da Redazione | Mar 31, 2025 | Diritto d'Impresa
Il consenso marketing assume un rilievo fondamentale quale base giuridica necessaria per la liceità del trattamento ai sensi del Regolamento (UE) 2016/679, c.d. General Data Protection Regulation (GDPR), laddove non sussistano altre condizioni di legittimità previste dall’art. 6 del Regolamento.
L’attività di profilazione dell’utenza e l’invio di comunicazioni a contenuto commerciale, specie mediante strumenti automatizzati o con operatore, comportano un potenziale impatto significativo sui diritti e sulle libertà fondamentali degli interessati. Ne consegue che le modalità di raccolta, gestione e documentazione del consenso marketing devono avvenire nel pieno rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e accountability imposti dal Regolamento.
Il Garante per la protezione dei dati personali ha recentemente riaffermato, con un articolato provvedimento del 27 febbraio 2025, l’importanza di una corretta governance del trattamento con riferimento specifico al consenso per finalità promozionali. Il caso esaminato dall’Autorità ha evidenziato alcune prassi illecite nella raccolta del consenso mediante moduli generici, ambigui o formulati in modo da ostacolare l’effettivo esercizio della volontà dell’interessato. Tale pronuncia, di particolare interesse applicativo, conferma che una scorretta gestione del consenso marketing può determinare l’irrogazione di significative sanzioni pecuniarie, ai sensi dell’art. 83 GDPR, nonché l’adozione di misure correttive o inibitorie ex art. 58 del medesimo Regolamento.
In questa cornice, il presente contributo si propone di analizzare i principali riferimenti normativi e interpretativi in materia di consenso marketing, evidenziando i profili critici emersi nella prassi applicativa e offrendo spunti per l’adeguamento delle prassi aziendali alla disciplina europea e alle indicazioni fornite dall’Autorità garante.
Il consenso marketing come base giuridica del trattamento: requisiti di validità ai sensi del GDPR
Il consenso marketing, affinché possa costituire una valida base giuridica del trattamento per finalità promozionali, deve rispettare i requisiti stringenti stabiliti dal Regolamento (UE) 2016/679, in particolare dagli articoli 4, punto 11, e 7. In base alla definizione normativa, il consenso è valido solo se rappresenta una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, espressa mediante dichiarazione o azione positiva inequivocabile. Tale manifestazione, come ribadito anche dalle Linee guida n. 5/2020 del Comitato europeo per la protezione dei dati (EDPB), non può mai essere presunta o desunta dal silenzio, da caselle preselezionate o da comportamenti ambigui.
Il principio di granularità, direttamente collegato alla specificità del consenso, impone che l’interessato possa scegliere in modo autonomo e differenziato tra le diverse finalità del trattamento, e in particolare tra l’invio di comunicazioni dirette da parte del titolare e la cessione dei dati a terzi per finalità analoghe. Inoltre, in ossequio al principio di libertà, il consenso marketing deve poter essere rifiutato o revocato senza che ciò comporti svantaggi per l’interessato, né sotto il profilo contrattuale né in termini di fruibilità dei servizi.
L’esperienza applicativa, confermata nel recente provvedimento del Garante del 27 febbraio 2025, ha mostrato come il ricorso a formule contrattuali o informative generiche – che raggruppano sotto un’unica clausola il consenso all’invio di comunicazioni commerciali, alla profilazione e alla cessione a soggetti terzi – non sia conforme al dettato normativo. Il consenso marketing così ottenuto risulta privo dei requisiti di validità, con conseguente illiceità del trattamento ai sensi degli articoli 6, paragrafo 1, lettera a), e 5, paragrafo 1, lettera a), del GDPR.
Ne deriva, in via sistematica, l’obbligo per il titolare del trattamento di predisporre strumenti tecnici e giuridici idonei a garantire che il consenso marketing sia acquisito e documentato nel rispetto di tutti i requisiti di validità prescritti dalla normativa europea, al fine di evitare effetti nullificanti e, in ultima istanza, l’applicazione di sanzioni.
Consenso marketing e Registro Pubblico delle Opposizioni: interferenze e limiti alla liceità del trattamento
Un ulteriore profilo critico in materia di consenso marketing attiene all’interazione tra il regime del consenso espresso e gli effetti prodotti dall’iscrizione dell’interessato al Registro Pubblico delle Opposizioni (RPO). L’articolo 130 del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato, stabilisce che, per l’invio di comunicazioni promozionali mediante telefono con operatore, è necessario acquisire il previo consenso dell’interessato, salvo che questi non abbia iscritto la propria utenza al RPO, manifestando così una volontà contraria al trattamento a fini promozionali, configurabile come un opt-out generalizzato.
La disciplina vigente, dunque, impone una valutazione attenta dell’effettiva validità del consenso marketing prestato in presenza dell’opposizione espressa tramite l’iscrizione al RPO. In linea con il principio di accountability, il titolare del trattamento è tenuto a dimostrare che il consenso, eventualmente rilasciato successivamente all’iscrizione al Registro, sia stato espresso con piena consapevolezza e in modo inequivocabile, non potendo contare su mere dichiarazioni generiche o su acquisizioni ambigue.
Il provvedimento del Garante in commento ha chiarito che il semplice rilascio di un consenso omnibus, privo dei requisiti di libertà e granularità, non è idoneo a neutralizzare gli effetti dell’opposizione manifestata con l’iscrizione al Registro. È dunque illecito il trattamento dei dati personali effettuato per finalità promozionali qualora si fondi su un consenso genericamente prestato attraverso form o clausole contrattuali non conformi, anche se cronologicamente successivo all’opposizione.
Consenso marketing e requisiti di validità secondo il GDPR
La legittimità del trattamento dei dati personali per finalità promozionali dipende in modo imprescindibile dalla validità del consenso marketing acquisito. Ai sensi dell’articolo 4, paragrafo 11, del Regolamento (UE) 2016/679 (GDPR), il consenso deve consistere in una manifestazione di volontà libera, specifica, informata e inequivocabile da parte dell’interessato, con la quale egli esprime l’assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.
Tale previsione, letta congiuntamente agli articoli 6 e 7 del Regolamento, impone al titolare un onere probatorio particolarmente gravoso, volto a dimostrare che il consenso sia stato prestato secondo modalità coerenti con i principi di trasparenza, correttezza e responsabilizzazione.
In ambito di consenso marketing, la giurisprudenza e la prassi del Garante per la protezione dei dati personali hanno posto in rilievo la necessità che l’interessato possa compiere una scelta consapevole e priva di coercizioni. Ciò significa, tra l’altro, che non può ritenersi valido il consenso espresso in assenza di una previa informativa adeguata, ovvero mediante accorgimenti grafici e testuali tali da indurre confusione, condizionamento o passività dell’utente.
Il principio di granularità impone, inoltre, che le varie finalità del trattamento siano tenute distinte, così da consentire all’interessato di prestare o negare il consenso con riferimento a ciascuna di esse. In tal senso, il trattamento dei dati per finalità promozionali deve poter essere separato da quello per l’invio di newsletter informative, dalla profilazione commerciale o dalla cessione a terzi.
Il recente provvedimento, qui in esame, ha ribadito come il consenso marketing non possa dirsi valido laddove sia acquisito tramite formule omnicomprensive o mediante meccanismi che non permettano la selezione autonoma dei canali di contatto e delle categorie merceologiche di interesse. Si tratta, in sostanza, di un consolidato orientamento che pone al centro la volontà libera dell’interessato, nella prospettiva di rafforzare la tutela del diritto alla protezione dei dati personali quale diritto fondamentale di rango europeo.
Consenso marketing e requisiti di validità: libertà, specificità e granularità
Ai sensi dell’articolo 4, punto 11), del Regolamento (UE) 2016/679, il consenso marketing rappresenta una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale egli accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
L’articolo 7 dello stesso Regolamento disciplina le condizioni per la validità del consenso, stabilendo che il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso e che quest’ultimo può revocarlo in qualsiasi momento. Inoltre, il consenso deve essere chiaramente distinguibile da altre questioni, in forma comprensibile e facilmente accessibile.
La specificità del consenso marketing implica che questo debba riferirsi a finalità determinate, come l’invio di comunicazioni promozionali da parte del titolare o la cessione dei dati a soggetti terzi. È invalido, ad esempio, un unico flag che copra contemporaneamente l’autorizzazione al marketing, alla profilazione e alla condivisione con partner commerciali.
La granularità, invece, impone che l’interessato possa selezionare le modalità di contatto preferite (telefono, e-mail, SMS) e, se del caso, indicare le categorie di prodotti o servizi per cui desidera ricevere comunicazioni. Si pensi ai moduli che, al contrario, impongono un consenso generalizzato alla ricezione di offerte da “società operanti nei settori energia, telefonia, finanza, automotive, retail, formazione”, senza che l’interessato possa escludere le categorie non desiderate.
Nella recente prassi, il Garante ha ritenuto illecito l’utilizzo di form in cui il consenso marketing era formulato in termini eccessivamente ampi e indifferenziati, con riferimento a una lista di centinaia di aziende terze raggiungibili attraverso diversi canali comunicativi (email, SMS, telefono, posta), senza che l’interessato potesse selezionare modalità o destinatari. In tali casi, non si realizza una manifestazione di volontà valida ai sensi dell’articolo 6, paragrafo 1, lettera a), del Regolamento, poiché mancano i requisiti della libertà, della chiarezza e del controllo effettivo da parte dell’interessato sul trattamento dei propri dati personali.
Consenso marketing e design delle interfacce: obblighi informativi e trasparenza nella raccolta del consenso online
Nel contesto della raccolta del consenso marketing attraverso strumenti digitali, l’architettura informativa dei moduli online assume un ruolo centrale nel garantire il rispetto dei principi di trasparenza, correttezza e comprensibilità sanciti dagli articoli 12 e 13 del Regolamento (UE) 2016/679.
Il titolare del trattamento è tenuto a presentare all’interessato, prima della raccolta dei dati personali, un’informativa facilmente accessibile, redatta con linguaggio chiaro e comprensibile, tale da consentire una decisione consapevole sul rilascio del consenso. La presenza di form complessi, con voci informative nascoste o accessibili solo tramite ulteriori interazioni, contrasta con tali obblighi e incide negativamente sulla validità del consenso.
Il recente provvedimento del Garante ha posto in luce numerose criticità sotto questo profilo, evidenziando come la presentazione di checkbox multiple, l’utilizzo di formule generiche o cumulative per la cessione dei dati a terzi e l’assenza di distinzione tra categorie merceologiche e strumenti di contatto (telefono, e-mail, SMS, posta cartacea) costituiscano ostacoli concreti all’effettiva autodeterminazione dell’interessato.
È stato ritenuto inadeguato, ad esempio, un sistema che richiedeva di cliccare su più link successivi per accedere all’elenco dei destinatari dei dati o ai dettagli sul tipo di comunicazioni previste, compromettendo la possibilità di esprimere un consenso granulare e realmente informato.
Inoltre, si è riscontrato l’impiego di tecniche persuasive improprie – quali accorgimenti grafici volti a spingere l’utente a confermare tutte le opzioni di contatto o a generare ambiguità sulla natura facoltativa del consenso – che, pur senza determinare un consenso “pre-flaggato”, ne pregiudicano comunque la validità sostanziale.
In linea con quanto affermato dal Comitato europeo per la protezione dei dati, l’informativa deve consentire all’interessato di comprendere agevolmente chi tratterà i dati, per quali finalità e attraverso quali canali, offrendo un controllo effettivo sul trattamento. In assenza di tali garanzie, il consenso marketing raccolto online rischia di essere affetto da invalidità, esponendo il titolare a responsabilità e sanzioni.
Supporto legale dedicato nelle strategie di marketing in conformità con il GDPR
L’acquisizione di un valido consenso marketing rappresenta la chiave di una buona strategia commerciale in conformità con il GDPR. Ogni scelta relativa alla raccolta del consenso deve essere attentamente ponderata, tenendo conto non solo della lettera della legge, ma anche degli indirizzi interpretativi consolidati, al fine di evitare condotte suscettibili di determinare la nullità del consenso e, nei casi più gravi, l’applicazione di pesanti sanzioni amministrative.
In questo contesto, l’impresa che intenda sviluppare strategie di e-commerce e marketing digitale deve necessariamente integrare la dimensione giuridica all’interno dei propri processi commerciali. È dunque fondamentale dotarsi di informative chiare e facilmente accessibili, di procedure di acquisizione del consenso rispondenti ai principi di trasparenza e accountability, e di un sistema di controllo interno sulla liceità del trattamento dei dati raccolti attraverso form, portali e campagne online.
Lo Studio Legale D’Agostino vanta esperienza nel supportare imprese e realtà organizzative nella definizione di strategie di marketing compliant al GDPR, nella redazione di informative strutturate in modo chiaro, completo e conforme alla normativa vigente, nonché nella predisposizione di procedure efficaci per la raccolta e la documentazione del consenso.
Offriamo assistenza specifica per la nomina di un Data Protection Officer (DPO) interno o esterno, e per la predisposizione di policy aziendali in materia di privacy, garantendo una consulenza personalizzata, in grado di integrare le esigenze commerciali con il rispetto delle regole sulla protezione dei dati personali. Contattaci qui per un primo confronto.
da Redazione | Mar 27, 2025 | Diritto d'Impresa
Nel contesto dei processi di automazione industriale, il brevetto per software rappresenta lo strumento per eccellenza nella protezione dell’innovazione tecnologica e per la valorizzazione economica dei risultati della ricerca e sviluppo. Da recenti dati pubblicati dall’UIBM emerge che nel 2024 le domande di brevetto per invenzione industriale sono state 10.148 con un incremento pari al 7,4% rispetto al 2023.
Al trend positivo di crescita ha contribuito lo stanziamento di fondi del Ministero delle Imprese e del Made in Italy: una dotazione finanziaria di 20 milioni di euro nell’ambito della misura Brevetti+, finalizzata a favorire lo sviluppo di una strategia brevettuale e l’accrescimento della competitività delle micro, piccole e medie imprese .
La crescente digitalizzazione delle filiere produttive, l’integrazione di algoritmi intelligenti nei macchinari e l’adozione di soluzioni di telemedicina e dispositivi medici basati su software nel settore sanitario hanno determinato un’impennata nella richiesta di strumenti di tutela giuridica idonei a garantire l’esclusiva sull’invenzione informatica. In tale contesto, il brevetto si affianca ad altri strumenti di protezione, come il diritto d’autore, i segreti industriali e la tutela del know-how, offrendo al titolare un diritto di esclusiva avente efficacia temporale e territoriale definita.
Il brevetto per software trova fondamento, nel diritto interno, nel Codice della Proprietà Industriale (D. Lgs. 10 febbraio 2005, n. 30), e, sul piano sovranazionale, nella Convenzione sul Brevetto Europeo (EPC) e negli accordi internazionali in materia di proprietà intellettuale, tra cui l’Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS).
Tuttavia, nonostante il software possa in taluni casi essere brevettato, la sua protezione non è automatica né generalizzata: il diritto europeo, in particolare, esclude la brevettabilità del software “in quanto tale”, salvo che ricorrano specifici presupposti tecnici e funzionali, come sarà approfondito nei paragrafi successivi.
L’obiettivo del presente contributo è delineare, in chiave sistematica e aggiornata, le condizioni in presenza delle quali è possibile ottenere un brevetto per software, esaminando in particolare i requisiti di brevettabilità, la procedura di deposito nazionale ed europea, nonché le conseguenze giuridiche derivanti dalla concessione del titolo. Il tema si inserisce nel più ampio quadro della tutela del software, oggetto di un precedente approfondimento dedicato alle forme di protezione autoriale e contrattuale applicabili alle opere dell’ingegno di natura algoritmica.
Brevetto per software e disciplina normativa: riferimenti nazionali e internazionali
La possibilità di ottenere un brevetto per software è disciplinata da un insieme articolato di fonti normative di livello nazionale, europeo e internazionale, le quali, pur partendo da una comune esclusione di principio, ammettono eccezioni rilevanti che rendono la tutela brevettuale una strada percorribile in presenza di determinati presupposti.
In ambito nazionale, la fonte di riferimento è rappresentata dal Codice della Proprietà Industriale, approvato con D. Lgs. 10 febbraio 2005, n. 30, il quale, all’articolo 45, definisce come oggetto del brevetto “le invenzioni, di ogni settore della tecnica, che sono nuove e che implicano un’attività inventiva e sono atte ad avere un’applicazione industriale”. L’articolo 45, comma 2, lettera b), esclude tuttavia i “i piani, i principi ed i metodi per attività intellettuali, per gioco o per attività commerciale, ed i programmi di elaboratore”, recependo la formulazione dell’articolo 52 della Convenzione sul Brevetto Europeo (CBE).
Il medesimo articolo 52 CBE, infatti, al paragrafo 2 elenca una serie di categorie escluse dalla brevettabilità, tra cui i programmi per elaboratore, i metodi per il fare affari, le scoperte scientifiche e le presentazioni di informazioni.
Tali esclusioni trovano però un limite applicativo nel paragrafo 3 del medesimo articolo, il quale chiarisce che dette esclusioni operano solo nella misura in cui le domande di brevetto riguardano tali oggetti o attività in quanto tali. Ne deriva una clausola di apertura che, nel tempo, ha consentito alle prassi amministrative e alla giurisprudenza di individuare ipotesi in cui il software, se inserito in un contesto tecnico appropriato, può divenire oggetto legittimo di brevetto per software.
Sul piano internazionale, merita menzione l’Accordo TRIPS (Agreement on Trade-Related Aspects of Intellectual Property Rights), siglato nell’ambito dell’Organizzazione Mondiale del Commercio (OMC), il quale all’articolo 27 stabilisce il principio della brevettabilità di ogni invenzione in tutti i settori della tecnologia, purché nuova, frutto di un’attività inventiva e atta ad essere applicata industrialmente. Anche in questo contesto, l’interpretazione della nozione di “invenzione” ha un ruolo determinante nel valutare l’ammissibilità del brevetto per software, considerando le differenze terminologiche e sistematiche tra i diversi ordinamenti giuridici.
Infine, va considerato che l’Italia, in quanto Stato membro dell’Unione Europea e parte della Convenzione sul Brevetto Europeo, si uniforma alla giurisprudenza dell’Ufficio Europeo dei Brevetti (EPO) e alle relative linee guida applicative, le quali costituiscono un corpus normativo di riferimento sempre più rilevante nella prassi del deposito e dell’esame delle domande relative a invenzioni basate su programmi informatici.
Brevetto per software e requisiti di brevettabilità: originalità, attività inventiva ed effetto tecnico
L’ottenimento di un brevetto per software presuppone, in via generale, la sussistenza dei requisiti previsti per ogni invenzione brevettabile: la novità, l’attività inventiva e la suscettibilità di applicazione industriale, così come stabilito dall’art. 46 del Codice della Proprietà Industriale e dall’art. 52 della Convenzione sul Brevetto Europeo.
Tuttavia, quando l’invenzione riguarda un programma per elaboratore, tali requisiti devono essere valutati alla luce di un elemento ulteriore, di natura tecnico-funzionale, comunemente indicato come “effetto tecnico”. In base alla prassi consolidata dell’EPO, il software può essere oggetto di tutela brevettuale solo se, attraverso la sua esecuzione, produce un effetto tecnico che va oltre la normale interazione tra software e hardware.
L’“effetto tecnico” deve essere concreto, misurabile e collegato al funzionamento di un sistema tecnico: non è sufficiente che il software risolva un problema logico, matematico o gestionale, né che migliori l’efficienza del codice dal punto di vista astratto.
Affinché sia legittimo un brevetto per software, è necessario che l’invenzione generi un vantaggio tecnico, ad esempio nel controllo di un dispositivo fisico, nella gestione ottimizzata delle risorse hardware, nella riduzione del consumo energetico di un sistema o nel miglioramento della sicurezza informatica di una rete. In questo senso, il software non viene protetto come sequenza di istruzioni o come algoritmo astratto, ma in quanto elemento funzionale che coopera con componenti fisici o processi industriali.
La prassi dell’EPO ha riconosciuto la brevettabilità, a titolo esemplificativo, di software per il controllo automatico di un braccio robotico in ambito industriale, di algoritmi per la gestione dinamica del traffico aereo, di programmi destinati a migliorare il funzionamento interno di un microprocessore, o ancora di sistemi per la compressione digitale dei dati in grado di ottimizzare le prestazioni di trasmissione.
Un altro esempio significativo riguarda i software per l’elaborazione delle immagini mediche, qualora contribuiscano al miglioramento diagnostico tramite tecniche automatizzate di analisi visiva o segmentazione. Tali applicazioni, incidendo direttamente su dispositivi, processi o strutture tecniche, soddisfano il requisito dell’effetto tecnico e sono pertanto considerate brevettabili.
La valutazione dell’attività inventiva, in particolare, richiede che il contributo tecnico introdotto dal software non sia ovvio per un tecnico esperto del settore, tenendo conto dello stato della tecnica esistente. La giurisprudenza europea ha chiarito che, nella determinazione dell’attività inventiva, gli elementi non tecnici della rivendicazione – come l’aspetto estetico, l’organizzazione aziendale o le regole di gioco – non possono essere presi in considerazione, salvo che contribuiscano in modo diretto a produrre l’effetto tecnico richiesto.
La distinzione tra invenzione brevettabile e software non tutelabile risiede dunque non nel contenuto astratto del programma, ma nella capacità dell’insieme funzionale di risolvere un problema tecnico attraverso mezzi tecnici.
In conclusione, la possibilità di ottenere un brevetto per software dipende non solo dalla conformità formale ai requisiti generali previsti dalla legge, ma soprattutto dalla capacità dell’invenzione di presentare un contributo tecnico concreto, idoneo a differenziarla da un semplice algoritmo eseguibile su un elaboratore. È su questo terreno che si gioca, in sede di esame, l’effettiva accoglibilità della domanda di brevetto da parte dell’ufficio competente.
Brevetto per software: iter di deposito presso l’Ufficio Italiano Brevetti e Marchi
La presentazione di una domanda di brevetto per software in Italia avviene presso l’Ufficio Italiano Brevetti e Marchi (UIBM), secondo le modalità previste dal Codice della Proprietà Industriale e dalla normativa regolamentare di attuazione. La procedura di deposito, pur non differenziandosi formalmente da quella prevista per le altre tipologie di invenzione, richiede una particolare attenzione nella redazione dei documenti tecnici, in considerazione delle peculiarità del software come oggetto di tutela brevettuale.
La domanda può essere presentata mediante il portale dedicato del Ministero delle Imprese e del Made in Italy, ed è soggetta al pagamento dei diritti di deposito e delle tasse di mantenimento annuali.
Il fascicolo brevettuale deve contenere, ai sensi dell’art. 148 del Codice, almeno i seguenti elementi: una descrizione dettagliata dell’invenzione, una o più rivendicazioni che definiscano l’oggetto della protezione richiesta, eventuali disegni tecnici, un riassunto e i dati anagrafici del richiedente. Nel caso del brevetto per software, la parte descrittiva assume rilievo decisivo, poiché deve consentire a un tecnico del settore di comprendere in modo completo il funzionamento del programma e il contributo tecnico che esso apporta rispetto allo stato della tecnica.
È pertanto essenziale esplicitare, in modo chiaro e strutturato, le caratteristiche funzionali del software, le modalità con cui esso interagisce con l’hardware o altri elementi fisici, e gli effetti tecnici che ne derivano. Particolare attenzione deve essere riservata anche alla formulazione delle rivendicazioni, le quali devono essere redatte in termini che riflettano correttamente il carattere tecnico dell’invenzione.
Rivendicazioni troppo generiche o astratte rischiano di condurre a un rigetto per mancanza di tecnicità o di chiarezza. È prassi consolidata, nelle domande relative a software, inserire esempi applicativi, schemi logici e riferimenti a dispositivi fisici, al fine di rafforzare l’argomentazione tecnica e conferire concretezza alla descrizione. L’UIBM effettua un esame formale della domanda e trasmette il fascicolo all’Ufficio Europeo dei Brevetti per il rapporto di ricerca, che rappresenta un elemento decisivo per valutare la sussistenza dei requisiti di novità e attività inventiva.
La domanda di brevetto per software depositata in Italia può costituire anche la base per una successiva estensione internazionale, mediante le procedure previste dalla Convenzione di Parigi sul diritto di priorità o dal sistema PCT. A tal fine, il deposito nazionale può essere un utile primo passo strategico, in quanto consente di cristallizzare la data dell’invenzione, tutelando l’inventore nel periodo di valutazione e predisposizione della protezione all’estero. In ogni caso, la redazione della domanda e la corretta impostazione tecnico-giuridica dei documenti elementi fondamentali per l’esito positivo della procedura e per la solidità della tutela conferita.
Protezione internazionale del brevetto per software: EPO e PCT
L’esigenza di ottenere una tutela più ampia e territorialmente estesa del brevetto per software induce molte imprese a ricorrere al deposito europeo o internazionale, sfruttando i meccanismi previsti dalla Convenzione sul Brevetto Europeo (CBE) e dal Patent Cooperation Treaty (PCT). Entrambi gli strumenti consentono di razionalizzare il processo di estensione della protezione al di fuori dei confini nazionali, attraverso una procedura unificata che facilita la presentazione e l’esame della domanda in più Stati.
La procedura europea si svolge dinanzi all’Ufficio Europeo dei Brevetti (EPO), con sede a Monaco di Baviera, e si articola in tre fasi principali: il deposito della domanda, l’esame formale e tecnico, e la concessione del brevetto europeo. La domanda può essere redatta in una delle tre lingue ufficiali dell’EPO (inglese, francese o tedesco) e deve contenere la descrizione dell’invenzione, le rivendicazioni, eventuali disegni e il riassunto.
Il sistema del PCT, amministrato dall’Organizzazione Mondiale della Proprietà Intellettuale (OMPI/WIPO), consente invece di presentare una domanda internazionale valida in oltre 150 Paesi membri, posticipando la fase nazionale nei singoli Stati. La procedura si compone di una fase internazionale – comprendente la ricerca internazionale e l’eventuale esame preliminare – e di una fase nazionale o regionale, in cui il titolare decide in quali Paesi estendere effettivamente la protezione. Pur non sfociando direttamente nel rilascio di un brevetto unitario, il PCT offre il vantaggio di guadagnare tempo per valutare le opportunità di tutela nei vari ordinamenti giuridici.
La scelta tra deposito nazionale, europeo o internazionale dipende da una pluralità di fattori: l’ampiezza del mercato di riferimento, la strategicità dell’invenzione, il budget disponibile e la probabilità di ottenere una concessione effettiva. In ogni caso, l’estensione territoriale della protezione costituisce un tassello fondamentale nella pianificazione della tutela legale del software, specialmente in ambito industriale e high-tech.
Brevetto per software e diritti di esclusiva del titolare
La concessione di un brevetto per software, in quanto titolo di proprietà industriale avente efficacia costitutiva, attribuisce al titolare una facoltà esclusiva di attuare l’invenzione e di trarne profitto sul territorio dello Stato, nei limiti e alle condizioni previste dal Codice della Proprietà Industriale. Ai sensi dell’art. 66, comma 1, tale facoltà si concreta in un insieme di diritti esclusivi che investono ogni modalità di sfruttamento tecnico-economico dell’invenzione, sia diretta che indiretta.
In particolare, se l’oggetto del brevetto è costituito da un prodotto, come nel caso di un sistema integrato hardware/software, il titolare ha il diritto di vietare a terzi, salvo proprio consenso, di produrre, usare, mettere in commercio, vendere o importare il prodotto in questione (art. 66, comma 2, lett. a). Se invece l’invenzione riguarda un procedimento, ad esempio un metodo implementato mediante software per il trattamento automatico di dati o il controllo di un impianto industriale, il diritto esclusivo si estende all’applicazione del procedimento stesso, nonché all’uso, alla commercializzazione, alla vendita o all’importazione dei prodotti direttamente ottenuti tramite il procedimento brevettato (art. 66, comma 2, lett. b).
In aggiunta a tali facoltà, il comma 2-bis estende la tutela al c.d. uso indiretto dell’invenzione, riconoscendo al titolare del brevetto per software il diritto esclusivo di vietare la fornitura o l’offerta di mezzi relativi a un elemento essenziale dell’invenzione, necessari per la sua attuazione nel territorio protetto, qualora tali mezzi siano forniti a soggetti non autorizzati e il terzo fornitore sia consapevole – o avrebbe potuto esserlo con l’ordinaria diligenza – dell’idoneità di tali mezzi ad attuare l’invenzione brevettata. Tale divieto non si applica, ai sensi del comma 2-ter, quando i mezzi sono costituiti da prodotti normalmente in commercio, salvo che il fornitore non induca consapevolmente l’acquirente a porre in essere atti contraffattori.
Nel contesto del brevetto per software, tali diritti si traducono in un potere di controllo particolarmente rilevante nei confronti della distribuzione non autorizzata di applicazioni, dispositivi embedded o architetture digitali che incorporino la soluzione brevettata. Il diritto esclusivo può essere esercitato sia mediante sfruttamento diretto, da parte del titolare, sia mediante licenza d’uso, regolata ai sensi dell’art. 140 c.p.i., eventualmente a titolo oneroso. Inoltre, il brevetto può essere oggetto di trasferimento a terzi, con effetti reali e opponibilità erga omnes a seguito dell’annotazione nei registri dell’UIBM.
Brevetto: durata, licenza e tutela giudiziaria
Il brevetto per software, al pari degli altri brevetti per invenzione industriale, ha una durata massima di venti anni a decorrere dalla data di deposito della domanda, come previsto dall’art. 60 del Codice della Proprietà Industriale.
Durante il periodo di validità, il brevetto per software può costituire oggetto di licenza contrattuale, esclusiva o non esclusiva, a favore di soggetti terzi interessati allo sfruttamento dell’invenzione. Il contratto di licenza, previsto e disciplinato dall’art. 140 c.p.i., può essere iscritto nei registri dell’UIBM per l’opponibilità a terzi, ma conserva efficacia obbligatoria anche se non trascritto.
La licenza può prevedere una pluralità di clausole personalizzate, concernenti l’ambito territoriale, la durata, le modalità di utilizzo, le royalties o corrispettivi dovuti, nonché obblighi di riservatezza e garanzie di conformità tecnica. Nei settori ad alta intensità tecnologica, la licenza di un brevetto per software rappresenta uno strumento strategico di trasferimento tecnologico, spesso affiancato da accordi di know-how, di cooperazione tecnica o di ricerca congiunta.
Oltre alla licenza, il brevetto può essere ceduto integralmente a titolo oneroso o gratuito, con effetti traslativi reali. Ai sensi dell’art. 138 c.p.i., il trasferimento del brevetto deve risultare da atto scritto, e produce effetti nei confronti dei terzi solo a seguito dell’annotazione nei registri dell’Ufficio. In sede di operazioni straordinarie (fusioni, scissioni, conferimenti), il brevetto per software può rappresentare una componente significativa del valore d’impresa, suscettibile di autonoma valutazione economica. La circolazione del brevetto può dunque generare vantaggi competitivi e opportunità di investimento, anche in funzione della strategia proprietaria adottata.
Nel caso in cui terzi pongano in essere atti di contraffazione, o comunque utilizzino indebitamente l’invenzione oggetto del brevetto, il titolare ha diritto di agire in giudizio per la tutela dei propri diritti, mediante le azioni previste dagli artt. 121 e ss. del Codice della Proprietà Industriale.
Tra i rimedi esperibili vi sono l’azione di accertamento della contraffazione, l’azione inibitoria, il sequestro dei beni contraffatti, la descrizione e, in sede definitiva, la condanna al risarcimento del danno. L’autorità giudiziaria può altresì disporre la pubblicazione della sentenza a spese del soccombente, in quanto strumento riparatorio dell’illecito. In caso di urgenza, è possibile ricorrere a misure cautelari ante causam, ai sensi dell’art. 131 c.p.i., per impedire il protrarsi o l’aggravarsi della violazione.
Diritto dell’innovazione e delle nuove tecnologie: un supporto legale qualificato
Il brevetto per software rappresenta, oggi più che mai, uno strumento centrale nella strategia di protezione dell’innovazione tecnologica, specialmente nei settori ad alta intensità di ricerca e sviluppo.
In ambito manifatturiero, i software incorporati nei sistemi di produzione automatizzati costituiscono un vantaggio competitivo difficilmente replicabile; nel settore sanitario, algoritmi di analisi per immagini diagnostiche, software per la gestione dei dispositivi medici o piattaforme di telemedicina richiedono tutela contro fenomeni di imitazione o utilizzo non autorizzato. Lo stesso vale per l’industria farmaceutica, che sempre più spesso integra soluzioni digitali nei processi di sperimentazione clinica o nella tracciabilità dei prodotti.
Tuttavia, l’evoluzione tecnologica contemporanea solleva interrogativi inediti. In particolare, la crescente diffusione di soluzioni basate su intelligenza artificiale e machine learning pone nuove sfide alla qualificazione giuridica dell’invenzione brevettabile. I software che apprendono autonomamente dai dati e modificano il proprio comportamento nel tempo possono rendere incerto il perimetro dell’effetto tecnico, la descrizione sufficiente dell’invenzione e la ripetibilità del procedimento, elementi essenziali per l’accoglibilità della domanda.
Alla luce di tale complessità, risulta sempre più necessario un approccio integrato, che combini competenze giuridiche, tecniche e strategiche. Lo Studio Legale D’Agostino, con expertise nel diritto dell’innovazione e delle nuove tecnologie, affianca le imprese nella costruzione di una tutela solida del proprio know-how e nella protezione degli asset software e algoritmici. Siamo a disposizione per un confronto sulle strategie di tutela delle vostre invenzioni.
Brevetto per software. Il nostro studio legale offre supporto strategico e consulenza personalizzata per startup e imprese, garantendo la miglior protezione del business.
da Redazione | Mar 21, 2025 | Diritto d'Impresa
Nel contesto economico contemporaneo la protezione del software è un fattore di garanzia della competitività delle imprese, in particolare per le start-up operanti nei settori ad alto contenuto tecnologico. Il programma per elaboratore rappresenta il principale asset strategico che può incorporare soluzioni tecniche originali, architetture funzionali complesse e know-how aziendale.
La valorizzazione giuridica del software consente di prevenire condotte di appropriazione indebita, di regolamentare con precisione i rapporti con partner e sviluppatori esterni, nonché di consolidare il vantaggio competitivo nei mercati digitali.
La protezione del software assume inoltre una valenza ancora più rilevante nelle ipotesi in cui il codice costituisca la base funzionale di sistemi di intelligenza artificiale, il cui impatto giuridico pone sfide peculiari sul piano della titolarità, della responsabilità e dell’originalità dell’opera.
Obiettivo del presente articolo è fornire una panoramica organica e ragionata degli strumenti di tutela giuridica applicabili al software e alle banche dati, con particolare riguardo alla disciplina del diritto d’autore, alle strategie contrattuali e alle ulteriori forme di protezione riconosciute dall’ordinamento italiano ed europeo.
Normativa di riferimento sulla protezione del software: profili nazionali, europei e internazionali
La protezione del software trova fondamento in un corpus normativo multilivello, articolato su fonti nazionali, europee e internazionali, che concorrono a delineare un regime unitario sotto il profilo sostanziale, pur lasciando spazio a talune peculiarità applicative. In ambito interno, la disciplina di riferimento è contenuta nella Legge 22 aprile 1941, n. 633, recante la protezione del diritto d’autore e di altri diritti connessi al suo esercizio, come modificata dal Decreto Legislativo 29 dicembre 1992, n. 518, emanato in attuazione della Direttiva 91/250/CEE, successivamente trasfusa nella Direttiva 2009/24/CE.
In particolare, gli articoli 64-bis e seguenti della legge sul diritto d’autore riconoscono al programma per elaboratore la natura di opera dell’ingegno a carattere creativo, rientrante nella categoria delle opere letterarie, attribuendo al titolare un ventaglio articolato di diritti esclusivi.
A livello sovranazionale, l’ordinamento dell’Unione europea ha svolto un ruolo essenziale nel processo di armonizzazione, attraverso l’adozione non solo della già menzionata Direttiva 2009/24/CE, ma anche della Direttiva 2001/29/CE sulla società dell’informazione, della Direttiva 96/9/CE in materia di banche dati e della Direttiva 2004/48/CE sull’enforcement dei diritti di proprietà intellettuale. Tali fonti mirano a garantire un livello di protezione elevato e uniforme, soprattutto con riguardo alla riproduzione non autorizzata, alla distribuzione illecita e all’utilizzo non conforme dei programmi protetti. Con l’adozione di ulteriori atti normativi, quali il Data Act e il Cyber Resilience Act, l’Unione si muove inoltre verso un’integrazione crescente tra tutela dei diritti intellettuali, sicurezza informatica e governance del dato.
Sul piano internazionale, la Convenzione di Berna per la protezione delle opere letterarie ed artistiche, ratificata in Italia con legge 20 giugno 1978, n. 399, rappresenta il principale riferimento, cui si affiancano le disposizioni dell’Organizzazione Mondiale della Proprietà Intellettuale (OMPI/WIPO). La combinazione di tali strumenti consente di assicurare alla protezione del software un’estensione territoriale ampia e coerente, pur nel rispetto delle specificità giuridiche proprie dei singoli ordinamenti.
Protezione del software: definizioni e inquadramento concettuale
Ai fini della corretta applicazione delle norme in materia di protezione del software, è preliminarmente necessario definire con precisione l’oggetto della tutela, individuando le nozioni tecniche e giuridiche rilevanti. La legislazione italiana, in conformità ai principi sanciti dalla Direttiva 2009/24/CE, qualifica il programma per elaboratore come una sequenza di istruzioni idonea a far eseguire una funzione determinata da parte di un sistema informatico, in maniera diretta o indiretta. Esso comprende sia i programmi operativi che quelli applicativi, nonché ogni forma di sviluppo, inclusi i software embedded, le applicazioni mobili e i sistemi di gestione automatizzata.
L’articolo 64-bis della legge sul diritto d’autore chiarisce che la protezione del software si estende a ogni forma di espressione del programma, purché dotata di carattere creativo. Rientrano dunque nel perimetro di tutela sia il codice sorgente, vale a dire il linguaggio leggibile e modificabile dal programmatore, sia il codice oggetto, risultante dalla compilazione automatica in un formato eseguibile dalla macchina. La tutela non si estende invece alle idee, ai principi algoritmici, ai metodi matematici e ai concetti logici sottesi al programma, secondo un principio di netta separazione tra forma espressiva e contenuto funzionale dell’opera.
Particolarmente rilevante per la protezione del software è anche il riferimento alle specifiche tecniche, alla documentazione funzionale e alle interfacce, che possono costituire parte integrante del software e concorrere alla sua tutela, qualora presentino un sufficiente grado di originalità. Inoltre, l’attività di elaborazione di un programma può dar luogo a una pluralità di versioni, aggiornamenti, moduli aggiuntivi e configurazioni specifiche, tutte potenzialmente tutelabili se espressione di un apporto creativo. La protezione del software si configura dunque come una tutela formale e sostanziale dell’opera in quanto tale, incentrata sulla sua manifestazione concreta, piuttosto che sulla funzione eseguibile o sulla mera utilità operativa del codice.
La protezione del software tramite il diritto d’autore
La protezione del software mediante il diritto d’autore rappresenta, nell’ordinamento italiano ed europeo, il principale strumento di tutela. A seguito del recepimento della Direttiva 2009/24/CE, il legislatore nazionale ha introdotto una disciplina organica del software, inserita all’interno della Legge 22 aprile 1941, n. 633, agli articoli 64-bis e seguenti. Tale normativa attribuisce al software la medesima dignità giuridica riconosciuta alle opere letterarie, ancorando la tutela al principio della creatività intesa quale espressione personale dell’autore, senza che sia richiesto alcun grado minimo di valore artistico o estetico.
La protezione del software sorge automaticamente con la creazione dell’opera e non è subordinata ad alcun adempimento formale di registrazione o deposito, ancorché tali strumenti possano essere utili ai fini probatori in caso di controversia. Il software è pertanto tutelato a partire dal momento della sua fissazione in una forma tangibile, che consenta la percezione e la riproducibilità del codice da parte di terzi.
Il diritto d’autore attribuisce al titolare una serie di facoltà esclusive, tra cui il diritto di riprodurre, modificare, distribuire, comunicare al pubblico e tradurre l’opera in qualsiasi forma o mezzo. In particolare, l’articolo 64-bis LDA evidenzia che anche operazioni tecniche quali il caricamento, la visualizzazione, la memorizzazione e l’esecuzione del programma costituiscono, nella misura in cui comportino riproduzione, atti soggetti all’autorizzazione del titolare.
La protezione del software mediante il diritto d’autore si estende anche alle opere derivate, alle versioni successive e agli sviluppi funzionali, purché mantengano il requisito della creatività individuale. Tuttavia, la titolarità dei diritti patrimoniali può variare a seconda del contesto in cui l’opera è stata realizzata.
In particolare, l’articolo 64-bis, comma 3, stabilisce che, salvo patto contrario, nel caso di programmi creati da un lavoratore dipendente nell’esecuzione delle proprie mansioni, i diritti economici spettano al datore di lavoro. Tale previsione si discosta dal regime generale del diritto d’autore e impone un’attenta regolamentazione contrattuale nei rapporti interni ed esterni all’impresa. In ogni caso, la protezione conferita dalla legge assicura una barriera efficace contro l’uso non autorizzato, la duplicazione abusiva e lo sfruttamento illecito del software, costituendo una delle forme più solide e immediate di tutela giuridica dell’innovazione digitale.
Protezione del software e strumenti di deposito volontario a fini probatori
Pur non essendo richiesto alcun adempimento formale per il sorgere della tutela autorale, il titolare di un programma per elaboratore può avvalersi di strumenti giuridicamente riconosciuti per documentare la data di creazione dell’opera, consolidando in tal modo la propria posizione in caso di conflitto in ordine alla titolarità, alla paternità o alla legittimità dello sfruttamento del software. In questo contesto, il deposito volontario del software assume una funzione eminentemente probatoria, non attribuendo diritti ulteriori, ma offrendo al titolare un mezzo efficace per dimostrare l’anteriorità dell’opera rispetto a creazioni analoghe di terzi.
Tra le modalità attualmente riconosciute si annoverano, in primo luogo, il deposito presso la SIAE, mediante il servizio “Software e banche dati”, che consente di registrare una copia del programma – comprensiva di codice sorgente, manuali e descrizione funzionale – ottenendo un attestato con data certa opponibile a terzi.
In alternativa, è possibile ricorrere al deposito notarile, tramite atto pubblico o scrittura privata autenticata, ovvero al deposito presso la Camera di Commercio con le medesime finalità.
Soluzioni più recenti e tecnologicamente avanzate includono l’uso di sistemi blockchain certificati, che registrano in modo immutabile l’hash crittografico del codice su un registro distribuito, offrendo un’efficace tracciabilità e una tutela decentralizzata dell’integrità temporale del file depositato.
Sebbene tali strumenti non incidano sul contenuto sostanziale dei diritti d’autore, essi rivestono un ruolo rilevante nel contenzioso in materia di protezione del software, in particolare quando sia necessario dimostrare che un determinato programma è stato sviluppato anteriormente rispetto a un altro, o che una determinata versione è frutto di uno sviluppo autonomo e non di un’elaborazione illecita di opere altrui. La funzione certificativa del deposito si rivela quindi un’opzione prudente, specie in ambiti imprenditoriali ad alta innovazione, in cui il software costituisce un asset competitivo essenziale.
I diritti morali e patrimoniali nella protezione del software
La disciplina italiana del diritto d’autore distingue tradizionalmente tra diritti morali e diritti patrimoniali, entrambi riconosciuti all’autore di un’opera dell’ingegno, ivi compreso il programma per elaboratore. Tale distinzione, di matrice personalistica, assume rilievo anche nel contesto della protezione del software, in quanto consente di articolare con maggiore precisione le prerogative riconosciute all’autore persona fisica rispetto a quelle suscettibili di circolazione, sfruttamento economico o attribuzione convenzionale a terzi.
I diritti morali, disciplinati dagli articoli 20 e seguenti della Legge n. 633/1941, sono inalienabili, irrinunciabili e imprescrittibili, e permangono anche dopo la cessione dei diritti economici sull’opera. Essi comprendono, in particolare, il diritto alla paternità dell’opera, il diritto all’integrità della stessa, nonché il diritto a deciderne la pubblicazione o il ritiro dal commercio per gravi ragioni morali. Nell’ambito del software, tali diritti spettano esclusivamente al soggetto che ha creato il codice, anche qualora l’utilizzo economico del programma sia stato ceduto o trasferito. Il programmatore conserva dunque il diritto di essere indicato come autore e di opporsi a modifiche che possano alterare il significato o la struttura espressiva del programma.
Diversamente, i diritti patrimoniali consistono nelle facoltà di natura economica attribuite all’autore o al titolare dei diritti e sono disciplinati dagli articoli 12 e seguenti della medesima legge. Essi comprendono il diritto esclusivo di riprodurre, distribuire, comunicare, tradurre, modificare e concedere in licenza l’opera, anche in forma digitale, nonché il diritto di autorizzarne o vietarne l’utilizzo da parte di terzi. La durata dei diritti patrimoniali, ai sensi dell’art. 25 LDA, è di settanta anni dopo la morte dell’autore, anche nel caso del software, sebbene nella prassi l’interesse economico si concentri spesso in un orizzonte temporale più ristretto, correlato al ciclo di vita tecnologico del prodotto.
Nel caso di software sviluppato nell’ambito di un rapporto di lavoro subordinato, l’articolo 64-bis, comma 3, della legge sul diritto d’autore stabilisce una deroga al principio generale, prevedendo che i diritti patrimoniali spettino al datore di lavoro, salvo diverso accordo contrattuale. Resta invece ferma la titolarità dei diritti morali in capo all’autore persona fisica.
Nelle ipotesi di collaborazione esterna o sviluppo su commissione, in assenza di cessione scritta, i diritti economici restano in capo all’autore, con conseguenze rilevanti per l’utilizzabilità commerciale del programma. Ne discende la necessità di predisporre con rigore la contrattualistica applicabile, al fine di garantire un’effettiva e stabile protezione del software sul piano dei rapporti interni ed esterni all’organizzazione.
Le eccezioni e i limiti alla protezione del software per l’utente legittimo
La disciplina della protezione del software, pur riconoscendo al titolare un ampio spettro di diritti esclusivi, contempla specifiche eccezioni a favore dell’utente legittimo, al fine di garantire un equilibrato bilanciamento tra le prerogative dell’autore e l’interesse alla fruizione funzionale del programma. Gli articoli 64-ter e 64-quater della Legge n. 633/1941 individuano tali ipotesi derogatorie, ispirandosi ai principi sanciti dalla Direttiva 2009/24/CE e dalla Convenzione di Berna, ed escludono la necessità di un’autorizzazione da parte del titolare in circostanze determinate, purché l’uso del programma avvenga nel rispetto della sua destinazione d’uso e in conformità ai limiti normativi.
In particolare, l’articolo 64-ter prevede che l’utente legittimo, ossia colui che abbia acquisito il diritto di utilizzare una copia del software, possa procedere alla riproduzione, alla traduzione o alla modifica del programma quando tali operazioni siano necessarie per l’uso conforme alla destinazione o per la correzione degli errori. È inoltre espressamente riconosciuto il diritto di effettuare una copia di riserva del programma, qualora ciò risulti necessario per l’utilizzo del software, nonché la facoltà di osservare, studiare e testare il funzionamento del programma, al fine di comprenderne le idee e i principi sottostanti, a condizione che tali attività siano compiute nel corso di operazioni legittime di caricamento, esecuzione o memorizzazione.
Di particolare rilievo è altresì l’articolo 64-quater, il quale ammette la decompilazione del codice, ovvero la trasformazione del codice oggetto in una forma comprensibile, al solo fine di ottenere le informazioni necessarie per garantire l’interoperabilità con altri programmi autonomamente creati. Tale attività è subordinata a rigorose condizioni: deve essere effettuata da soggetti legittimati, le informazioni non devono essere altrimenti disponibili e le operazioni devono essere limitate alle porzioni strettamente indispensabili del programma originario.
Le informazioni così ottenute non possono essere utilizzate per scopi diversi da quelli previsti, né per creare un programma sostanzialmente simile, né per lo sviluppo o la commercializzazione di prodotti concorrenti. Le clausole contrattuali che intendano escludere tali diritti sono espressamente dichiarate nulle ex lege.
Protezione del software e disciplina contrattuale
Nell’ambito delle relazioni giuridiche che si instaurano attorno alla creazione, allo sviluppo e alla diffusione dei programmi per elaboratore, la contrattualizzazione dei diritti rappresenta un presidio essenziale per garantire un’effettiva ed efficace protezione del software. Se, da un lato, la legge riconosce automaticamente al creatore dell’opera la titolarità originaria dei diritti d’autore, dall’altro lato, la circolazione dei diritti patrimoniali e la legittimazione all’uso del software da parte di soggetti terzi richiedono, in via generale, la stipulazione di accordi negoziali chiari e puntuali, in grado di regolare gli aspetti connessi alla titolarità, alla licenza, all’ambito di utilizzabilità e alla riservatezza del codice.
La disciplina contrattuale assume particolare rilevanza nelle ipotesi di sviluppo su commissione e di collaborazione esterna, nelle quali il committente, pur fornendo le specifiche funzionali o partecipando alla definizione degli obiettivi progettuali, non acquista automaticamente i diritti patrimoniali sul software realizzato. In assenza di una specifica clausola di cessione, infatti, i diritti restano in capo all’autore, con conseguenze rilevanti sulla possibilità di utilizzare, modificare o commercializzare il programma.
I contratti di sviluppo software, licenza d’uso, cessione dei diritti, manutenzione e aggiornamento, collaborazione tecnica o outsourcing costituiscono gli strumenti attraverso cui le imprese possono delineare in modo coerente e sicuro il perimetro giuridico dell’utilizzo del software. In tali contratti è altresì opportuno disciplinare in modo puntuale la titolarità del codice sorgente, l’eventuale obbligo di consegna, le modalità di intervento sul codice in caso di modifiche o aggiornamenti, nonché le responsabilità derivanti da eventuali violazioni di diritti di terzi.
Protezione del software, licenze e registrazione del brevetto: cenni
Nel contesto della protezione del software, un ruolo centrale è svolto dalla disciplina delle licenze d’uso, attraverso cui il titolare dei diritti patrimoniali autorizza terzi all’utilizzo del programma, entro limiti giuridicamente vincolanti. Tali licenze, che possono assumere forma proprietaria, open source o as-a-service, costituiscono strumenti essenziali nella regolazione del mercato digitale e saranno oggetto di specifico approfondimento.
Accanto alla tutela autorale, in via eccezionale, è possibile ottenere la protezione brevettuale del software, qualora esso sia incorporato in un’invenzione tecnica e produca un effetto tecnico ulteriore. Trattandosi di un ambito che richiede la presenza di stringenti requisiti di brevettabilità, sarà esaminato con maggiore dettaglio in un contributo dedicato.
Infine, occorre richiamare la disciplina delle banche dati, la cui protezione può avvenire sia attraverso il diritto d’autore, ove ricorra un apporto creativo nella selezione o organizzazione dei contenuti, sia mediante il diritto sui generis riconosciuto al costitutore che abbia sostenuto un investimento rilevante. Anche questo tema, strettamente connesso alla gestione del patrimonio informativo aziendale, sarà approfondito in modo sistematico in una trattazione autonoma.
Know-how, segreti commerciali e altri strumenti di protezione del software
Oltre alla tutela autorale e, nei casi ammessi, brevettuale, la protezione del software può essere efficacemente perseguita anche attraverso il ricorso a strumenti giuridici che valorizzano il carattere riservato delle informazioni tecniche, funzionali e organizzative incorporate nel programma. In particolare, il know-how e i segreti commerciali, intesi come insieme di conoscenze aziendali non divulgate, dotate di valore economico e sottoposte a misure ragionevoli di protezione, costituiscono un presidio essenziale nella salvaguardia delle soluzioni digitali proprietarie.
La disciplina applicabile, rafforzata dal recepimento della Direttiva (UE) 2016/943, consente di agire contro l’acquisizione, l’uso o la divulgazione illecita delle informazioni protette, anche in assenza di registrazione formale. Tale forma di tutela è particolarmente rilevante per quei software non distribuiti al pubblico o sviluppati per uso interno, il cui valore risiede nella loro esclusività funzionale e nella difficoltà di replicazione.
Le implicazioni giuridiche della tutela del know-how, anche sotto il profilo contrattuale e concorsuale, saranno oggetto di successivo approfondimento, unitamente agli strumenti organizzativi per la sua efficace protezione in ambito aziendale.
Protezione del software e supporto legale. Affidati a noi
La protezione del software, nelle sue molteplici articolazioni, rappresenta una leva determinante per la tutela e la valorizzazione del patrimonio immateriale dell’impresa. In un contesto in cui il valore economico risiede sempre più negli intangibles – codice, algoritmi, architetture digitali, banche dati, interfacce, documentazione tecnica – è essenziale affiancare alla visione tecnologica una consapevole strategia giuridica, capace di prevenire conflitti, consolidare i diritti e attrarre investimenti.
Lo Studio Legale D’Agostino affianca imprese, professionisti e start-up nei processi e nelle strategie di tutela del software, offrendo supporto nella redazione di contratti, nella gestione dei diritti d’autore, nell’impostazione di strategie di licenza e nella protezione del know-how aziendale.
Studio Legale D’Agostino. Protezione del software e assistenza legale sul programma per elaboratore e diritto d’autore.
da Redazione | Mar 20, 2025 | Diritto civile
Le controversie in materia di eredità e successione sono tra le più frequenti nei contenziosi civili e, se non risolte tempestivamente, possono sfociare in lunghi e dispendiosi procedimenti giudiziari. Invero, la gestione di un’eredità può spesso generare tensioni e contrasti tra gli eredi, soprattutto quando vi sono beni indivisi, disposizioni testamentarie di dubbia interpretazione o soggetti che ritengono lesi i propri diritti successori.
Per prevenire tali criticità e favorire la composizione amichevole delle liti ereditarie, l’ordinamento giuridico italiano prevede la possibilità di ricorrere alla mediazione civile quale strumento di risoluzione alternativa delle controversie (ADR – Alternative Dispute Resolution).
La mediazione consente alle parti di dialogare con l’ausilio di un mediatore imparziale, con l’obiettivo di raggiungere un accordo che soddisfi le esigenze di tutti i soggetti coinvolti nella successione. Oltre a rappresentare un’opzione più celere ed economica rispetto al contenzioso giudiziario, la mediazione in materia di eredità e successione ha il pregio di preservare i rapporti familiari, evitando che le controversie degenerino in conflitti insanabili.
Il presente articolo analizza l’istituto della mediazione civile nel contesto successorio, illustrandone il funzionamento, i vantaggi e le principali tipologie di controversie ereditarie che possono trovare soluzione attraverso questo strumento.
L’istituto della mediazione civile in materia di eredità e successione
La mediazione civile è un procedimento di risoluzione alternativa delle controversie che consente alle parti di evitare il ricorso all’autorità giudiziaria, favorendo il raggiungimento di un accordo con l’intervento di un mediatore imparziale.
In ambito successorio, tale strumento assume particolare rilevanza, poiché le controversie relative a eredità e successione spesso coinvolgono legami familiari e sentimentali che possono risentire di una lunga e complessa battaglia giudiziaria. La mediazione, al contrario, permette agli eredi di confrontarsi in un contesto più collaborativo, con l’obiettivo di trovare soluzioni che soddisfino le esigenze di tutti i soggetti coinvolti.
L’ordinamento giuridico italiano disciplina la mediazione civile con il Decreto Legislativo 4 marzo 2010, n. 28, il quale prevede che in determinate materie, tra cui le successioni ereditarie, la mediazione sia un passaggio obbligatorio prima di poter adire il giudice. Ai sensi dell’art. 5 del decreto, chi intende promuovere un’azione giudiziaria in materia successoria è tenuto preliminarmente a esperire il tentativo di mediazione. In mancanza di tale adempimento, il giudice potrà dichiarare l’improcedibilità della domanda e invitare le parti ad avviare la procedura di mediazione prima di proseguire il giudizio.
Oltre alla mediazione obbligatoria, la normativa prevede anche la mediazione volontaria, che può essere attivata su iniziativa spontanea delle parti in qualsiasi momento, anche in assenza di un contenzioso già avviato. In aggiunta, vi è la mediazione delegata dal giudice, che può essere disposta nel corso di un procedimento civile quando il magistrato ritiene che la controversia possa essere risolta in via extragiudiziale.
Indipendentemente dalla modalità di accesso alla mediazione, il procedimento offre un’alternativa vantaggiosa al contenzioso ordinario, sia in termini di rapidità che di riduzione dei costi, con effetti particolarmente positivi nelle dispute relative a eredità e successione, dove la necessità di una composizione amichevole è spesso essenziale per la tutela dei rapporti familiari.
Il procedimento di mediazione civile in materia di eredità e successione
La mediazione civile in materia di eredità e successione può essere avviata su iniziativa di un coerede o di un altro soggetto interessato che intenda risolvere una controversia ereditaria senza ricorrere immediatamente al giudice. Il primo passo è la presentazione di un’istanza presso un organismo di mediazione accreditato, nella quale devono essere indicate le generalità delle parti coinvolte, l’oggetto della disputa e le richieste avanzate.
Chi intende promuovere la mediazione deve valutare attentamente la propria posizione giuridica e impostare una strategia negoziale efficace, motivo per cui è sempre consigliabile rivolgersi a un avvocato con competenze in eredità e successione (diritto successorio). Il legale non solo assisterà il cliente nella redazione della domanda di mediazione, ma lo guiderà anche nell’individuazione degli obiettivi da perseguire durante il procedimento.
Chi riceve la convocazione in mediazione deve, a sua volta, adottare una strategia adeguata, valutando se partecipare attivamente alla procedura o se contestare la richiesta avanzata dalla controparte. Sebbene la mediazione sia formalmente un procedimento extragiudiziale, il mancato riscontro alla convocazione può comportare conseguenze sfavorevoli per la parte assente, sia sotto il profilo processuale che dal punto di vista della gestione dei rapporti familiari e patrimoniali. Per questa ragione, anche chi viene citato in mediazione deve farsi assistere da un legale, che potrà valutare la fondatezza della pretesa avanzata e suggerire le migliori opzioni difensive o transattive.
Una volta depositata l’istanza, l’organismo di mediazione nomina un mediatore imparziale e fissa il primo incontro, che deve svolgersi entro trenta giorni dalla presentazione della domanda. Durante questa prima fase, il mediatore illustra il funzionamento del procedimento e verifica la disponibilità delle parti a proseguire con la mediazione. Se entrambe le parti accettano di partecipare, il mediatore organizza una serie di sessioni in cui ciascuno degli eredi può esporre le proprie ragioni e proporre soluzioni per la risoluzione della controversia.
La durata media della procedura di mediazione in materia di eredità e successione è di circa tre mesi (salvi casi particolarmente complessi), termine entro il quale le parti devono cercare di raggiungere un accordo. Se la mediazione si conclude positivamente, viene redatto un verbale che ha valore di titolo esecutivo, il che significa che, in caso di inadempimento, potrà essere direttamente eseguito come una sentenza.
Qualora, invece, non si raggiunga un accordo, la procedura si chiude con esito negativo e le parti possono liberamente intraprendere un’azione giudiziaria. Tuttavia, l’esperimento della mediazione, anche se non andato a buon fine, costituisce comunque un passaggio necessario poiché essa è una condizione di procedibilità della domanda giudiziale.
Eredità e successioni: le controversie più frequenti e il ruolo della mediazione civile
Le dispute in materia di eredità e successione possono sorgere per una molteplicità di ragioni, spesso legate a divergenze interpretative sulle disposizioni testamentarie, alla determinazione delle quote di legittima o alla gestione dei beni ereditati in comproprietà tra coeredi. Questi conflitti, se non risolti tempestivamente, possono sfociare in lunghi procedimenti giudiziari, con conseguente aumento dei costi e deterioramento dei rapporti familiari.
Tra le controversie ereditarie più frequenti vi è la riduzione delle disposizioni testamentarie per violazione della quota di legittima, che si verifica quando il testatore ha attribuito a uno o più beneficiari una parte dell’eredità eccedente i limiti stabiliti dalla legge, ledendo i diritti degli eredi legittimari. In questi casi, il soggetto leso può agire per la riduzione delle disposizioni testamentarie eccedenti, con il rischio di aprire un contenzioso che potrebbe protrarsi per anni. La mediazione consente di trovare una soluzione equilibrata, evitando il ricorso al giudice e garantendo una redistribuzione dei beni conforme agli interessi di tutte le parti.
Un’altra fonte di conflitto riguarda l’impugnazione del testamento olografo per falsità, quando uno degli eredi contesta l’autenticità delle volontà espresse dal de cuius. Tali contestazioni richiedono spesso complesse perizie grafologiche e accertamenti giudiziari, con il rischio di prolungare notevolmente i tempi della successione. In questi casi, la mediazione può offrire un terreno di confronto più rapido ed efficace, permettendo di giungere a un’intesa che eviti il contenzioso.
La collazione ereditaria, ossia l’obbligo per gli eredi di conferire nell’asse ereditario i beni ricevuti in donazione dal defunto in vita, rappresenta un ulteriore motivo di conflitto. Gli eredi possono avere opinioni divergenti sulla natura delle donazioni ricevute e sul valore attribuito ai beni, generando una situazione di stallo nella divisione dell’asse ereditario. Attraverso la mediazione, le parti possono trovare un accordo sulla determinazione del valore dei beni da conferire e sulle modalità di reintegrazione dell’asse ereditario.
Un altro tema particolarmente delicato è il divieto di patti successori, sancito dall’articolo 458 del Codice Civile, che impedisce agli eredi di stipulare accordi sulla futura successione di una persona ancora in vita. Nonostante questo divieto, è frequente che tra i familiari si formino intese informali o che vi siano aspettative che, alla morte del de cuius, sfociano in contestazioni legali.
La divisione ereditaria è spesso la questione più complessa da risolvere, specialmente quando il patrimonio ereditario comprende beni immobili o aziende di famiglia. In assenza di un accordo tra gli eredi, la divisione giudiziale può comportare la vendita forzata dei beni e la ripartizione del ricavato, soluzione che spesso non è gradita agli interessati.
In tutte queste ipotesi, la mediazione in materia di eredità e successione rappresenta uno strumento flessibile ed efficace, in grado di adattarsi alle esigenze specifiche delle parti e di preservare, per quanto possibile, i rapporti familiari. La possibilità di trovare soluzioni personalizzate, con il supporto di un legale, rende questa procedura preferibile rispetto alla rigidità della decisione giudiziale, spesso vissuta come un’imposizione da parte degli eredi.
I vantaggi della mediazione civile nelle successioni ereditarie
La mediazione civile applicata alle controversie in materia di eredità e successione offre una serie di vantaggi significativi rispetto al contenzioso giudiziario, sia in termini di tempi e costi, sia sotto il profilo della gestione dei rapporti familiari. A differenza del procedimento innanzi al giudice, che può protrarsi per anni e comportare oneri economici rilevanti, la mediazione consente di raggiungere un accordo in tempi più brevi, generalmente entro un termine di tre mesi dalla presentazione della domanda.
Sotto il profilo economico, i costi della mediazione sono generalmente inferiori rispetto a quelli di un giudizio ordinario. Le spese per l’avvio della procedura e per la partecipazione alle sessioni di mediazione sono contenute, se confrontate con le spese legali e peritali che un’azione giudiziaria potrebbe comportare. Inoltre, il compenso del mediatore è stabilito secondo parametri predeterminati e pubblicamente consultabili, garantendo trasparenza e prevedibilità dei costi.
Un ulteriore vantaggio della mediazione in materia di eredità e successione riguarda la possibilità di trovare soluzioni personalizzate e flessibili. Mentre il giudizio civile si conclude con una sentenza che impone una decisione alle parti, la mediazione lascia spazio alla negoziazione, consentendo di definire accordi che rispondano in modo più adeguato alle esigenze specifiche degli eredi.
Ad esempio, nella divisione ereditaria, le parti possono concordare modalità di assegnazione dei beni che tengano conto di legami affettivi, vincoli familiari o interessi economici, evitando così la vendita forzata e la distribuzione pro-quota imposta dal tribunale.
Anche sul piano della riservatezza il procedimento di mediazione presenta indubbi vantaggi. Mentre le cause giudiziarie sono soggette a pubblicità (il c.d. strepitus fori) e possono essere oggetto di consultazione nei registri del tribunale, la mediazione garantisce la tutela della privacy, permettendo agli eredi di discutere questioni patrimoniali e familiari senza esposizione pubblica. Questa caratteristica risulta particolarmente utile nei casi in cui il patrimonio ereditario comprenda aziende di famiglia, beni di valore storico o culturale, o situazioni delicate che potrebbero essere oggetto di speculazioni esterne.
Un ulteriore incentivo alla scelta della mediazione nelle controversie ereditarie è rappresentato dai benefici fiscali previsti dalla normativa vigente. In particolare, è riconosciuto un credito d’imposta alle parti che partecipano alla procedura di mediazione, commisurato alle spese sostenute per l’indennità corrisposta all’organismo di mediazione e per i compensi degli avvocati. Nello specifico, la parte ha diritto a un credito d’imposta fino a €600 sull’indennità pagata all’organismo in caso di accordo conciliativo, ridotto a €300 se la procedura si conclude senza accordo.
Infine, la mediazione consente di mantenere un certo grado di controllo sulla soluzione del conflitto. Nel processo ordinario, le parti sono vincolate alla decisione del giudice, che può non rispecchiare appieno le loro esigenze e aspettative. Nella mediazione, invece, gli eredi conservano la possibilità di accettare o rifiutare una determinata proposta, rendendo l’accordo più sostenibile nel tempo e riducendo il rischio di successivi contenziosi.
L’importanza dell’assistenza legale nella mediazione in materia di eredità e successione
Sebbene la mediazione civile sia un procedimento improntato alla flessibilità e al dialogo, la complessità delle questioni giuridiche in materia di eredità e successione rende fondamentale l’assistenza di un avvocato con competenze nel diritto successorio. Il ruolo del legale è determinante sin dalla fase preliminare, poiché consente di valutare la fondatezza delle proprie pretese e di impostare una strategia efficace per il raggiungimento di un accordo vantaggioso.
L’avvocato assiste il proprio cliente nella redazione dell’istanza di mediazione o nella gestione della risposta alla convocazione, tutelandone i diritti e guidandolo nelle trattative con gli altri coeredi. Durante il procedimento, il legale verifica la validità delle proposte conciliative, assicurandosi che l’accordo sia conforme alla normativa e risponda agli interessi della parte assistita.
Il nostro Studio offre assistenza legale qualificata in eredità e successione, per guidarti nel procedimento di mediazione. Contattaci per un primo confronto, senza impegno, per analizzare il tuo caso e individuare la strategia più efficace.
Avvocato Luca D’agostino, servizi legali in diritto civile a Roma. Focus su mediazione civile, eredità e successione
da Redazione | Mar 18, 2025 | Diritto d'Impresa
Il decreto DORA (D. Lgs. 10 marzo 2025, n. 23) ha introdotto le disposizioni necessarie per garantire la piena applicabilità nell’ordinamento italiano del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA).
A partire dal 17 gennaio 2025, il Regolamento DORA è divenuto direttamente applicabile in tutti gli Stati membri dell’Unione Europea, imponendo standard uniformi in materia di resilienza operativa digitale nel settore finanziario. Tuttavia, per garantire un’effettiva implementazione delle disposizioni europee nel contesto normativo nazionale, si è reso necessario l’intervento del legislatore italiano, che con il decreto DORA ha individuato le autorità competenti, precisato gli obblighi di compliance e disciplinato il regime sanzionatorio.
L’obiettivo di questo articolo è quello di fornire una panoramica del D. Lgs. 23/2025, analizzando gli obblighi posti a carico delle entità finanziarie, le competenze delle autorità di vigilanza e il sistema delle sanzioni previste per il mancato rispetto delle disposizioni. Si esamineranno in particolare gli articoli più rilevanti del decreto, evidenziando come il legislatore italiano abbia provveduto a integrare il quadro normativo europeo con specifiche misure attuative.
Per un’analisi più approfondita sulle implicazioni del Regolamento DORA, invitiamo i lettori a consultare i nostri precedenti articoli relativi all’analisi dei rischi e agli obblighi di resilienza operativa nel settore finanziario. Tali approfondimenti consentiranno di comprendere in modo più chiaro anche le novità introdotte dal Decreto DORA.
Il decreto DORA e l’adeguamento dell’ordinamento italiano
Con il decreto DORA il legislatore ha adeguato le disposizioni nazionali al Regolamento (UE) 2022/2554, armonizzando la disciplina al nuovo quadro sulla resilienza operativa digitale nel settore finanziario. La necessità di un adeguamento normativo deriva dal carattere direttamente applicabile del Regolamento DORA, che, tuttavia, lascia agli Stati membri il compito di definire aspetti operativi rilevanti, tra cui le autorità competenti, il sistema di vigilanza e le sanzioni per le violazioni degli obblighi imposti dalla disciplina europea.
L’articolo 2 del decreto DORA chiarisce che il provvedimento ha lo scopo di assicurare l’effettiva applicazione del Regolamento (UE) 2022/2554, disciplinando l’integrazione con la normativa nazionale preesistente, in particolare con il Testo Unico Bancario (TUB), il Testo Unico della Finanza (TUF) e il Codice delle Assicurazioni Private. Inoltre, il legislatore ha ritenuto necessario stabilire un quadro di coordinamento tra le disposizioni del Regolamento DORA e le norme già vigenti in materia di sicurezza informatica, in particolare quelle introdotte dal D. Lgs. 138/2024, con cui l’Italia ha recepito la Direttiva NIS 2.
Le autorità competenti nel decreto DORA
Il decreto DORA, attraverso l’articolo 3, individua le autorità competenti per l’attuazione e la vigilanza sulle disposizioni del Regolamento (UE) 2022/2554 in ambito nazionale. La scelta del legislatore italiano si è orientata verso un modello di supervisione plurale, affidando le funzioni di controllo a più enti, ciascuno competente in relazione ai soggetti vigilati. In particolare, la Banca d’Italia, la Commissione Nazionale per le Società e la Borsa (Consob), l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) e la Commissione di Vigilanza sui Fondi Pensione (COVIP) sono state designate quali Autorità competenti DORA, in conformità con quanto previsto dall’articolo 46 del Regolamento DORA.
La Banca d’Italia assume un ruolo centrale nella vigilanza sugli obblighi di resilienza operativa digitale, essendo responsabile del controllo sugli intermediari finanziari, su Cassa Depositi e Prestiti S.p.A. e su Bancoposta. La Consob è invece l’ente deputato a monitorare l’attuazione delle norme DORA per quanto riguarda le società di intermediazione mobiliare (SIM), le società di gestione del risparmio (SGR) e gli altri soggetti del mercato finanziario regolamentato. Analogamente, l’IVASS esercita le proprie funzioni di vigilanza sulle imprese assicurative, mentre la COVIP è l’autorità di riferimento per i fondi pensione.
Oltre a queste autorità di settore, il decreto DORA stabilisce un collegamento con l’Agenzia per la Cybersicurezza Nazionale (ACN), che assume il ruolo di Autorità nazionale competente NIS ai sensi dell’articolo 10 del D. Lgs. 138/2024. L’ACN opera in sinergia con il CSIRT Italia, il team nazionale per la gestione degli incidenti di cybersicurezza, che ha il compito di ricevere segnalazioni e coordinare le risposte alle minacce informatiche. Tale sistema di collaborazione tra diverse autorità è stato previsto per garantire un coordinamento efficace tra la normativa sulla resilienza digitale nel settore finanziario e il quadro generale di cybersecurity nazionale.
Il decreto prevede anche la possibilità di definire protocolli d’intesa tra le autorità di vigilanza, al fine di regolamentare lo scambio di informazioni e l’adozione di misure coordinate in materia di resilienza operativa digitale.
Il decreto DORA e gli obblighi di resilienza operativa digitale
L’articolo 6 del decreto DORA disciplina in modo specifico gli obblighi di resilienza operativa digitale posti a carico degli intermediari finanziari, sancendo l’applicabilità di un cospicuo numero di disposizioni del Regolamento DORA. Il primo comma dell’articolo 6 stabilisce che tali disposizioni si applicano “in quanto compatibili”, una clausola di portata incerta, che non consente di delineare con chiarezza l’effettiva applicabilità di ogni singola norma nel contesto nazionale. Questo significa che gli intermediari finanziari saranno onerati di una valutazione caso per caso, al fine di stabilire in che misura ciascuna disposizione del Regolamento DORA trovi applicazione nel loro specifico settore.
Tuttavia, appare plausibile ritenere che il principio di compatibilità debba essere interpretato in senso estensivo, con la conseguenza che la maggioranza delle disposizioni del Regolamento si intenderà applicabile a questi soggetti. Di fatto, il decreto DORA introduce un modello di compliance generalizzata, che impone agli intermediari finanziari l’adozione di misure di sicurezza avanzate per la protezione delle infrastrutture digitali e dei dati sensibili.
Una deroga è prevista dal secondo comma dell’articolo 6, che introduce una clausola di esenzione a favore degli intermediari finanziari qualificati come microimprese. Per questi soggetti non si applica l’articolo 24 del Regolamento DORA, che disciplina i requisiti generali per lo svolgimento dei test di resilienza operativa digitale. In sostituzione degli obblighi più stringenti previsti dal Regolamento, il terzo comma dell’articolo 25 del Regolamento DORA prevede un regime agevolato per lo svolgimento dei test di resilienza digitale da parte delle microimprese.
Tali soggetti potranno combinare un approccio basato sul rischio con una pianificazione strategica delle verifiche relative alle tecnologie dell’informazione e della comunicazione (TIC). L’obiettivo è garantire un equilibrio tra le risorse disponibili e la necessità di verificare periodicamente la tenuta dei sistemi informatici, tenendo conto della criticità dei dati gestiti, dell’urgenza degli interventi e della capacità dell’impresa di gestire i rischi in modo proporzionato.
Infine, il terzo comma dell’articolo 6 conferisce alla Banca d’Italia un potere regolamentare significativo, che le consente di individuare, nelle disposizioni attuative adottate ai sensi dell’articolo 9, una categoria di intermediari finanziari ai quali, in base alla dimensione e all’attività svolta, si applichino le disposizioni ordinarie del Regolamento DORA, anziché il regime semplificato previsto dall’articolo 16, paragrafi 1 e 2. In particolare, tali soggetti potrebbero essere sottoposti agli obblighi previsti dagli articoli 5, 6, 7, 8, 9, 10, 11, 12, 13 e 14 del Regolamento DORA, evitando l’applicazione del quadro semplificato per la gestione dei rischi informatici.
Ciò significa che la Banca d’Italia potrà stabilire che determinati intermediari finanziari, pur di dimensioni contenute, siano comunque soggetti agli obblighi più stringenti in materia di gestione del rischio digitale, in ragione della loro attività e della loro incidenza sul sistema finanziario.
Segnalazione degli incidenti nel decreto DORA
L’articolo 4 del decreto DORA disciplina il sistema di segnalazione degli incidenti informatici nelle tecnologie dell’informazione e della comunicazione (TIC) e la notifica volontaria delle minacce informatiche significative, in attuazione dell’articolo 19 del Regolamento DORA. La disposizione attribuisce agli intermediari finanziari, alle infrastrutture di mercato finanziario e agli altri soggetti obbligati l’onere di segnalare tempestivamente qualsiasi grave incidente TIC alle autorità competenti DORA, secondo precise modalità stabilite dal decreto.
Le autorità competenti per la ricezione delle segnalazioni sono state individuate sulla base della tipologia di soggetto vigilato. In particolare, la Banca d’Italia è competente per ricevere le notifiche provenienti dalle banche, dagli intermediari finanziari, da Cassa Depositi e Prestiti S.p.A. e da Bancoposta. La Consob, invece, riceve le segnalazioni da parte delle SIM, delle SGR e delle altre entità finanziarie vigilate ai sensi dell’articolo 2, paragrafo 1, lettere g) e i), del Regolamento DORA. Per quanto riguarda le imprese assicurative, la competenza spetta all’IVASS, mentre la COVIP è responsabile della ricezione delle notifiche relative ai fondi pensione.
Una disposizione di particolare rilievo è contenuta nel comma 2 dell’articolo 4, secondo cui, nel caso in cui un’entità finanziaria sia soggetta alla vigilanza di più autorità competenti DORA, la prima autorità ricevente è tenuta a trasmettere tempestivamente la notifica iniziale e i successivi aggiornamenti alle altre autorità di vigilanza coinvolte. Questo meccanismo di cooperazione interistituzionale mira a evitare duplicazioni di segnalazioni e a garantire un coordinamento efficace tra le diverse autorità competenti.
Un ulteriore livello di obblighi è previsto per le entità finanziarie appartenenti al settore bancario e delle infrastrutture dei mercati finanziari, qualora queste siano classificate come soggetti critici ai sensi della Direttiva (UE) 2022/2557. Per tali soggetti, l’articolo 4, comma 3, del decreto DORA prevede che la notifica iniziale dei gravi incidenti TIC debba essere trasmessa anche al CSIRT Italia, secondo i modelli e i termini stabiliti dall’articolo 20 del Regolamento DORA.
Il comma 4 dell’articolo 4 del Decreto DORA introduce invece la possibilità per le entità finanziarie di effettuare notifiche volontarie relative a minacce informatiche significative, in aggiunta agli obblighi di segnalazione degli incidenti TIC già previsti. Le notifiche volontarie possono essere trasmesse anche al CSIRT Italia, con la garanzia che le informazioni fornite rimangano coperte dal segreto d’ufficio. L’obiettivo di questa previsione è incoraggiare una maggiore collaborazione tra il settore finanziario e le istituzioni preposte alla cybersicurezza, al fine di sviluppare un sistema di condivisione delle informazioni sulle minacce emergenti.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUB
L’articolo 10 del decreto DORA introduce importanti modifiche al Testo Unico Bancario (TUB), con l’obiettivo di disciplinare il regime sanzionatorio applicabile alle banche, agli intermediari finanziari e ai fornitori terzi di servizi TIC che non rispettano gli obblighi imposti dal Regolamento (UE) 2022/2554. Il legislatore ha integrato le disposizioni del TUB introducendo nuovi commi all’articolo 144, nei quali vengono specificate le sanzioni per le violazioni delle norme sulla resilienza operativa digitale.
Il comma 8-bis stabilisce che l’inosservanza di una serie di disposizioni del Regolamento DORA, tra cui gli articoli 5, 6, 16, 19 e 24, nonché delle relative norme tecniche di regolamentazione e attuazione, comporta l’applicazione di sanzioni amministrative pecuniarie. In particolare, nei confronti delle banche, degli intermediari finanziari e dei fornitori terzi di servizi TIC, la sanzione può variare da un minimo di 30.000 euro fino al 10% del fatturato dell’ente responsabile. Per gli istituti di pagamento e gli istituti di moneta elettronica, la sanzione può arrivare fino a 5 milioni di euro, o, qualora il fatturato dell’ente sia superiore a tale cifra, fino al 10% del fatturato complessivo.
Il successivo comma 8-ter disciplina ulteriori ipotesi sanzionatorie per le violazioni di altre disposizioni del Regolamento DORA, tra cui gli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29 e 30. Anche in questo caso, il decreto prevede un sistema sanzionatorio progressivo, stabilendo che le banche, gli intermediari finanziari e i fornitori di servizi TIC possano essere sanzionati con un importo che varia da 30.000 euro fino al 7% del fatturato annuo. Per gli istituti di pagamento e gli istituti di moneta elettronica, la soglia massima della sanzione pecuniaria viene fissata a 3,5 milioni di euro, salvo che il 7% del fatturato annuo risulti un importo superiore.
Di particolare rilievo è poi la disciplina introdotta dal nuovo comma 2-bis dell’articolo 144-ter del TUB, che introduce un regime sanzionatorio specifico per le persone fisiche responsabili delle violazioni. In caso di inosservanza delle disposizioni di cui ai commi 8-bis e 8-ter, le persone fisiche che ricoprono ruoli di amministrazione, direzione o controllo all’interno delle entità responsabili possono essere sanzionate con una sanzione amministrativa pecuniaria variabile da 5.000 euro fino a 5 milioni di euro, nel caso delle violazioni più gravi. Se la violazione riguarda le disposizioni meno stringenti, la soglia massima si riduce a 3,5 milioni di euro.
L’articolo 144-ter, comma 2-ter, introduce inoltre un regime di responsabilità personale aggravata, stabilendo che la sanzione per le persone fisiche si applica quando la violazione deriva dalla mancata osservanza di doveri propri del soggetto, o quando la condotta abbia inciso in modo significativo sulla struttura organizzativa dell’ente o sulla sua gestione del rischio aziendale. Inoltre, qualora la violazione sia connessa al mancato rispetto di provvedimenti specifici adottati dalla Banca d’Italia, la sanzione può essere ulteriormente inasprita.
Infine, il comma 2-quater dell’articolo 144-ter introduce una previsione particolarmente severa per i casi in cui la violazione abbia comportato un vantaggio economico per l’autore della condotta illecita. Se il profitto ottenuto dalla violazione supera il limite massimo della sanzione prevista, la sanzione potrà essere raddoppiata fino a raggiungere un importo pari al doppio del vantaggio economico indebitamente ottenuto.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUF
L’articolo 10 del decreto DORA introduce un rigoroso regime sanzionatorio per gli intermediari finanziari, mediante l’inserimento del nuovo articolo 190-bis.3 nel Testo Unico della Finanza (TUF). La norma disciplina le sanzioni amministrative applicabili alle Società di Intermediazione Mobiliare (SIM), alle Società di Gestione del Risparmio (SGR), alle Società di Investimento a Capitale Variabile (SICAV), alle Società di Investimento a Capitale Fisso (SICAF), nonché agli altri soggetti operanti nei mercati finanziari, con particolare attenzione ai fornitori terzi di servizi TIC.
Il primo comma dell’articolo 190-bis.3 del TUF stabilisce le sanzioni pecuniarie per l’inosservanza di una serie di obblighi imposti dal Regolamento (UE) 2022/2554, tra cui gli articoli 5, 6, 10, 12, 16, 17, 19 e 24, relativi alla resilienza operativa digitale e alla gestione del rischio informatico.
Per le SIM, le SGR, le SICAV, le SICAF, le controparti centrali e i gestori di mercati regolamentati, la sanzione può variare da 30.000 euro fino a 5 milioni di euro, oppure fino al 10% del fatturato annuo, qualora quest’ultimo risulti superiore a tale soglia. Per i depositari centrali di titoli, la sanzione può raggiungere 20 milioni di euro o il 10% del fatturato, mentre per i fornitori di servizi di crowdfunding, la sanzione pecuniaria è compresa tra 500 e 500.000 euro, con un limite del 5% del fatturato annuo. Analogamente, per gli amministratori di indici di riferimento critici, la sanzione massima è fissata a 1 milione di euro o il 10% del fatturato.
Il secondo comma dell’articolo 190-bis.3 introduce un regime sanzionatorio specifico per le persone fisiche che abbiano violato le disposizioni del Regolamento DORA. In caso di inadempienza da parte di amministratori, dirigenti o responsabili della compliance, la sanzione pecuniaria può variare da 5.000 euro fino a 5 milioni di euro, a seconda della gravità della violazione e del tipo di soggetto coinvolto. Per i fornitori di servizi di crowdfunding, la sanzione pecuniaria per le persone fisiche può arrivare a 500.000 euro, mentre per gli amministratori di indici di riferimento critici, la soglia massima è di 500.000 euro.
Il terzo comma dell’articolo 190-bis.3 disciplina un’ulteriore ipotesi di violazione, che riguarda il mancato rispetto di specifici obblighi previsti dagli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29, 30 e 31 del Regolamento DORA. In questi casi, la sanzione massima per SIM, SGR, SICAV, SICAF e controparti centrali può arrivare a 3,5 milioni di euro, oppure fino al 7% del fatturato annuo. Per i depositari centrali di titoli, la multa può raggiungere 14 milioni di euro, mentre per i fornitori di crowdfunding, la sanzione varia tra 500 e 350.000 euro, con un limite del 3,5% del fatturato.
Si prevedono specifiche sanzioni per le persone fisiche, qualora abbiano avuto un ruolo diretto nella violazione delle disposizioni del Regolamento DORA. In questi casi, l’importo della sanzione pecuniaria può arrivare a 3,5 milioni di euro per i soggetti responsabili di SIM, SGR, SICAV, SICAF e depositari centrali di titoli, e fino a 350.000 euro per i fornitori di servizi di crowdfunding e gli amministratori di indici di riferimento critici.
Il quinto comma dell’articolo 190-bis.3 introduce una clausola di responsabilità aggravata per i dirigenti, amministratori e soggetti che esercitano funzioni di controllo all’interno degli intermediari finanziari. Se la violazione è conseguenza del mancato rispetto di obblighi specifici o ha inciso significativamente sulla gestione del rischio aziendale, il soggetto responsabile potrà essere sanzionato personalmente. Inoltre, se la violazione ha comportato l’inosservanza di provvedimenti adottati da Consob o Banca d’Italia, la sanzione sarà più severa.
Vi è una sanzione rafforzata nel caso in cui la violazione abbia comportato un vantaggio economico superiore al massimo della multa prevista. In questo caso, la sanzione potrà essere raddoppiata fino a un importo pari al doppio del vantaggio economico ottenuto, purché l’ammontare sia determinabile.
Infine, il settimo comma dell’articolo 190-bis.3 prevede sanzioni accessorie per i soggetti responsabili di violazioni gravi. In caso di infrazione particolarmente rilevante, potrà essere applicata l’interdizione dall’esercizio di funzioni di amministrazione, direzione o controllo all’interno di intermediari finanziari, per un periodo compreso tra sei mesi e tre anni.
Conclusioni
Il decreto DORA introduce un impianto normativo tecnico e articolato, caratterizzato da un elevato grado di complessità e da numerosi rinvii al Regolamento (UE) 2022/2554 e alla normativa settoriale preesistente. La sua applicazione presuppone una conoscenza approfondita del diritto bancario e dei mercati finanziari, oltre che una padronanza della disciplina in materia di cybersicurezza. L’integrazione tra questi due ambiti giuridici evidenzia la volontà del legislatore di rafforzare la resilienza operativa digitale attraverso un approccio interdisciplinare, che impone agli operatori finanziari di adottare misure strutturali per la sicurezza delle infrastrutture digitali.
Un ulteriore elemento di rilievo decreto DORA è rappresentato dalla gradualità dell’applicazione del Regolamento, che prevede un’attivazione progressiva degli obblighi normativi e un modello di compliance a più livelli. Questo implica che gli operatori soggetti alla disciplina debbano predisporre un piano di adeguamento dettagliato, rispettando le scadenze normative per evitare di trovarsi impreparati all’entrata in vigore delle disposizioni più stringenti. L’obbligo di segnalazione degli incidenti TIC, l’adozione di test di resilienza operativa e il monitoraggio della supply chain digitale impongono una pianificazione accurata, in modo da integrare le nuove misure di sicurezza all’interno della governance aziendale.
Il nostro Studio è a disposizione per supportare imprese e intermediari finanziari nell’adeguamento alla normativa, offrendo consulenza specialistica in materia di corporate compliance e cybersicurezza. L’approccio integrato e interdisciplinare dello Studio consente di affiancare le aziende nel processo di implementazione delle misure richieste dal decreto DORA, garantendo un supporto strategico nella definizione dei modelli organizzativi e nella gestione delle nuove responsabilità operative.
