Innovation Law Insights

Artificial Intelligence

L'AI Act è stato pubblicato, cosa bisogna sapere a riguardo

L'AI Act è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea e il nostro team di DLA Piper ha pubblicato una guida in formato legal design sugli aspetti legali più importanti del Regolamento. È possibile scaricare la guida qui.

Data Protection & Cybersecurity

La nuova Legge sulla cybersicurezza: che cosa prevede?

Lo scorso 2 luglio è stata finalmente pubblicata sulla Gazzetta Ufficiale la Legge n. 90 del 28 giugno 2024 ("Legge sulla Cybersicurezza"). La legge è la (sofferta!) evoluzione del DDL Cybersicurezza di cui avevamo discusso dettagliatamente qui.

Lo scopo della Legge è quello rafforzare ulteriormente resilienza cibernetica italiana tramite stringenti adempimenti non solo per le pubbliche amministrazioni ma anche per i soggetti che rientrano nel Perimetro di Sicurezza Cibernetico, nonché per le società che rientrano ad oggi nella Direttiva NIS1 e, a breve, nella Direttiva NIS2, inasprendo altresì le pene per contrastare la criminalità informatica. Nel presente articolo, benché venga fornita una panoramica degli obblighi ricadenti sulle Pubbliche Amministrazioni, ci concentreremo maggiormente sugli impatti della Legge sulla Cybersicurezza nel settore privato.

Impatto sulle PA

Con riferimento alle Pubbliche Amministrazioni, la Legge sulla Cybersicurezza fornisce un elenco molto dettagliato delle strutture a cui la legge stessa è applicabile. Si passa infatti dalle PA centrali sino alle città metropolitane, passando per alcuni comuni (ad esempio quelli con una popolazione superiore ai 100.000 abitanti o ai capoluoghi di regione) nonché per le società di trasporto pubblico urbano ed extraurbano e alle aziende sanitarie locali.

A tali soggetti la Legge sulla Cybersicurezza impone alle PA, quanto meno, quattro diversi adempimenti:

1. Dotarsi di una struttura di cybersecurity che possa, tra l'altro, sviluppare politiche e procedure cyber, garantire l'adozione e l'aggiornamento di idonei risk assessment sui propri sistemi e pianificare e attuare interventi di potenziamento per la gestione dei rischi informatici con un monitoraggio costante sulle minacce alla sicurezza e vulnerabilità dei sistemi;
2. Instituire la figura del referente per la cybersicurezza il cui nominativo dovrà essere comunicato ad ACN e che potrà essere anche un soggetto esterno appartenente ad altra amministrazione;
3. Adottare un idoneo sistema di segnalazione degli incidenti - nello specifico entro un massimo di 24 ore dalla conoscenza dell'incidente per la prima segnalazione e entro un massimo di 72 ore per la notifica completa (in linea con quelle che saranno le previsioni di cui alla Direttiva NIS2);
4. Provvedere all'adozione degli interventi indicati da ACN in caso di identificazione di specifiche vulnerabilità entro 15 giorni dalla ricezione della specifica comunicazione.

Impatto sulle società private

Ambito di applicazione

La Legge sulla Cybersicurezza non è però applicabile solo alle Pubbliche Amministrazioni ma anche alle società private e, nello specifico:

• società rientranti nel Perimetro di Sicurezza Nazionale Cibernetica;
• società soggette alla Direttiva NIS1, la cui lista sarà presto integrata dalle società a cui si applicheranno le disposizioni della Direttiva NIS2;
• imprese che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico.

Obblighi in materia di notifica degli incidenti informatici

Rispetto a tali soggetti si configurano diversi obblighi, primi tra tutti quelli relativi alle notifiche in caso di incidenti informatici.

A tal proposito, l'approccio è diversificato a seconda dell'entità e del tipo di bene coinvolti. In particolare, i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, devono:

• con riferimento agli elenchi di beni ICT contenenti l’indicazione delle reti, dei sistemi informativi e dei servizi informatici dal cui malfunzionamento, interruzione ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale, procedere alla notifica di eventuali incidenti di sicurezza secondo i criteri e le modalità definiti dal decreto attuativo DPCM n. 81/2021 al Computer Security Incident Response Team (“CSIRT”);
• con riferimento agli elenchi di beni ICT che, a differenza del punto a) non sono oggetto di comunicazione al Ministero delle imprese e del made in Italy, entro:
  • un massimo di 24 ore dalla conoscenza dell'incidente per la c.d. prima segnalazione; ed
  • un massimo di 72 ore dalla conoscenza dell'incidente per la notifica completa.

Tali tempistiche sono in linea con la Direttiva NIS2 che, una volta recepita in Italia attraverso un decreto che dovrebbe essere di prossima adozione, imporrà alle società rientranti nel relativo perimetro un termine di notifica di 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza dell'incidente.

Misure di sicurezza – focus sulla crittografia e obblighi di risoluzione dei problemi indicati da ACN

In aggiunta a quanto previsto in materia di notifica degli incidenti informatici la Legge sulla Cybersicurezza impone poi un obbligo di verifica circa il fatto che i sistemi informatici adottati che utilizzano soluzioni crittografiche rispettino le linee guida sulla crittografia e quella sulla conservazione delle password previste da ACN e dal Garante per la protezione dei dati personali.

Su questo è interessante considerare che la Direttiva NIS2, sebbene in maniera incidentale, prevede quali obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, la necessità per le società che rientrano nel relativo perimetro di adottare politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura.

In aggiunta poi la Legge sulla Cybersicurezza impone alle società che rientrano nell'ambito di applicazione di adottare gli interventi risolutivi indicati da ACN ove quest'ultima identifichi delle situazioni di vulnerabilità, ponendovi rimedio entro 15 giorni dalla ricezione della relativa comunicazione da parte di ACN.

Contratti pubblici

La Legge sulla Cybersicurezza introduce criteri specifici nei contratti pubblici per beni e servizi informatici, volti a garantire la confidenzialità, l'integrità e la disponibilità dei dati, in linea con le esigenze di tutela degli interessi strategici nazionali. Tali criteri, insieme agli incentivi per l'uso di tecnologie di cybersicurezza italiane, europee, di Paesi NATO, o di altri Paesi con accordi di collaborazione con l'UE o la NATO, saranno definiti da un Decreto del Presidente del Consiglio dei Ministri, da emanare entro 120 giorni dall'entrata in vigore della Legge sulla Cybersicurezza. Il decreto dettaglierà anche i casi in cui, per la sicurezza nazionale.

Inoltre, nell'ambito dei contratti di approvvigionamento di beni e servizi informatici legati alla tutela degli interessi nazionali strategici, e in relazione agli elementi essenziali di cybersicurezza, le stazioni appaltanti, comprese le centrali di committenza nonché i soggetti privati rientranti nel Perimetro di Sicurezza Nazionale Cibernetica, avranno i seguenti obblighi e facoltà:

• applicare le disposizioni degli artt. 107, c. 2, e 108, c. 10, del d. lgs. 36/2023 (Codice dei contratti pubblici) se l’offerta non rispetta gli elementi essenziali di cybersicurezza definiti nel futuro Decreto del Presidente del Consiglio dei Ministri;
• considerare sempre gli elementi essenziali di cybersicurezza nella valutazione della qualità per determinare il miglior rapporto qualità/prezzo per l'aggiudicazione;
• includere gli elementi di cybersicurezza tra i requisiti minimi dell’offerta quando si utilizza il criterio del minor prezzo, come previsto dall’art. 108, c. 3, del Codice dei contratti pubblici;
• stabilire un limite massimo del 10% per il punteggio economico quando si utilizza il criterio dell’offerta economicamente più vantaggiosa (OEPV), in conformità con l’art. 108, c. 4, del Codice dei contratti pubblici, nella valutazione della qualità per determinare il miglior rapporto qualità/prezzo;
• prevedere, nei casi indicati dal futuro Decreto del Presidente del Consiglio dei Ministri, criteri di premialità per offerte che includono tecnologie di cybersicurezza italiane, europee, di Paesi NATO, o di altri Paesi con accordi di collaborazione con l'UE o la NATO, per tutelare la sicurezza nazionale e conseguire l’autonomia tecnologica e strategica dell’Italia nella cybersicurezza.

A chiusura di quanto sopra si rileva infine che la Legge sulla Cybersicurezza introduce altresì una riforma dei reati informatici che non è oggetto di approfondimento in questa sede ma che tratta il reato di estorsione informatica, oltre che l'armonizzazione a tale novella di quanto previsto in materia di responsabilità amministrativa degli enti ex decreto legislativo 231 del 2001.

Per chiudere il cerchio rimaniamo però in attesa del tanto atteso decreto di recepimento della Direttiva NIS2 che porterà un nuovo cambiamento nel settore della cybersecurity nazionale.

Su un argomento simile può essere d'interesse l'articolo "CyberItalia: il Decreto NIS – la prima normativa italiana sulla cybersicurezza in pillole"

Autrici: Giorgia Carneri, Giulia Zappaterra

Intellectual Property

Atti di opposizione alla registrazione dei marchi: nuove indicazioni operative riguardanti le procedure di deposito della documentazione

Con circolare n. 629 del 30 maggio 2024, l'UIBM ha fornito nuove indicazioni operative riguardanti le procedure di deposito della documentazione connessa e conseguente al primo deposito dell'atto di opposizione alla registrazione di un marchio d'impresa.

Le disposizioni ivi contenute si applicano, per i nuovi procedimenti e per quelli in corso per i quali non siano ancora scaduti i termini di deposito, a partire dal 15 luglio 2024.

L'obiettivo è l'ottimizzazione dell'azione amministrativa mediante un più elevato livello di sicurezza, celerità ed efficienza nella gestione degli atti del procedimento in oggetto.

Il ricorso alla trasmissione della documentazione in formato cartaceo da includere nel fascicolo degli atti di opposizione sarà ridotto quanto più possibile e sarà eliminata totalmente la trasmissione della stessa su un supporto magnetico (CD/DVD). Ciò, al fine di completare il processo di digitalizzazione e dematerializzazione dei documenti.

Nella tabella sottostante, trascriviamo le principali indicazioni fornite nella circolare, unitamente alle seguenti preliminari segnalazioni:

• tutti i documenti in formato digitale devono essere trasmessi in formato PDF/A;
• verranno presi in considerazioni unicamente i documenti depositati nel rispetto delle tipologie documentali indicate nella colonna 2;
• nel caso di deposito cartaceo, la dimensione massima dei documenti, inclusi gli allegati, è fissata a 100 facciate (50 fogli), con carattere di dimensione non inferiore a 11;
• per i documenti sotto menzionati è consentito un solo deposito: il deposito successivo di un documento della medesima tipologia documentale (in qualsiasi modalità esso avvenga) sarà inteso come annullamento e sostituzione di quello precedentemente depositato.

Su un simile argomento può essere interessante l’articolo "Il Japan Patent Office rigetta l’opposizione di una casa di distribuzione cinematografica volta a tutelare un noto personaggio dei cartoni animati".

Autrice: Tamara D’Angeli

LIFE SCIENCES

Nuovo decreto del Ministero della Salute sul CBD: aggiornamenti normativi e implicazioni

Il 6 luglio 2024, è stato pubblicato sulla Gazzetta Ufficiale il Decreto del Ministero della Salute del 27 giugno 2024, che ha inserito le "composizioni per somministrazione ad uso orale di cannabidiolo ottenuto da estratti di cannabis" nella Tabella dei medicinali, sezione B, del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope (DPR 309/1990).

Iter Legislativo

Il Decreto - che entra in vigore trenta giorni dopo la pubblicazione - revoca i decreti ministeriali del 1 ottobre 2020, 28 ottobre 2020 e 7 agosto 2023. La normativa attuale è solo l’ultimo passo di un lungo iter legislativo iniziato nel 2020, caratterizzato da una serie di decreti e pareri istituzionali.

Il 1 ottobre 2020, un decreto del Ministero della Salute aveva aggiornato le tabelle contenenti le sostanze stupefacenti e psicotrope, includendo il cannabidiolo (CBD) nella sezione B della Tabella dei medicinali, soggetti a prescrizione medica non ripetibile (RNR). Tuttavia, l'entrata in vigore del decreto era stata sospesa con un decreto del 28 ottobre 2020 al fine di ottenere ulteriori approfondimenti da parte dell’Istituto Superiore di Sanità e del Consiglio Superiore di Sanità.

Il decreto del 7 agosto 2023 aveva revocato la sospensione, confermando l'efficacia del decreto del 1 ottobre 2020 e includendo il CBD tra le sostanze stupefacenti. Tale decreto è stato contestato dall'Associazione di categoria "Imprenditori Canapa Italia", la quale lo ha impugnato per mancanza dei necessari pareri scientifici e per la mancata chiarezza sugli effetti del CBD in relazione alla percentuale di utilizzo. Il Tribunale Amministrativo Regionale del Lazio ha accolto l'istanza cautelare di sospensione presentata dall'Associazione, evidenziando la carenza di integrazione istruttoria e la non sufficiente chiarezza sui pericoli concreti di dipendenza fisica o psichica.

In risposta, il Ministero della Salute ha rinnovato l'istruttoria, richiedendo pareri all'Istituto Superiore di Sanità e al Consiglio Superiore di Sanità. I pareri, ricevuti rispettivamente il 17 maggio e il 19 giugno 2024, hanno confermato le condizioni che avevano portato all'inserimento delle composizioni a base di CBD nella Tabella B dei medicinali per la tutela della salute pubblica. Pertanto, il Ministero ha emanato un nuovo decreto, includendo i pareri richiesti e determinando l'inserimento delle composizioni a base di CBD nella Tabella B.

Il futuro del CBD in Italia

Il CBD è un cannabinoide presente nella Cannabis sativa L, che si distingue dal tetraidrocannabinolo (THC) per la mancanza di effetti psicoattivi. Questa caratteristica ha suscitato un crescente interesse nel suo utilizzo e ha portato alla sua inclusione in una vasta gamma di prodotti.

Nel 2017, l'Organizzazione Mondiale della Sanità ha concluso che il CBD non presenta un rischio significativo di dipendenza o danni alla salute, favorendo così la sua applicazione terapeutica e il commercio in molti Paesi. La Corte di Giustizia dell'Unione Europea, nel 2020, ha ulteriormente confermato che il CBD non ha effetti psicotropi né nocivi per la salute umana, in base alle attuali conoscenze scientifiche.

Con l'entrata in vigore del Decreto, i prodotti contenenti CBD destinati all'uso orale saranno considerati medicinali, e più specificamente medicinali stupefacenti. Di conseguenza, la loro vendita sarà permessa solo nelle farmacie e solo dietro prescrizione medica e la loro produzione richiederà, tra le altre cose, sia un'autorizzazione alla produzione di medicinali che un'autorizzazione alla produzione e all'impiego di sostanze stupefacenti.

Il Decreto rappresenta un passo avanti nella regolamentazione del CBD in Italia, ma il dibattito sulla sua classificazione come sostanza stupefacente resta aperto. Sarà pertanto fondamentale seguire gli sviluppi futuri e le reazioni degli operatori del settore, dei pazienti e della comunità scientifica per comprendere come la normativa e l'uso del CBD evolveranno nel nostro Paese.

Su un argomento simile può essere d'interesse l'articolo "La CGUE si pronuncia sulla commercializzazione del cannabidiolo tra Stati Membri ".

Autrice: Nadia Feola

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Matteo Antonelli, Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Alessandra Faranda, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.