Bollettino Legale n. 90 – Dicembre 2025. 

 

Dati, intelligenza artificiale, sicurezza informatica: ecco i principali principi e le normative da seguire nel 2026.

Molte normative adottate negli ultimi anni entreranno ora pienamente in vigore o raggiungeranno fasi decisive della loro attuazione.

Al contempo, nuove iniziative della Commissione europea, in particolare la Legge omnibus digitale e il disegno di legge sull'equità digitale, annunciano nuovi adeguamenti normativi volti a integrare o modificare le normative esistenti.

Il GDPR, in vigore dal 2018, rimane tuttora la pietra angolare del quadro normativo in materia di protezione dei dati, insieme alla Direttiva ePrivacy, la cui revisione è attualmente sospesa.

La Commissione intende semplificare attraverso la sua proposta Autobus Diversi aspetti del GDPR sono legati allo sviluppo dell'intelligenza artificiale (IA): prevede di riconoscere lo sviluppo e il funzionamento dei sistemi di IA come un "interesse legittimo" ai sensi del GDPR e di introdurre una nuova base giuridica per il trattamento dei dati sensibili destinati all'addestramento dei modelli di IA.

Più in generale, il Omnibus digitale ridurrebbe gli oneri di conformità per le imprese, ad esempio allentando la soglia a partire dalla quale una violazione dei dati deve essere segnalata ed estendendo le situazioni in cui i dati possono essere considerati "anonimi".

La normativa relativa al pacchetto digitale, e più specificamente il Regolamento sui mercati digitali (DMA) e il Regolamento sui servizi digitali (DSA), chiarisce le regole applicabili all'economia digitale e le responsabilità delle piattaforme.

Sono in vigore dal 2024 e la Commissione ha iniziato a imporre sanzioni nel 2025.

Il DSA Si applica alle piattaforme online di grandi dimensioni (VLOP) e ai motori di ricerca online di grandi dimensioni (VLOSE), nonché a tutti gli intermediari che offrono i propri servizi agli utenti residenti nell'UE.

Diversi obblighi previsti dal DSA si sovrappongono a quelli del GDPR.

Ad esempio, esistono obblighi simili o complementari in materia di "dark patterns", pubblicità mirata basata su dati sensibili o riguardante minori, trasparenza, profilazione, analisi dei rischi e rimozione di contenuti illegali.

Nel 2025, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato delle linee guida su queste problematiche interconnesse.

L'obiettivo primario della DMA L'obiettivo è impedire ai giganti della tecnologia o ai "guardiani del cancello" di trarre vantaggio dalla loro posizione dominante.

Alcuni di questi obblighi rafforzano quelli previsti dal DSA in termini di tutela degli utenti, in particolare per quanto riguarda la profilazione.

La strategia dell'UE in materia di dati mira a creare un mercato unico dei dati, incoraggiare l'innovazione e garantire una condivisione dei dati sicura ed efficiente in tutta l'Unione europea.

I seguenti testi hanno un impatto sui dati personali: il Regolamento sulla governance dei dati (DGA), il Regolamento sui dati (DA), il Regolamento sulle transazioni elettroniche (eIDAS) e il Regolamento sullo spazio europeo dei dati sanitari (EHDS). 

La proposta omnibus della Commissione mira a semplificare il quadro legislativo in questo settore.

Il testo prevede in particolare l'abrogazione di DGA e la direttiva del 2019 sui dati aperti.

IL DA rimarrebbe il riferimento centrale e includerebbe gli elementi essenziali conservati dagli altri testi.

Oltre all'armonizzazione delle definizioni, le piccole e medie imprese (fino a 750 dipendenti) sarebbero esentate da alcuni obblighi.

Il Regolamento sulla protezione dei dati (DA), applicabile dal 12 settembre 2025, prevede l'entrata in vigore di una parte significativa dei suoi obblighi a partire dal 12 settembre 2026: il regolamento impone l'obbligo di progettare i prodotti connessi e i servizi associati in modo tale che i dati relativi a tali prodotti e servizi siano accessibili agli utenti per impostazione predefinita e, a partire da settembre, i produttori dovranno garantire tecnicamente l'accesso ai dati fin dalle fasi di sviluppo e progettazione del prodotto.

Riguardo ai regolamenti eIDASA partire dal 2026, gli Stati membri saranno tenuti a fornire ai propri cittadini e alle imprese almeno un portafoglio di identità digitale conforme alle normative UE, che consenta agli utenti di archiviare in modo sicuro i propri dati di identità, identificativi e attributi (carta d'identità, patente di guida, informazioni di pagamento, ecc.) e di comunicarli in modo selettivo alle autorità pubbliche e ai fornitori privati.

Anche le imprese, le piattaforme online e i servizi amministrativi dovranno adattarsi a queste nuove forme di identificazione e autenticazione digitale.

L'EHDS È entrata in vigore il 26 marzo 2025, ma le sue disposizioni principali saranno pienamente applicabili a partire da marzo 2029.

La regolamentazione dell'IALa normativa, in vigore dall'agosto 2024, diventerà vincolante per le imprese a partire dal 2 agosto 2026.

Alcuni obblighi sono già in vigore, come la trasparenza nell'interazione con i chatbot o l'etichettatura dei contenuti generati dall'IA, nonché la garanzia di un'adeguata competenza in materia di IA tra i dipendenti che lavorano con i sistemi di IA.

A partire da agosto, tuttavia, dovranno essere applicati requisiti più rigorosi ai sistemi di intelligenza artificiale ad alto rischio utilizzati in settori sensibili come la gestione delle risorse umane, la valutazione delle prestazioni o l'accesso ai servizi essenziali.

Tuttavia, la Commissione prevede, nella sua proposta omnibus, di rinviare l'applicazione di queste norme fino a dicembre 2027.

Anche in questo caso, alcuni obblighi verrebbero semplificati per le piccole e medie imprese con un massimo di 750 dipendenti.

In termini di sicurezza, menzioneremo la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) in vigore dall'ottobre 2024, il regolamentazione sulla resilienza operativa digitale (DORA) in vigore dal gennaio 2025, nonché il Regolamento sulla resilienza informatica (CRA)).

Per quanto riguarda quest'ultimo aspetto, i principali obblighi dei produttori di prodotti contenenti elementi digitali entreranno in vigore l'11 settembre 2026, tra cui l'obbligo di notificare le vulnerabilità attivamente sfruttate e gli incidenti di sicurezza gravi.

I produttori dovranno pertanto segnalare alle autorità di vigilanza del mercato competenti, entro tempi molto brevi, le vulnerabilità individuate e gli incidenti di sicurezza che compromettono in modo significativo la sicurezza del prodotto.

Per concludere questo elenco di regolamenti, menzioniamo infine il proposta relativa a un regolamento sull'equità digitale (DFA) il che dovrebbe aumentare ulteriormente la complessità del quadro giuridico per i fornitori di servizi online.

Nel luglio 2025, la Commissione ha avviato una consultazione pubblica su questo progetto, che mira a contrastare le "pratiche commerciali sleali" come i dark pattern, le funzionalità che creano dipendenza e la personalizzazione abusiva, comprese quelle relative agli agenti di intelligenza artificiale.

Qual è il futuro di queste proposte? I prossimi mesi saranno decisivi: la presidenza cipriota punta a ottenere un mandato entro la fine di marzo o l'inizio di aprile per negoziare l'Omnibus con il Parlamento europeo, a dimostrazione della volontà di adottarlo prima che entrino in vigore, ad agosto, i requisiti ad alto rischio del regolamento sull'IA.

 

Si segnalano diverse sanzioni significative adottate dalla CNIL poco prima e dopo il passaggio al 2026, tutte relative alla sicurezza dei dati.

Il 13 gennaio 2026, la CNIL (Autorità francese per la protezione dei dati) ha multato le società Free Mobile e Free rispettivamente per 27 milioni di euro e 15 milioni di euro. vista l'inadeguatezza delle misure adottate per garantire la sicurezza dei dati dei loro abbonati.

Nell'ottobre del 2024, un hacker è riuscito a infiltrarsi nei sistemi informativi delle aziende e ad accedere ai dati personali relativi a 24 milioni di contratti di abbonamento, inclusi gli IBAN.

Il 22 dicembre 2025, ha inflitto alla società Nexpublica France una multa di 1.700.000 euro.per non aver implementato misure di sicurezza sufficienti per il suo software PCRM, uno strumento per la gestione delle relazioni con gli utenti nel campo dell'azione sociale.

L'11 dicembre 2025, ha sanzionato Mobius Solutions Ltd, un subappaltatore responsabile di una violazione dei dati che ha interessato gli utenti di Deezer.È stata inflitta una multa di un milione di euro per la mancata osservanza delle norme applicabili in materia di subappalto: conservazione dei dati dopo la scadenza del contratto, trattamento non autorizzato e mancata tenuta di un registro dei trattamenti.

Tre dipendenti dell'azienda avevano conservato una copia dei dati di oltre 46 milioni di utenti di Deezer anche dopo la scadenza del loro rapporto contrattuale, esponendoli a falle di sicurezza che hanno portato alla pubblicazione dei dati sul dark web.

L'11 dicembre, la Corte d'appello amministrativa di Versailles ha stabilito che un paziente non può chiedere a un ospedale di correggere una valutazione medica, in quanto quest'ultima costituisce un'opinione soggettiva.

Questo principio rimane valido anche quando la diagnosi della persona responsabile del trattamento differisce dalle diagnosi successive.

Le allucinazioni dell'intelligenza artificiale nelle conclusioni degli avvocati vengono talvolta accolte con indulgenza dai giudici; questo è almeno il punto di vista del tribunale di Périgueux nella sua sentenza del 18 dicembre.

Quest'ultimo rileva "(...) che i riferimenti giurisprudenziali citati dal ricorrente, ma non prodotti nei suoi documenti, non sembrano corrispondere a decisioni pubblicate. (...).

Il tribunale inviterà pertanto il ricorrente e il suo legale a verificare in futuro che i riferimenti reperiti tramite motori di ricerca o con l'ausilio dell'intelligenza artificiale non siano "allucinazioni".

Questa posizione contrasta con una recente decisione belga, menzionata più avanti.

A metà dicembre il Ministero dell'Interno ha subito un attacco informatico su vasta scala.

Il Ministro dell'Interno ha confermato mercoledì 17 dicembre che "i servizi del Ministero dell'Interno sono stati oggetto di un massiccio attacco informatico, definendolo un atto molto grave che ha portato alla pubblicazione di documenti, inclusi precedenti penali" e informazioni su persone ricercate. L'intrusione informatica è avvenuta tramite gli account di posta elettronica del personale del ministero.

Nell'ambito degli attacchi informatici, va inoltre ricordato che la CNIL, nella sua formulazione ristretta del 18 dicembre 2025, ha richiesto una sanzione di 5 milioni di euro nei confronti di France Travail per una mancanza di sicurezza che ha provocato una violazione dei dati che ha interessato 36,8 milioni di persone.

 

istituzioni e organismi europei

Il regolamento UE che stabilisce norme procedurali aggiuntive relative all'applicazione del GDPR è stato pubblicato il 12 dicembre ed entrerà in vigore il 2 aprile 2027.

L'obiettivo del presente testo è quello di snellire la gestione procedurale dei casi transfrontalieri ai sensi del GDPR da parte delle autorità nazionali per la protezione dei dati (DPA), di migliorare la cooperazione tra le DPA attraverso procedure strutturate, ruoli più chiari e termini definiti, e di rafforzare le garanzie procedurali e la certezza del diritto per i denuncianti e le parti oggetto di indagine, compreso il diritto di essere ascoltati, l'accesso ai fascicoli e l'efficacia dei rimedi giurisdizionali.

Il 17 dicembre la Commissione europea ha pubblicato la prima bozza del suo codice di buone pratiche sulla marcatura e l'etichettatura dei contenuti generati dall'intelligenza artificiale.

Il progetto si compone di due sezioni.

La prima sezione tratta le norme relative alla marcatura e all'individuazione dei contenuti generati dall'IA, applicabili ai fornitori di sistemi di IA generativa.

• La seconda norma riguarda l'etichettatura dei deepfake e di alcuni testi generati o manipolati dall'intelligenza artificiale su argomenti di interesse pubblico e si applica a coloro che implementano sistemi di intelligenza artificiale generativa.

La Commissione raccoglierà commenti fino al 23 gennaio, con l'obiettivo di finalizzare il codice entro giugno.

Il 19 dicembre 2025, la Commissione europea ha annunciato il rinnovo delle due decisioni di adeguatezza relative al Regno Unito Adottata inizialmente nel 2021, la direttiva ribadisce che i dati personali possono continuare a circolare liberamente tra lo Spazio economico europeo e il Regno Unito.

Nella sentenza Storstockholms Lokaltrafik (C-422/24) del 18 dicembre, la Corte di giustizia dell'Unione europea ha chiarito il concetto di raccolta diretta di dati personali.

Questa legge "non richiede alla persona interessata di fornire consapevolmente i dati o di compiere alcuna azione particolare da parte sua. Pertanto, i dati ottenuti tramite l'osservazione della persona che ne è la fonte si considerano raccolti direttamente da tale persona."

Questi chiarimenti hanno un impatto sui tempi e sulla portata dell'obbligo di fornire informazioni, che deve essere immediato e più esaustivo.

Il caso specifico riguardava il controllo di un biglietto di trasporto pubblico da parte di un agente munito di telecamera indossabile.

La Corte suggerisce che le informazioni più importanti siano indicate su un cartello di avvertimento e che le altre informazioni siano fornite in un luogo facilmente accessibile.

Il 23 dicembre, l'amministrazione Trump ha imposto sanzioni a 5 cittadini europei In seguito alla recente sanzione inflitta dalla Commissione europea alla società X ai sensi del Digital Services Act (DSA), a Thierry Breton, ex Commissario europeo per l'economia digitale, e a diversi membri della società civile che lavorano per le ONG HateAid, Center for Countering Digital Hate e The Global Disinformation Index, è stato vietato l'ingresso negli Stati Uniti.

Washington denuncia gli obblighi di moderazione, segnalazione e rendicontazione delle piattaforme previsti dal DSA, che vengono qui considerati misure di censura extraterritoriale.

Il 5 dicembre, la Commissione europea ha multato X per 120 milioni di euro per non aver rispettato gli obblighi di trasparenza previsti dal DSA.

Tra le carenze si annoverano la progettazione fuorviante del suo sistema di "validazione blu" per gli account verificati, la mancanza di trasparenza nella sua directory pubblicitaria e l'impossibilità di fornire ai ricercatori l'accesso ai dati pubblici.

 

Notizie dai paesi membri dell'Unione europea.

Con una decisione del 10 novembre, il tribunale regionale di Darmstadt, in Germania, ha azzerato il compenso di un esperto che aveva fatto ampio uso di intelligenza artificiale nella redazione di una perizia giudiziaria senza dichiararlo.

Il tribunale ha citato i seguenti fattori per ridurre le spese:

1. La mancata dichiarazione dell'utilizzo dell'intelligenza artificiale e l'assenza di un vero autore hanno costituito una violazione degli obblighi procedurali.
2. Il rapporto è stato giudicato inutilizzabile: mancanza di revisione personale, errori fattuali e evidenti segni di testo generato dall'intelligenza artificiale.
3. Trasparenza e responsabilità sono essenziali nelle perizie tecniche.

Il tribunale tedesco di Lubecca ha condannato Meta al pagamento di 5.000 euro a titolo di risarcimento per danni non patrimoniali a favore di un ricorrente, per aver trattato dati personali senza aver ottenuto il consenso preventivo tramite l'utilizzo di Meta Business Tools.

Il trasferimento dei dati da siti web di terze parti a Meta avviene indipendentemente dall'attivazione delle applicazioni Meta da parte dell'utente e dall'ottenimento del suo consenso.

Il tribunale ha ritenuto che Meta avesse violato l'articolo 6(1) del GDPR, determinando una minaccia sufficientemente concreta per l'interessato, il quale ha subito un fondato timore di un uso improprio dei suoi dati personali sotto forma di perdita di controllo.

In Austria, la Corte Suprema ha stabilito il 26 novembre che Meta deve fornire ai suoi utenti il pieno accesso a tutti i loro dati personali, comprese le fonti, i destinatari e le finalità del trattamento.

Un semplice elenco indicativo non è sufficiente.

La Corte ha inoltre stabilito che la pubblicità personalizzata e il trattamento di dati personali (sensibili) provenienti da siti web di terzi richiedono il consenso dell'interessato.

Una recente sentenza belga ha multato i ricorrenti per oltre 25.000 euro per aver utilizzato strumenti di intelligenza artificiale generativa nella redazione dei loro ricorsi, per manifesta violazione della procedura, ricorso pretestuoso e ricorso abusivo.

La Corte d'appello di Anversa rileva una produzione di argomentazioni "incoerenti e del tutto prive di significato", supportate da giurisprudenza inesistente e fonti giuridiche inventate.

Anche in Belgio, l'APD ha emesso un richiamo a un'azienda per aver trasmesso illegalmente informazioni su un ex dipendente durante una conversazione telefonica con un'altra azienda nell'ambito di un processo di selezione del personale.

L'APD ha inoltre rimproverato le due società per non aver risposto alle richieste di accesso dell'individuo.

In Croazia, la banca AZOP è stata multata di 1.500.000 euro per molteplici violazioni del GDPR.

La banca ha trattato i dati personali di 433.922 utenti senza una base giuridica, senza fornire le informazioni richieste agli utenti e senza aver implementato le opportune misure tecniche e organizzative.

 

L'Autorità britannica per la protezione dei dati (DPA) ha multato LastPass UK Ltd, fornitore di servizi di gestione password, per 1,2 milioni di sterline a seguito di una violazione dei dati avvenuta nel 2022 che ha compromesso le informazioni personali di quasi 1,6 milioni di utenti nel Regno Unito.

L'ICO ha riscontrato che LastPass non aveva implementato misure tecniche e di sicurezza sufficientemente robuste, il che ha permesso a un hacker di ottenere accesso non autorizzato al suo database di backup.

Gli Stati Uniti hanno rinnovato la loro richiesta di accesso alle banche dati biometriche nazionali dei paesi dell'UE che partecipano al Programma di esenzione dal visto (Visa Waiver Program, VWP) e intendono concludere un accordo in merito entro la fine del 2026.

Washington richiede questo accesso dal 2022, nell'ambito del programma statunitense "Enhanced Border Security Partnerships" (EBSP), e minaccia di revocare l'esenzione dal visto in caso di rifiuto.

L'entità dell'accesso rimane incerta.

La posizione europea in questa fase sembra voler limitare la misura alle persone che si recano negli Stati Uniti.

L'accesso includerebbe dati biometrici come impronte digitali e scansioni facciali, ma anche altri dati sensibili che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza a un sindacato o dati riguardanti la salute o la vita sessuale, quando necessario e proporzionato "per prevenire o combattere reati penali e terroristici".

A dicembre, le capitali europee hanno concordato di conferire alla Commissione europea il mandato di negoziare il quadro di questo accordo, i cui dettagli saranno decisi dagli Stati membri.

Negli Stati Uniti, l'utilizzo dell'intelligenza artificiale per trascrivere i rapporti registrati dalle telecamere indossate dagli agenti di polizia a Heber City, nello Utah, ha avuto conseguenze incongruenti.

Il software Draft One, basato su LLM di Open AI, ha segnalato che un agente si era trasformato in una rana.

Il software aveva effettivamente rilevato il film che veniva riprodotto in sottofondo, che si è rivelato essere "La principessa e il ranocchio".

Al di là dell'ironia della situazione, questo caso specifico solleva interrogativi evidenziati da Cybernews. "Sebbene l'obiettivo sia ridurre la quantità di scartoffie, con errori come quello commesso a Heber City, gli agenti rischiano di impiegare ancora più tempo a esaminare i rapporti". Un'indagine condotta lo scorso anno dall'Electronic Frontier Foundation (EFF) ha rivelato che la prima bozza "sembra essere stata deliberatamente concepita per evitare verifiche che potrebbero garantire la trasparenza pubblica".

"Spesso è impossibile sapere quali parti di un rapporto di polizia siano state generate dall'intelligenza artificiale e quali siano state scritte da un agente."

Infine, un rapporto di Privacy Laws & Business indica che la regolamentazione della privacy si sta comunque rafforzando negli Stati Uniti, dove 19 stati hanno ormai seguito l'esempio della California nell'adozione di leggi sulla privacy, spesso incentrate su questioni relative ai minori.

Pochi stati sono interessati alla raccolta e all'utilizzo dei dati biometrici.

L'Illinois ha a lungo detenuto una posizione di leadership, ora seguito dal Texas e dallo Stato di Washington.

Non c'è ancora consenso su nuove normative federali in materia di privacy, "ma la FTC ha intrapreso azioni coercitive che hanno comportato centinaia di milioni di dollari di risarcimenti e sanzioni pecuniarie in accordi con importanti aziende online come Epic Games, Amazon e Microsoft", o più recentemente con Disney Worldwide Services, con un accordo da 10 milioni di dollari per violazione del Children's Online Protection Act (COPPA).