Innovation Law Insights | DLA Piper

Podcast

Come si intersecano AI Governance, Privacy e Innovazione: una conversazione con Emerald De Leeuw-Goggin

Nell’ultimo episodio del podcast Diritto al Digitale, Giulio Coraggio discute con Emerald De Leeuw-Goggin, Global Head of AI Governance & Privacy presso Logitech, di come le aziende possano bilanciare innovazione e conformità legale in uno degli ambiti in più rapida evoluzione tra diritto e tecnologia.

Dai suoi inizi imprenditoriali come fondatrice di Eurocomply fino all’attuale ruolo di leadership in Logitech, la carriera di Emerald De illustra cosa significhi guidare il cambiamento all’intersezione tra governance dell’AI, privacy e proprietà intellettuale.

Puoi guardare il podcast QUI e ascoltarlo QUI.

Artificial Intelligence

Come istituire un Comitato AI all’interno del framework di governance aziendale

Creare un comitato AI all’interno del framework di governance aziendale relativo all’uso dell’intelligenza artificiale non è più un lusso, ma una necessità.

Con lo sviluppo rapidissimo dell’intelligenza artificiale (AI), la pressione normativa derivante da regolamenti come l’AI Act dell’UE e il GDPR, nonché il rischio di controversie legate a violazioni in materia di proprietà intellettuale e privacy, le imprese non possono più rimandare l’adozione di un framework di governance dell’AI. L’ossatura di tale framework è il comitato AI, che garantisce che l’innovazione proceda di pari passo con la responsabilità, che i rischi vengano gestiti in modo efficace e che gli standard legali ed etici siano integrati in ogni fase di un progetto di AI.

In questo articolo risponderò alle domande più frequenti su come strutturare un simile organismo: chi dovrebbero essere i membri, se sia necessario un Chief AI Officer, come il comitato dovrebbe operare e comunicare con il resto dell’azienda, come interagire con i processi di conformità al GDPR e come il suo ruolo dovrebbe essere riflesso nella policy aziendale in materia di compliance AI.

Chi dovrebbe essere membro del comitato AI?

Questa è la domanda che riceviamo più frequentemente nell’ultimo periodo. Un comitato AI deve essere per sua natura trasversale. Infatti, i progetti di AI incidono contemporaneamente su tecnologia, protezione dei dati, strategia aziendale ed etica. Per coprire questa complessità, dovrebbero essere rappresentati i seguenti ruoli:

• Dirigenti senior in ambito IT, come il CTO, il responsabile IT o i lead data scientist, per fornire conoscenza tecnica su modelli, dati e implementazione;
• Responsabili legali e compliance officer, in grado di interpretare regolamenti come l’AI Act, il GDPR, la normativa a tutela dei consumatori e le ulteriori disposizioni settoriali;
• Il Data Protection Officer, il cui ruolo è centrale per garantire che il trattamento dei dati personali nei progetti AI sia conforme ai requisiti di cui alla normativa privacy;
• Responsabili della cybersecurity o della sicurezza IT, poiché i sistemi di AI sono vulnerabili ad attacchi informatici e richiedono infrastrutture robuste e adeguate misure di sicurezza;
• Specialisti di risk management, in grado di collocare l’AI nella mappa complessiva dei rischi aziendali, inclusi quelli reputazionali, finanziari e operativi.

Altri membri, come il responsabile marketing e quello HR, dovrebbero invece poter partecipare su richiesta a seconda dei temi trattati dal comitato AI.

La composizione deve essere adattata alla dimensione della società, al livello di maturità raggiunto in materia di AI e al settore di riferimento, ma il principio rimane: un comitato AI deve combinare prospettive diverse per essere efficace.

È necessario un Chief AI Officer?

La questione della nomina di un Chief AI Officer (“CAIO“) sta diventando sempre più rilevante. Per le aziende in cui l’AI è centrale per il modello di business (e.g. banche che impiegano sistemi automatizzati di credit scoring, società health-tech che si basano su algoritmi diagnostici, o business data-driven) la risposta è di regola positiva.

Un CAIO può:

• Definire una strategia AI unitaria per l’intera azienda;
• Agire come presidente permanente del comitato AI;
• Assicurare l’allineamento tra governance, risk management, compliance e business;
• Essere il punto di contatto principale con autorità di vigilanza, revisori e stakeholder esterni.

Laddove l’AI non rivesta un ruolo centrale, le responsabilità possono rimanere distribuite tra funzioni già esistenti a livello C-suite, come CTO, CIO o CDO. Tuttavia, anche in tali casi, il comitato AI deve avere una leadership chiara e responsabilità definite, per evitare di trasformarsi in una “talk shop” priva di potere esecutivo.

In ogni caso, il comitato AI deve avere una persona responsabile del suo funzionamento e che garantisca il suo coinvolgimento in tutti i progetti AI aziendali, i quali non dovrebbero procedere senza l’approvazione del comitato.

Come deve operare e comunicare internamente il comitato AI?

Un comitato AI privo di procedure chiare è destinato a fallire rapidamente. Per funzionare, ha bisogno sia di autorità, sia di canali di comunicazione formalizzati nella policy AI aziendale. Alcune best practices includono:

• Charter e mandato: il comitato deve avere ambito di azione e responsabilità formalmente definiti, tra cui la revisione delle nuove iniziative AI, la definizione di standard interni e l’escalation delle criticità al senior management;
• Revisione, approvazione e monitoraggio dei sistemi AI: il comitato deve essere abilitato a revisionare, approvare e monitorare costantemente tutti i sistemi AI sviluppati o adottati dall’azienda. La supervisione deve seguire un approccio “AI by design”, integrando da subito i requisiti di cui all’AI Act e al GDPR, nonché le disposizioni settoriali e in materia di diritto d’autore;
• Riunioni periodiche: in genere mensili o bimestrali, con la possibilità di convocare sessioni straordinarie per progetti ad alto rischio o urgenti;
• Regole di decision-making: deve essere chiaro che l’approvazione del comitato AI è necessaria per l’adozione di qualsiasi sistema di AI da parte della società;
• Referenti dipartimentali: ogni dipartimento (prodotto, legale, IT, HR, operations) deve nominare un referente per facilitare l’interazione con il comitato;
• Linee guida e formazione: il comitato deve non solo supervisionare, ma anche fornire strumenti pratici, template e sessioni di awareness per diffondere la cultura della responsabilità AI in azienda;
• Linee di reporting: il comitato deve fornire report periodici al consiglio di amministrazione o a un comitato esecutivo competente, riassumendo decisioni, rischi individuati e lezioni apprese.

Questo modello operativo garantisce che il comitato AI non sia isolato, ma operi come “tessuto connettivo” tra i progetti AI e la governance aziendale.

Come collegare il funzionamento del comitato AI al framework di conformità GDPR?

L’intersezione tra AI, comitato e governance emerge in modo particolarmente evidente in materia di protezione dei dati. Poiché la maggior parte dei sistemi di AI si basa su dati personali, la conformità al GDPR non può essere un aspetto secondario. Il comitato AI deve:

• Garantire che vengano svolte le Valutazioni d’Impatto sulla Protezione dei Dati (DPIA) per i sistemi AI ad alto rischio già in fase di progettazione, e le Valutazioni di Impatto sui Diritti Fondamentali (FRIA) ove richieste dall’AI Act;
• Verificare l’adeguatezza della base giuridica scelta per il trattamento (e.g. consenso, legittimo interesse, necessità contrattuale);
• Promuovere la privacy by design, inclusa la minimizzazione dei dati, l’anonimizzazione o la pseudonimizzazione ove possibile;
• Assicurare l’adempimento degli obblighi di trasparenza, informando gli utenti quando una decisione che li riguarda è assunta da un sistema AI e garantendo spiegazioni comprensibili;
• Sovrintendere all’integrazione dei diritti degli interessati (accesso, rettifica, cancellazione, opposizione) nei processi AI;
• Monitorare i controlli di sicurezza e i processi di gestione degli incidenti in caso di violazioni di dati legati a sistemi AI.

Tali attività devono essere coordinate con il DPO, per evitare duplicazioni e garantire coerenza. In tal modo, il comitato AI assicura che la protezione dei dati sia integrata nella strategia complessiva di governance.

Come deve essere riflesso il comitato AI nella compliance policy?

L’ultimo passo è formalizzare il ruolo del comitato nella policy di compliance AI della società. Una policy che non menzioni il comitato non gli attribuisce infatti né legittimità né visibilità. Quanto meno la policy deve:

• Identificare il comitato AI, la sua composizione e la sua autorità;
• Assegnare chiaramente le responsabilità ai membri, incluso il presidente o il CAIO se nominato;
• Prevedere che determinati sistemi AI – in particolare quelli ad alto rischio – non possano essere adottati senza previa revisione e approvazione del comitato;
• Specificare la documentazione necessaria (e.g. risk assessment, bias audit, DPIA);
• Chiarire l’integrazione con i processi di conformità al GDPR;
• Definire metriche, obblighi di monitoraggio e reporting;
• Stabilire una clausola di revisione periodica e miglioramento continuo, sia della policy sia del funzionamento del comitato.

In questo modo, la governance non rimane solo un principio astratto, ma diventa effettiva, vincolante e visibile in tutta l’organizzazione.

Conclusione

Un comitato AI rappresenta la pietra angolare di una governance aziendale efficace nell’era dell’AI. Riunisce competenze eterogenee, crea uno spazio per la gestione dei rischi e fornisce la supervisione necessaria per conformarsi a normative come il GDPR, l’AI Act, nonché alle normative settoriali e in materia di diritto d’autore.

Attraverso la revisione, l’approvazione e il monitoraggio dei sistemi AI con un approccio “AI by design”, il comitato assicura che la conformità sia incorporata nell’innovazione, e non semplicemente aggiunta in un secondo momento.

In un contesto in cui la fiducia nell’AI è preziosa quanto le prestazioni, istituire un comitato AI non significa solo rispettare la legge: significa costruire un vantaggio competitivo sostenibile.

Autore: Giulio Coraggio

Data Protection and Cybersecurity

Danni non patrimoniali ai sensi del GDPR: la CGUE nella causa C-655/23 (IP c. Quirin Privatbank)

Il 4 settembre 2025, la Corte di giustizia dell’Unione europea (CGUE) ha pronunciato un’importante sentenza nella causa C-655/23, IP c. Quirin Privatbank AG, in materia di risarcibilità dei danni non patrimoniali ai sensi del Regolamento (UE) 2016/679 (GDPR).

La decisione fornisce chiarimenti fondamentali sui criteri e i presupposti per l’ottenimento del risarcimento ai sensi dell’articolo 82 GDPR, precisando cosa possa integrare un danno non patrimoniale risarcibile e quali condizioni debbano sussistere per ottenerne la compensazione.

I fatti

Il ricorrente aveva presentato domanda di assunzione presso una banca tramite una piattaforma professionale di networking. Nel corso della procedura di selezione, un dipendente della banca inviava erroneamente a un terzo – non coinvolto nel processo di assunzione – un messaggio destinato unicamente al candidato. Il terzo, che conosceva il ricorrente per precedenti rapporti professionali, gli inoltrava il messaggio ricevuto.

A seguito di tale violazione, il ricorrente adiva i giudici tedeschi chiedendo un’ingiunzione per impedire ulteriori comunicazioni illecite dei propri dati personali e il risarcimento del danno non patrimoniale subito.

I giudici tedeschi riconoscevano la violazione del GDPR e concedevano l’ingiunzione, ma respingevano la domanda risarcitoria, ritenendo che il ricorrente non avesse provato in misura sufficiente l’esistenza del danno non patrimoniale. In sede di impugnazione, il Bundesgerichtshof (Corte federale di giustizia) deferiva alla CGUE alcune questioni pregiudiziali sull’interpretazione dell’articolo 82 GDPR.

La motivazione della Corte

La Corte ha chiarito che il danno non patrimoniale non deve necessariamente tradursi in conseguenze materiali tangibili, purché l’interessato dimostri che lo stesso si sia effettivamente verificato e sia stato causato dalla divulgazione illecita dei propri dati personali.

In particolare, la Corte ha precisato che:

• Anche danni psicologici come ansia o turbamento emotivo quale conseguenza della divulgazione illecita dei dati personali possono costituire danno risarcibile.
• Non è richiesto un livello minimo di gravità per il danno non patrimoniale: anche un pregiudizio lieve, purché debitamente dimostrato, è risarcibile.
• La gravità o l’intenzionalità della condotta del titolare non possono essere utilizzate per ridurre l’ammontare del risarcimento, che deve essere “pieno ed effettivo”;
• La concessione di un’ingiunzione volta a prevenire future violazioni non può ridurre né sostituire il risarcimento del danno non patrimoniale già subito; i due rimedi sono distinti e cumulativi.

La Corte ha dunque adottato un’interpretazione ampia della nozione di danno non patrimoniale, in linea con la finalità del GDPR.

Tuttavia, tale pronuncia va letta in coordinamento con le norme nazionali regolanti l’onere della prova. In particolare, sebbene il danno non patrimoniale sia in linea di principio risarcibile, l’interessato dovrà comunque – con le dovute specificità legate all’ordinamento di riferimento – provare:

• l’effettiva esistenza del danno lamentato;
• la violazione del GDPR da parte del danneggiante; e
• il nesso causale tra la violazione e il danno reclamato.

Ne consegue che, considerata la difficoltà insita nel provare stati soggettivi come l’ansia o il turbamento emotivo, l’onere probatorio per gli interessati resta particolarmente gravoso, rendendo dunque complesso l’ottenimento della compensazione per danni immateriali.

Conclusione

La sentenza conferma l’approccio estensivo della CGUE in tema di risarcibilità del danno non patrimoniale, chiarendo i presupposti per il riconoscimento del danno.

Sebbene il soggetto interessato rimanga comunque tenuto a dimostrare l’esistenza del danno e il nesso diretto con la violazione del GDPR, la decisione risulta di interesse per le imprese, in quanto evidenzia il rischio di ricevere, oltre a sanzioni regolatorie, anche azioni risarcitorie da parte degli individui come conseguenza diretta del trattamento illecito dei dati personali.

Autore: Federico Toscani

Blockchain and Cryptocurrency

Doppia licenza o partnership: il bivio tracciato da Banca d’Italia per i CASP riguardo gli EMT. 

Il 4 settembre 2025 Banca d’Italia ha pubblicato una comunicazione in materia di interconnessione (di seguito, la “Comunicazione“) tra il Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (di seguito, “MiCAR“) e la Direttiva (UE) 2015/2366 sui servizi di pagamento (di seguito, “PSD2“) al fine di cristallizzare la modalità in cui i servizi relativi ai token di moneta elettronica (di seguito, “EMT“) debbano essere giuridicamente configurati. La Comunicazione si colloca nel solco già tracciato dalla No Action Letter resa dall’Autorità Bancaria Europea (di seguito, “EBA“) il 10 giugno 2025 e fissa, per l’Italia, un quadro interpretativo che ha un impatto immediato sulle strategie autorizzative e organizzative dei prestatori di servizi per le cripto-attività (di seguito, “CASP“). 

L’assunto centrale è chiaro: gli EMT, per loro stessa natura, si collocano a metà via tra il mondo delle cripto-attività e l’universo dei pagamenti. Se da un lato MiCAR li qualifica come una specifica categoria di cripto-attività, dall’altro devono considerarsi come “fondi” ai sensi PSD2 vista la loro equivalenza con la moneta elettronica tradizionale, con la conseguenza che alcune attività dei CASP si sovrappongono ai servizi di pagamento regolamentati. Da questa sovrapposizione discende un principio dirimente: quando un CASP offre servizi di trasferimento di EMT, o di custodia e amministrazione di EMT attraverso un custodial wallet che consente accrediti e addebiti da e verso terzi, tali attività devono essere considerate a tutti gli effetti servizi di pagamento. 

Il messaggio regolamentare è inequivoco. Dal 2 marzo 2026 i CASP che intendano prestare simili servizi dovranno essere doppiamente autorizzati: da un lato come fornitori di servizi per le cripto-attività ai sensi di MiCAR, dall’altro come istituti di pagamento (di seguito, “IP“) o istituti di moneta elettronica (di seguito, “IMEL“) ai sensi di PSD2. In alternativa, sarà possibile operare tramite una partnership con un prestatore di servizi di pagamento già autorizzato (PSP), a condizione che la partnership sia formalizzata in modo chiaro, con un preciso riparto di responsabilità, procedure di scambio informativo, strumenti di monitoraggio e la nomina di un referente interno. 

Per gli operatori già attivi la Comunicazione fissa un calendario stringente: l’istanza MiCAR dovrà essere presentata entro il 30 dicembre 2025 in ossequio al recentemente esteso regime transitorio, mentre l’istanza PSD2 dovrà essere depositata con anticipo sufficiente a concludere il procedimento entro il 1° marzo 2026. In mancanza, l’operatività sui servizi EMT dovrà essere sospesa fino all’ottenimento dell’autorizzazione o alla formalizzazione della partnership. 

La Comunicazione non si limita dunque a recepire un orientamento europeo ma definisce un percorso operativo per i CASP italiani. 

1. Servizi interessati e perimetro applicativo

La Comunicazione individua con precisione quali servizi aventi ad oggetto EMT rientrano nell’ambito dei pagamenti. Si tratta, in particolare, del trasferimento di EMT e della custodia e amministrazione di EMT, quando il custodial wallet consente di ricevere e disporre trasferimenti da e verso terzi. In questa configurazione, il wallet è equiparato a un conto di pagamento, e i servizi offerti dal CASP si trasformano, a tutti gli effetti, in servizi di esecuzione di operazioni di pagamento. La logica è semplice: se l’operatore movimenta EMT per conto del cliente in un circuito aperto verso terzi, è soggetto agli stessi obblighi e garanzie previsti per chi movimenta fondi tradizionali. 

Non meno importante è la delimitazione di ciò che resta fuori dal perimetro. Non costituisce servizio di pagamento l’intermediazione nell’acquisto di cripto-attività con EMT, così come non lo sono i servizi di scambio cripto-fiat. La qualificazione come servizi di pagamento, inoltre, non comporta un’assimilazione automatica agli strumenti di pagamento tipizzati dal Testo Unico Bancario: la sovrapposizione riguarda la funzione svolta, non la natura dello strumento utilizzato. 

A partire dal 2 marzo 2026, i CASP che intendano offrire servizi di trasferimento e custodia di EMT con queste caratteristiche dovranno quindi essere autorizzati anche ai sensi della PSD2, in qualità di istituti di pagamento o di istituti di moneta elettronica. In alternativa, potranno operare tramite partnership con un PSP già autorizzato, purché l’accordo sia strutturato con chiarezza e garantisca un adeguato livello di presidio. 

Per i soggetti già operativi, le tempistiche sono rigide: entro il 30 dicembre 2025 dovrà essere presentata l’istanza MiCAR ed entro il 1° marzo 2026 dovrà concludersi l’iter autorizzativo PSD2. In mancanza, l’operatività dovrà essere sospesa fino all’ottenimento delle autorizzazioni ovvero all’attivazione della partnership. 

2. Autorizzazioni e modelli operativi

La Comunicazione individua due percorsi alternativi per i CASP che intendano prestare servizi di trasferimento o custodia di EMT qualificabili come servizi di pagamento: la doppia licenza o la partnership con un PSP già autorizzato. 

La prima opzione implica che l’operatore ottenga, oltre all’autorizzazione MiCAR come CASP, anche quella ai sensi della PSD2, scegliendo tra istituto di pagamento o istituto di moneta elettronica in base al proprio modello di business. Non si tratta di una scelta meramente formale: la tipologia di licenza deve riflettere in modo coerente i servizi effettivamente erogati, le modalità operative adottate e i rischi connessi. In questo scenario, la Comunicazione ribadisce la necessità di costituire un patrimonio destinato che tuteli sia l’attività CASP sia la prestazione di servizi di pagamento, garantendo un presidio separato e dedicato per l’emissione di moneta elettronica e per la movimentazione degli EMT. Anche nel caso in cui l’operatore limiti la propria operatività ai soli pagamenti in EMT, resta richiesto un patrimonio destinato in linea con gli standard previsti per IP e IMEL. 

La seconda opzione consiste nel costruire una partnership con un PSP autorizzato. Questa strada non riduce gli obblighi di trasparenza né attenua la responsabilità complessiva del CASP, ma permette di concentrare l’attività autorizzativa sul solo perimetro MiCAR. La Comunicazione specifica, tuttavia, che la partnership deve essere solida e documentata già in sede di istanza, con un set minimo di elementi: un accordo contrattuale che stabilisca chiaramente gli ambiti di responsabilità; procedure di scambio informativo sulle transazioni effettuate; meccanismi di monitoraggio dell’attività del partner; e l’indicazione di un referente interno nel CASP incaricato di presidiare il rapporto. In mancanza di questi presidi, la partnership non è ritenuta idonea a sostituire la doppia licenza. 

L’impostazione di Banca d’Italia è quindi pragmatica ma rigorosa: lascia libertà di scelta tra due modelli operativi, ma in entrambi i casi pretende che il livello di controllo e accountability sia equivalente. Che si tratti di doppia licenza o di partnership, i CASP devono dimostrare di aver strutturato assetti autorizzativi e organizzativi in grado di garantire ai clienti lo stesso livello di affidabilità e tutela riconosciuto agli operatori del mercato dei pagamenti tradizionali. 

3. Requisiti prudenziali, assetti proprietari ed esponenti

Uno degli aspetti più rilevanti della Comunicazione riguarda l’armonizzazione dei requisiti prudenziali, che non si limita a imporre il rispetto delle regole MiCAR, ma richiede ai CASP autorizzati anche come prestatori di servizi di pagamento di soddisfare cumulativamente le richieste provenienti da entrambe le normative. L’obiettivo è chiaro: garantire che l’intermediario disponga in ogni momento di una dotazione patrimoniale sufficiente a coprire l’intero spettro dei rischi derivanti dall’operatività mista. 

In concreto, questo significa che i CASP devono rispettare i requisiti minimi previsti dal MiCAR (che variano a seconda dei servizi prestati e sono integrati dall’obbligo di detenere fondi propri o coperture assicurative) e, allo stesso tempo, i requisiti stabiliti per IP e IMEL dalle disposizioni di vigilanza nazionali. Per gli istituti di pagamento, il capitale iniziale è fissato a 125 mila euro per i servizi di trasferimento e custodia di EMT; per gli istituti di moneta elettronica, la soglia sale a 350 mila euro. L’approccio è quindi cumulativo: non si tratta di scegliere quale disciplina applicare, ma di sommare i presidi richiesti, come confermato dall’esempio numerico riportato in allegato alla Comunicazione. 

Oltre al profilo patrimoniale, particolare attenzione è riservata agli assetti proprietari. MiCAR e PSD2 prevedono regole non identiche in materia di partecipazioni qualificate: il regolamento europeo richiede, per i soci qualificati, requisiti di onorabilità, assenza di sanzioni rilevanti e solidità finanziaria, individuando le partecipazioni sulla base dei criteri di controllo e moltiplicatore. La PSD2, invece, pone un accento ancora più forte sulla trasparenza: i partecipanti qualificati devono rispettare requisiti di onorabilità, correttezza e competenza secondo le disposizioni del Testo Unico Bancario e dei relativi decreti attuativi, considerando la totalità delle fattispecie penali e non solo quelle elencate in MiCAR. La conseguenza operativa è che i CASP, quando richiedono anche l’autorizzazione ai sensi della PSD2, devono trasmettere la documentazione comprovante il rispetto dei requisiti più ampi previsti per i PSP, senza eccezioni. 

Infine, la Comunicazione equipara i CASP che intendono offrire servizi di pagamento in EMT agli istituti di pagamento e agli istituti di moneta elettronica “rilevanti”, per i quali i requisiti degli esponenti aziendali sono particolarmente stringenti. Non basta dimostrare assenza di precedenti penali o sanzioni: gli amministratori e i dirigenti devono possedere conoscenze, competenze ed esperienza adeguate, garantire indipendenza di giudizio e dedicare tempo sufficiente allo svolgimento delle proprie funzioni. Anche in questo caso, valgono i requisiti più estesi fissati dalla disciplina bancaria, che includono la valutazione di tutte le fattispecie di reato, la correttezza dei comportamenti professionali e la disponibilità di un track record coerente con l’incarico da ricoprire. 

Il risultato complessivo è un quadro prudenziale e di governance che alza sensibilmente l’asticella: non solo capitale e risorse finanziarie, ma anche trasparenza negli assetti e affidabilità personale degli esponenti diventano condizioni imprescindibili per accedere al mercato dei pagamenti in EMT. 

4. Tutele della clientela e profili applicativi

Se la qualificazione dei servizi EMT come pagamenti sposta i CASP nel territorio della PSD2, il passo successivo è conseguente: l’applicazione delle tutele previste per i clienti. La Comunicazione stabilisce che, in linea generale, i CASP che offrono trasferimento o custodia di EMT dovranno rispettare le disposizioni in materia di trasparenza, informativa e responsabilità già previste per i prestatori di servizi di pagamento tradizionali. 

Non mancano, tuttavia, alcune specifiche deroghe, dovute alle caratteristiche tecniche delle transazioni su blockchain ed in generale su tecnologie che hanno natura di registra distribuito (DLT). È il caso, ad esempio, delle commissioni di rete: nei trasferimenti on-chain i costi possono variare in tempo reale e non sempre essere conosciuti in anticipo. In questi casi non si applica l’obbligo di indicare ex ante l’importo preciso delle commissioni, ma l’operatore deve comunque fornire all’utente le informazioni disponibili prima che questi autorizzi la transazione. Allo stesso modo, non trovano applicazione le disposizioni che impongono di indicare in anticipo i tempi massimi di esecuzione: anche qui è richiesta almeno una stima attendibile, comunicata prima dell’operazione. 

Accanto alle tutele informative, la Comunicazione ribadisce l’importanza della strong customer authentication (SCA). Dal 2 marzo 2026 i CASP dovranno garantire che l’accesso ai wallet custodial di EMT e l’avvio dei trasferimenti siano protetti da procedure di autenticazione forte, in linea con gli articoli 97 e 98 della PSD2. La mancata applicazione della SCA comporta responsabilità diretta del prestatore, fatta salva l’ipotesi di appurata frode del cliente, con la conseguenza che i CASP dovranno descrivere i propri meccanismi di autenticazione già in sede autorizzativa, dimostrando la conformità alle regole vigenti. 

Altrettanto rilevante è l’introduzione di obblighi in materia di segnalazione delle frodi. Dal 2 marzo 2026 i CASP che offrono servizi di pagamento in EMT dovranno inviare le statistiche relative alle frodi sui mezzi di pagamento, secondo lo schema semestrale già previsto per gli altri operatori, e in conformità agli orientamenti emanati da EBA. Questo passaggio segna un ulteriore avvicinamento tra il mondo delle cripto-attività e quello dei pagamenti tradizionali, non solo sul piano autorizzativo ma anche su quello dei controlli di vigilanza. 

Infine, la Comunicazione conferma l’esclusione delle norme sull’open banking. I servizi di disposizione di ordini di pagamento e di informazione sui conti non trovano applicazione ai trasferimenti e alla custodia di EMT, per la semplice ragione che la logica delle DLT non si presta a essere integrata nei circuiti di accesso ai conti disciplinati dalla PSD2. Un’esclusione che evita di forzare l’architettura tecnica degli EMT dentro schemi concepiti per il denaro bancario tradizionale. 

Il quadro che emerge è di piena assimilazione: stessi obblighi di trasparenza, stessa protezione dei clienti, stesse responsabilità dei prestatori di servizi di pagamento.

Si intravede, tuttavia, un filo conduttore di adattamento mirato che tenta di riconoscere le peculiarità tecnologiche degli EMT e ne modella l’applicazione; senza derogare al principio di fondo: garantire agli utenti il medesimo livello di tutela di chi utilizza strumenti di pagamento convenzionali. 

Conclusioni 

La Comunicazione di Banca d’Italia segna un passaggio decisivo: i token di moneta elettronica non sono più un’area grigia del diritto delle cripto-attività, ma entrano stabilmente nel perimetro dei pagamenti regolamentati in costanza di specifiche ipotesi. Per i CASP questo significa adottare una strategia chiara, doppia licenza o partnership, e prepararsi a requisiti patrimoniali, di governance e di tutela della clientela che non lascino margini di improvvisazione. Il 2 marzo 2026 è una data spartiacque: chi non arriverà pronto rischia di trovarsi fuori dal mercato europeo delle cripto-attività. 

Sullo stesso argomento può essere d’interesse l’articolo “Proroga italiana VASP e le tensioni nell’attuazione di MiCAR“. 

Autori: Andrea Pantaleo & Giulio Napolitano

Intellectual Property

Patent Box e software: l’Agenzia delle Entrate chiarisce su deducibilità e registrazione SIAE

Con la risposta n. 223/2025, l’Agenzia delle Entrate torna su un tema di forte impatto operativo per le imprese che investono in software: la corretta applicazione del regime “Patent Box” ai costi di ricerca e sviluppo interni relativi a software protetti da copyright, in particolare in assenza di registrazione SIAE.

Il caso sottoposto

Una società attiva nell’analisi e gestione di dati legali e finanziari (ALFA S.p.A.) ha chiesto conferma della possibilità di applicare il Patent Box anche ai costi per la creazione di software sviluppati internamente e non registrati presso la SIAE, purché la titolarità sia attestata tramite dichiarazione sostitutiva. Un secondo quesito riguardava la possibilità di recuperare (“recapture”) i costi sostenuti negli anni precedenti in caso di successiva registrazione SIAE.

La posizione dell’Agenzia La risposta dell’Agenzia delle Entrate è chiara:

• Non è richiesta la registrazione SIAE per beneficiare del Patent Box in via ordinaria. È sufficiente che l’impresa attesti, tramite dichiarazione sostitutiva ai sensi del DPR 445/2000, la titolarità e l’esistenza del software, la sua originalità e creatività, e la riconducibilità del bene alle attività di ricerca e sviluppo “rilevanti” secondo la normativa. Questa documentazione va esibita in caso di verifiche e deve essere completa, dettagliata e riscontrabile, secondo i criteri già delineati nella circolare 5/E/2023 e nei provvedimenti attuativi.
• Restano esclusi dall’agevolazione tutti i costi non direttamente riferibili all’attività di sviluppo del software, come quelli amministrativi o generali, e sono necessari criteri oggettivi di ripartizione dei costi, non meri forfettari.

E la “recapture” in caso di registrazione successiva?

Il cosiddetto “meccanismo premiale”, che consente di recuperare costi sostenuti negli otto esercizi precedenti in caso di registrazione del software presso la SIAE (o altro organismo con effetti equivalenti), rimane ancorato al momento della registrazione. Solo da quel periodo d’imposta decorre la possibilità di beneficiare del recapture per le spese non già agevolate in via ordinaria. L’Agenzia, però, ha ricordato che la questione era già stata affrontata e risolta in precedenti documenti di prassi (circolare 5/E/2023): per questo motivo, ha dichiarato il secondo quesito inammissibile per assenza di “obiettiva incertezza”.

Implicazioni operative

La risposta 223/2025 rappresenta un chiarimento atteso:

• Il Patent Box ordinario si applica anche ai software non registrati SIAE, purché la titolarità sia dichiarata e documentata in modo rigoroso.
• La registrazione SIAE resta necessaria solo per il meccanismo premiale (recapture) e produce effetti solo dal periodo di registrazione.
• Documentazione e tracciabilità rimangono centrali: solo i costi effettivi, oggettivamente riferibili allo sviluppo e allocati con criteri trasparenti, possono essere maggiorati.

In conclusione, la risposta dell’Agenzia consente alle imprese innovative di sfruttare appieno la deducibilità maggiorata anche per software “in house” senza registrazione formale, ma impone rigore nella documentazione e nell’allocazione dei costi.

Autore: Federico Maria Di Vizio

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all’AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l’informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un’email a Silvia Molignani.