da Redazione | Mar 6, 2025 | Diritto d'Impresa
Il settore dei crediti in sofferenza è stato recentemente oggetto di un significativo intervento normativo volto a garantire maggiore trasparenza e stabilità nel mercato secondario del credito. Con il decreto legislativo n. 116 del 2024, l’Italia ha recepito la Direttiva (UE) 2021/2167 (Secondary Market Directive – SMD), introducendo un nuovo quadro regolatorio per gli acquirenti e i gestori di crediti in sofferenza.
La riforma, inserita nel Capo II del Titolo V del Testo Unico Bancario (TUB), ha comportato rilevanti novità, tra cui l’introduzione della figura del Gestore di crediti in sofferenza (Gestore NPL), soggetto vigilato e autorizzato dalla Banca d’Italia.
In attuazione di questa normativa, il 13 febbraio 2025 la Banca d’Italia ha pubblicato le Disposizioni di vigilanza per la gestione di crediti in sofferenza, disciplinando le condizioni per l’accesso al mercato, gli obblighi informativi e le modalità di operatività. Queste nuove regole hanno un impatto rilevante sugli operatori del settore, imponendo adempimenti specifici e scadenze rigorose per la regolarizzazione della loro attività.
Il presente articolo si propone di illustrare le principali novità introdotte, soffermandosi in particolare sulle tempistiche per l’autorizzazione e sugli obblighi connessi alla gestione dei crediti in sofferenza.
Crediti in sofferenza: il nuovo quadro normativo e il ruolo della Banca d’Italia
Il decreto legislativo n. 116/2024 ha riformato la disciplina dei crediti in sofferenza, introducendo un assetto normativo che regola l’attività degli acquirenti e dei gestori di crediti deteriorati, con l’obiettivo di garantire un mercato più trasparente ed efficiente. La riforma si inserisce nell’ambito del recepimento della Direttiva (UE) 2021/2167, che mira a facilitare lo sviluppo del mercato secondario dei crediti non performanti e a rafforzare le tutele nei confronti dei debitori ceduti.
A tal fine, il legislatore italiano ha modificato il Testo Unico Bancario (TUB), introducendo il nuovo Capo II del Titolo V, che disciplina le condizioni di accesso e operatività per i soggetti coinvolti nella gestione dei crediti in sofferenza.
Uno degli aspetti centrali della riforma è la regolamentazione dell’attività del Gestore di crediti in sofferenza (Gestore NPL), figura professionale che assume un ruolo chiave nella gestione dei crediti deteriorati. La normativa stabilisce che tali soggetti siano sottoposti a un regime autorizzativo e di vigilanza da parte della Banca d’Italia, al fine di assicurare il rispetto di elevati standard di correttezza e trasparenza.
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate il 13 febbraio 2025, disciplinano in dettaglio i requisiti organizzativi e operativi che i Gestori devono rispettare, nonché gli obblighi informativi nei confronti dell’Autorità di Vigilanza e dei potenziali acquirenti di crediti in sofferenza.
Il nuovo quadro normativo ha profonde implicazioni per il mercato, poiché introduce regole più stringenti per i soggetti che operano nel settore, ridefinendo le modalità con cui i crediti in sofferenza possono essere acquistati, gestiti ed eventualmente recuperati. In tale contesto, la Banca d’Italia ha assunto un ruolo centrale nel garantire la corretta applicazione della normativa, esercitando poteri di autorizzazione e supervisione per assicurare che l’attività dei Gestori NPL risponda ai principi di stabilità e tutela dei debitori.
Nell’ambito della nuova disciplina, per crediti in sofferenza si intendono le esposizioni creditizie per cassa e “fuori bilancio” nei confronti di soggetti che versano in uno stato di insolvenza, anche non accertato giudizialmente, o in situazioni assimilabili, indipendentemente dalle previsioni di perdita formulate dalla banca. Sono escluse le esposizioni la cui criticità sia riconducibile a profili di rischio legati al Paese di riferimento.
La gestione di crediti in sofferenza, invece, comprende una serie di attività finalizzate all’amministrazione di tali crediti, tra cui la riscossione e il recupero dei pagamenti dovuti dai debitori, la rinegoziazione dei termini e delle condizioni contrattuali in conformità alle istruzioni dell’acquirente, la gestione dei reclami presentati dai debitori e la comunicazione di eventuali variazioni relative agli oneri finanziari o ai pagamenti dovuti.
Crediti in sofferenza: i requisiti per l’autorizzazione dei Gestori NPL
L’accesso al mercato della gestione di crediti in sofferenza è subordinato all’ottenimento di un’apposita autorizzazione da parte della Banca d’Italia, che verifica il possesso di requisiti stringenti sotto il profilo organizzativo, patrimoniale e di onorabilità. La disciplina introdotta dal decreto legislativo n. 116 del 2024 prevede che i soggetti che intendono operare come Gestori di crediti in sofferenza (gestori NPL) debbano soddisfare una serie di condizioni, tra cui il possesso di specifici requisiti di idoneità da parte dei titolari di partecipazioni qualificate e degli esponenti aziendali.
In particolare, le Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate dalla Banca d’Italia il 13 febbraio 2025, stabiliscono che il soggetto richiedente debba dimostrare un’adeguata struttura organizzativa, un efficace sistema di controlli interni e procedure idonee a garantire la corretta gestione dei crediti in sofferenza.
L’iter per l’ottenimento dell’autorizzazione segue un procedimento rigoroso e strutturato. La Banca d’Italia, attraverso la funzione di licensing, esamina le domande per valutare la sussistenza dei requisiti previsti dalla normativa. Il procedimento autorizzativo si articola in più fasi e ha una durata massima di 90 giorni a decorrere dalla ricezione di una domanda completa.
Qualora la documentazione presentata sia ritenuta incompleta, l’Autorità di Vigilanza può richiedere integrazioni, che dovranno essere fornite entro il termine indicato nella comunicazione della richiesta. Durante il processo di valutazione, la Banca d’Italia esamina i profili di solidità patrimoniale e gestionale del richiedente, nonché il rispetto degli obblighi in materia di trasparenza e tutela del debitore.
Tra gli ulteriori requisiti imposti dalla normativa rientra la necessità che il gestore NPL mantenga un’operatività sostanziale, evitando di trasformarsi in una mera entità formale priva di autonomia gestionale.
La normativa impone, infatti, che il soggetto autorizzato svolga direttamente almeno una parte delle attività di gestione dei crediti in sofferenza, garantendo l’adeguatezza delle proprie strutture e procedure operative. Questo requisito è volto a prevenire il fenomeno della delega totale a terzi senza un’effettiva supervisione interna, assicurando che i Gestori NPL mantengano un ruolo attivo e responsabile nell’amministrazione dei crediti deteriorati.
Crediti in sofferenza: obblighi informativi e attività dei gestori
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, emanate dalla Banca d’Italia, non si limitano a disciplinare il processo di autorizzazione, ma introducono anche una serie di obblighi informativi e operativi che i gestori di crediti in sofferenza devono rispettare nel corso della loro attività. La normativa prevede un quadro dettagliato di adempimenti volti a garantire trasparenza, stabilità e un’adeguata protezione dei debitori coinvolti nelle operazioni di gestione dei crediti in sofferenza.
Le Disposizioni di vigilanza si articolano in due parti principali. La prima parte disciplina gli obblighi e le modalità operative dei Gestori NPL, specificando le condizioni di operatività sia in Italia che all’estero, l’organizzazione amministrativa e contabile e il sistema di controlli interni.
La seconda parte riguarda gli obblighi informativi imposti a banche e intermediari finanziari che cedono crediti in sofferenza o che ne gestiscono il recupero per conto di acquirenti terzi. In particolare, questi soggetti sono tenuti a fornire alla Banca d’Italia una serie di informazioni sulla natura e sulla gestione dei crediti in sofferenza, nonché a garantire adeguata informativa nei confronti dei potenziali acquirenti e delle autorità di vigilanza.
Un aspetto rilevante della nuova disciplina è la possibilità per i Gestori NPL di esternalizzare alcune attività di gestione a soggetti terzi, come le società di recupero crediti autorizzate ai sensi dell’articolo 115 del TULPS. Tuttavia, la normativa impone precise limitazioni: il Gestore NPL rimane responsabile della corretta amministrazione dei crediti in sofferenza e deve garantire che il soggetto esternalizzato operi nel rispetto delle disposizioni vigenti.
Crediti in sofferenza: le scadenze per l’autorizzazione e il periodo transitorio
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza ha previsto un regime transitorio volto a consentire agli operatori già attivi di adeguarsi alle nuove regole senza interruzioni operative.
Il 10 marzo 2025 è la data presumibile di pubblicazione delle Disposizioni di vigilanza nella Gazzetta Ufficiale. Dal giorno successivo, le nuove regole entreranno ufficialmente in vigore e inizierà a decorrere il periodo transitorio. Da questo momento, tutti i soggetti che già operano nel settore della gestione di crediti in sofferenza dovranno valutare attentamente i requisiti imposti dalla normativa e provvedere a regolarizzare la propria posizione.
Assumendo che le Disposizioni saranno effettivamente pubblicate in Gazzetta il 10 marzo 2025, il primo termine fondamentale da rispettare è quello del 10 giugno 2025, data entro la quale i soggetti già attivi nel mercato devono presentare domanda di autorizzazione alla Banca d’Italia. La normativa prevede che coloro che inoltrano l’istanza entro questa scadenza possano continuare a operare fino alla conclusione del procedimento autorizzativo, anche oltre la fine del periodo transitorio.
Coloro che, invece, non presentano domanda entro il 10 giugno 2025, avranno tempo fino al 10 settembre 2025 per cessare definitivamente l’attività. Superata questa data, qualsiasi operatore sprovvisto di autorizzazione sarà escluso dal mercato e non potrà più svolgere attività di gestione di crediti in sofferenza.
Queste scadenze assumono particolare rilievo per tutti gli operatori che intendono mantenere la propria operatività nel settore. Il mancato rispetto dei termini stabiliti dalla Banca d’Italia potrebbe comportare non solo l’impossibilità di proseguire l’attività, ma anche l’applicazione di sanzioni o misure di vigilanza per chi operasse in assenza di autorizzazione.
Per questo motivo, la tempestiva presentazione dell’istanza di autorizzazione entro il 10 giugno 2025 rappresenta un passaggio imprescindibile per garantire la continuità aziendale e l’adeguamento alla nuova disciplina.
Calendario delle scadenze per l’autorizzazione dei Gestori di crediti in sofferenza
- 13 febbraio 2025 – Pubblicazione delle Disposizioni di vigilanza per la gestione di crediti in sofferenza sul sito della Banca d’Italia.
- 10 marzo 2025 – Presumibile pubblicazione in Gazzetta Ufficiale delle Disposizioni; dal giorno successivo le nuove regole entrano in vigore.
- 10 giugno 2025 – Termine ultimo per la presentazione della domanda di autorizzazione per i soggetti già operativi.
- 10 settembre 2025 – Termine per la cessazione dell’attività per i soggetti che non hanno presentato domanda entro il 10 giugno.
- I soggetti che presentano domanda entro il 10 giugno 2025 possono continuare a operare fino alla conclusione del procedimento, anche oltre il 10 settembre 2025.
Crediti in sofferenza e domanda di autorizzazione
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza segna un importante passo avanti nella regolamentazione del mercato secondario dei crediti deteriorati, imponendo requisiti stringenti per i soggetti che intendono operare nel settore. La necessità di ottenere l’autorizzazione da parte della Banca d’Italia e il rispetto degli obblighi informativi e organizzativi rappresentano elementi fondamentali per garantire la stabilità del mercato e la tutela dei debitori.
Il rispetto delle scadenze previste per la presentazione delle istanze di autorizzazione e per la cessazione dell’attività, ove necessario, è essenziale per evitare l’exit dal mercato e possibili sanzioni.
Il nostro studio legale fornisce consulenza e assistenza legale alle imprese nei rapporti con le autorità pubbliche di vigilanza, supportando gli operatori nella corretta applicazione della normativa e nella predisposizione delle istanze autorizzative.
Per qualsiasi chiarimento sulla disciplina relativa alla gestione di crediti in sofferenza o per assistenza nella fase di adeguamento ai nuovi requisiti, è possibile contattarci per una consulenza specifica.
Lo Studio Legale D’Agostino offre consulenza in corporate compliance e diritto commerciale per aziende, con soluzioni legali mirate a garantire il rispetto delle normative.
da Redazione | Mar 4, 2025 | Diritto civile
La vendita internazionale è la base per la crescita economica delle imprese e del Paese, consentendo ai soggetti commerciali di espandere il proprio mercato oltre i confini nazionali. Tuttavia, la natura transnazionale di tali operazioni rende necessario individuare con precisione quale normativa regoli il rapporto contrattuale tra le parti e quale sia l’autorità giurisdizionale competente in caso di controversia.
Nel diritto internazionale privato dell’Unione Europea, le questioni relative alla legge applicabile ai contratti di vendita internazionale e alla competenza giurisdizionale sono disciplinate principalmente da tre fonti normative. Il Regolamento (CE) n. 593/2008 (Roma I) stabilisce i criteri per determinare la legge applicabile in assenza di una scelta esplicita delle parti. Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la competenza giurisdizionale e il riconoscimento delle decisioni giudiziarie all’interno dell’Unione Europea.
Il presente contributo analizzerà sommariamente i criteri di individuazione della legge applicabile nei contratti di vendita internazionale, i principi che regolano la competenza giurisdizionale e le strategie contrattuali per prevenire controversie in ambito transfrontaliero.
Vendita internazionale di beni e determinazione della legge applicabile
Nell’ambito della vendita internazionale, la questione relativa alla legge applicabile al contratto riveste un ruolo di centrale importanza, in quanto disciplina gli obblighi reciproci delle parti e regola le conseguenze dell’eventuale inadempimento. L’ordinamento dell’Unione Europea fornisce una cornice normativa chiara per individuare la disciplina giuridica applicabile ai contratti transfrontalieri, evitando conflitti normativi che potrebbero pregiudicare la certezza del diritto e la prevedibilità delle decisioni giudiziarie.
Il Regolamento (CE) n. 593/2008 (Roma I) rappresenta il principale strumento di diritto internazionale privato in materia contrattuale e sancisce il principio cardine della libertà di scelta delle parti. L’articolo 3 del Regolamento dispone che i contraenti possono designare la legge applicabile al loro rapporto contrattuale, purché tale scelta sia espressa o risulti con ragionevole certezza dai termini del contratto o dalle circostanze della fattispecie. La selezione della legge regolatrice è di fondamentale rilevanza nella vendita internazionale, in quanto consente alle parti di stabilire ex ante il quadro normativo di riferimento, evitando incertezze interpretative e possibili controversie sulla disciplina applicabile.
Qualora le parti non abbiano effettuato una scelta esplicita, il Regolamento Roma I stabilisce un criterio di collegamento oggettivo. L’articolo 4, paragrafo 1, lettera a) prevede che, in assenza di una clausola di elezione della legge applicabile, il contratto di vendita internazionale di beni mobili sia regolato dalla legge dello Stato in cui il venditore ha la propria residenza abituale.
Tale disposizione si giustifica con la considerazione che il venditore è colui che esegue la prestazione caratteristica del contratto, ovvero la fornitura della merce. Per effetto di questa norma, un’impresa italiana che cede beni a un soggetto estero, in assenza di diversa pattuizione, vedrà regolato il proprio rapporto dalla legge italiana.
A tale disciplina si affianca la Convenzione delle Nazioni Unite sui contratti di vendita internazionale di beni mobili (CISG), adottata a Vienna nel 1980, la quale si applica automaticamente quando entrambe le parti contraenti hanno sede in Stati aderenti alla Convenzione, salvo espressa esclusione da parte delle stesse. La CISG regola vari aspetti della vendita internazionale, tra cui la formazione del contratto, gli obblighi del venditore e dell’acquirente, nonché le conseguenze dell’inadempimento.
Vendita internazionale di beni e competenza giurisdizionale
Nell’ambito della vendita internazionale, la frammentazione normativa tra i diversi ordinamenti giuridici potrebbe ingenerare incertezze sul riparto di competenza e sulla giurisdizione, con il rischio di lungaggini procedurali e difficoltà nell’esecuzione delle decisioni giudiziarie.
A tal fine, il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la giurisdizione nelle controversie civili e commerciali all’interno dell’Unione Europea, fornendo criteri chiari e uniformi per determinare il foro competente nei contratti di vendita internazionale.
Secondo la regola generale sancita dall’articolo 4 del Regolamento Bruxelles I-bis, un soggetto domiciliato in uno Stato membro deve essere convenuto dinanzi ai tribunali dello Stato in cui ha il proprio domicilio. Tale principio garantisce la tutela della parte convenuta, imponendo al creditore di agire nel foro naturale del debitore.
Tuttavia, in materia contrattuale, il Regolamento prevede un’importante deroga alla regola generale, disciplinata dall’articolo 7, paragrafo 1, lettera b), che consente di convenire una parte anche dinanzi al giudice del luogo in cui l’obbligazione contrattuale dedotta in giudizio è stata o deve essere eseguita. Nel caso di un contratto di vendita internazionale di beni mobili, il luogo di esecuzione dell’obbligazione è quello in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
La determinazione del luogo di consegna è dunque fondamentale per stabilire la competenza giurisdizionale in una controversia derivante dalla vendita internazionale. Se le parti non hanno previsto specifiche condizioni di consegna, il giudice dovrà accertare quale fosse il luogo effettivo di esecuzione della prestazione caratteristica.
Vendita internazionale di beni, clausola di foro e incidenza della clausola “franco magazzino”
Nel contesto della vendita internazionale, le parti contrattuali possono evitare incertezze in merito alla giurisdizione mediante l’inserimento di una clausola di elezione del foro, ossia una disposizione contrattuale che individua il giudice competente per la risoluzione delle eventuali controversie derivanti dal rapporto commerciale.
Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina le condizioni di validità di tali pattuizioni, prevedendo che le parti possano convenire, in forma scritta o mediante una prassi consolidata, che una determinata autorità giurisdizionale abbia competenza esclusiva in caso di controversie contrattuali.
L’articolo 25 del Regolamento Bruxelles I-bis sancisce il principio secondo cui una clausola di scelta del foro è valida ed efficace se è stata stipulata: (i) per iscritto o verbalmente con conferma scritta, (ii) secondo usi che le parti conoscevano o avrebbero dovuto conoscere, oppure (iii) nell’ambito di relazioni commerciali precedenti che abbiano consolidato una consuetudine tra i contraenti. La previsione di una clausola di foro consente di evitare l’incertezza derivante dall’applicazione dei criteri generali di competenza giurisdizionale e permette alle imprese di pianificare con maggiore sicurezza la gestione del rischio legale nella vendita internazionale.
Un ulteriore elemento di rilievo nella vendita internazionale riguarda la clausola “franco magazzino” la quale incide direttamente sulla determinazione del foro competente. Con tale clausola, il venditore si libera dall’obbligo di consegna nel momento in cui mette la merce a disposizione dell’acquirente presso il proprio magazzino o stabilimento. Ne consegue che il rischio e la responsabilità per il trasporto ricadono interamente sull’acquirente, il quale si assume l’onere di provvedere al ritiro della merce e alla sua spedizione.
Dal punto di vista della competenza giurisdizionale, la clausola “franco magazzino” ha una rilevanza determinante, poiché il luogo di esecuzione dell’obbligazione contrattuale coincide con la sede del venditore. In base all’articolo 7, paragrafo 1, lettera b, del Regolamento Bruxelles I-bis, il giudice competente nelle controversie relative alla vendita internazionale è quello del luogo in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
Pertanto, laddove il contratto preveda una consegna “franco magazzino”, è ragionevole ritenere che la competenza spetta al tribunale dello Stato in cui il venditore ha la propria sede, in quanto la prestazione caratteristica del contratto si considera eseguita nel momento in cui la merce viene resa disponibile presso il suo stabilimento.
La combinazione della clausola di foro esclusivo e della clausola “franco magazzino” rappresenta un efficace strumento di tutela per il venditore che operi nella vendita internazionale, in quanto consente di rafforzare la propria posizione giuridica in caso di contenzioso con il compratore. La previsione congiunta di entrambe le clausole nei documenti contrattuali e commerciali permette di radicare la giurisdizione nel paese del venditore e di semplificare l’eventuale azione di recupero del credito.
Vendita internazionale di beni e tutela del creditore in caso di inadempimento
Nell’ambito della vendita internazionale, il mancato pagamento del corrispettivo da parte del compratore rappresenta una delle problematiche più ricorrenti per le imprese che operano nel commercio transfrontaliero.
La Convenzione di Vienna del 1980 (CISG) disciplina in modo specifico le conseguenze dell’inadempimento contrattuale nella vendita internazionale. In particolare, ai sensi dell’articolo 53, l’acquirente ha l’obbligo di pagare il prezzo pattuito e di accettare la consegna della merce nei termini previsti dal contratto. Qualora il compratore ometta di adempiere all’obbligo di pagamento, il venditore può avvalersi dei rimedi previsti dagli articoli 61 e seguenti, che comprendono la richiesta di esecuzione forzata del pagamento, la risoluzione del contratto e la richiesta di risarcimento del danno. Tuttavia, la CISG non disciplina gli aspetti procedurali relativi all’azione di recupero del credito, i quali sono regolati dal diritto nazionale dello Stato competente.
Uno degli strumenti più efficaci per ottenere rapidamente il pagamento del credito è il procedimento per decreto ingiuntivo, che consente al creditore di ottenere un titolo esecutivo senza dover intraprendere un’azione ordinaria di cognizione. In base all’articolo 633 del codice di procedura civile italiano, il decreto ingiuntivo può essere richiesto quando il credito risulta fondato su prova scritta, quale una fattura, un ordine di acquisto, un documento di trasporto o una conferma d’ordine sottoscritta.
Un’ulteriore tutela, particolarmente utile per rapporti transfrontalieri UE, è offerta dal Regolamento (CE) n. 1896/2006, che ha introdotto il procedimento europeo d’ingiunzione di pagamento, applicabile nelle controversie transfrontaliere tra parti domiciliate in Stati membri diversi. Tale strumento consente al creditore di ottenere un titolo esecutivo europeo senza dover avviare procedimenti giurisdizionali in più ordinamenti, garantendo una maggiore rapidità ed efficienza nell’azione di recupero del credito nella vendita internazionale.
La tutela legale nella vendita internazionale
L’individuazione della legge applicabile e della competenza giurisdizionale in un contratto di vendita internazionale è un elemento strategico di centrale importanza per facilitare l’eventuale azione di recupero del credito in caso di mancato pagamento da parte del compratore estero.
Il nostro Studio Legale è a disposizione per assistere imprese e operatori commerciali nei rapporti di vendita internazionale, fornendo un supporto altamente qualificato nella redazione della documentazione contrattuale e nella gestione delle controversie transfrontaliere. Offriamo un servizio di consulenza strategica per mitigare i rischi legali, strutturare accordi che garantiscano la massima tutela e, laddove possibile, radicare la giurisdizione in Italia e la competenza dinanzi ai tribunali nazionali.
Assistiamo i nostri clienti sia nella fase preventiva di negoziazione e stipula dei contratti, sia nella fase patologica del rapporto contrattuale, affiancandoli nelle azioni di recupero del credito e nelle strategie di tutela giudiziaria.
da Redazione | Feb 26, 2025 | Diritto Penale
Phishing è il termine con cui si identifica una delle più insidiose forme di truffa informatica, caratterizzata dall’inganno finalizzato alla sottrazione di dati sensibili e informazioni riservate. L’evoluzione tecnologica e la crescente digitalizzazione delle attività quotidiane hanno ampliato le possibilità di comunicazione e gestione dei servizi online, ma al contempo hanno esposto gli utenti a nuove minacce. Il phishing, in particolare, si avvale di tecniche fraudolente attraverso le quali il soggetto agente, comunemente noto come phisher, induce la vittima a rivelare spontaneamente dati personali, quali credenziali di accesso a servizi bancari, numeri di carte di credito e informazioni finanziarie.
L’attacco si concretizza mediante l’invio di comunicazioni apparentemente legittime, che riproducono i segni distintivi di istituti bancari, enti pubblici o aziende note, al fine di persuadere l’utente a fornire informazioni riservate o a eseguire azioni che compromettano la sicurezza dei suoi dati. Generalmente, il phishing avviene attraverso e-mail fraudolente, messaggi di testo o chiamate telefoniche, all’interno delle quali la vittima viene indotta a cliccare su link malevoli o a scaricare allegati dannosi, con il conseguente rischio di compromissione dei propri dispositivi e dell’integrità delle informazioni personali.
L’impatto del phishing non si esaurisce nel mero contesto informatico, ma determina rilevanti conseguenze economiche e giuridiche per le vittime, che possono subire ingenti perdite patrimoniali e la violazione della propria privacy. L’elevato grado di sofisticazione delle tecniche adottate dai phisher, unito alla crescente difficoltà nel riconoscere le comunicazioni fraudolente, rende indispensabile un’attenta analisi del fenomeno, con l’obiettivo di comprenderne le modalità operative e individuare misure efficaci di prevenzione e tutela.
Phishing e social engineering: il meccanismo dell’inganno
Phishing e ingegneria sociale rappresentano due fenomeni strettamente connessi, in quanto il successo degli attacchi si fonda sull’applicazione di tecniche psicologiche volte a manipolare il comportamento della vittima. L’ingegneria sociale, infatti, è l’insieme di strategie basate sulla persuasione e sullo sfruttamento delle reazioni automatiche della mente umana, con lo scopo di indurre il soggetto passivo a compiere un’azione specifica senza che questi si renda conto di essere stato influenzato da un soggetto esterno.
Nel contesto del phishing, il truffatore elabora messaggi ingannevoli che riproducono fedelmente il linguaggio, la struttura e i segni distintivi di comunicazioni ufficiali inviate da istituti bancari, enti pubblici o aziende. L’obiettivo è quello di suscitare nella vittima un senso di urgenza o di pericolo, inducendola a ritenere che sia necessario compiere un’azione immediata per evitare presunte conseguenze negative.
Un esempio tipico è rappresentato dai messaggi che informano l’utente di un presunto problema di sicurezza del proprio conto bancario, della necessità di aggiornare le credenziali di accesso o di verificare transazioni sospette. Simili comunicazioni sono progettate per far leva sulla paura e sull’ansia della vittima, spingendola ad agire impulsivamente senza effettuare i necessari controlli.
L’efficacia del phishing è accresciuta dalla capacità del phisher di creare un contesto comunicativo verosimile e coerente, che lasci intendere alla vittima di avere il controllo della situazione e di poter risolvere il problema autonomamente.
A tale scopo, il linguaggio utilizzato nelle comunicazioni fraudolente è attentamente calibrato per mantenere un tono istituzionale e rassicurante, evitando espressioni eccessivamente intimidatorie che potrebbero destare sospetti. L’elemento psicologico gioca un ruolo determinante nella riuscita dell’attacco, poiché il soggetto passivo, convinto di agire in modo razionale e autodeterminato, finisce per eseguire le istruzioni dell’attaccante, fornendo i propri dati personali o accedendo a piattaforme compromesse.
Le diverse forme di phishing e il loro funzionamento
Il phishing è un fenomeno in costante evoluzione, caratterizzato dall’adattamento delle tecniche di attacco alle nuove abitudini digitali degli utenti e ai sistemi di sicurezza implementati dalle piattaforme online. Sebbene il principio di base rimanga invariato, esistono diverse varianti di phishing, ciascuna con modalità operative specifiche, studiate per aumentare l’efficacia dell’inganno e rendere più complesso il riconoscimento della truffa. Per una sintesi sulla descrizione del fenomeno, rinviamo al sito della Polizia Postale.
Una delle forme più comuni è il deceptive phishing, che si basa sull’invio massivo di comunicazioni fraudolente a un numero indeterminato di utenti, senza una selezione specifica della vittima. Il messaggio, solitamente veicolato tramite e-mail, riproduce l’identità grafica e il linguaggio di enti bancari, piattaforme di pagamento o servizi online di largo utilizzo, inducendo il destinatario a inserire le proprie credenziali di accesso in una pagina web contraffatta. Questa tipologia di attacco si caratterizza per l’approccio generico, in quanto mira a raggiungere il maggior numero possibile di utenti, confidando nel fatto che una percentuale di essi cadrà nella trappola.
Un’evoluzione del phishing tradizionale è rappresentata dallo spear Phishing, una tecnica più sofisticata che prevede una fase preliminare di raccolta delle informazioni sulla vittima, al fine di personalizzare il messaggio-esca. A differenza del deceptive Phishing, che si affida a una strategia indiscriminata, lo spear Phishing colpisce in modo mirato, utilizzando dettagli specifici sulla persona o sull’organizzazione attaccata per conferire maggiore credibilità alla comunicazione fraudolenta. L’elemento distintivo di questa variante è l’elevato grado di verosimiglianza, che riduce la capacità della vittima di riconoscere la natura ingannevole del messaggio.
Ulteriori varianti del phishing includono lo smishing e il vishing, che differiscono dal modello classico per il mezzo di comunicazione impiegato. Lo smishing sfrutta l’invio di SMS contenenti link dannosi o richieste di informazioni personali, mentre il vishing utilizza chiamate telefoniche nelle quali il truffatore si spaccia per un operatore di banca, un ente pubblico o un servizio clienti, inducendo la vittima a fornire dati sensibili. In questi casi, l’attacco si avvale spesso della tecnica dello spoofing, che consente di alterare il numero di telefono del mittente per far apparire la chiamata come proveniente da un’istituzione affidabile.
Tra le forme più recenti di phishing si segnala il deepfake phishing, una tecnica che combina l’uso dell’intelligenza artificiale con strumenti di manipolazione multimediale avanzati. Di tale nuova tipologia tratteremo nei paragrafi seguenti.
Phishing e il quadro giuridico: truffa e frode informatica
Il phishing rappresenta una condotta illecita priva di una specifica incriminazione autonoma all’interno del codice penale italiano. Tuttavia, la sua realizzazione si articola attraverso comportamenti riconducibili a diverse fattispecie criminose, tra cui la truffa prevista dall’art. 640 c.p., la frode informatica disciplinata dall’art. 640-ter c.p., la sostituzione di persona ex art. 494 c.p. e l’accesso abusivo a un sistema informatico sanzionato dall’art. 615-ter c.p.. L’inquadramento giuridico della fattispecie varia a seconda delle modalità con cui il phishing viene perpetrato e degli strumenti utilizzati dal soggetto agente per appropriarsi indebitamente delle informazioni riservate della vittima.
La qualificazione del phishing come truffa ai sensi dell’art. 640 c.p. è stata oggetto di dibattito in dottrina e giurisprudenza. La disposizione punisce chi, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno. Il soggetto agente utilizza un messaggio decettivo, inducendo la vittima a ritenere autentica una comunicazione fraudolenta e a compiere volontariamente un’azione che determina un pregiudizio economico. La condotta del phisher, pertanto, può rientrare nella nozione di truffa tradizionale, in quanto l’induzione in errore della vittima avviene mediante raggiri finalizzati all’ottenimento di un vantaggio patrimoniale illecito.
L’applicazione dell’art. 640-ter c.p., che disciplina la frode informatica, diventa rilevante qualora l’attacco si realizzi attraverso l’alterazione di un sistema informatico o telematico. La norma punisce chiunque, “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico”, ottenga un profitto illecito con danno altrui.
Tale disposizione potrebbe trovare applicazione nei casi in cui il phishing si concretizzi mediante l’uso di malware o software autoinstallanti che sottraggono dati sensibili della vittima senza che vi sia un’interazione consapevole da parte di quest’ultima. Secondo un recente orientamento giurisprudenziale, la frode informatica potrebbe applicarsi anche alle condotte più “tradizionali”, qualora l’attaccante riesca a ottenere il profitto intervenendo senza diritto su sistemi informatici (es. facendo uso delle credenziali precedentemente sottratte per eseguire un bonifico).
Un ulteriore profilo giuridico del phishing riguarda la sostituzione di persona, sanzionata dall’art. 494 c.p., qualora l’attaccante utilizzi illecitamente l’identità di un soggetto terzo, come un istituto bancario o un ente pubblico, per rendere più credibile l’inganno. Tale condotta si realizza quando il truffatore falsifica l’intestazione di un’e-mail o manipola l’identità del mittente per far apparire la comunicazione come proveniente da un soggetto istituzionale reale.
Infine, nelle ipotesi in cui l’autore del reato utilizzi le credenziali sottratte per accedere indebitamente agli account online della vittima, potrebbe configurarsi il il reato di accesso abusivo a un sistema informatico o telematico, previsto dall’art. 615-ter c.p.. La disposizione punisce chi si introduce in un sistema informatico protetto senza autorizzazione o vi si mantiene contro la volontà del titolare. Tale reato assume particolare rilevanza nei casi in cui il phishing abbia come obiettivo il controllo degli account bancari della vittima o l’accesso a dati riservati custoditi in piattaforme online.
La sovrapposizione tra queste diverse fattispecie penali dimostra come la condotta, nel suo complesso, possa integrare una pluralità di reati, a seconda delle modalità esecutive adottate dal phisher. La giurisprudenza ha chiarito che, in determinati casi, può configurarsi un concorso di reati.
Phishing e nuove tecnologie: l’intelligenza artificiale al servizio della frode
Il phishing è un fenomeno in continua evoluzione, che trae vantaggio dall’innovazione tecnologica per affinare le proprie modalità operative e incrementare il tasso di successo degli attacchi. L’introduzione di strumenti avanzati, tra cui sistemi di intelligenza artificiale, ha reso le truffe informatiche ancora più sofisticate e difficili da individuare, riducendo sensibilmente la capacità delle vittime di riconoscere la natura fraudolenta delle comunicazioni ricevute.
L’intelligenza artificiale, grazie alla capacità di elaborare grandi quantità di dati e simulare il linguaggio naturale, viene impiegata dai criminali informatici per generare contenuti personalizzati che aumentano la credibilità dei messaggi di phishing. Gli algoritmi avanzati consentono di analizzare i comportamenti digitali delle vittime, raccogliere informazioni dai social network e creare messaggi ingannevoli altamente verosimili.
Un ulteriore sviluppo che ha incrementato la pericolosità del phishing è rappresentato dall’impiego della tecnologia deepfake, che sfrutta l’intelligenza artificiale per creare contenuti multimediali falsificati. Questa innovazione ha portato alla diffusione di una nuova forma di attacco, nota come deepfake phishing, che si distingue per l’utilizzo di video, immagini o messaggi audio alterati in modo da riprodurre fedelmente l’aspetto e la voce di persone reali. Attraverso questi strumenti, i truffatori possono impersonare dirigenti aziendali, funzionari di enti pubblici o persone di fiducia della vittima, aumentando la probabilità che quest’ultima cada nell’inganno.
Il deepfake phishing ha trovato particolare applicazione nelle frodi aziendali e nei tentativi di CEO fraud, in cui i criminali informatici si spacciano per alti dirigenti di un’azienda e inducono dipendenti o collaboratori a effettuare bonifici fraudolenti o a condividere informazioni riservate. La capacità di generare contenuti audio e video realistici rende questa tipologia di attacco estremamente efficace, poiché la vittima, ritenendo di interagire con un interlocutore affidabile, difficilmente mette in dubbio l’autenticità della richiesta.
L’evoluzione tecnologica ha inoltre ampliato il raggio d’azione del phishing, consentendo la creazione di siti web contraffatti con livelli di realismo sempre più elevati. Gli attacchi che un tempo si limitavano alla semplice riproduzione grafica di una pagina web ora sfruttano l’intelligenza artificiale per replicare in tempo reale le interazioni tipiche di un portale legittimo, generando risposte dinamiche agli utenti e simulando il comportamento di un servizio autentico. Queste tecniche avanzate riducono la percezione del rischio e inducono le vittime a inserire le proprie credenziali senza sospettare la natura fraudolenta del sito visitato.
L’influenza delle nuove tecnologie sul phishing dimostra come la criminalità informatica sia in grado di adattarsi rapidamente ai cambiamenti del panorama digitale, sfruttando strumenti innovativi per perfezionare le proprie strategie fraudolente. La crescente sofisticazione degli attacchi richiede un approccio integrato alla sicurezza informatica, basato su una combinazione di prevenzione, formazione degli utenti e strumenti avanzati di protezione, al fine di contrastare efficacemente le minacce emergenti.
Prevenire il phishing: strategie e accorgimenti per difendersi
La prevenzione è l’elemento cardine nella difesa contro le frodi informatiche, poiché il riconoscimento tempestivo dei segnali d’allarme può evitare conseguenze dannose per gli utenti e le organizzazioni. La protezione contro il phishing si fonda su una combinazione di buone pratiche di sicurezza informatica, strumenti tecnologici avanzati e un’adeguata consapevolezza del rischio.
Uno degli aspetti fondamentali della prevenzione è il riconoscimento delle caratteristiche comuni degli attacchi Phishing. Le comunicazioni fraudolente presentano spesso elementi ricorrenti, tra cui un linguaggio persuasivo che richiama situazioni di emergenza, la richiesta di inserire credenziali personali, link che rimandano a pagine web contraffatte e mittenti dall’apparenza ingannevole.
L’analisi critica del contenuto di un’e-mail o di un messaggio, unita alla verifica dell’indirizzo del mittente e dell’autenticità dei collegamenti ipertestuali, rappresenta il primo strumento di autodifesa. Nessuna istituzione bancaria o azienda affidabile richiede l’inserimento di dati sensibili tramite e-mail o SMS, pertanto, la ricezione di simili richieste deve essere considerata un chiaro indicatore di un tentativo di Phishing.
Un ulteriore accorgimento essenziale è l’utilizzo dell’autenticazione a più fattori, che aggiunge un ulteriore livello di protezione agli account personali e aziendali. Questo sistema impedisce agli aggressori di ottenere accesso non autorizzato anche nel caso in cui riescano a sottrarre le credenziali di accesso, poiché sarà necessario un secondo codice di verifica generato su un dispositivo di proprietà dell’utente. L’implementazione di password robuste e uniche per ciascun servizio online riduce, inoltre, il rischio che la compromissione di un singolo account possa estendersi ad altre piattaforme.
L’installazione e l’aggiornamento regolare di software di sicurezza, tra cui antivirus, firewall e filtri anti-phishing, contribuisce in modo significativo alla protezione dalle minacce informatiche. Molti servizi di posta elettronica integrano già sistemi di rilevamento automatico che segnalano i messaggi sospetti o li collocano direttamente nella cartella spam. Tuttavia, è opportuno adottare ulteriori misure, come l’abilitazione di funzionalità avanzate di protezione della navigazione e l’uso di estensioni browser progettate per identificare siti web malevoli prima che l’utente inserisca informazioni sensibili.
Un ruolo determinante nella prevenzione del phishing è svolto dalla cybersecurity awareness, ovvero la formazione degli utenti sui rischi legati alle truffe informatiche e sulle corrette pratiche di comportamento online. In ambito aziendale, l’adozione di programmi di formazione periodica per il personale riduce sensibilmente la vulnerabilità delle organizzazioni agli attacchi mirati.
Molti attacchi di phishing, infatti, prendono di mira dipendenti e dirigenti per ottenere accesso alle infrastrutture informatiche aziendali, sfruttando la mancanza di consapevolezza sui rischi informatici. L’organizzazione di simulazioni di attacchi phishing, in cui gli utenti vengono esposti a e-mail fraudolente create a scopo didattico, rappresenta un metodo efficace per migliorare la capacità di riconoscere e reagire correttamente ai tentativi di frode.
Nel caso in cui si sospetti di aver ricevuto una comunicazione fraudolenta, è essenziale evitare di cliccare su link o scaricare allegati, e verificare l’autenticità del messaggio contattando direttamente l’ente o l’azienda presunta mittente attraverso i canali ufficiali. In caso di dubbio, è sempre preferibile non eseguire alcuna azione e procedere a una verifica preventiva. Le autorità di regolamentazione e gli istituti bancari forniscono strumenti per segnalare i tentativi di phishing, contribuendo così a identificare e bloccare gli attacchi in corso.
In definitiva, la prevenzione del Phishing richiede un approccio multidisciplinare, che combini tecnologie di protezione, consapevolezza e buone pratiche di sicurezza digitale.
Conclusioni: cosa fare in caso di attacco phishing
La crescente sofisticazione delle tecniche di attacco rende essenziale l’adozione di misure preventive efficaci, basate sulla consapevolezza dei rischi e sull’utilizzo di strumenti di sicurezza avanzati. Il riconoscimento tempestivo dei segnali di un tentativo di phishing, unito all’applicazione di protocolli di autenticazione e verifica, è la strategia più efficace per evitare di cadere vittima di truffe informatiche.
Nel caso in cui un attacco abbia già avuto successo, è fondamentale intervenire immediatamente, segnalando l’accaduto alle autorità competenti, contattando il proprio istituto bancario per limitare i danni finanziari e adottando misure per ripristinare la sicurezza dei propri account e dispositivi.
La protezione dalle frodi informatiche non può prescindere da un’adeguata consulenza legale e da un’efficace gestione della sicurezza cibernetica. Il nostro Studio fornisce supporto specializzato a privati e aziende nella prevenzione e gestione delle conseguenze derivanti da attacchi informatici, offrendo assistenza nella valutazione dei rischi, nella predisposizione di strategie di tutela e nella difesa dei diritti di reati informatici.
da Redazione | Feb 21, 2025 | Notizie e Aggiornamenti Legislativi
Riportiamo di seguito alcune informazioni sul ricorso alla Corte di Giustizia, patrocinato dall’avvocato Luca D’Agostino, sul tema del downlisting nel regime di tutela del lupo, riportate sulla stampa nazionale ed europea.
Il ricorso, promosso da cinque associazioni ambientaliste e animaliste – Green Impact, Earth, Nagy Tavak, LNDC Animal Protection e One Voice – è stato depositato dinanzi al Tribunale dell’Unione Europea con l’obiettivo di ottenere l’annullamento della Decisione (UE) 2024/2669 del Consiglio, con la quale l’Unione Europea ha proposto alla Convenzione di Berna il declassamento del lupo grigio (Canis lupus) dall’Appendice II all’Appendice III della Convenzione stessa. Tale modifica, che ha ricevuto il voto favorevole dell’Unione Europea nella riunione del 3 dicembre 2024, comporta una riduzione del regime di protezione del lupo, aprendo la strada a misure di gestione meno rigorose e potenzialmente più permissive delle pratiche di abbattimento (v. Comunicato Stampa).
Le associazioni ricorrenti sostengono che la Decisione impugnata sia viziata da profili di illegittimità, tra cui il mancato rispetto dei principi di precauzione, proporzionalità e del criterio della best available science, nonché l’assenza di una motivazione fondata su dati scientifici aggiornati e verificabili.
Il ricorso alla Corte di Giustizia mira a ottenere non solo l’annullamento della Decisione del Consiglio, ma anche di tutti gli atti successivi connessi, inclusa la proposta dell’UE alla Convenzione di Berna e il voto espresso in quella sede. L’accoglimento del ricorso avrebbe effetti giuridici rilevanti, in quanto determinerebbe l’invalidità dell’intero procedimento di declassamento del lupo, impedendo che la modifica della Convenzione di Berna possa essere applicata nell’ordinamento giuridico europeo.
I motivi espressi nel ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea si fonda su due principali motivi di diritto, entrambi connessi alla violazione delle norme europee in materia di protezione della biodiversità e al mancato rispetto dei principi sanciti dal Trattato sul Funzionamento dell’Unione Europea (TFUE), dalla Direttiva Habitat e dalla Carta dei Diritti Fondamentali dell’UE (v. notizia del ricorso pubblicato in Gazzetta Ufficiale).
Le ricorrenti lamentano la violazione dell’art. 191, paragrafo 3, TFUE, dell’art. 6, paragrafo 1, TUE e dell’art. 37 della Carta dei Diritti Fondamentali dell’Unione Europea, in quanto il Consiglio ha adottato la Decisione impugnata senza tenere conto dei dati scientifici e tecnici disponibili.
Il ricorso alla Corte di Giustizia evidenzia come la documentazione scientifica esistente – compresi i rapporti elaborati dalla Large Carnivore Initiative for Europe (LCIE) e da altri istituti di ricerca accreditati – indichi chiaramente che il lupo non ha raggiunto uno stato di conservazione favorevole in Europa. Nonostante ciò, il Consiglio e la Commissione hanno deciso di proporre il declassamento della specie basandosi sugli stessi dati che, nel 2022, avevano portato l’Unione Europea a rifiutare una proposta analoga avanzata dalla Svizzera.
Inoltre, la giurisprudenza della Corte di Giustizia dell’UE ha più volte ribadito che le deroghe al regime di protezione del lupo possono essere concesse solo se non pregiudicano il mantenimento di uno stato di conservazione soddisfacente della popolazione della specie nella sua area di ripartizione naturale. Tale principio, espresso nelle recenti sentenze C-436/22 e C-601/22, è stato completamente ignorato dal Consiglio nel proporre il declassamento della specie a livello continentale, senza considerare le differenze nei singoli stati membri e senza garantire una valutazione rigorosa basata su parametri scientifici aggiornati.
Oltre alla violazione di tali principi, il ricorso alla Corte di Giustizia evidenzia come la Decisione impugnata si ponga in contrasto con la Raccomandazione n. 56 (1997) del Comitato Permanente della Convenzione di Berna, che impone che le modifiche agli allegati della Convenzione avvengano in modo coerente e fondato sulle migliori conoscenze scientifiche disponibili. Il mancato rispetto di tali obblighi mina l’intero impianto normativo europeo in materia di tutela della fauna selvatica, creando un precedente pericoloso che potrebbe essere esteso ad altre specie protette.
A ulteriore conferma delle criticità della Decisione impugnata, il Mediatore Europeo ha recentemente aperto un fascicolo d’indagine, sollevando dubbi sulla trasparenza del processo decisionale e sulla metodologia adottata dalla Commissione Europea nella raccolta e nella valutazione dei dati scientifici. L’assenza di un’adeguata istruttoria e il peso preponderante delle pressioni politiche nella decisione finale rappresentano ulteriori elementi che il Tribunale dell’Unione Europea dovrà valutare nell’ambito del giudizio di annullamento.
I prossimi sviluppi del ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea contro il declassamento del lupo ha ora raggiunto un’importante fase procedurale. L’atto introduttivo è stato formalmente registrato e pubblicato nella Gazzetta Ufficiale dell’Unione Europea,
Le Associazioni ricorrenti (v. Comunicato sulla stampa internazionale) ribadiscono la loro posizione secondo cui il declassamento del lupo è stato adottato in violazione delle migliori conoscenze scientifiche disponibili, con un’eccessiva ingerenza di considerazioni politiche prive di fondamento tecnico. La giurisprudenza della Corte di Giustizia ha più volte stabilito che le decisioni relative alla protezione della fauna selvatica devono essere basate su dati scientifici solidi e su un’istruttoria rigorosa, senza essere distorte da pressioni di natura socio-economica che non trovano riscontro nei dati oggettivi.
Nei prossimi mesi, il procedimento giudiziario proseguirà con le memorie difensive delle istituzioni convenute, seguite dall’eventuale fase dibattimentale, durante la quale il Tribunale dell’Unione Europea sarà chiamato a valutare la legittimità della Decisione del Consiglio UE e la fondatezza dei motivi di ricorso presentati dalle Associazioni.
L’esito del ricorso alla Corte di Giustizia avrà un impatto significativo non solo sulla tutela del lupo grigio in Europa, ma anche sui futuri standard di protezione della biodiversità nell’Unione. In un contesto globale in cui la crisi ecologica e la perdita di biodiversità sono riconosciute come emergenze prioritarie, la vicenda giudiziaria in corso rappresenta un banco di prova per l’efficacia della governance ambientale europea e per il rispetto dei principi sanciti dai Trattati dell’Unione.
Per ulteriori informazioni sul ricorso alla Corte di Giustizia contattaci qui.
da Redazione | Feb 17, 2025 | Diritto Penale
L’impiego dell’IA in ambito medico sta determinando una trasformazione profonda nel settore sanitario, in particolare nel campo della diagnostica medica. La capacità di analizzare grandi quantità di dati clinici, individuare schemi e formulare ipotesi diagnostiche ha reso l’intelligenza artificiale uno strumento “di frontiera” per il miglioramento delle prestazioni sanitarie, incidendo significativamente sul rapporto tra medico e paziente.
L’IA non si limita a supportare il medico, ma può apprendere e modificare il proprio funzionamento nel tempo, rendendo ancora più complessa l’individuazione delle responsabilità in caso di errore diagnostico. Tale evoluzione pone questioni giuridiche di rilevante spessore, in particolare in relazione alla responsabilità penale derivante dall’utilizzo di sistemi automatizzati nella pratica medica. Il problema della corretta imputazione dell’errore diagnostico, infatti, dipende dal ruolo attribuito all’IA, che può essere impiegata come strumento di supporto o come vero e proprio sostituto della decisione medica.
In quest’ultimo caso, l’attribuzione della responsabilità non riguarderebbe più esclusivamente il medico, ma si estenderebbe ai produttori e sviluppatori di tali sistemi, con il conseguente interrogativo sull’applicabilità delle attuali norme penali a scenari di crescente automazione nella sanità.
Il presente contributo rappresenta una versione estesa dell’approfondimento già pubblicato su HealthTech360.
IA in ambito medico e il ruolo della diagnostica automatizzata
L’introduzione dell’IA in ambito medico ha determinato un mutamento significativo nella metodologia diagnostica, incidendo sia sulla raccolta e interpretazione dei dati clinici sia sul processo decisionale del medico.
Tradizionalmente, l’attività diagnostica si articola in una serie di fasi ben definite che includono la raccolta delle informazioni cliniche rilevanti, la formulazione di una diagnosi differenziale, l’approfondimento del quadro clinico e, infine, l’individuazione della diagnosi definitiva.
L’avvento di strumenti basati su intelligenza artificiale ha reso possibile un potenziamento dell’intero processo, superando il tradizionale utilizzo della tecnologia quale mero supporto alla raccolta dati e consentendo invece l’autonoma elaborazione di ipotesi diagnostiche da parte di sistemi avanzati.
Il funzionamento di questi strumenti si basa su modelli matematici capaci di analizzare enormi quantità di dati clinici, individuando correlazioni e schemi non immediatamente percepibili dall’occhio umano. L’IA in ambito medico consente così di identificare con maggiore precisione patologie complesse, migliorando l’accuratezza e la tempestività della diagnosi, in particolare nei settori della diagnostica per immagini, della medicina predittiva e della personalizzazione dei trattamenti terapeutici.
Tuttavia, il passaggio da un modello in cui l’IA rappresenta uno strumento di supporto a uno in cui assume un ruolo preponderante nel processo diagnostico solleva delicate questioni giuridiche. La capacità degli algoritmi di adattarsi autonomamente all’esperienza clinica, modificando nel tempo il proprio comportamento sulla base dei dati raccolti, introduce un ulteriore elemento di complessità, poiché rende più difficile prevedere e controllare l’esito delle decisioni generate dal sistema.
IA in ambito medico: il quadro normativo e gli obblighi cautelari
A livello normativo, i sistemi di intelligenza artificiale utilizzati nella sanità rientrano nella categoria dei dispositivi medici, come stabilito dalla Direttiva 85/374/CEE e dal Regolamento (UE) 2017/745, che disciplinano la sicurezza e l’immissione in commercio di prodotti medici.
Sul piano civilistico, l’inserimento degli strumenti IA-based tra i dispositivi medici implica l’applicazione della disciplina sulla responsabilità da prodotto difettoso, attribuendo ai fabbricanti l’onere di garantire che il sistema non presenti difetti che possano causare danni ai pazienti.
Un ulteriore riferimento normativo – oggi di centrale importanza – è il Regolamento sull’Intelligenza Artificiale (AI Act), recentemente approvato dal Parlamento europeo, che disciplina gli obblighi specifici per i fornitori di sistemi di IA ad alto rischio. In virtù dell’articolo 6, i sistemi IA impiegati nella diagnostica medica rientrano tra quelli sottoposti a requisiti più stringenti in termini di trasparenza, gestione del rischio e conformità alle normative di sicurezza.
Il Regolamento impone ai produttori di adottare misure di controllo rigorose per garantire che i sistemi rispettino standard elevati di qualità e sicurezza, attraverso la gestione del rischio, la sorveglianza post-commercializzazione e l’implementazione di procedure di verifica periodica delle prestazioni del software.
Particolare attenzione è riservata alla trasparenza del processo decisionale dell’IA, che rappresenta una delle criticità più rilevanti nel settore sanitario. I sistemi basati su reti neurali profonde e machine learning possono infatti operare in modalità black box, rendendo difficile per il medico e per le autorità di controllo comprendere il percorso logico attraverso cui l’algoritmo è giunto a una determinata conclusione diagnostica.
L’AI Act stabilisce pertanto che i produttori devono garantire tracciabilità e spiegabilità degli output generati dall’IA, affinché il professionista sanitario possa valutare in modo consapevole le informazioni fornite e prendere decisioni in linea con le migliori pratiche mediche.
Parallelamente agli obblighi gravanti sui produttori, la normativa prevede doveri specifici per le strutture sanitarie e per i professionisti medici che utilizzano sistemi IA nella loro attività. La giurisprudenza, in particolare, riconosce che il medico conserva una posizione di garanzia nei confronti del paziente, con il dovere di verificare l’attendibilità dello strumento diagnostico e di valutarne criticamente i risultati. Questo principio comporta che, anche in presenza di un sistema IA certificato, il sanitario non possa affidarsi passivamente alle indicazioni fornite dall’algoritmo, ma debba sempre esercitare un controllo attivo e responsabile.
L’inosservanza di tali obblighi potrebbe determinare l’insorgere di responsabilità penale in caso di errore diagnostico, soprattutto laddove il medico abbia omesso di valutare con diligenza l’affidabilità del sistema o abbia adottato una diagnosi automatizzata senza sottoporla a una verifica clinica adeguata.
IA in ambito medico: focus sui profili di responsabilità
L’utilizzo dell’IA in ambito medico solleva rilevanti questioni circa la responsabilità penale del personale sanitario, soprattutto nei casi in cui l’impiego di tali tecnologie comporti errori diagnostici con conseguenze dannose per il paziente. La responsabilità può riguardare diverse figure, tra cui il medico, la struttura sanitaria e il produttore del sistema IA, a seconda delle circostanze in cui si verifica l’evento lesivo.
Uno dei principali riferimenti normativi in questo ambito è rappresentato dall’articolo 590-sexies, comma 1, c.p., che disciplina la responsabilità colposa per morte o lesioni personali in ambito sanitario. Come noto, tale disposizione prevede che il medico possa andare esente da responsabilità se ha rispettato le linee guida e le buone pratiche clinico-assistenziali, ma l’applicazione di questa norma ai sistemi IA risulta problematica, in quanto le best practice in materia di intelligenza artificiale sono in continua evoluzione e spesso non codificate in modo uniforme (o non codificate affatto).
Ciò crea un’incertezza giuridica che potrebbe tradursi in un aumento del contenzioso penale nei confronti dei professionisti sanitari che decidono di avvalersi di strumenti basati sull’IA in ambito medico per formulare diagnosi o definire percorsi terapeutici.
Peraltro, individuare con certezza il nesso di causalità tra il difetto del sistema IA e l’evento lesivo rappresenta un aspetto particolarmente complesso, soprattutto in presenza di dispositivi che operano in maniera autonoma e il cui comportamento può variare nel tempo in funzione dell’apprendimento automatico.
Un ulteriore profilo di responsabilità coinvolge la struttura sanitaria, che è tenuta a garantire un utilizzo appropriato delle tecnologie IA e a predisporre adeguati protocolli di verifica e sorveglianza. La struttura può essere chiamata a rispondere per responsabilità contrattuale, con l’onere della prova liberatoria a proprio carico, mentre il medico risponde in termini di responsabilità extracontrattuale, con la necessità per il paziente di dimostrare il nesso causale tra l’errore diagnostico e il danno subito.
Sul piano penale, la colpa professionale del medico potrebbe configurarsi qualora venga dimostrato che l’adozione del sistema IA sia avvenuta con negligenza, imperizia o imprudenza, ad esempio utilizzando un algoritmo privo delle necessarie certificazioni o facendo affidamento su un software che presenta limiti tecnici non adeguatamente considerati.
Le problematiche connesse alla responsabilità penale per l’uso dell’IA in ambito medico sono acuite dalla natura stessa di questi sistemi, che spesso operano in modo opaco e difficilmente comprensibile persino per gli stessi sviluppatori. La crescente diffusione di tecniche di deep learning ha accentuato il problema della black box AI, ossia l’incapacità di spiegare con precisione il ragionamento seguito dall’algoritmo per giungere a una determinata diagnosi. Questa caratteristica rende estremamente complesso per il medico controllare e verificare la correttezza delle informazioni fornite dal sistema, con il rischio di attribuire erroneamente la responsabilità dell’errore diagnostico al professionista sanitario, pur in assenza di una reale possibilità di intervento correttivo da parte di quest’ultimo.
In questo scenario, appare evidente che la responsabilità penale in ambito sanitario sta affrontando una fase di profonda trasformazione, in cui l’attribuzione della colpa non può più basarsi esclusivamente sui criteri tradizionali della colpa medica o della responsabilità da prodotto.
IA in ambito medico e la complessità dell’accertamento della responsabilità
L’accertamento della responsabilità penale per errore diagnostico, in caso di utilizzo dell’IA in ambito medico, rimane in assoluto la questione più spinosa e controversa. Essa coinvolge una pluralità di soggetti e impone un’analisi approfondita delle dinamiche che hanno portato all’evento lesivo. A differenza dei modelli tradizionali di imputazione della colpa in ambito sanitario, nei quali il nesso di causalità tra condotta del medico ed evento dannoso può essere ricostruito con criteri consolidati, l’introduzione dell’intelligenza artificiale potrebbe richiedere una revisione delle categorie giuridiche applicabili, a causa dell’autonomia e dell’evoluzione continua degli algoritmi.
Uno dei principali problemi riguarda la difficoltà di individuare il soggetto responsabile nel caso in cui un sistema IA diagnostico generi un errore con conseguenze dannose per il paziente. L’architettura di questi dispositivi prevede la partecipazione di diversi attori, tra cui i programmatori e sviluppatori dell’algoritmo, i produttori del dispositivo medico, i responsabili della manutenzione e degli aggiornamenti, nonché il personale sanitario che utilizza il sistema nella pratica clinica.
Tale frammentazione dei ruoli rende arduo stabilire in quale fase del processo si sia verificata la disfunzione che ha determinato l’errore diagnostico e, di conseguenza, attribuire la responsabilità penale a un determinato soggetto.
Inoltre, la capacità dei sistemi IA in ambito medico di apprendere autonomamente dall’esperienza clinica introduce un ulteriore elemento di incertezza nell’attribuzione della colpa. Le reti neurali e i modelli di machine learning non funzionano attraverso un insieme statico di regole prestabilite, bensì modificano il proprio comportamento nel tempo in base ai dati raccolti e alle interazioni con il contesto operativo.
Questo meccanismo, pur migliorando l’efficacia diagnostica nel lungo periodo, determina una crescente difficoltà nell’identificare le cause di un eventuale errore e nel comprendere se esso sia dovuto a un difetto originario del software, a un problema di addestramento dell’algoritmo o a un utilizzo non conforme da parte del medico.
In un simile contesto, il tradizionale approccio basato sull’imputazione della colpa per imperizia, imprudenza o negligenza rischia di risultare inadeguato, poiché il medico potrebbe non avere alcun controllo diretto sul processo decisionale dell’algoritmo e, al tempo stesso, il produttore potrebbe non essere in grado di prevedere con esattezza il comportamento futuro del sistema.
Un ulteriore fattore di complessità è rappresentato dalla combinazione dell’IA in ambito medico con altri strumenti digitali, come dispositivi di monitoraggio remoto o strumenti di imaging medico avanzato, che possono influenzare l’esito delle diagnosi attraverso l’integrazione di dati provenienti da fonti multiple. In questi casi, la ricostruzione del nesso di causalità tra il malfunzionamento del sistema e l’evento dannoso si complica ulteriormente, poiché la responsabilità potrebbe derivare non da un singolo errore, ma da un’interazione tra più fattori tecnologici.
Alla luce di queste problematiche, risulta evidente che i criteri tradizionali di attribuzione della responsabilità penale in ambito medico necessitano di un adeguamento per poter rispondere alle nuove sfide poste dall’intelligenza artificiale. Il diritto penale, fondato su principi di certezza e prevedibilità, si trova di fronte alla necessità di bilanciare la tutela dei pazienti con il rischio di creare un sistema di responsabilità eccessivamente gravoso per i medici e le strutture sanitarie.
In questo scenario, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di garantire un equo riparto delle responsabilità tra i soggetti coinvolti, evitando di generare una criminalizzazione eccessiva dei professionisti sanitari per eventi che, di fatto, potrebbero dipendere da variabili difficilmente controllabili.
IA in ambito medico e la collaborazione uomo-macchina: un nuovo modello di responsabilità
L’integrazione dell’IA in ambito medico nella pratica diagnostica ha determinato una ridefinizione dei rapporti tra il medico e gli strumenti tecnologici, sollevando interrogativi non solo in merito alla responsabilità individuale, ma anche riguardo alla possibile configurazione di una forma di responsabilità condivisa tra uomo e macchina.
Tradizionalmente, gli strumenti diagnostici erano considerati meri ausili del medico, il quale conservava un ruolo preminente nella valutazione delle informazioni cliniche e nella formulazione della diagnosi. Con l’avvento dei sistemi IA in ambito medico, in grado di elaborare autonomamente ipotesi diagnostiche e suggerire percorsi terapeutici, si sta delineando un nuovo paradigma in cui la decisione medica non è più il risultato esclusivo del ragionamento umano, ma deriva da una cooperazione tra professionista sanitario e algoritmo.
In questa prospettiva, l’IA in ambito medico non può essere considerata alla stregua di un semplice strumento consultivo, bensì deve essere interpretata come un elemento attivo nel processo decisionale. Tale cambiamento incide direttamente sull’imputazione della responsabilità penale, poiché il medico potrebbe essere chiamato a rispondere non solo per le proprie scelte, ma anche per gli errori derivanti dall’adozione delle indicazioni fornite dall’intelligenza artificiale. La questione diviene ancora più complessa nei casi in cui il sistema diagnostico abbia operato in modo non trasparente, fornendo risultati basati su correlazioni statistiche di difficile interpretazione.
Dal punto di vista giuridico, si aprono due possibili scenari. Nel primo, il sanitario conserva un ruolo di supervisione e controllo sul sistema IA in ambito medico, assumendo la piena responsabilità delle decisioni adottate sulla base delle analisi algoritmiche. In questo caso, la colpa del professionista potrebbe essere configurata qualora si dimostrasse che ha fatto affidamento in modo acritico su un sistema IA senza verificarne l’attendibilità o senza adottare ulteriori accertamenti clinici.
Nel secondo scenario, il medico e il sistema IA operano in una relazione di cooperazione decisionale, in cui il professionista segue le indicazioni dell’algoritmo in quanto ritenute altamente affidabili sulla base di dati oggettivi e standardizzati. In questa ipotesi, la responsabilità potrebbe essere distribuita tra il medico, il produttore del sistema IA e la struttura sanitaria, configurando un modello di cooperazione colposa.
La distinzione tra cooperazione colposa e concorso di cause indipendenti assume qui un rilievo fondamentale, poiché nel primo caso i soggetti coinvolti sono consapevoli di operare in un contesto di responsabilità condivisa, mentre nel secondo le condotte colpose restano autonome e non riconducibili a una collaborazione consapevole.
Un altro aspetto di particolare interesse riguarda l’eventuale responsabilità dei programmatori e degli sviluppatori del sistema IA, qualora il software utilizzato dal medico presenti difetti strutturali che abbiano influito sulla formulazione della diagnosi. In tal caso, si potrebbe configurare una responsabilità diretta dei produttori per prodotto difettoso, ai sensi delle normative europee in materia di dispositivi medici. Tuttavia, l’assenza di un criterio chiaro per stabilire il grado di autonomia dell’algoritmo rende incerta l’applicabilità delle norme tradizionali, poiché le attuali disposizioni sulla colpa professionale si basano su un modello di responsabilità che presuppone l’intervento umano come elemento centrale.
Il dibattito sulla responsabilità penale per l’uso dell’IA in ambito medico impone una riflessione sulla necessità di un aggiornamento normativo che tenga conto delle nuove dinamiche collaborative tra uomo e macchina. Il diritto penale tradizionale, fondato su categorie statiche di colpa e dolo, si trova a dover affrontare una realtà in cui le decisioni cliniche non sono più frutto della volontà esclusiva del medico, ma derivano dall’interazione con sistemi tecnologici sempre più avanzati.
L’assenza di una disciplina specifica su questi aspetti potrebbe portare a una distribuzione irrazionale della responsabilità, penalizzando eccessivamente il medico o, al contrario, lasciando impuniti gli errori derivanti da un utilizzo improprio dei sistemi IA. In tale contesto, diviene necessario individuare modelli di imputazione della colpa che siano in grado di bilanciare l’esigenza di tutela del paziente con il progresso tecnologico, evitando di ostacolare l’innovazione per il timore di un’eccessiva esposizione al rischio penale.
Conclusioni: prospettive future e scelte di politica criminale
L’evoluzione dell’IA in ambito medico sta modificando profondamente i parametri tradizionali della responsabilità penale in ambito sanitario, rendendo sempre più evidente la necessità di un adeguamento normativo. L’impiego di sistemi di intelligenza artificiale nella diagnostica e nella formulazione delle scelte terapeutiche ha sollevato questioni complesse che riguardano l’attribuzione della colpa, il rapporto tra medico e macchina e la necessità di garantire un livello adeguato di sicurezza per il paziente senza scoraggiare l’innovazione tecnologica.
Una delle principali criticità emerse riguarda il vuoto normativo in materia di responsabilità derivante dall’utilizzo di dispositivi IA in ambito medico. Se da un lato il diritto penale tradizionale impone che l’imputazione della colpa si basi su criteri di prevedibilità ed evitabilità dell’evento, dall’altro l’autonomia e l’evoluzione continua degli algoritmi complicano l’applicazione di tali principi, determinando il fenomeno del responsibility gap.
L’assenza di un controllo diretto da parte del medico sulle decisioni dell’algoritmo e l’impossibilità di prevedere con assoluta certezza il comportamento futuro del sistema IA potrebbero determinare situazioni in cui nessun soggetto possa essere chiamato a rispondere penalmente, oppure, al contrario, portare a una responsabilità generalizzata che rischierebbe di penalizzare ingiustamente i professionisti sanitari.
Si dovrebbe al riguardo meditare su un modello di responsabilità plurisoggettiva che riconosca il ruolo attivo di tutti i soggetti coinvolti nella progettazione, nello sviluppo e nell’utilizzo dell’IA in ambito medico. In questa prospettiva, la responsabilità penale non ricadrebbe esclusivamente sul medico, ma sarebbe distribuita tra le diverse figure professionali coinvolte nella creazione e gestione del sistema IA, compresi i programmatori, i produttori di software e i responsabili della manutenzione degli algoritmi. Questo modello permetterebbe di superare le rigidità del sistema attuale, attribuendo la colpa in maniera proporzionata rispetto al grado di influenza che ciascun soggetto ha esercitato nella determinazione dell’errore diagnostico.
Sotto il profilo della politica criminale, la tendenza più ragionevole sembra essere quella di evitare una criminalizzazione generalizzata dell’uso dell’IA nella sanità, limitando l’intervento punitivo alle ipotesi di colpa grave e dolo, e rafforzando invece i meccanismi di compliance e controllo preventivo.
L’adozione di protocolli chiari sull’uso dell’IA, l’obbligo di trasparenza nell’addestramento degli algoritmi e l’istituzione di un sistema di certificazione per i dispositivi IA in ambito medico potrebbero costituire strumenti più efficaci per garantire la sicurezza dei pazienti rispetto a un’applicazione indiscriminata delle sanzioni penali.
Alla luce di queste considerazioni, è evidente che l’IA in ambito medico pone sfide inedite per il diritto penale, che non può più limitarsi a interpretare l’intelligenza artificiale come un semplice strumento, ma deve riconoscere il ruolo attivo che essa gioca nel processo diagnostico e terapeutico. La transizione verso un modello di responsabilità condivisa e l’adozione di nuovi criteri di imputazione della colpa rappresentano passi fondamentali per garantire un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali dei pazienti.
In questo scenario in continua evoluzione, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di coniugare le esigenze della scienza medica con i principi fondamentali del diritto penale, evitando sia la deresponsabilizzazione totale dei soggetti coinvolti, sia l’imposizione di oneri eccessivi che potrebbero ostacolare il progresso della medicina digitale.
Il nostro studio legale, da sempre attento alle evoluzioni normative e tecnologiche, offre consulenza specializzata in compliance nel settore delle nuove tecnologie, con particolare attenzione all’integrazione dell’IA nei processi aziendali. Attraverso un approccio multidisciplinare, supportiamo aziende, sviluppatori e strutture sanitarie nell’adozione di disruptive technologies in conformità con la normativa vigente, minimizzando i rischi giuridici e promuovendo un utilizzo responsabile dell’intelligenza artificiale.
La prevenzione è il fulcro della nostra attività: affianchiamo i nostri clienti nella definizione di protocolli operativi, nell’adeguamento ai requisiti normativi e nella predisposizione di modelli organizzativi che assicurino un impiego dell’IA quanto più possibile immune da rischi e orientato alla sicurezza e alla tutela dei diritti fondamentali.
