche.
Spesso, inoltre, le imprese che adottano il modello 231 ottengono un miglior punteggio in fase di valutazione delle offerte; ciò rende tale strumento di compliance assai attrattivo sul piano strategico nella partecipazione alle gare.
Vieppiù, l’adozione del Modello 231 può contribuire a ottenere un punteggio più alto nel Rating di Legalità, uno strumento introdotto dall’Autorità Garante della Concorrenza e del Mercato (AGCM) e destinato alle imprese che rispettano elevati standard di legalità e trasparenza. Un punteggio alto nel rating offre benefici concreti, come l’accesso agevolato a finanziamenti pubblici o privati e migliori condizioni nei rapporti con le banche. Per le PMI, che spesso incontrano difficoltà nel reperire finanziamenti, un miglior punteggio di legalità può costituire una leva fondamentale per ottenere condizioni di credito più favorevoli, migliorando così la loro capacità di crescita e sviluppo.
Un altro importante vantaggio riguarda la possibilità di creare e strutturare procedure codificate e integrate con altri sistemi di gestione aziendale, come le certificazioni di qualità (ISO 9001), sicurezza (ISO 45001) o ambientali (ISO 14001). Integrare il Modello 231 con questi altri sistemi consente alle PMI di avere un approccio più olistico nella gestione dei rischi, migliorando l’efficienza operativa e riducendo i costi legati alla conformità normativa. In questo modo, l’impresa può ottimizzare le proprie risorse, garantendo al contempo una maggiore sicurezza nei processi decisionali e operativi.
Conclusioni sul modello 231 per le PMI
In conclusione, l’adozione del Modello 231 rappresenta per le PMI una scelta strategica di primaria importanza. Non si tratta solo di adempiere a un “onere” normativo, ma di dotarsi di uno strumento efficace per migliorare la governance interna, prevenire comportamenti illeciti e rafforzare la competitività sul mercato. Attraverso la mappatura dei rischi, la creazione di protocolli operativi e il monitoraggio costante delle attività da parte dell’Organismo di Vigilanza, le imprese possono ridurre significativamente i rischi legali e reputazionali, garantendo al contempo una gestione più trasparente e sicura.
Per ottenere questi benefici, però, è fondamentale che l’adozione del modello sia accompagnata dal supporto di professionisti specializzati in diritto penale e compliance aziendale. Solo con una consulenza esperta è possibile costruire un Modello 231 realmente personalizzato sulle specifiche esigenze dell’impresa, capace di adattarsi alle peculiarità delle PMI e di integrarsi con i processi aziendali già esistenti.
Per questo abbiamo studiato una formula ad hoc per le PMI e le start-up, e siamo in grado di offrire soluzioni su misura che garantiscono un approccio pratico ed efficace alla compliance, con l’obiettivo di proteggere l’impresa e supportarla nel suo percorso di crescita e successo sul mercato.
Consulenza legale sulla responsabilità amministrativa degli enti secondo il D.Lgs. 231/2001. Lo Studio Legale D’Agostino offre supporto alle aziende per adottare modelli 231 organizzativi idonei a prevenire reati e ridurre i rischi legali.
da Redazione | Set 19, 2024 | Diritto d'Impresa
Srl o Srls? La scelta del modello societario rappresenta uno dei primi e più importanti passaggi nella pianificazione di un nuovo business o nell’avvio di una start-up. Spesso gli imprenditori si trovano dinanzi al dilemma a dover soppesare i numerosi pro e contro nella scelta di uno, piuttosto che di un altro, modello societario. In questo articolo tenteremo di dare alcune indicazioni di massima, senza pretese di esaustività, sui criteri che dovrebbero orientare la scelta tra Srl e Srls.
Invero, la decisione di costituire una Società a Responsabilità Limitata (Srl) o una Società a Responsabilità Limitata Semplificata (Srls) è cruciale per determinare la struttura giuridica e organizzativa della propria attività, con conseguenze rilevanti sul piano fiscale, patrimoniale e gestionale. Ogni imprenditore, anche nell’avvio di una start-up, deve attentamente valutare quale delle due forme societarie risponde meglio alle proprie esigenze, tenendo in considerazione non solo i costi di costituzione e gestione, ma anche le opportunità di crescita e i benefici previsti dalla normativa.
Disciplina della Srl e della Srls: similitudini e differenze
La Società a Responsabilità Limitata (Srl) è una delle forme societarie più utilizzate in Italia, particolarmente apprezzata per la sua flessibilità e per la protezione patrimoniale che offre ai soci. La Srl è disciplinata dagli artt. 2462 e seguenti del Codice Civile, come riformati dal D. Lgs. n. 6/2003, che ha profondamente innovato questa tipologia societaria, rendendola più versatile e adatta a varie esigenze imprenditoriali.
Una delle caratteristiche fondamentali di questa tipologia societaria è la responsabilità limitata dei soci. Essi rispondono delle obbligazioni sociali esclusivamente nei limiti del capitale sottoscritto; dunque, in caso di insolvenza o fallimento della società, i creditori sociali non possono rivalersi sul patrimonio personale dei soci, salvo casi eccezionali di mala gestio o di abuso della personalità giuridica (ad esempio, nei casi di confusione tra patrimonio personale e societario o di compimento di determinati atti fraudolenti).
Il capitale minimo richiesto per la costituzione di una Srl è pari a 10.000 euro. Tuttavia, la legge consente che, al momento della costituzione, i soci versino solo il 25% del capitale sociale, fermo restando l’obbligo di versare l’intero capitale in un secondo momento. Tale versamento può avvenire in denaro, ma anche in beni in natura o crediti, purché questi siano valutabili economicamente e siano oggetto di una perizia giurata che ne attesti il valore.
La Srl si costituisce mediante atto pubblico notarile, e l’atto costitutivo deve contenere obbligatoriamente alcune indicazioni, tra cui l’ammontare del capitale sociale, l’oggetto sociale, le regole per la gestione e la rappresentanza della società, nonché le modalità di ripartizione degli utili. Lo statuto della Srl può essere ampiamente personalizzato, consentendo ai soci di prevedere clausole specifiche in relazione all’amministrazione, al trasferimento delle quote sociali, alla distribuzione degli utili o alla gestione delle perdite. Questa flessibilità consente di adattare la struttura societaria alle specifiche esigenze dei soci.
La Società a Responsabilità Limitata Semplificata (Srls) è stata introdotta nel nostro ordinamento con il D.L. n. 1/2012 con l’obiettivo di favorire l’imprenditoria giovanile e semplificare le procedure di avvio di nuove imprese. La Srls rappresenta una variante semplificata della Srl, pensata per rendere più agevole e meno onerosa la costituzione di società da parte di soggetti con risorse limitate.
Anche nella Srls, i soci godono della responsabilità limitata, come nella Srl, rispondendo delle obbligazioni sociali solo nei limiti del capitale sottoscritto, senza che il loro patrimonio personale possa essere aggredito dai creditori sociali.
La principale peculiarità della Srls è la possibilità di costituirla con un capitale sociale estremamente ridotto, che può ammontare anche a 1 euro. Tuttavia, se il capitale è inferiore ai 10.000 euro, si applicano alcune regole particolari: in primo luogo, il capitale deve essere interamente versato al momento della costituzione (non è consentito il versamento parziale, come nella Srl); inoltre, fino al raggiungimento del capitale minimo di 10.000 euro, gli utili devono essere destinati a riserva legale, nella misura del 20%, anziché il 5% previsto per la Srl.
La Srls si costituisce anch’essa mediante atto pubblico notarile, ma una differenza rilevante rispetto alla Srl è che l’atto costitutivo della Srls deve seguire un modello standard approvato dal Ministero della Giustizia. Questo significa che i soci non possono inserire clausole particolari riguardanti la governance, il trasferimento delle quote o la distribuzione degli utili, se non nei limiti del modello prestabilito.
Quanto alla governance, la Srls può essere gestita da uno o più amministratori, secondo le modalità previste dal modello standard di statuto. Tuttavia, nonostante la semplicità del modello, i soci possono comunque scegliere tra amministrazione individuale o collettiva. Una peculiarità della Srls è che gli amministratori devono necessariamente essere soci della società, a differenza della Srl, in cui è possibile nominare amministratori esterni.
Il capitale sociale è suddiviso in quote, ma la cessione delle partecipazioni è soggetta a maggiori limitazioni rispetto alla Srl, a causa della rigidità del modello statutario standardizzato.
Tutto ciò premesso, risulta evidente come i due modelli societari presentino numerose caratteristiche in comune, ma differiscono per alcuni aspetti essenziali che possono influire sulla scelta dell’imprenditore. Entrambe le forme societarie sono caratterizzate dalla responsabilità limitata dei soci, ossia il rischio patrimoniale è circoscritto al capitale sottoscritto nella società, senza coinvolgimento del patrimonio personale dei soci.
Le differenze più rilevanti riguardano i requisiti di costituzione e la struttura del capitale sociale. Nella Srl, il capitale minimo richiesto è pari a 10.000 euro, mentre nella Srls può essere costituito con un capitale simbolico, a partire da 1 euro, fino a un massimo di 9.999 euro. Nella Srls l’unica modalità di conferimento ammessa (art. 2463-bis, comma 2, n. 3) è il conferimento in denaro, il quale deve essere depositato sul conto corrente della società al momento della costituzione, senza la possibilità di differire il versamento o di utilizzare altre forme di conferimento.
Un’altra distinzione riguarda l’atto costitutivo: mentre per la Srl può essere liberamente redatto e modificato in funzione delle esigenze specifiche dei soci, l’atto costitutivo della Srls deve necessariamente conformarsi a un modello standard previsto dalla legge, senza possibilità di personalizzazioni significative. Secondo l’art. 2463-bis c.c. “Le clausole del modello standard tipizzato sono inderogabili”.
Nella Società a Responsabilità Limitata Semplificata (Srls) possono essere soci solo persone fisiche. Invero, secondo l’interpretazione prevalente dell’art. 2463-bis, comma 1, c.c. le persone giuridiche non possano partecipare come soci in una Srls. Se ciò dovesse avvenire la società è tenuta a “convertirsi” in Srl ordinaria. Questo è uno dei grandi limiti specifici di questa forma societaria, pensata per facilitare l’accesso all’imprenditoria individuale o a gruppi di persone fisiche che vogliono avviare un’attività con procedure semplificate e minori costi.
Pro e contro nella scelta tra Srl e Srls
Le due forme societarie offrono differenti opportunità e si distinguono per vantaggi e svantaggi che variano in funzione delle esigenze specifiche dell’impresa e degli obiettivi di lungo termine.
Da un lato, la Srl si caratterizza per una maggiore flessibilità e personalizzazione, che si riflette tanto nella struttura dell’atto costitutivo quanto nella gestione complessiva della società. Uno dei principali punti di forza della Srl risiede nella possibilità di modulare lo statuto societario in base alle particolari esigenze dei soci, consentendo di inserire clausole dettagliate in merito alla governance, alla distribuzione degli utili e al trasferimento delle quote sociali.
Tale flessibilità si rivela fondamentale per chi intende costituire una società destinata a crescere nel tempo o per quegli imprenditori che desiderano attrarre partner commerciali o investitori esterni. La Srl, infatti, grazie alla solidità che può derivare da un capitale sociale di almeno 10.000 euro, tende ad essere percepita come una forma societaria più strutturata e affidabile, particolarmente adatta a imprese di dimensioni medio-grandi o con progetti di espansione.
Tuttavia, questo modello comporta anche dei costi di costituzione e di gestione più elevati rispetto alla Srls. La costituzione di una Srl richiede, di regola, il pagamento di onorari notarili più consistenti, oltre che l’adempimento di obblighi formali e fiscali più complessi. Inoltre, la necessità di un capitale minimo di 10.000 euro può rappresentare un ostacolo per gli imprenditori che dispongono di risorse finanziarie limitate. Cionondimeno, questo impegno economico iniziale è spesso giustificato dalla maggiore flessibilità organizzativa e dalla possibilità di attrarre capitali e investitori con più facilità rispetto a una Srls.
Dall’altro lato, la Srls presenta il vantaggio di avere costi di costituzione ridotti e dalla possibilità di costituire la società con un capitale sociale minimo. Questa caratteristica rende la Srls particolarmente adatta a giovani imprenditori o a coloro che, pur avendo idee innovative, non dispongono di ingenti capitali iniziali. Inoltre, le procedure burocratiche e amministrative sono semplificate rispetto alla Srl, permettendo una gestione più snella e meno onerosa dal punto di vista economico e formale.
Tuttavia, proprio questa semplicità presenta alcuni limiti significativi. Il fatto che l’atto costitutivo debba seguire un modello standard, previsto dalla legge, riduce notevolmente la possibilità di personalizzazione. I soci di una Srls, infatti, non hanno la stessa libertà di adattare lo statuto societario in funzione delle proprie esigenze, il che può rappresentare uno svantaggio nel caso in cui la società cresca e necessiti di una gestione più articolata. Le limitazioni nella distribuzione degli utili – una parte dei quali deve essere obbligatoriamente destinata a riserva legale fino al raggiungimento del capitale sociale di 10.000 euro – possono inoltre rallentare la capacità di reinvestire gli utili nella società stessa o di redistribuirli tra i soci.
Sul piano della capacità di attrarre investimenti, la Srls risulta generalmente meno appetibile per gli investitori esterni, soprattutto per il fatto che il capitale sociale è partecipato da sole persone fisiche. Di contro, la Srl, grazie alla sua maggiore flessibilità statutaria e al capitale sociale più consistente, viene spesso vista come una struttura più solida e affidabile, ideale per imprese che puntano a ottenere finanziamenti da investitori privati o da istituzioni finanziarie.
La disciplina delle start-up innovative
Negli ultimi anni, la legislazione italiana ha introdotto strumenti specifici per incentivare la nascita e lo sviluppo delle cosiddette start-up innovative. Questa tipologia di impresa è stata regolata inizialmente dal Decreto Legge n. 179/2012, che ha definito i criteri per la costituzione di start-up innovative, nonché i numerosi vantaggi di cui possono beneficiare.
Non è questa la sede per esaminare a fondo la disciplina delle start-up innovative, per cui ci limiteremo ad alcuni sintetici cenni.
Anzitutto, l’attività principale della start-up deve essere chiaramente finalizzata allo sviluppo, produzione e commercializzazione di prodotti o servizi ad alto contenuto tecnologico. Questo è un aspetto fondamentale per qualificare la società come “innovativa”.
Oltre ai requisiti generali, la società deve rispettare almeno uno dei seguenti criteri che definiscono l’innovatività del progetto: (i) la società deve destinare almeno il 15% delle spese annuali complessive in attività di ricerca e sviluppo.
Tra queste spese rientrano i costi per l’acquisto di strumentazioni e tecnologie avanzate, spese per il personale dedicato alla ricerca o al design, e anche i costi di sviluppo del prodotto o dei servizi innovativi; (ii) la start-up deve impiegare personale qualificato, ovvero almeno un terzo del personale deve essere in possesso di una laurea magistrale, oppure almeno due terzi del personale deve avere una laurea triennale; (iii) la start-up deve essere titolare, depositaria o licenziataria di almeno un brevetto per un’invenzione industriale, biotecnologica, o deve essere titolare di un software registrato.
Per poter essere riconosciuta come start-up innovativa, una società deve soddisfare una serie di requisiti generali. In primo luogo, la società deve essere nuova o costituita da meno di 60 mesi, ovvero non deve essere stata operativa da più di cinque anni. Inoltre, il suo fatturato annuo non può superare i 5 milioni di euro, e non deve aver distribuito utili sin dalla sua costituzione.
La start-up innovativa deve avere come oggetto sociale lo sviluppo, la produzione o la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico, e deve impiegare una quota significativa delle proprie risorse nell’attività di ricerca e sviluppo. Un altro requisito chiave è che la start-up non deve derivare da una fusione, scissione o cessione di un ramo d’azienda già esistente, al fine di assicurare che la sua origine sia legata all’avvio di una nuova impresa e non alla ristrutturazione di una preesistente.
Una volta riconosciuta come start-up innovativa, la società può godere di una serie di vantaggi di tipo fiscale, amministrativo e finanziario, finalizzati a sostenere le prime fasi di sviluppo dell’impresa. Tra i più rilevanti, vi è l’esenzione dai diritti camerali e dalle imposte di bollo, che normalmente gravano sulle procedure di costituzione e sulle pratiche amministrative. Le start-up innovative godono inoltre di agevolazioni fiscali per quanto riguarda i contributi previdenziali e le imposte sul reddito delle persone fisiche che investono nel loro capitale sociale. Tali investimenti, infatti, possono beneficiare di incentivi fiscali sotto forma di detrazioni o deduzioni d’imposta, a seconda che l’investitore sia una persona fisica o una persona giuridica.
Sul fronte delle procedure di costituzione, le start-up innovative godono di notevoli semplificazioni rispetto ad altre tipologie di imprese. Possono infatti costituirsi digitalmente, senza la necessità di ricorrere all’intervento di un notaio, utilizzando una procedura online gratuita tramite il portale della Camera di Commercio. Questo non solo riduce i costi di avvio, ma velocizza significativamente i tempi di costituzione. Le start-up innovative possono essere costituite sia come Srl che come Srls, e la richiesta di iscrizione nel registro delle start-up innovative può avvenire in qualunque momento della vita societaria, purché la società soddisfi i requisiti previsti dalla legge.
In termini di accesso al credito, le start-up innovative beneficiano di una serie di strumenti agevolativi. Tra questi, il Fondo di Garanzia per le PMI, che concede alle start-up innovative una garanzia statale per facilitare l’ottenimento di prestiti bancari, riducendo il rischio per le banche e rendendo più agevole l’accesso a capitali anche per imprese di recente costituzione, che spesso faticano a ottenere finanziamenti. Inoltre, le start-up innovative possono ricorrere a forme di finanziamento alternative, come il crowdfunding, che consente loro di raccogliere fondi da un ampio numero di investitori attraverso piattaforme online, con procedure più semplici rispetto alle tradizionali emissioni di capitale.
Le start-up innovative hanno accesso anche a un regime particolarmente vantaggioso in caso di crisi o difficoltà finanziarie. La legislazione prevede infatti che esse non siano soggette alle normali procedure concorsuali nei primi anni di vita, godendo di un regime di esenzione dal fallimento e dalle procedure di insolvenza fino al quarto anno di attività.
Un altro aspetto fondamentale riguarda la tutela del lavoro all’interno delle start-up innovative. La normativa ha introdotto una maggiore flessibilità nei rapporti di lavoro, permettendo alle start-up di stipulare contratti di lavoro a tempo determinato con una durata massima di 36 mesi, senza necessità di specificare una causale. Al termine di questo periodo, il contratto può essere rinnovato una volta per altri 12 mesi. Questa flessibilità consente alle start-up di adattarsi rapidamente alle esigenze del mercato e di gestire in modo più dinamico il proprio organico.
Conclusione
In definitiva, la scelta tra Srl e Srls dipende strettamente dalle circostanze specifiche del singolo imprenditore e dalla natura del business che si intende avviare. La Srls rappresenta una soluzione ottimale per chi desidera avviare una piccola impresa con costi di avvio ridotti e una gestione semplificata, senza dover far fronte a un impegno economico significativo in fase di costituzione. D’altra parte, la Srl si dimostra più adatta a chi ha ambizioni di crescita e vuole fin da subito costruire una struttura societaria più complessa e flessibile, capace di attrarre investitori e di adattarsi ai cambiamenti delle dinamiche aziendali nel tempo.
Per le imprese ad alto contenuto tecnologico, la costituzione come start-up innovativa rappresenta un’opportunità da valutare attentamente, grazie ai numerosi vantaggi fiscali e agevolazioni previsti dalla legge. Pertanto, la scelta del modello societario deve essere compiuta con attenzione, considerando le peculiarità del business e le prospettive di sviluppo a medio-lungo termine.
Contatta il nostro Studio per ricevere assistenza legale qualificata.
Scegli tra Srl e Sls e diventa un’unicorno. Consulenza legale per start-up, software, e-commerce, e tutela della proprietà intellettuale: DAGOSTINOLEX, studio legale a Roma
da Redazione | Set 17, 2024 | Diritto d'Impresa
Antiriciclaggio e nuove tecnologie: quali novità all’orizzonte? Si riporta di seguito il testo dell’intervento svolto dall’Avv. Luca D’Agostino in occasione del convegno «Cripto-attività e criminalità. Riflessioni a valle del regolamento MICA e in vista del pacchetto antiriciclaggio» tenutosi presso la Scuola di Polizia Economico Finanziaria della Guardia di Finanza il 24 maggio 2024.
Il nuovo pacchetto antiriciclaggio: estratto dell’intervento dell’Avv. Luca D’Agostino
***
Buongiorno vorrei anzitutto ringraziare il Comandante della Scuola, Francesco Mattana, per il gradito invito. Per me è un grande piacere, oltre che un onore, intervenire a chiusura della sessione mattutina, dedicata ai profili di diritto penale sostanziale. Il tema che mi è stato assegnato è quello del “nuovo pacchetto antiriciclaggio e l’impatto sul mondo cripto”.
Si registra, a livello nazionale ed europeo, una crescente tendenza alla iper-regolamentazione del fenomeno. Per rendersene conto è sufficiente considerare che, fino al 2017, non esisteva alcuna normativa di settore – e non mi riferisco soltanto alla prevenzione del riciclaggio – che disciplinasse l’emissione e il trasferimento di criptoattività.
Quando venne alla deriva l’enorme potenziale criminogeno delle “valute virtuali” (al tempo si preferiva chiamarle così) gli Stati si trovarono di fronte a una scelta di campo vietare in toto la circolazione di tali valori, considerandoli alla stregua di beni intrinsecamente illeciti; oppure contenere i rischi di un impiego per finalità illecite, prevedendo adempimenti, controlli e sanzioni a carico degli emittenti e degli intermediari.
La maggior parte degli ordinamenti nazionali a livello globale, anche in ragione dei consistenti interessi economici sottesi alla circolazione dei nuovi valori (acquistati e scambiati anche da investitori istituzionali di grosso calibro, banche, intermediari finanziari, fondi d’investimento), hanno prediletto il secondo approccio, quello di una stringente regolamentazione.
Oggi ci troviamo di fronte a un quadro regolamentare multilivello, di crescente complessità, che investe diversi settori del diritto (es. tributario, mercati finanziari, antiriciclaggio). In questo intervento mi concentrerò sulle novità che riguardano la prevenzione del riciclaggio, svolgendo alcune brevi considerazioni sull’impatto delle scelte compiute dal legislatore.
È notizia dello scorso mese di gennaio il raggiungimento di un accordo provvisorio tra Consiglio e Parlamento UE per introdurre nuove regole (un c.d. pacchetto di riforma) della disciplina antiriciclaggio. Per quel che qui interessa, l’emanando Regolamento prevede l’estensione del novero dei soggetti obbligati a tutti i provider del settore delle cripto-attività. Si vuole in tal modo superare l’attuale previsione (contenuta nella V direttiva antiriciclaggio, art. 1 lett. c) che circoscrive la cornice di obblighi ai soli exchange e wallet provider.
Tale scelta appare condivisibile e in linea con l’approccio già seguito in molti Stati membri. Emblematico l’esempio offerto dal legislatore italiano che, già dal 2019, ha esteso gli obblighi del T.U. antiriciclaggio a tutti i “prestatori di servizi relativi all’utilizzo di valuta virtuale”.
La definizione fornita dall’art. 1, lett. ff) è chiarissima: sono tali tutti i “servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o […] nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute”. Già sul piano definitorio ci si rende conto della sostanziale differenza tra l’ambito di applicazione della normativa italiana e lo standard di armonizzazione imposto dalla V direttiva.
Occorre inoltre osservare come l’estensione dei soggetti obbligati all’antiriciclaggio sia in linea con la Raccomandazione n. 15 del GAFI (come modificata nel 2019) che definisce in modo piuttosto ampio i VASP (Virtual Asset Service Provider). Nel testo provvisorio dell’accordo si individua la nuova figura del CASP (Crypto-Asset-Service-Provider) come definito dall’art.3, par. 1 del Regolamento MICA, il quale abbraccia moltissime attività e servizi (che non si limitano ai soli servizi di scambio e di portafoglio digitale). Quindi la prima novità consiste nell’ampiamento dei soggetti obbligati.
Una seconda novità, prevista nell’accordo provvisorio, riguarda la soglia minima delle operazioni (stabilita in euro 1.000), superata la quale i prestatori di servizi per le cripto-attività dovranno applicare misure di adeguata verifica della clientela. Al riguardo possiamo osservare come anche in questo caso l’Unione si sia conformata alle Raccomandazioni del GAFI (v. par. 7 della Nota Interpretativa alla Raccomandazione n. 15).
L’accordo prevede poi norme specifiche applicabili ai portafogli self-hosted (comunemente noti come portafogli privati). Si tratta di hardware e software utilizzati per memorizzare, detenere o trasferire criptoattività: grazie ad essi il proprietario ha il completo controllo della propria chiave privata. In sostanza il self-hosted address è quell’indirizzo non collegato a un prestatore di servizi intermediari. Appaiono evidenti i maggiori rischi collegati a tali indirizzi, perché con essi i criminali potrebbero evitare il passaggio per intermediari e provider di servizi (e ciò, peraltro, rappresenta la ragione “storica” della creazione di Bitcoin).
Sul punto l’art. 31b della Proposta di Regolamento prevede che i destinatari della disciplina antiriciclaggio saranno tenuti ad adottare politiche, procedure e controlli rafforzati e a richiedere informazioni aggiuntive sull’origine e la destinazione dei cripto-asset quando il trasferimento sia diretto a (o provenga da) portafogli privati. Ciò è reso possibile grazie alla creazione di un database di indirizzi ospitati (perché gestiti da intermediari).
Un cenno merita anche la disciplina introdotta dal Regolamento (UE) 2023/1113 riguardante i dati informativi che accompagnano i trasferimenti di fondi in cripto-attività, applicabile a partire dal 30 dicembre 2024. Quest’ultimo stabilisce le norme relative alle informazioni sugli ordinanti e sui beneficiari che accompagnano i trasferimenti di cripto-asset, ai fini della prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.
Conclusioni sul nuovo pacchetto antiriciclaggio
In estrema sintesi la normativa antiriciclaggio impone ai provider dell’ordinante e del beneficiario di acquisire informazioni con elevato grado di dettaglio e anche di verificare l’accuratezza delle informazioni di sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Si tratta di una normativa che lascia aperti molti dubbi e desta, a mio avviso qualche perplessità.
In primis occorre considerare che quando la normativa antiriciclaggio sarà attuata la procedura per operare un trasferimento di fondi crypto sarà complessa, anche più complessa dell’esecuzione di un bonifico bancario transfrontaliero. Gli operatori avranno l’obbligo di sospendere o bloccare un trasferimento anche in caso di sospetto di una incompletezza di dati o informazioni (e dunque senza che vi siano necessariamente gli estremi di una “operazione sospetta”). È sicuramente una scelta cautelativa, ma probabilmente troppo rigida, se l’intento (come dichiarato dalla Commissione) è quello incentivare la crescita degli scambi e favorire il mercato crypto.
Altri dubbi riguardano gli indirizzi self-hosted. In caso di trasferimento di cripto-attività effettuato verso un indirizzo privato, il prestatore di servizi del cedente deve assicurare – leggo testualmente – “che i trasferimenti di cripto-attività possano essere identificati individualmente”. Questo cosa vuol dire? Che dovrà essere indicato il nome di una persona fisica? Quid iuris se il beneficiario è una società? Come si verifica la corrispondenza rispetto alle informazioni realmente in possesso dell’ordinante?
Si prevede poi che, nel caso di un trasferimento di importo superiore a 1.000 euro verso un indirizzo privato che il prestatore di servizi del cedente – leggo anche qui testualmente – “adotta misure adeguate per valutare se tale indirizzo sia di proprietà del cedente o da questi controllato”. La disposizione sembra voler arginare il rischio di operazioni di autoriciclaggio compiute dal cedente mediante un indirizzo self-hosted (e dunque controllato da egli stesso). Si tratta di un fenomeno ricorrente, come emerge da alcuni studi di Europol, secondo cui i crypto-asset hanno alimentato la tendenza al “fai da te”, rendendo superfluo il ricorso alla condotta di terzi.
Ma viene da chiedersi: come potrebbe il provider rendersi conto che il beneficiario dei fondi è lo stesso mittente? Se viene utilizzato, ad esempio un nome di fantasia, quali sono i dati oggettivi per avere un riscontro? Esistono degli indicatori o dei pattern da cui poter desumere che ti tratta di un indirizzo self-hosted?
Il problema resta aperto poiché, in questo caso, non abbiamo dal lato del cessionario alcun provider che possa controllare le informazioni indicate dal mittente.
Per trarre le fila del discorso, sembra che anche nel novellato quadro normativo antiriciclaggio, continueranno ad esistere (sia pur in misura ridotta) transazioni avvolte dall’ombra e celate dal mistero. Ed è forse il caso di ammettere che, volendo far salva la tecnologia DLT e la circolazione di criptoattività, il legislatore più di questo non può fare.
Reati informatici cyberlaundering e diritto penale – Immagine rappresentativa dei servizi di assistenza e difesa legale presso lo Studio Legale Avvocato Luca D’Agostino a Roma
da Redazione | Set 17, 2024 | Diritto d'Impresa
Nel ringraziare il Ministero dell’Università e della Ricerca per il gradito invito alla Giornata Nazionale della Cybersicurezza, si riporta di seguito – a fini divulgativi – un estratto della relazione tenuta lo scorso 29 novembre dall’Avv. Luca D’Agostino.
Il video dell’intervista alla Giornata Nazionale della Cybersicurezza è disponibile al seguente link.
Cybersicurezza: l’intervento dell’Avv. Luca D’Agostino
Parlare di Cybersicurezza al fianco delle Istituzioni è sempre motivo di grande soddisfazione, oltre che di crescita professionale. Una materia che rappresenta oggi una priorità per il Sistema-Paese, come testimoniato da numerosi atti di impegno politico e dagli investimenti programmati nell’ambito del PNRR. Una priorità non soltanto per la pubblica amministrazione, ma anche per il tessuto economico e sociale italiano che, ogni anno, soffre numerose perdite a causa di attacchi informatici oppure per una non corretta governance del cyber risk.
Si va verso la costruzione di un vero e proprio “ponte di comunicazione” tra settore pubblico e privato. Comuni sono le minacce da prevenire, le esigenze da soddisfare e le best practices da osservare. Anche per questo è fondamentale attivare canali di collaborazione e scambio di informazioni tra i due ambiti, pubblico e privato.
Da docente e avvocato penalista ho sempre ritenuto centrale il tema della corporate compliance che, fino a ieri, era conosciuto soltanto dalle società di grandi dimensioni. Oggi invece, anche grazie alle evoluzioni del quadro normativo, l’idea di una compliance verso il digitale si è radicata anche in aziende di medie dimensioni e in molte pubbliche amministrazioni. La cybersicurezza è l’emblema di questa tendenza.
Il nucleo duro di questa materia è, come noto, la prevenzione del rischio e il contenimento dei danni che derivano da un incidente informatico. In estrema sintesi, la cybersicurezza ha una duplice anima: presidio di legalità all’interno dell’ente e protezione dalle minacce esterne.
Ecco individuate quelle che, a mio avviso, sono le parole chiave della ricerca in ambito cyber: multidisciplinarietà, cultura della prevenzione, e partenariato pubblico-privato.
Negli ultimi anni il legislatore è intervenuto a più riprese sul tema della cybersicurezza, dando vita a un quadro istituzionale e di disciplina decisamente articolato Si tratta di un settore molto giovane, ma già caratterizzato dalla stratificazione di fonti “multilivello” di notevole complessità.
Benché già vi fossero alcuni atti amministrativi generali in materia, l’esperienza italiana inizia esattamente dieci anni fa con il Decreto Monti del 2013 che delineava, per la prima volta, l’architettura nazionale per la cybersicurezza, poi attuata nel 2015 con la Direttiva del Presidente del Consiglio dei Ministri. Erano soltanto gli esordi di una normativa che, a partire dal 2016, è letteralmente esplosa grazie agli input offerti dal legislatore comunitario e per effetto dell’accresciuta consapevolezza dell’importanza di questa materia.
Si tratta dunque di un quadro regolatorio multilivello, caratterizzato dalla stratificazione di fonti normative diverse e di crescente complessità. Potremmo anche considerare la cybersicurezza un “nuovo settore regolamentato” che, al pari di altri (es. anticorruzione, concorrenza, servizi a rete etc.), mira a tutelare gli interessi dello Stato e della collettività in settori di particolare interesse.
La tecnica per imporre il raggiungimento degli obiettivi di cybersicurezza fa leva sulla accountability (c.d. approccio basato sul rischio). É un modello certamente flessibile, che assicura una certa proporzionalità e adeguatezza in concreto: ciascun operatore dovrà valutare il rischio e adottare delle misure che siano adeguate e proporzionate al rischio stesso. L’esempio emblematico è quello della normativa NIS, la quale prevede che gli operatori dei servizi essenziali debbano adottare misure tecniche organizzative adeguate e proporzionate (art. 12 comma 1, D. Lgs. 65/2018); oppure quello del GDPR sulle misure di sicurezza nel trattamento dei dati personali.
Debbono tuttavia essere messi in luce anche gli aspetti negativi, tra cui in primis l’incertezza sull’avvenuto assolvimento degli obblighi di legge. Difatti, laddove si verificasse un incidente informatico l’Autorità potrebbe ex post ritenere insufficienti i presidi adottati. L’accountability può quindi rivelarsi una sorta spada di Damocle che incombe sui destinatari della disciplina, esposti al rischio di un sindacato negativo sulle proprie scelte organizzative.
Da ultimo vorrei soffermare l’attenzione sulle principali novità introdotte dalla direttiva NIS 2 in punto di cybersicurezza, di prossima attuazione a livello nazionale. Essa ha esteso campo di applicazione degli obblighi di prevenzione e notifica, che si rivolgono a due nuove categorie di soggetti, definiti come “essenziali” e “importanti” . Vi rientrano non soltanto gli operatori nei settori indicati dalla prima direttiva (OSE e FSD), ma anche quelli che prestano servizi altrettanto critici (es. servizi postali e di consegna, gestione dei rifiuti, fabbricazione di dispositivi medici o sistemi informatici etc.).
Cybersicurezza e NIS 2: le novità sul versante sanzionatorio
Ma le novità più significative introdotte dalla NIS 2 riguardano il versante sanzionatorio. L’art. 21 della prima Direttiva prevedeva che gli Stati dovessero stabilire le sanzioni efficaci, proporzionate e dissuasive da irrogare in caso di violazione delle disposizioni nazionali di attuazione. La scelta del legislatore italiano è stata nel senso di prevedere sanzioni pecuniarie nell’appendice del D. Lgs. 65/2018 per poche migliaia di Euro, che non assicurano una sufficiente deterrenza, e appaiono inadeguate rispetto alla rilevanza degli interessi protetti e alla capacità economica dei soggetti NIS.
Un netto cambiamento di rotta si è avuto con l’emanazione della seconda direttiva, che ha irrigidito la risposta sanzionatoria e introdotto una inedita forma di responsabilità degli apicali della società. L’art. 35 della Direttiva prevede sanzioni molto severe per l’omessa adozione delle misure di sicurezza e l’inosservanza dell’obbligo di notifica, secondo un modello che ricorda molto l’apparato sanzionatorio del GDPR. Nel dettaglio, i soggetti “importanti” saranno soggetti a sanzioni pecuniarie fino a Euro 7.000.000 o, se superiore, fino all’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente. Gli importi sono elevati, rispettivamente a Euro 10.000.000 o al 2% del totale del fatturato mondiale annuo per i soggetti qualificati come “essenziali”.
Al riguardo è opportuno svolgere un paio di considerazioni. In primis, la severità delle sanzioni lascerà discutere – come del resto avvenuto a proposito delle sanzioni pecuniarie previste in materia privacy – sulla possibilità di ascriverle al concetto di “materia penale” secondo gli orientamenti della Corte EDU. Ormai si parla sempre più spesso di ibridazione del diritto penale, verso un diritto lato sensu sanzionatorio.
In secondo luogo, ai sensi dell’art. 20 della Direttiva, gli Stati dovranno disciplinare la responsabilità degli organi di governance della società in caso dell’inosservanza degli obblighi di compliance (es. mancata adozione di misure di prevenzione dei rischi, di mantenimento della business continuity e politiche di disaster recovery, pratiche di formazione in materia di cibersicurezza). Non resta che attendere la normativa di attuazione (che dovrà giungere entro il 17 ottobre 2024) per valutare in che modo il legislatore scioglierà il nodo sulla natura di tale responsabilità.
Studio Legale D’Agostino a Roma: consulenza su Cybersicurezza, Decreto NIS 2, cyber security e sicurezza informatica.
