CYBER AND A.I. CRIMES – Rassegna delle novità (maggio 2025 – novembre 2025)
di Lorenzo Picotti
Rassegna di novità in materia di diritto penale e nuove tecnologie
Responsabile scientifico: Prof. Lorenzo Picotti – monitoraggio e redazione a cura di Chiara Crescioli (C.C.), Beatrice Panattoni (B.P.), Lisa Perobello (Li.Pe.), Simone Tarantino (S.T.), Rosa Maria Vadalà (R.M.V.) e Lorenzo Picotti (L.P.).
Novità sovranazionali
Digital Omnibus (proposta di Regolamento COM(2025) 837) e Digital Omnibus on AI (proposta di Regolamento COM(2025) 836): proposte della Commissione per la semplificazione e l’armonizzazione delle norme sull’Intelligenza Artificiale
In data 19.11.2025, la Commissione Europea ha pubblicato due proposte di regolamento volte ad avviare una riforma sistematica del diritto digitale dell’Unione (c.d. Digital Acquis), nell’ambito del pacchetto denominato Digital Omnibus. L’obiettivo è semplificare, armonizzare e modernizzare un quadro normativo divenuto nel tempo complesso e frammentato, per la stratificazione di diverse fonti, riducendo i costi sia per le imprese, sia per le autorità di controllo, ma non le garanzie stabilite dalle normative vigenti per i diritti e gli interessi legittimi degli utenti. Il pacchetto digitale della Commissione è stato concepito nel quadro della nuova linea della politica europea orientata a supportare la competitività delle imprese e dell’economia dell’Unione, favorendone lo sviluppo e l’innovazione anche risparmiando sugli oneri amministrativi ed i costi di compliance scaturenti dalle differenti discipline in ambito digitale, divenuto decisivo per l’economia e la società contemporanee. Per questo si persegue, con la proposta di Regolamento COM(2025) 837, una semplificazione e razionalizzazione delle diverse discipline, evitandone le sovrapposizioni, che rendono incerta la loro effettiva applicazione, a partire dal Data Governance Act, che ne rappresenta la base comune, con la connessa Open Data Directive ed il Regolamento sul libero flusso dei dati non personali, per poi introdurre una revisione parziale del Regolamento generale sui dati personali (GDPR) e della Direttiva ePrivacy. Il pacchetto è volto altresì all’introduzione di un meccanismo europeo unico per la notifica degli incidenti relativi alla sicurezza in questo campo, concentrato sull’ENISA, accanto ad una semplificazione e specificazione di norme del Regolamento sull’Intelligenza Artificiale (AI Act), oggetto dell’altra specifica proposta di Regolamento di pari data (COM(2025) 836).
Il Digital Omnibus prevede che vengano assorbiti, all’interno del Digital Act, che dovrà diventare una sorta di testo unico in materia, il Regolamento sul libero flusso dei dati non personali, il Data Governance Act e la Open Data Directive, che conseguentemente dovranno essere abrogati. Prevede, altresì, modifiche rilevanti al GDPR e alla Direttiva ePrivacy per chiarire concetti chiave, semplificare gli obblighi per i trattamenti a basso rischio e uniformare prassi applicative tra gli Stati membri. Allo stesso tempo, la proposta introduce un meccanismo unico europeo per adempiere agli obblighi di notifica degli incidenti che toccano o minacciano la sicurezza (single-entry point) gestito dall’ENISA, superando le difficoltà derivanti dalla molteplicità delle norme in materia, oggi contenute nel NIS 2, GDPR, DORA, eIDAS e CER. Infine, il Digital Omnibus dispone l’abrogazione del Regolamento sulle relazioni tra piattaforme online e utenti commerciali (cd. “P2B”), salvo alcune norme trasfuse nel nuovo Regolamento che ne assorbe i contenuti.
Il Digital Omnibus on AI, invece, interviene sull’AI Act al fine di ridurre il peso degli adempimenti iniziali previsti dal Regolamento, affrontare le difficoltà pratiche riscontrate nelle prime fasi di applicazione e garantire che le scadenze previste, soprattutto per i sistemi ad alto rischio, siano raggiungibili senza compromettere competitività, capacità innovativa e buon funzionamento del mercato interno.
In conclusione, la Commissione mira a rafforzare la competitività tecnologica e a far risparmiare le imprese dell’Unione nonché le autorità di controllo, semplificando le norme, razionalizzando le procedure, offrendo soluzioni a sportello unico ed eliminando le sovrapposizioni e le disposizioni obsolete.
Molte di queste modifiche possono avere riflessi significativi anche sull’applicazione di norme penali che presuppongono una previa regolamentazione extrapenale, in particolare concernenti gli obblighi che delineano posizioni di garanzia e da cui possono derivare regole cautelari rilevanti ai fini dell’accertamento della colpa, ovvero che incidono sulla definizione di elementi normativi di fattispecie penali. Un diretto riflesso sull’applicazione delle pesanti sanzioni amministrative pecuniarie di cui all’art. 99 AI Act deriva poi dal par. 29 sub 1 dell’art. 1 della proposta di Regolamento, che riguarda anche le pene che devono essere stabilite dagli Stati membri e le sanzioni amministrative previste dallo stesso articolo, per cui occorre tenere conto della reddittività economica delle piccole e medie imprese, comprese le start up (Li.Pe. e L.P.).
Il testo completo dei diversi documenti compresi nel pacchetto è consultabile al seguente link.
Data Act diventa pienamente applicabile dal 12.9.2025
Il Data Act (Regolamento UE 2023/2854), pubblicato in Gazzetta Ufficiale il 22.12.2023 e divenuto pienamente applicabile il 12.9.2025, è il regolamento europeo che mira a creare un mercato dei dati più aperto ed equo, fissando regole chiare sull’accesso, l’uso e la condivisione dei dati generati da prodotti e servizi connessi. La norma stabilisce innanzitutto che i dati prodotti da dispositivi intelligenti, come auto connesse, macchinari industriali o elettrodomestici smart, devono essere accessibili all’utilizzatore e non solo al produttore, riconoscendo all’utente anche la possibilità di condividere tali dati con terzi per ottenere servizi alternativi o più competitivi. Per rendere questo diritto effettivo, i produttori sono tenuti a progettare dispositivi e servizi che consentano un accesso semplice e trasparente ai dati e a informare chiaramente gli utenti su quali dati vengono generati e come possono essere utilizzati.
Il Data Act interviene anche sui rapporti contrattuali tra imprese, fissando criteri per evitare squilibri e clausole vessatorie, soprattutto a danno delle PMI. Inoltre, disciplina il modo in cui i dati detenuti da soggetti privati possono essere richiesti dalla Pubblica Amministrazione in circostanze eccezionali o in situazioni di interesse pubblico, garantendo compensazioni e meccanismi di tutela.
Una parte centrale della normativa riguarda i servizi cloud ed edge computing: il Data Act introduce norme sulla portabilità dei dati tra fornitori, definisce procedure e limiti per la migrazione e rafforza le misure di sicurezza, anche per prevenire accessi non autorizzati da parte di Paesi terzi. Parallelamente, stabilisce regole per i servizi di intermediazione dei dati, imponendo principi di neutralità e trasparenza, e definisce un quadro per le organizzazioni di “data altruism”, che raccolgono volontariamente dati per finalità sociali, scientifiche o di interesse generale.
Nel complesso, il Data Act si propone di favorire la circolazione dei dati in un contesto competitivo e sicuro, promuovendo innovazione e sviluppo economico, e garantendo al contempo un elevato livello di tutela per cittadini e imprese. Tale disciplina dovrebbe confluire, nel prossimo futuro, nel regolamento “DigitalOmnibus” di cui alla soprastante informazione sub n. 1 (Li.Pe.)
Il testo completo è consultabile al seguente link.
Commissione Europea: “Study on the deployment of AI in healthcare” (gennaio 2024 – maggio 2025)
La Direzione Generale Salute della Commissione Europea ha richiesto uno studio avente ad oggetto l’utilizzo dei sistemi di Intelligenza Artificiale in ambito medico. Il report evidenzia come, nonostante l’enorme potenziale dell’AI e delle tecnologie già esistenti, vi siano ancora diversi ostacoli che ne impediscono la diffusione in ambito sanitario, tra cui: un quadro normativo frammentato, una carente interoperabilità dei dati, resistenze culturali al cambiamento e un livello ancora insufficiente di alfabetizzazione digitale sia tra i professionisti che tra i pazienti. Il report riporta però anche le soluzioni operative adottate da diversi ospedali a livello globale per superare questi ostacoli, che costituiscono una fonte di ispirazione per le istituzioni dell’Unione europea. Infatti, dall’analisi di questi casi è emerso che l’utilizzo dei sistemi di AI già esistenti consente di ottenere un alleggerimento delle attività burocratiche, maggiore accuratezza nelle diagnosi, un uso più efficiente delle risorse e una riduzione dei tempi di attesa. Nel report si osserva, inoltre, che, in futuro, l’AI potrebbe permettere di personalizzare il percorso di cura, prevedere l’evoluzione delle patologie e affiancare il medico nella valutazione clinica in tempo reale. Perché queste prospettive si realizzino, tuttavia, è necessario che il quadro regolatorio europeo diventi più coerente e maggiormente aderente alle esigenze della pratica clinica. Il report richiama in particolare l’attenzione sull’AI Act, sul regolamento dei dispositivi medici e su quello sullo spazio europeo dei dati sanitari, sottolineando la necessità di interpretazioni e strumenti applicativi che facilitino le sperimentazioni territoriali e il lavoro dei centri di eccellenza. Viene inoltre suggerita l’introduzione di un sistema stabile di monitoraggio, fondato su indicatori in grado di riflettere i progressi reali e la sostenibilità delle soluzioni nel lungo periodo (Li.Pe.).
Il testo completo è consultabile al seguente link.
Privacy and Data Protection Risks in Large Language Models (LLMs)
Il report, pubblicato nel mese di aprile 2025 a supporto dell’attività dell’EDPB, si concentra sull’identificazione dei rischi per la privacy e la protezione dei dati associati all’uso di Large Language Models (LLM), in particolare per quanto riguarda i diritti e i principi sanciti dalla Convenzione 108 del Consiglio d’Europa. I Large Language Models sono sistemi di intelligenza artificiale in grado di riconoscere e generare un linguaggio simile a quello dell’uomo, basati su sistemi di machine learning, che vengono addestrati su grandi quantità di dati. Le loro applicazioni sono diverse, che vanno dalla generazione di testo e sintesi all’assistenza di codifica e altro ancora.
Il report individua i pericoli derivanti dall’utilizzo di LLM, sussistenti sia nella fase di addestramento, sia in quella finale. Infatti, questi sistemi potrebbero memorizzare involontariamente dati sensibili nella fase di addestramento e riportarli nella fase di output. Il report classifica i diversi rischi in base alla probabilità e alla grandezza del danno per l’utente, riportando tre esempi: l’utilizzo di un assistente virtuale (chatbot) con la funzione di customer service, l’utilizzo di un sistema LLM per il monitoraggio del rendimento scolastico degli studenti e l’utilizzo di un assistente AI per la gestione dei viaggi e degli appuntamenti.
A tal proposito vengono suggerite delle misure volte alla minimizzazione dei rischi per la privacy legati all’utilizzo di LLM, mediante l’adozione di misure tecniche e organizzative quali la pseudonimizzazione dei dati di addestramento, l’installazione di filtri in grado di analizzare il risultato dell’LLM, bloccando informazioni aventi ad oggetto dati personali e l’adozione di misure di sicurezza che impediscano accessi non autorizzati. (Li.Pe)
Il testo completo è consultabile al seguente link.
Position Paper on Caller ID Spoofing
Il nuovo documento pubblicato dall’Europol il 27.10.2025, analizza il fenomeno dello “spoofing” ossia una tecnica informatica, volta ad ingannare un sistema o un utente, con cui viene falsificata l’identità del mittente. Questa tecnica posta in essere prevalentemente con telefonate ed SMS, consente ai malintenzionati di manipolare le informazioni visualizzate sull’ID chiamante di un utente, per mostrare un nome o un numero falso che appare legittimo e affidabile, consentendo l’integrazione dei reati di truffa e frode.
Il documento dell’Europol mira a sottolineare l’urgente necessità di un approccio coordinato e articolato tra Stati per mitigare il fenomeno dello spoofing transfrontaliero dell’ID chiamante e delinea le misure tecniche, normative e collaborative essenziali necessarie per affrontare questo problema globale, proteggendo i cittadini e agevolando il lavoro delle forze dell’ordine in tutta Europa. (Li.Pe.)
Il testo complete è consultabile al seguente link.
Il codice di buone pratiche dell’IA per finalità generali: focus sul diritto d’autore
Il codice di buone pratiche è stato predisposto in ausilio dei fornitori di modelli di intelligenza artificiale per finalità generali (di seguito GPAI) nell’applicazione delle regole dell’AI Act. Pubblicato il 10 luglio, è uno strumento volontario preparato da esperti indipendenti sotto la guida dell’Ufficio per l’IA con il coinvolgimento diretto dei rappresentanti degli Stati membri dell’UE ed un elevato numero di organizzazioni professionali. I fornitori di modelli di IA che lo firmano volontariamente possono dimostrare di rispettare la normativa sull’IA aderendo al codice. Il codice è composto da tre capitoli sui seguenti temi: trasparenza, diritto d’autore e sicurezza. I primi due capitoli si applicano a tutti i fornitori di modelli di GPAI, il secondo solo ai fornitori dei modelli più avanzati con rischio sistemico a norma dell’articolo 55 AI Act.
Con specifico riferimento al diritto d’autore, per garantire che siano riprodotte ed estratte dai Firmatari, per l’addestramento dei loro modelli di IA di uso generale, solo opere e altro materiale protetto, legalmente accessibile e nel rispetto, peraltro, delle riserve di diritti leggibili da macchina, ai sensi dell’articolo 4(3) della direttiva (UE) 2019/790, è richiesto ai fornitori aderenti al codice di: 1. non aggirare le misure tecnologiche efficaci definite all’articolo 6(3) della direttiva 2001/29/CE, progettate per prevenire o limitare atti non autorizzati relativi a opere e altro materiale protetto; 2. escludere dal web crawling i siti web che mettono contenuti a disposizione del pubblico e che, siano riconosciuti da tribunali o autorità pubbliche dell’Unione europea e dello Spazio economico europeo come autori di violazioni del diritto d’autore e dei diritti connessi su scala commerciale; 3. utilizzare web crawler che leggano e seguano le istruzioni espresse secondo il Robot Exclusion Protocol (robots.txt), come specificato nell’IETF RFC 9309 e sue eventuali versioni successive tecnicamente realizzabili e implementabili da fornitori di IA e titolari dei diritti; 4. rispettare altri protocolli appropriati e leggibili da macchina per esprimere riserve di diritti ai sensi dell’articolo 4(3) della direttiva (UE) 2019/790, ad esempio tramite metadati basati su asset o localizzazione, adottati da organismi di normazione internazionali o europei, oppure considerati allo stato dell’arte, tecnicamente realizzabili. I Firmatari si impegnano, inoltre, ad adottare misure appropriate affinché i titolari dei diritti interessati possano ottenere informazioni sui web crawler impiegati, sulle loro funzionalità robots.txt. (R.M.V.).
Linee Guida per i fornitori di modelli di IA per finalità generali
Ad integrazione ed in connessione al sopra indicato codice, le Linee Guida approvate il 18 luglio 2025 indicano in che modo la Commissione interpreta i termini chiave del AI Act, fornendone in particolare una definizione i modelli di IA di uso generale ed identificandone i relativi fornitori.
A tal fine sono forniti alcuni esempi, con indicazione specifica anche di quali azioni costituiscono immissione sul mercato ed a quali condizioni i fornitori di modelli di IA open source sono esentati da determinati obblighi al fine di promuovere la trasparenza e l’innovazione.
Dati gli impatti dell’impiego di modelli a rischio sistemico, è ribadita l’importanza di valutazioni continue, reporting incidenti ed in generale di misure di protezione dei dati e di cybersecurity lungo tutto il ciclo di vita del modello.
Sono, poi, fornite indicazioni sugli effetti dell’adesione dei fornitori ad un codice di condotta valutato come adeguato dall’Ufficio per l’IA e dal Consiglio: per quelli che lo faranno la Commissione concentrerà la sua attività di vigilanza sul monitoraggio della loro conformità al codice, mentre gli altri fornitori dovranno dimostrare come rispettano i loro obblighi ai sensi del Capitolo V dell’AI Act tramite altri mezzi adeguati e dovranno riferire all’Ufficio per l’IA le misure adottate. Inoltre, tali fornitori dovranno spiegare come le misure attuate garantiscono la conformità ai loro obblighi, ad esempio conducendo un’analisi delle lacune che confronti le misure implementate con quelle previste dal codice valutato come adeguato. Essi potrebbero anche essere soggetti a un numero maggiore di richieste di informazioni e di richieste di accesso per condurre valutazioni del modello durante l’intero ciclo di vita.
E’ precisato, inoltre, che la Commissione può considerare gli impegni attuati in linea con un codice valutato come adeguato come fattore attenuante nella determinazione dell’importo delle sanzioni di cui all’articolo 101, paragrafo 1, AI Act; essa garantirà, in ogni caso, la riservatezza dei dati ottenuti nell’ambito delle attività di supervisione, indagine, applicazione e monitoraggio al fine di proteggere, in particolare, i diritti di proprietà intellettuale, le informazioni commerciali riservate o i segreti commerciali di persone fisiche o giuridiche, nonché la sicurezza pubblica, conformemente all’articolo 78 AI Act.
Relativamente, invece, alle attività di supervisione, indagine, applicazione e monitoraggio dell’Ufficio per l’IA, è richiesto l’adozione di un approccio collaborativo, graduale e proporzionato. Nello specifico, l’ufficio dovrà incoraggiare una stretta cooperazione informale con i fornitori durante la fase di addestramento dei loro modelli di IA ad uso generale, al fine di facilitare la conformità e garantire un tempestivo collocamento sul mercato per i fornitori di modelli con rischio sistemico. Nel valutare la conformità, inclusi gli aspetti connessi alla cybersecurity ed ai processi di governance, l’Ufficio per l’IA può tenere conto anche dell’eventuale attuazione di standard tecnici pertinenti da parte del fornitore, ed in particolare, ove disponibili, degli standard armonizzati pubblicati nella Gazzetta ufficiale dell’Unione europea.
Con riguardi alla segnalazione obbligatoria relativa agli “incidenti gravi” ai sensi dell’articolo 55, paragrafo 1, lettera c), AI Act, è specificato che tale obbligo includa gravi violazioni della cybersecurity a relative al modello o alla sua infrastruttura fisica, compresa l’auto-esfiltrazione dei parametri del modello e gli attacchi informatici. Sulla proposta di unificare ora i meccanismi di notifica degli incidenti relativi alla cybersecurity previsti da differenti fonti, contenuta nel c.d. Digital Omnibus, si veda supra sub n. 1 (R.M.V.).
Legge 23 settembre 2025, n. 132: Disposizioni e deleghe al Governo in materia di intelligenza artificiale, profili penali
I contenuti penali della legge sull’intelligenza artificiale del 23.9.2025, n.132, entrata in vigore il 10.10. u.s., si collocano nel contesto extra penale, rappresentato soprattutto dal regolamento dell’Unione europea 2024/1689 (AI Act), cui la legge fa espresso rinvio, a partire dall’art. 1 per le definizioni di “sistema di intelligenza artificiale” e di “modello di intelligenza artificiale”. Si tratta di elementi normativi richiamati nei due nuovi reati e nelle quattro circostanze aggravanti, introdotti dalla legge, mentre l’adeguamento della normativa interna a detto regolamento europeo è fra gli oggetti delle deleghe legislative dalla stessa previste.
In particolare i due nuovi delitti sono rappresentati dall’illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale (art. 612-quater c.p.: c.d. deep fake) e dalla violazione delle norme in materi di diritto d’autore nell’estrazione di dati per i sistemi di intelligenza artificiale (nuova lettera a-ter aggiunta all’art. 171, comma 1, legge 633/1941).
Quanto al primo delitto, va evidenziato che il bene giuridico protetto si differenzia da quello del pur contiguo delitto di c.d. revenge porn (art. 612-ter c.p.), parimenti collocato fra i delitti contro la persona, in quanto non è limitato alla reputazione e riservatezza nell’ambito sessuale, ma consiste nel nuovo diritto, di ogni persona, a non essere ingannata o condizionata sfavorevolmente dall’intelligenza artificiale: tanto che può riguardare anche interventi manipolatori che investono la sfera sociale, politica e pubblica in genere. Ed è un interesse che già trova riconoscimento giuridico nell’art. 5 lettera a) AI Act, che elenca le pratiche assolutamente vietate, già punite dalle pesanti sanzioni amministrative pecuniarie di cui all’art. 99 del medesimo regolamento. Le condotte di diffusione non solo di “immagini” e “video”, ma anche di “voci”, devono condurre al criticato evento consumativo del “danno ingiusto”, da interpretare in senso ampio, non solo di natura patrimoniale, per la persona offesa, che è legittimata a sporgere querela. Mentre per le nozioni di “alterazione” e “falsificazione” si può richiamare (con la dovuta cautela) la ricca elaborazione dottrinale e giurisprudenziale concernente le falsità documentali, comprendendo quindi in quest’ultima condotta anche la “contraffazione”, quale creazione ex novo di qualsiasi contenuto non genuino, anche del tutto avulso dalla realtà oggettiva, non dovendosene presupporre uno preesistente che sia poi manipolato, purché vi sia in entrambe le ipotesi l’idoneità ad ingannare.
Il secondo nuovo delitto è previsto dalla lettera a-ter), aggiunta all’art. 171, primo comma, legge 633/1941, e punisce chi “riproduce o estrae testo o dati da opere o altri materiali disponibili in rete o in banche dati in violazione degli articoli 70-ter e 74-quater anche attraverso sistemi di intelligenza artificiale”.
La fattispecie è meramente sanzionatoria dei precetti extra-penali cui espressamente rinvia, stabiliti dal d.lgs. 8 novembre 2021, n. 177, di attuazione della direttiva (UE) 2019/790, per disciplinare, e nel contempo consentire alle condizioni indicate, l’attività di “estrazione di testo e di dati” (c.d. text data mining: TDM) definita – ai sensi del comma 2 del richiamato art. 70-ter legge 633/1941 – come “qualsiasi tecnica automatizzata volta ad analizzare grandi quantità di testi, suoni, immagini, dati o metadati in formato digitale con lo scopo di generare informazioni, inclusi modelli, tendenze e correlazioni” (al riguardo si veda anche il nuovo art. 70-septies legge 633/1941, introdotto dall’art. 25 della stessa legge 132/2025, che ribadisce le condizioni di legittimità di tale attività, in concreto posta in essere da e per i sistemi di intelligenza artificiale).
La pena è peraltro risibile, se si guarda agli interessi economici in gioco, consistendo nella sola multa da euro 51 a euro 2.065. Mentre nulla è detto circa la compatibilità con la protezione dei dati personali, che possono essere ed anzi, di fatto, sono parimenti oggetto di tali attività, che tocca diritti fondamentali di ogni persona.
Le quattro nuove circostanze aggravanti sono tutte imperniate sull’utilizzazione di sistemi di intelligenza artificiale quale “strumento” di commissione del reato, a partire da quella comune, di cui al numero 11-undecies dell’art. 61 c.p., che è però arricchita, rispetto alle altre tre speciali, da ulteriori requisiti, alternativi tra loro, ed in particolare che essi “per la loro natura o modalità di utilizzo” abbiano costituito “mezzo insidioso” oppure abbiano “ostacolato la pubblica o la privata difesa” od infine abbiano “aggravato le conseguenze del reato”.
Tali requisiti non ricorrono per quelle speciali introdotte sia a rafforzamento della tutela dell’esercizio dei diritti politici del cittadino (nuovo comma 2 aggiunto all’art. 294 c.p.), sia nella legislazione speciale, in materia di manipolazione del mercato (ex art. 185 TUF) e di aggiotaggio c.d. societario ex art. 2637 c.c., fatti che si possono realizzare nelle contrattazioni di borsa, in cui peraltro si ricorre da tempo e massivamente al c.d. trading algoritmico, basato sull’utilizzazione di per sé legittima di sistemi di intelligenza artificiale: per cui può essere molto arduo stabilire quando siano da considerare aggravati per tale utilizzazione.
Infine, sono di interesse per la materia penale i contenuti di alcune delle norme di delegazione, che devono portare, entro dodici mesi, all’introduzione di nuovi reati, “dolosi o colposi”, per l’omessa adozione di misure di sicurezza che determini pericolo per alcuni beni giuridici (vita, incolumità pubblica o individuale, sicurezza dello Stato); e ad una “precisazione” dei “criteri di imputazione” sia della responsabilità penale delle persone fisiche, sia di quella amministrativa degli enti, per illeciti inerenti a sistemi di intelligenza artificiale. In entrambe le deleghe non sono però stabiliti i principi e i criteri direttivi, che l’art. art. 76 Cost. impone e che, come peraltro segnalato espressamente dalle Commissioni in sede di lavori parlamentari, dovrebbero essere particolarmente stringenti e precisi nella materia penale, come ha più volte affermato la Corte costituzionale, stante la riserva assoluta di legge per essa stabilita.
In conclusione, pur dovendosi riconoscere la tempestività della nuova legge, che rappresenta un passo significativo per la sua dimensione strutturale, riguardando svariati settori, vanno criticate le incongruenze segnalate, in specie con riferimento alla esiguità della pena solo pecuniaria prevista per le violazione delle norme sull’importante ed invasiva attività di estrazione di dati per i sistemi di intelligenza artificiale, rispetto a cui non è neppure stabilita alcuna specifica disciplina in relazione a quelli personali, in contraddizione palese con la previsione invece di nuove circostanze aggravanti, di cui quelle speciali appaiono anche sostanzialmente superflue a fronte di quella comune già di per sé applicabile ad ogni reato. Emerge così quella più volte criticata prospettiva “panpenalistica” che punta sull’aumento astratto delle pene e sulla creazione di nuovi reati e nuove circostanze aggravanti, aventi scarsa efficacia preventiva per il necessario contrasto ai fenomeni nuovi, da regolare, a monte, con più adeguati strumenti di governo della materia, rispetto a cui il diritto penale dovrebbe rappresentare soltanto l’ultima ratio di tutela. Ed al riguardo anche la successiva proposta della Commissione europea denominata Digital Omnibus di cui sopra, al n. 1 delle “Novità sovranazionali” potrebbe avere un impatto non secondario (L.P.)
Il testo della legge è disponibile al seguente link. Per un commento confronta Picotti L., I contenuti penali della legge sull’intelligenza artificiale, in Sistema Penale (2.12.2025).
Novità giurisprudenziali nazionali ed europee
Accesso abusivo a sistema informatico e telematico su Whastapp
La Corte, in conformità a un. orientamento ormai monolitico sul punto, ha riaffermato quale sia la condotta penalmente rilevante della fattispecie di accesso abusivo a un sistema informatico o telematico protetto. Questa assume rilievo quando è posta in essere non solo (come è ovvio) da un soggetto non abilitato ad accedervi, ma anche da chi, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura ontologicamente diversa da quelle per le quali l’accesso è consentito, non avendo rilievo, per la configurazione del reato, gli scopi e le finalità che soggettivamente abbiano motivato l’ingresso al sistema.
In applicazione di tali principi, la Corte ha ritenuto che l’applicazione di messaggistica istantanea “Whatsapp” possa essere considerata come un sistema informatico, essendo questo un software progettato per gestire la comunicazione tra utenti, utilizzando reti di computer per trasmettere i dati, combinando hardware, software e reti per offrire il suo servizio. Quest’approdo è stato possibile equiparando l’applicativo ad una “casella di posta elettronica”, non essendo altro che uno spazio di memoria di un sistema informatico, destinato alla memorizzazione di messaggi o informazioni di altra natura (immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider del servizio.
Per cui la Corte ha ritenuto esente da censura la sentenza della Corte d’appello, nella parte in cui aveva ritenuto integrato il delitto di cui all’art. 615-ter c.p. nella condotta del ricorrente che si era trattenuto abusivamente nel cellulare della persona offesa, protetto da password, ed aveva carpito alcuni messaggi presenti sull’applicazione di messaggistica Whatsapp. (S.T.)
Diffusione illecita di immagini sessualmente esplicite e delitto di illecito trattamento dei dati personali
Il reato di cui all’art. 167, comma 2, d.lgs. n. 196/2003, c.d. Codice Privacy, sussiste anche nel caso in cui la persona offesa abbia trasmesso ad altre persone immagini sessualmente esplicite analoghe a quelle illecitamente diffuse dall’imputato senza il suo consenso, in quanto sussiste continuità fra il delitto di cui all’art. 167, comma 2, d.lgs. 30 giugno 2003, n. 196, nella formulazione successiva alla novellazione effettuata dall’art. 15, comma 1, lett. b), d.lgs. 10 agosto 2018, n. 101, e quello previsto dalla medesima norma nella formulazione previgente, continuando ad essere incriminato il trattamento dei dati personali “particolari” di cui agli artt. 9 e 10 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, avvenuto in violazione delle disposizioni di cui agli artt. 2-sexies e 2-octies o delle misure di garanzia di cui all’art. 2-septies d.lgs. n. 196 del 2003, che rechi nocumento all’interessato e sia finalizzato a trarre profitto per sé o per altri o a provocare tale nocumento. Infatti, spetta alla sola persona offesa scegliere se e a chi inviare tali immagini. Pertanto, la loro diffusione senza consenso ha sottratto dalla sfera di controllo della vittima quelle immagini che la stessa aveva inteso tenere riservate, in assoluto (non trasmettendole a nessuno) o in modo relativo (inviandole a persone dalla medesima scelte) ed è quindi idoneo ad integrare l’evento dell’avvenuto “nocumento” richiesto dalla norma. (C.C.)
Diffamazione aggravata mediante pubblicazione di un video offensivo su TikTok
La pronuncia si sofferma sul concetto di “presenza” della persona offesa, che è il requisito rilevante per distinguere il reato di diffamazione da quello di ingiuria, qualora l’offesa all’onore o alla reputazione sia effettuata utilizzando i sistemi tecnologici.
In particolare, pur riconoscendo che alcuni sistemi informatici consentono di equiparare la presenza fisica a quella virtuale, deve però affermarsi che integra il delitto di diffamazione aggravato da mezzo di pubblicità diverso dalla stampa, e non la fattispecie trasformata in illecito civile punitivo dell’ingiuria aggravata dalla presenza di più persone, la dichiarazione offensiva resa in un video pubblicato “in diretta” sui social-media, nella specie “TikTok”, al quale il destinatario non sia presente fisicamente, pur avendovi assistito “in diretta da remoto”, atteso che la possibilità di inserire “commenti” non assicura un rapporto diretto con l’offensore, né un contraddittorio immediato ed in forme adeguate, rispettose di una sostanziale “parità delle armi”, che costituisce la ratio della distinzione fra le due fattispecie e della minor gravità dell’ingiuria. (S.T.)
Accesso abusivo a sistema informatico, frode informatica e giurisdizione
Il secondo comma dell’art. 6 c.p. stabilisce che il reato si considera commesso nel territorio dello Stato «quando l’azione o l’omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è verificato l’evento che è la conseguenza dell’azione od omissione». Dunque, detta una nozione estensiva del locus commissi delicti ben oltre il luogo del momento consumativo, conferendo rilevanza anche a semplici “parti” dell’azione od omissione oltre che alla sola verificazione dell’evento. Pertanto, il reato di reato di accesso abusivo ad un sistema informatico si considera commesso in Italia anche quando l’imputato si trovi materialmente all’estero. Infatti, ancorché l’unica condotta umana materiale di tale reato consista nell’agire sul computer remoto, nel luogo in cui questo si trova (il quale luogo, come si è detto, secondo le Sezioni unite della Corte di cassazione costituisce il luogo di consumazione del reato), tuttavia, in considerazione della dimensione anche virtuale che è propria della fattispecie – e di cui la collocazione del reato di cui all’art. 615-ter cod. pen. tra i «delitti contro l’inviolabilità del domicilio» costituisce un evidente riflesso – si deve ritenere che «l’azione» che rileva ai fini di cui all’art. 6, secondo comma, cod. pen., sia costituita non solo dall’agire sul computer remoto, ma anche dall’introduzione, per mezzo di tale agire e come effetto automatizzato dello stesso, nel sistema informatico protetto, il che avviene nel diverso luogo in cui tale sistema si trova. Parimenti, il reato di frode informatica presenta il duplice evento del danno patrimoniale altrui e dell’ingiusto profitto per sé o per altri, per cui è applicabile la legge italiana e si radica la giurisdizione italiana anche qualora uno solo di tali eventi si sia verificato in Italia. (C.C.)
Sulla configurabilità del reato di diffusione illecita di immagini o video sessualmente espliciti (art. 612-ter c.p.) nel caso di acquisizione (o acquisto) di materiale da siti limitati ai soli iscritti
La Corte di cassazione ha ribadito quanto affermato nell’ordinanza del Tribunale del riesame che ha confermato il decreto di convalida di perquisizione e sequestro preventivo disposto dal pubblico ministero in relazione all’ipotesi di reato di cui all’art. 612-ter c.p. La Corte ha chiarito che integra il reato di diffusione illecita di immagini o video sessualmente espliciti la condotta di chi abbia ricevuto, acquisito o acquistato tale materiale pubblicato su un sito web che richiede la preventiva registrazione dell’utente e lo abbia poi trasmesso a terzi senza il consenso della persona raffigurata. Infatti, il consenso prestato dalla persona interessata al momento dell’apertura dell’account circoscrive l’utilizzo del materiale ai soli membri della comunità virtuale cui esso era originariamente destinato (Li.Pe.).
Propaganda e istigazione a delinquere per motivi di discriminazione razziale etnica e religiosa sui social network
Integra il reato di cui all’art. 604-bis, comma secondo, c.p., l’adesione a una comunità virtuale caratterizzata da vocazione ideologica neonazista, avente tra gli scopi la propaganda e l’incitamento alla discriminazione e alla violenza per motivi razziali, etnici o religiosi e la condivisione, sulle bacheche delle sue piattaforme “social”, di messaggi di chiaro contenuto negazionista, antisemita e discriminatorio per ragioni di razza, attraverso l’inserimento di “like” e il rilancio di “post” e dei correlati commenti, per l’elevato pericolo di diffusione di tali contenuti ideologici ad un numero indeterminato di persone, derivante dall’algoritmo di funzione dei “social network”, che aumenta il numero di interazioni tra gli utenti. (S.T.)
Diffamazione aggravata a mezzo Facebook: illegittima l’applicazione della pena detentiva per carenza di eccezionale gravità dell’offesa alla reputazione
La Suprema Corte è intervenuta cassando la sentenza della Corte d’Appello nella parte in cui ha irrogato nei confronti del ricorrente la pena detentiva – ancorché sospesa – della reclusione di mesi quattro, in relazione alla contestazione di una diffamazione avvenuta tramite il social network Facebook.
In particolare, la Corte ha ritenuto che l’irrogazione di una pena detentiva, anche se condizionalmente sospesa, per il reato di diffamazione possa essere compatibile con la libertà di espressione garantita dall’art. 10 della CEDU (oltre che dall’art. 21 Cost.), solamente in circostanze ed ipotesi eccezionali, qualora siano stati lesi gravemente altri diritti fondamentali, come, per esempio, in caso di discorsi di odio o di istigazione alla violenza.
La motivazione di questa scelta più gravosa, in ogni caso, dev’essere sorretta da un rigoroso obbligo di motivazione, rafforzata e puntuale, che il giudice di merito deve rendere sulla eccezionale gravità della condotta diffamatoria attributiva di un fatto determinato (che ad esempio comporti un’istigazione alla violenza ovvero veicoli messaggi d’odio), cui soltanto si riconnette la possibilità di applicare una pena detentiva, secondo un’interpretazione costituzionalmente e convenzionalmente orientata (cfr. Cass., Sez. V pen., n. 26509 del 09/07/2020, Carchidi). (S.T.)
La Cassazione ha ribadito che integra il delitto di pornografia minorile anche la condotta di chi, pur non producendo direttamente il materiale, istiga o induce il minore a realizzarlo, trattandosi di una forma di utilizzazione e strumentalizzazione del minore, rilevante ai sensi dell’art. 600-ter c.p..
Nella specie, è stato ritenuto indubbio il ruolo propulsivo e istigatore del ricorrente nella produzione e nella realizzazione di un video pedopornografico utilizzando una minore degli anni diciotto, anche attraverso la promessa di una consistente somma di denaro da corrispondere a questa dopo aver visionato il materiale. In particolare, l’imputato ha richiesto ad una minore di riprendersi mentre compiva atti sessuali con un proprio coetaneo, “personalizzati” da un saluto al ricorrente, prima di dedicarsi a questi. (B.P.)
Non è reato la condotta di chi trasmette una partita di calcio in un locale aperto al pubblico con l’uso di una smart card ad uso domestico, se manca il fine di lucro
La Cassazione è tornata a pronunciarsi sui reati in materia di violazione del diritto d’autore e diritti connessi.
Il reato di trasmissione in locale pubblico di eventi criptati, mediante l’uso di scheda Mediaset Premium destinata esclusivamente all’uso domestico, non sussiste quando non è dimostrato il fine di lucro, ovvero l’intento di far confluire nel locale aperto al pubblico un maggior numero di clienti grazie alla fruizione gratuita del servizio.
La pronuncia impugnata, pertanto, è stata annullata con rinvio ad una diversa sezione della Corte, affinché sia valutata la lacuna della motivazione della sentenza sul fine di lucro, la cui esistenza era stata invece data per presupposta dalla Corte territoriale, nonostante lo specifico motivo di gravame del ricorrente. (S.T.)
Trattamento illecito di dati personali: è reato pubblicare le foto dei minori nel web
La Corte, in un’articolata sentenza di inammissibilità del ricorso proposto dall’imputato, ha delineato il concetto di “nocumento”, necessario al fine di integrare il delitto di trattamento illecito di dati personali di cui all’articolo 167 D.Lgs. 196/2003. Questo, in conformità alla precedente giurisprudenza, si sostanzia anche nella mera pubblicazione su una chat di un numero di telefono privato, in assenza del consenso dell’interessato, in quanto tale condotta arreca, di per sé, un danno a quest’ultimo, che ben può essere di natura anche non patrimoniale.
Pertanto, la Corte ha ritenuto del tutto evidente il nocumento arrecato dall’imputato per il tramite della pubblicazione della foto in cui, insieme alla stessa persona offesa, vi era la di lei figlia minorenne in un gruppo Facebook, accompagnato da un messaggio denigratorio, ingiurioso e di tipo minaccioso verso la stessa persona offesa. (S.T.)
Sequestro di dispositivi e dati digitali: principio di proporzionalità
La Sesta Sezione Penale ha annullato senza rinvio un decreto che disponeva l’acquisizione indiscriminata, aspecifica e del tutto generica, della copia forense di tutti i contenuti digitali rinvenibili all’interno del cellulare e di alcuni account digitali riferibili all’indagato (quali le caselle e-mail ed e-cloud). Ribadendo gli standard costituzionali e convenzionali di necessità e proporzionalità del vincolo reale imposto sui dati digitali, è stato ritenuto che il decreto che disponeva il sequestro a fini probatori con questa ampiezza assumeva una valenza meramente esplorativa e non funzionale a garantire un corretto bilanciamento tra gli interessi dedotti. (B.P.)
L’uso dell’Intelligenza Artificiale in un atto processuale: condanna per lite temeraria se questa inventa i precedenti giurisprudenziali
Il Tribunale di Torino, in funzione di giudice del lavoro, ha rigettato il ricorso proposto e condannato per lite temeraria il ricorrente che ha agito in giudizio in mala fede, o quantomeno in colpa grave, per aver proposto delle eccezioni tutte manifestamente infondate, redatte “col supporto dell’intelligenza artificiale”, costituito da un coacervo di citazioni normative e giurisprudenziali astratte, prive di ordine logico e in larga parte inconferenti, senza allegazioni concretamente riferibili alla situazione oggetto del giudizio. (S.T.)
Sanabile la notifica PEC anche se le ricevute di accettazione e consegna sono in PDF
La Corte ha stabilito che in materia di notificazione via PEC, il rispetto delle specifiche tecniche (artt. 3-bis e 9 L. 53/1994) è una condizione necessaria di validità. Il deposito delle ricevute in formato “.eml” o “.msg”, nel processo civile telematico è l’unico metodo che consente al giudice e alle parti di verificare l’integrità informatica e la disponibilità effettiva dell’atto nella sfera del destinatario. Di conseguenza, la produzione delle sole copie in formato PDF determina la nullità della notifica. Tuttavia, tale vizio è sanabile per convalidazione oggettiva, qualora dalle circostanze concrete emerse nel giudizio si possa desumere che l’atto sia giunto nella sfera di conoscenza del destinatario, garantendo il diritto di difesa. (Li.Pe.)
Questione di legittimità costituzionale: impugnazione trasmessa ad un indirizzo PEC non compreso nell’elenco D.G.S.I.A. (ma comunque presa in carico dalla cancelleria del giudice competente entro il termine)
Era stata rimessa alle Sezioni Unite la seguente questione: “se, nel sistema dell’art. 87-bis c. 7 d. lgs. 150/2022, sia ammissibile l’impugnazione trasmessa ad un indirizzo PEC non compreso nell’elenco previsto dal decreto del Direttore D.G.S.I.A. del 9 novembre 2020, ma comunque riferibile all’ufficio giudiziario competente a riceverla, quando essa sia stata ricevuta e presa in carico dalla cancelleria del giudice competente entro il termine previsto per il deposito dell’impugnazione”.
Soluzione adottata dalla Corte in sede di informativa provvisoria: “Negativa, ferma restando l’ammissibilità dell’impugnazione trasmessa ad un indirizzo di posta elettronica certificata non compreso nell’elenco previsto dal decreto del Direttore generale per i sistemi informativi automatizzati del 9 novembre 2020, ma comunque riferibile all’ufficio giudiziario competente a riceverla, quando la stessa sia stata inoltrata, con la medesima modalità di posta elettronica, ad indirizzo compreso nell’elenco previsto dal suddetto decreto direttoriale e riferibile all’ufficio giudiziario competente, cui giunga entro il termine previsto per il deposito dell’impugnazione, ponendosi comunque a carico del ricorrente il rischio che l’impugnazione sia dichiarata inammissibile per tardività.” (S.T.)
Il datore di lavoro non può visionare la mail degli ex dipendenti, considerati sleali, attraverso i server aziendali
La Corte di Cassazione, richiamando un principio già affermato dalla Corte Europea dei Diritti dell’Uomo in relazione ai concetti di “vita privata” e di “corrispondenza” di cui all’art. 8 CEDU, ribadisce che non solo le comunicazioni telefoniche, ma anche le e-mail inviate dal luogo di lavoro godono della tutela prevista dell’articolo 8 CEDU, così come le informazioni ottenute dal controllo dei server circa l’utilizzo di Internet da parte di un dipendente. È stato affermato dalla Corte EDU che le comunicazioni trasmesse dai locali dell’impresa nonché dal domicilio di una persona possono essere comprese nella nozione di “vita privata” e di “corrispondenza” di cui all’articolo 8 della Convenzione.
Pertanto, il datore di lavoro, anche se i dipendenti non sono più in servizio, non può conservare e categorizzare i dati personali degli stessi, relativi alla navigazione in Internet, all’utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate, acquisiti dallo stesso attraverso impianti e sistemi di controllo la cui installazione sia avvenuta senza il positivo esperimento delle procedure di cui all’art. 4, comma 2, della L. n. 300 del 1970 (nel testo anteriore alle modifiche apportate dal D.Lgs. n. 151 del 2015 vigente ratione temporis), che si applicano anche nel caso in cui i controlli siano diretti ad accertare comportamenti illeciti dei lavoratori quando comportano la possibilità di verifica a distanza dell’attività di questi ultimi, che devono originariamente aver prestato il proprio consenso ed essere stati notiziati delle informative previste dal D.Lgs. n. 196 del 2003. Il trattamento di quei dati, in assenza del consenso del lavoratore, si traduce, infatti, nella violazione dell’art. 8 della menzionata legge, che vieta lo svolgimento di indagini sulle opinioni e sulla vita personale del lavoratore, anche se le informazioni raccolte non siano in concreto utilizzate. (Li.Pe.)
Il titolare del trattamento deve informare l’interessato della condivisione di dati personali anche pseudonimizzati
La Corte di Giustizia UE, con sentenza resa nella causa e C-413/23, in data 04 settembre 2025, ha chiarito il concetto di “dati personali“ in relazione ai dati pseudonimizzati.
La pseudonimizzazione non costituisce un elemento definitorio del dato personale, ma una misura tecnica ed organizzativa volta a ridurre il rischio di identificazione. Ne consegue che l’identificabilità dell’interessato, e quindi la qualificazione dei dati come personali ai fini del GDPR, deve essere valutata dal punto di vista del titolare del trattamento e al momento della raccolta, indipendentemente dalla possibilità che un terzo, destinatario dei dati pseudonimizzati, non sia in grado di risalire all’identità dell’interessato. Secondo la Corte, anche le opinioni o i punti di vista espressi da una persona costituiscono, per loro natura, dati personali ad essa riferibili. Pertanto vige per il titolare del trattamento l’obbligo di fornire agli interessati l’informativa ex artt. 13-14 GDPR, al momento della raccolta dei dati, prima di qualsiasi trasferimento dei dati a terzi e questo obbligo di informazione si applica anche nel caso di dati pseudonimizzati, sebbene questi possano poi non essere identificabili da terzi. (Li.Pe.)
L’invio di una newsletter può costituire marketing diretto anche se il servizio digitale è accessibile gratuitamente
La Corte di Giustizia UE, nella causa C-654/23, in data 13.11.2025 ha stabilito che in tema comunicazioni di marketing diretto via posta elettronica, la nozione di “vendita di un prodotto o servizio” di cui all’art. 13, par. 2, della direttiva 2002/58/CE comprende anche la fornitura di un servizio digitale accessibile gratuitamente, qualora esso rientri in un modello economico diretto a promuovere ulteriori servizi o funzionalità a pagamento.
La Corte si è infatti pronunciata sull’invio di una newsletter ai clienti registrati ad una piattaforma che dava accesso ad un numero limitato di articoli gratuiti, indirizzandoli a visionare anche gli articoli per i quali era richiesto un abbonamento. Si chiedeva alla Corte se l’invio della newsletter potesse essere considerato “marketing diretto” autorizzato, oppure se servisse il consenso previsto dal regolamento generale sulla protezione dati (Regolamento (UE) 2016/679, GDPR).
Secondo la Corte, il titolare del trattamento può utilizzare l’indirizzo e-mail raccolto al momento della creazione dell’account per l’invio di comunicazioni commerciali relative a prodotti o servizi analoghi, senza necessità di un consenso preventivo ai sensi del GDPR, purché l’interessato sia stato informato fin dall’origine di tale uso e gli sia stata offerta, in modo chiaro e immediato, la possibilità di opporsi, opposizione che deve restare facilmente esercitabile anche in occasione di ogni successiva comunicazione.
In tale ambito, la disciplina speciale della direttiva ePrivacy prevale sulla disciplina generale del GDPR, fermo restando l’obbligo di rispettare i principi di trasparenza, proporzionalità e tutela effettiva dei diritti dell’interessato. Sulla prevista armonizzazione ed unificazione di tali due fonti europee, alla stregua della più recente proposta della Commissione europea Digital Omnibus, si rinvia supra al n. 1 delle “Novità sovranazionali” (Li.Pe.)
Legittimità della conservazione dei dati biometrici e genetici d’indagato
La Corte di Giustizia UE, nella causa a C-57/23, in data 13.11.2025 ha stabilito che non è contraria al diritto dell’Unione una normativa nazionale che consente la raccolta di dati biometrici e genetici di qualsiasi persona indagata o sospettata di aver commesso un reato doloso. Non è necessario che il diritto nazionale fissi un periodo massimo di conservazione, purché siano, però, previsti termini adeguati alla regolare e periodica verifica della stretta necessità di continuare a conservare tali dati.
Per la Corte questa verifica può essere anche devoluta alle autorità di polizia sulla base di norme interne, ma in ogni caso i titolari del trattamento devono essere tenuti, conformemente al diritto nazionale, a rispettare l’insieme dei principi e dei requisiti specifici applicabili ai trattamenti di dati “particolari” (già “sensibili”) (R.M.V).
Quali garanzie per il sequestro di posta elettronica aziendale per violazioni in materia di concorrenza.
La vicenda su cui l’Avvocato Generale ha emesso per la seconda volta le conclusioni riguarda il sequestro dei messaggi di posta elettronica scambiati tra gli impiegati di società indagate per violazioni in materia di concorrenza. Il tribunale portoghese aveva chiesto alla Corte di giustizia se l’autorizzazione rilasciata dal pubblico ministero al sequestro fosse stata sufficiente o se, di contro, potendo qualificarsi i predetti messaggi come «corrispondenza», avrebbe dovuto esservi pure quella del giudice istruttore. Nelle sue prime conclusioni in data 20 giugno 2024, l’avvocata generale Laila Medina aveva ritenuto applicabile la prima soluzione.
La causa veniva rimessa alla Grande Sezione a seguito della pronuncia della sentenza Bezirkshauptmannschaft Landeck, con cui la stessa Corte ha riconosciuto la possibilità, previo controllo di un giudice o di un’entità amministrativa indipendente, di accedere ai dati personali contenuti in un telefono cellulare ai fini di indagini penali.
L’avvocato Generale chiamato, pertanto, ad esprimersi nuovamente sul tema, sostiene ora che la citata sentenza non sia applicabile alla vicenda in esame in quanto trattasi di sequestri che sono stati effettuati dalle autorità nazionali garanti della concorrenza e che riguardano informazioni commerciali relative a persone giuridiche. Inoltre, diversamente dal sequestro di dispositivo cellulare, quello dei messaggi di posta elettronica di un’impresa non permette, ad avviso dell’Avvocato Generale, quell’accesso incontrollato alla totalità dei dati memorizzati che consenta di fatto di avere un’immagine completa della vita privata della persona interessata.
Ferma questa differenza, per l’Avvocata Medina il rispetto del principio di proporzionalità imporrebbe, comunque, in aggiunta agli obblighi incombenti alle autorità nazionali garanti della concorrenza in virtù del GDPR, garanzie ulteriore per prevenire eventuali abusi e segnatamente un controllo giurisdizionale ex post dei provvedimenti di sequestro, tanto nel corso quanto all’esito della procedura di indagine. (R.M.V.).
La legittimità del quadro di flussi di dati personali tra l’Unione e gli Stati Uniti
Il Tribunale dell’Unione Europea ha rigettato il ricorso presentato da un cittadino francese, utente di diverse piattaforme informatiche che raccolgono i suoi dati personali e li trasferiscono negli Stati Uniti, il quale aveva chiesto l’annullamento della decisione della Commissione del 10 luglio 2023, che istituisce il nuovo quadro transatlantico di flussi di dati personali tra l’Unione e gli Stati Uniti.
Ad avviso del ricorrente la prassi delle agenzie di intelligence americane, consistente nel raccogliere in blocco i dati personali in transito dall’Unione, senza previa autorizzazione di un giudice o di un’autorità amministrativa indipendente, sarebbe illegittima e la Data Protection Review Court (corte incaricata del controllo della protezione dei dati negli Stati Uniti d’America) non avrebbe i necessari requisiti d’indipendenza ed autonomia.
Nel respingere entrambi i motivi, il Tribunale ha evidenziato come la Commissione abbia adottato la decisione impugnata sulla base della promulgazione da parte degli Stati Uniti di un decreto presidenziale che ha rafforzato le misure di tutela della vita privata imposte alle agenzie di intelligence; decreto a cui è, inoltre, annesso un regolamento del procuratore generale che ha modificato le disposizioni sull’istituzione e il funzionamento della Data Protection Review Court in modo tale d’assicurare l’indipendenza dei suoi membri.
Alla luce di questo assetto normativo, il Tribunale ritiene che la decisione della Commissione sia pienamente legittima, evidenziando, con specifico riferimento alla raccolta in blocco dei dati personali, che la previsione di controllo giurisdizionale a posteriori da parte della Data Protection Review Court consenta una tutela giuridica sostanzialmente equivalente a quella imposta dal diritto e dalla giurisprudenza dell’Unione. (R.M.V.)
Pubblicazione su internet del nome degli atleti destinatari di provvedimenti per doping
Con le conclusioni rese nella causa C-474/24, l’Avvocato Generale, Dean Spielmann, si è espresso sulla compatibilità con il GDPR della normativa nazionale che prevede la pubblicazione automatica, sistematica ed illimitata dei dati personali di atleti che hanno violato le norme antidoping e segnatamente dei loro nomi, della disciplina sportiva praticata, della durata della loro esclusione da eventi sportivi, nonché dei motivi di tale esclusione. In Austria, questa pubblicazione sarebbe funzionale, da un lato, a dissuadere gli atleti dal commettere violazioni delle norme antidoping, dall’altro, ad evitare l’elusione delle sanzioni disposte, informando tutte le persone che potrebbero sponsorizzare l’atleta sospeso. Ad avviso dell’Avvocato generale, questi obiettivi sono, in realtà, raggiungibili con misure meno invasive e più conformi al principio di minimizzazione dei dati, quale una pubblicazione nominativa, ma limitata agli organismi pertinenti e alle federazioni sportive ed eventualmente accompagnata dalla pubblicazione su Internet pseudonimizzata.
Da quanto sopra consegue, pertanto, che se l’obbligo di pubblicazione non è in sé illegittimo, per la portata e durata con cui ne è consentita l’applicazione rischia, però, di comportare, in talune circostanze, un’ingerenza sproporzionata nei diritti alla protezione dei dati personali degli interessati. Per l’Avvocato Generale spetta al giudice austriaco verificare se le modalità di esecuzione della pubblicazione garantiscano effettivamente una ponderazione equilibrata tra i diversi interessi in gioco. (R.M.V.)
Definire con un post su Twitter “nazista” un politico non dovrebbe essere reato
Per la Corte Europea dei diritti dell’Uomo costituisce violazione della libertà di espressione la condanna per diffamazione emessa nei confronti di un cittadino danese che ha definito con un post su Twitter un noto politico come nazista. Per la Corte espressioni generalmente offensive come “idiota” e “fascista” possono essere considerate critiche accettabili in determinate circostanze e specificamente quando si tratta di questioni di interesse pubblico.
Il post in questione riguardava l’amministrazione della giustizia in Danimarca, e denunciava l’ingiustizia che una persona fosse stata arrestata per aver insultato un agente di polizia chiamandolo “idiota”, mentre le autorità, secondo l’opinione del ricorrente, tolleravano la condotta del politico noto per le sue aspre proteste anti-islam e i suoi discorsi razzisti.
Per la Corte il contesto in cui il post è stato emesso e la natura pubblica del soggetto destinatario della critica avrebbero imposto al giudice nazionale di accordare un elevato livello di tutela alla libertà di espressione, a maggior ragione per il fatto che, nel caso di specie, assolutamente gravi erano state, anche, le conseguenze sanzionatorie, essendo stato il ricorrente condannato sia alla pena pecuniaria, sia al risarcimento del danno in sede civile per un totale di 5.400 euro. Sebbene l’uso di sanzioni penali nei casi di diffamazione non sia di per sé sproporzionato, la sua gravità va valutata unitamente all’esistenza di altri rimedi, come quelli civili.
Alla luce di tutte queste ragioni, la Corte ritiene che i giudici nazionali non abbiano condotto un adeguato esercizio del bilanciamento conforme ai criteri stabiliti dalla giurisprudenza europea tra il diritto del ricorrente alla libertà di espressione e il diritto del soggetto destinatario del giudizio negativo al rispetto della sua vita privata; la condanna costituisce, pertanto, un’ingerenza sulla libertà di espressione non necessaria in una società democratica. (R.M.V.)
Raccogliere informazione per costringere un soggetto alla collaborazione con i servizi segreti costituisce illegittima interferenza nella vita privata.
Con la pronuncia in esame la Corte ha condannato l’Armenia per violazione del diritto al rispetto della vita privata e familiare e del diritto ad un ricorso effettivo in danno di un cittadino armeno, che appena eletto come membro dell’organo direttivo permanente del partito di opposizione, era stato avvicinato da un agente del Servizio di Sicurezza Nazionale. A fronte del rifiuto del ricorrente di collaborare con il Servizio, l’agente lo aveva minacciato, dichiarando di essere in possesso d’informazioni su di lui e sui suoi familiari. Sporta regolare denuncia, alcun provvedimento veniva assunto in sede penale, nonostante a supporto fosse stata allegata registrazione audio video dell’incontro.
Nell’accogliere le doglianze del ricorrente, la Corte ha ribadito che la anche mera archiviazione da parte di un’autorità pubblica di informazioni relative alla vita privata di un individuo costituisce un’ingerenza ai sensi dell’articolo 8 della Convenzione europea dei diritti dell’uomo, indipendentemente dall’uso successivo dei dati e che questa ingerenza può essere ammessa solo laddove consentita per legge a tutela della sicurezza nazionale.
Nel caso di specie, non risulta che il ricorrente o persona a lui vicina rappresentassero un pericolo per la sicurezza, e la circostanza che le minacce provenissero da un agente del Servizio consentiva di ritenere che fossero idonee a ledere il benessere e l’integrità psicologica del destinatario. Sul punto rilevante per la Corte è proprio la video registrazione allegata, la quale è definita produzione sufficiente poiché, né nei procedimenti nazionali né dinanzi alla Corte, ne era stata contestata l’autenticità o negata l’identità dell’agente o il contenuto della conversazione registrata. (R.M.V.)
Sorveglianza segreta inammissibile nel processo penale
La Corte ha accolto il ricorso di una cittadina ucraina, che era stata condannata per una corruzione commessa quando era giudice in forza di una registrazione video effettuata segretamente da agenti del servizio di sicurezza nel suo ufficio.
La ricorrente, in particolare, contestava l’ammissibilità di quella registrazione come prova nel procedimento penale poiché non le era stato concesso l’accesso alle decisioni giudiziarie che l’avrebbero autorizzata ed in generale nel corso del processo non erano state oggetto di verifica le ragioni a fondamento dell’adozione di quella misura, né per quale durata fosse stata disposta.
Partendo dalla considerazione che la sorveglianza segreta costituisce un’ingerenza nella vita privata ammissibile solo se prevista per legge e per un fine legittimo e necessario in una società democratica, per la Corte la circostanza che i giudici nazionali non abbiano verificato se la sorveglianza fosse giustificata rende la registrazione inutilizzabile come prova penale, non essendo possibile valutare se la sua adozione rientri tra le ipotesi ammesse e il ricorso alla stessa costituisca, quindi, misura proporzionata. (R.M.V.)
Divieto per Meta di fondere e utilizzare i dati di Facebook e Instagram per modelli di intelligenza artificiale
Un tribunale di Amsterdam ha vietato a Meta di raccogliere e utilizzare i dati degli utenti di Facebook e Instagram per addestrare i suoi modelli di intelligenza artificiale, per gli strumenti pubblicitari e per Meta AI.
La decisione si basa in particolare sul Digital Markets Act (DMA), che, insieme al GDPR, richiede un consenso esplicito per condividere i dati tra diversi servizi. Per questo motivo, Meta non potrà usare i dati personali del ricorrente per l’addestramento dell’AI né per servizi diversi da Facebook e Instagram. In caso contrario, l’azienda sarà condannata a pagare una multa di 100.000 euro per ogni violazione.
Interessante anche che la corte abbia richiamato gli avvertimenti dell’Autorità olandese per la protezione dei dati, che, come molte altre autorità europee, aveva già messo in guardia contro l’uso “irreversibile” e “illegale” dei dati degli utenti per l’addestramento dei modelli AI di Meta (Li.Pe.).
Con Delibera 30 aprile 2025, pubblicata il 19 maggio 2025, l’Autorità per le Garanzie nelle Comunicazioni (Agcom) ha introdotto un sistema tecnico innovativo per fronteggiare in modo strutturato il fenomeno della falsificazione del numero chiamante da parte di call center illegali, denominato spoofing.
Dal 19.8.2025, l’AGCOM ha infatti imposto agli operatori telefonici di intercettare e bloccare le chiamate provenienti dall’estero che utilizzano numeri fissi italiani contraffatti, attraverso filtri anti-spam, e dal 19.11.2025 il filtro è stato esteso anche alle chiamate con numeri mobili italiani falsificati, in virtù di un sistema di verifica basato su un database ministeriale. (Li.Pe.)
Il comunicato stampa relativo alla delibera n. 106/25/CONS è disponibile al seguente link.
Provvedimento del Garante privacy in tema di Deepfake: stop a Clothoff, l’app che spoglia le persone
In data 1.10.2025, il Garante della Privacy ha adottato un provvedimento, in via d’urgenza e con effetto immediato, volto a limitare provvisoriamente il trattamento dei dati personali degli utenti italiani nei confronti di una società che gestisce l’app Clothoff. Questa applicazione consente agli utenti, sia gratuitamente che a pagamento, di utilizzare un sistema di Intelligenza Artificiale generativa in grado di generare immagini, identificabili come “deep nude”, ovvero foto e video falsi, ma che appaiono verosimili, che ritraggono persone reali in pose nude o sessualmente esplicite o, addirittura, pornografiche.
L’applicazione consente a chiunque di caricare immagini, anche ritraenti soggetti minorenni, per la creazione di “deep fake”, senza che vi sia la possibilità di verificare il consenso della persona ritratta e senza che venga apposta alcuna segnalazione circa il carattere artificiale di foto e video.
Il blocco del Garante, che comunque ha avviato un’attività di indagine finalizzata a contrastare tutte le app di “nudificazione”, si è reso necessario a causa degli elevati rischi che tali servizi possono comportare per i diritti e le libertà fondamentali, con particolare riguardo alla tutela della dignità della persona, ai diritti di riservatezza e di protezione dati personali dei soggetti coinvolti in queste tipologie di trattamenti, specie se coinvolgono minorenni.
Lo confermano i numerosi e recenti fatti di cronaca nazionale italiana, dai quali emerge come l’abuso di immagini in tal modo artefatte stia ormai generando un vero e proprio allarme sociale. (Li.Pe.)
Il testo del Provvedimento è disponibile al seguente link.
Sulla successiva incriminazione penale del “deep fake” ai sensi dell’art. 612-quater c.p., introdotto dalla legge n. 132/2025 sull’intelligenza artificiale, si veda il relativo commento supra sub n. 1 delle “Novità legislative e normative”.
Volumi e contributi dottrinali di rilievo
Altalex
Biarella L., Spoofing, dal 19 agosto addio al telemarketing molesto, 19.8.2025
Cerciello F., Il pacchetto “Digital Omnibus”: cosa prevede la riforma sistemica del diritto digitale dell’Unione, 21.11.2025
Iadecol L., LLMs: l’EDPB sui modelli linguistici di grandi dimensioni per la gestione dei rischi privacy, 24.4.2025
Giurisprudenza penale
Pubblicazione di un video offensivo su Tik Tok e definizione del concetto di “presenza” al fine di distinguere tra diffamazione e ingiuria (ora depenalizzata), 28.8.2025
Penale diritto e procedura
Parziale Y., La “nuova” rilevanza penale dell’istigazione a delinquere nell’era digitale, n. 3/2025, p. 461
Raucci P., L’ordine europeo di indagine e prove digitali: tra presunzione di legittimità degli atti compiuti all’estero e diritti fondamentali, n. 3/2025, p. 517
Sistema Penale
Fragasso B., Profili penalistici della legge sull’intelligenza artificiale: osservazioni a prima lettura (16.10.2025)
Oddis M., L’acquisizione della messaggistica digitale nel processo penale: tra cortocircuiti processuali e prospettive de iure condendo”, n. 6/2025, p. 5
Pietrella T., Pornografia digitale, sexting e diritto penale. La devianza sessuale al tempo della tecno-mediazione”, n. 10/2025, p. 5
Picotti L., I contenuti penali della legge sull’intelligenza artificiale (2.12.2025)
Contributi in volumi
Abdedaim-Herrera O., La producción y difusión de ultrafalsificaciones o “deepfakes” sexuales: posibilidades de sanción penal, in Estudios actuales de derecho penal, a cura di S. de la Herrán Ruiz Mateos, C. Fuertes Iglesias (dir.), M.A. Pastrana Sánchez, J. Bocanegra Márquez (coord..), Atelier Libros Jurídicos, 2025, pp. 105-124
Crescioli C., La ciberviolencia contra las mujeres y la victimización secundaria, in Estudios actuales de derecho penal, a cura di S. de la Herrán Ruiz Mateos, C. Fuertes Iglesias (dir.), M.A. Pastrana Sánchez, J. Bocanegra Márquez (coord.), Atelier Libros Jurídicos, 2025, pp. 125-143
Pérez Medina D., Prevención del crimen con inteligencia artificial y su impacto en colectivos vulnerables y grupos minoritarios: Riesgos y sesgos en el marco del Derecho Penal, in in Estudios actuales de derecho penal, a cura di S. de la Herrán Ruiz Mateos, C. Fuertes Iglesias (dir.), M.A. Pastrana Sánchez, J. Bocanegra Márquez (coord..), Atelier Libros Jurídicos, 2025, pp. 145-163
Volumi
Coppola F., Intelligenza Artificiale, Metaverso e Sistema Penale: prevenzione, repressione, opportunità, rischi, collana “Nuovi Scenari del Diritto Penale: Tecnologie. Intelligenza Artificiale. Metaverso”, Wolters Kluwer Italia/CEDAM, luglio 2025.
Troiano S. e Picotti L. (a cura di), Profili di responsabilità ed esigenze di fronte alle nuove tecnologie in Italia e Germania, Roma, Istituto Italiano di Studi Germanici, 2025
Privacy Policy – Informativa Privacy
Informativa Privacy
Informativa sul trattamento dei dati personali (ai sensi dell’art. 13 Regolamento UE 2016/679)
La vigente normativa in materia di trattamento dei dati personali definita in conformità alle previsioni contenute nel Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito “Regolamento Privacy UE”) contiene disposizioni dirette a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riguardo al diritto alla protezione dei dati personali.
Finalità del Trattamento e base giuridica
Il trattamento dei dati personali è finalizzato a:
– fornire il servizio e/o prodotto richiesto dall’utente, per rispondere ad una richiesta dell’utente, e per assicurare e gestire la partecipazione a manifestazioni e/o promozioni a cui l’utente ha scelto di aderire (richiesta e acquisto abbonamento periodici; richiesta e acquisto libri; servizio di fatturazione; invio periodici in abbonamento postale, invio newsletter rivolte a studiosi e professionisti).
– inviare newsletter promozionale di pubblicazioni a chi ne ha fatto richiesta; ferma restando la possibilità per l’utente di opporsi all’invio di tali invii in qualsiasi momento.
– inviare all’utente informazioni promozionali riguardanti servizi e/o prodotti della Società di specifico interesse professionale ed a mandare inviti ad eventi della Società e/o di terzi; resta ferma la possibilità per l’utente di opporsi all’invio di tali comunicazioni in qualsiasi momento.
– gestire dati indispensabili per espletare l’attività della società: clienti, fornitori, dipendenti, autori. Pacini Editore srl tratta i dati personali dell’utente per adempiere a obblighi derivanti da legge, regolamenti e/o normativa comunitaria.
– gestire i siti web e le segreterie scientifiche per le pubblicazioni periodiche in ambito medico-giuridico rivolte a studiosi e professionisti;
Conservazione dei dati
Tutti i dati di cui al successivo punto 2 verranno conservati per il tempo necessario al fine di fornire servizi e comunque per il raggiungimento delle finalità per le quali i dati sono stati raccolti, e in ottemperanza a obblighi di legge. L’eventuale trattamento di dati sensibili da parte del Titolare si fonda sui presupposti di cui all’art. 9.2 lett. a) del GDPR.
Il consenso dell’utente potrà essere revocato in ogni momento senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
Tipologie di dati personali trattati
La Società può raccogliere i seguenti dati personali forniti volontariamente dall’utente:
nome e cognome dell’utente,
il suo indirizzo di domicilio o residenza,
il suo indirizzo email, il numero di telefono,
la sua data di nascita,
i dettagli dei servizi e/o prodotti acquistati.
La raccolta può avvenire quando l’utente acquista un nostro prodotto o servizio, quando l’utente contatta la Società per informazioni su servizi e/o prodotti, crea un account, partecipa ad un sondaggio/indagine. Qualora l’utente fornisse dati personali di terzi, l’utente dovrà fare quanto necessario perchè la comunicazione dei dati a Pacini Editore srl e il successivo trattamento per le finalità specificate nella presente Privacy Policy avvengano nel rispetto della normativa applicabile, (l’utente prima di dare i dati personali deve informare i terzi e deve ottenere il consenso al trattamento).
La Società può utilizzare i dati di navigazione, ovvero i dati raccolti automaticamente tramite i Siti della Società. Pacini editore srl può registrare l’indirizzo IP (indirizzo che identifica il dispositivo dell’utente su internet), che viene automaticamente riconosciuto dal nostro server, pe tali dati di navigazione sono utilizzati al solo fine di ottenere informazioni statistiche anonime sull’utilizzo del Sito .
La società utilizza i dati resi pubblici (ad esempio albi professionali) solo ed esclusivamente per informare e promuovere attività e prodotti/servizi strettamente inerenti ed attinenti alla professione degli utenti, garantendo sempre una forte affinità tra il messaggio e l’interesse dell’utente.
Trattamento dei dati
A fini di trasparenza e nel rispetto dei principi enucleati dall’art. 12 del GDPR, si ricorda che per “trattamento di dati personali” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento dei dati personali potrà effettuarsi con o senza l’ausilio di mezzi elettronici o comunque automatizzati e comprenderà, nel rispetto dei limiti e delle condizioni posti dal GDPR, anche la comunicazione nei confronti dei soggetti di cui al successivo punto 7.
Modalità del trattamento dei dati: I dati personali oggetto di trattamento sono:
trattati in modo lecito e secondo correttezza da soggetti autorizzati all’assolvimento di tali compiti, soggetti identificati e resi edotti dei vincoli imposti dal GDPR;
raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;
trattati con il supporto di mezzi cartacei, informatici o telematici e con l’impiego di misure di sicurezza atte a garantire la riservatezza del soggetto interessato cui i dati si riferiscono e ad evitare l’indebito accesso a soggetti terzi o a personale non autorizzato.
Natura del conferimento
Il conferimento di alcuni dati personali è necessario. In caso di mancato conferimento dei dati personali richiesti o in caso di opposizione al trattamento dei dati personali conferiti, potrebbe non essere possibile dar corso alla richiesta e/o alla gestione del servizio richiesto e/o alla la gestione del relativo contratto.
Comunicazione dei dati
I dati personali raccolti sono trattati dal personale incaricato che abbia necessità di averne conoscenza nell’espletamento delle proprie attività. I dati non verranno diffusi.
Diritti dell’interessato.
Ai sensi degli articoli 15-20 del GDPR l’utente potrà esercitare specifici diritti, tra cui quello di ottenere l’accesso ai dati personali in forma intelligibile, la rettifica, l’aggiornamento o la cancellazione degli stessi. L’utente avrà inoltre diritto ad ottenere dalla Società la limitazione del trattamento, potrà inoltre opporsi per motivi legittimi al trattamento dei dati. Nel caso in cui ritenga che i trattamenti che Lo riguardano violino le norme del GDPR, ha diritto a proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 del GDPR.
Titolare e Responsabile per la protezione dei dati personali (DPO)
Titolare del trattamento dei dati, ai sensi dell’art. 4.1.7 del GDPR è Pacini Editore Srl., con sede legale in 56121 Pisa, Via A Gherardesca n. 1.
Per esercitare i diritti ai sensi del GDPR di cui al punto 6 della presente informativa l’utente potrà contattare il Titolare e potrà effettuare ogni richiesta di informazione in merito all’individuazione dei Responsabili del trattamento, Incaricati del trattamento agenti per conto del Titolare al seguente indirizzo di posta elettronica: privacy@pacinieditore.it. L’elenco completo dei Responsabili e le categorie di incaricati del trattamento sono disponibili su richiesta.
Ai sensi dell’art. 13 Decreto Legislativo 196/03 (di seguito D.Lgs.), si informano gli utenti del nostro sito in materia di trattamento dei dati personali.
Quanto sotto non è valido per altri siti web eventualmente consultabili attraverso i link presenti sul nostro sito.
Il Titolare del trattamento
Il Titolare del trattamento dei dati personali, relativi a persone identificate o identificabili trattati a seguito della consultazione del nostro sito, è Pacini Editore Srl, che ha sede legale in via Gherardesca 1, 56121 Pisa.
Luogo e finalità di trattamento dei dati
I trattamenti connessi ai servizi web di questo sito hanno luogo prevalentemente presso la predetta sede della Società e sono curati solo da dipendenti e collaboratori di Pacini Editore Srl nominati incaricati del trattamento al fine di espletare i servizi richiesti (fornitura di volumi, riviste, abbonamenti, ebook, ecc.).
I dati personali forniti dagli utenti che inoltrano richieste di servizi sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta.
L’inserimento dei dati personali dell’utente all’interno di eventuali maling list, al fine di invio di messaggi promozionali occasionali o periodici, avviene soltanto dietro esplicita accettazione e autorizzazione dell’utente stesso.
Comunicazione dei dati
I dati forniti dagli utenti non saranno comunicati a soggetti terzi salvo che la comunicazione sia imposta da obblighi di legge o sia strettamente necessario per l’adempimento delle richieste e di eventuali obblighi contrattuali.
Gli incaricati del trattamento che si occupano della gestione delle richieste, potranno venire a conoscenza dei suoi dati personali esclusivamente per le finalità sopra menzionate.
Nessun dato raccolto sul sito è oggetto di diffusione.
Tipi di dati trattati
Dati forniti volontariamente dagli utenti
L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.
Facoltatività del conferimento dei dati
Salvo quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per richiedere i servizi offerti dalla società. Il loro mancato conferimento può comportare l’impossibilità di ottenere il servizio richiesto.
Modalità di trattamento dei dati
I dati personali sono trattati con strumenti manuali e automatizzati, per il tempo necessario a conseguire lo scopo per il quale sono stati raccolti e, comunque per il periodo imposto da eventuali obblighi contrattuali o di legge.
I dati personali oggetto di trattamento saranno custoditi in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Diritti degli interessati
Ai soggetti cui si riferiscono i dati spettano i diritti previsti dall’art. 7 del D.Lgs. 196/2003 che riportiamo di seguito:
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere informazioni:
a) sull’origine dei dati personali;
b) sulle finalità e modalità del trattamento;
c) sulla logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) sugli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) sui soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Dati degli abbonati
I dati relativi agli abbonati sono trattati nel rispetto delle disposizioni contenute nel D.Lgs. del 30 giugno 2003 n. 196 e adeguamenti al Regolamento UE GDPR 2016 (General Data Protection Regulation) a mezzo di elaboratori elettronici ad opera di soggetti appositamente incaricati. I dati sono utilizzati dall’editore per la spedizione della presente pubblicazione. Ai sensi dell’articolo 7 del D.Lgs. 196/2003, in qualsiasi momento è possibile consultare, modificare o cancellare i dati o opporsi al loro utilizzo scrivendo al Titolare del Trattamento: Pacini Editore Srl – Via A. Gherardesca 1 – 56121 Pisa. Per ulteriori approfondimenti fare riferimento al sito web http://www.pacinieditore.it/privacy/
Subscriber data
Subscriber data are treated according to Italian law in DLgs, 30 June 2003, n. 196 as updated with the UE General Data Protection Regulation 2016 – by means of computers operated by specifically responsible personnel. These data are used by the Publisher to mail this publication. In accordance with Art. 7 of the above mentioned DLgs, 30 June 2003, n. 196, subscribers can, at any time, view, change or delete their personal data or withdraw their use by writing to Pacini Editore S.r.L. – Via A. Gherardesca 1, 56121 Ospedaletto (Pisa), Italy. For further information refer to the website: http://www.pacinieditore.it/privacy/
Cookie
Che cos’è un cookie e a cosa serve?
Un cookie e una piccola stringa di testo che un sito invia al browser e salva sul tuo computer quando visiti dei siti internet. I cookie sono utilizzati per far funzionare i siti web in maniera più efficiente, per migliorarne le prestazioni, ma anche per fornire informazioni ai proprietari del sito.
Che tipo di cookie utilizza il nostro sito e a quale scopo? Il nostro sito utilizza diversi tipi di cookie ognuno dei quali ha una funzione specifica, come indicato di seguito:
TIPI DI COOKIE
Cookie di navigazione
Questi cookie permettono al sito di funzionare correttamente sono usati per raccogliere informazioni su come i visitatori usano il sito. Questa informazione viene usata per compilare report e aiutarci a migliorare il sito. I cookie raccolgono informazioni in maniera anonima, incluso il numero di visitatori del sito, da dove i visitatori sono arrivati e le pagine che hanno visitato.
Cookie Analitici
Questi cookie sono utilizzati ad esempio da Google Analytics per elaborare analisi statistiche sulle modalità di navigazione degli utenti sul sito attraverso i computer o le applicazioni mobile, sul numero di pagine visitate o il numero di click effettuati su una pagina durante la navigazione di un sito.
Questi cookie sono utilizzati da società terze. L’uso di questi cookie normalmente non implica il trattamento di dati personali. I cookie di terze parti derivano da annunci di altri siti, ad esempio messaggi pubblicitari, presenti nel sito Web visualizzato. Possono essere utilizzati per registrare l’utilizzo del sito Web a scopo di marketing.
Come posso disabilitare i cookie?
La maggior parte dei browser (Internet Explorer, Firefox, etc.) sono configurati per accettare i cookie. Tuttavia, la maggior parte dei browser permette di controllare e anche disabilitare i cookie attraverso le impostazioni del browser. Ti ricordiamo però che disabilitare i cookie di navigazione o quelli funzionali può causare il malfunzionamento del sito e/o limitare il servizio offerto.
Per avere maggiori informazioni
l titolare del trattamento è Pacini Editore Srl con sede in via della Gherardesca n 1 – Pisa.
Potete scrivere al responsabile del trattamento Responsabile Privacy, al seguente indirizzo email rlenzini@pacinieditore.it per avere maggiori informazioni e per esercitare i seguenti diritti stabiliti dall’art. 7, D. lgs 196/2003: (i) diritto di ottenere la conferma dell’esistenza o meno di dati personali riguardanti l’interessato e la loro comunicazione, l’aggiornamento, la rettificazione e l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; (ii) diritto di ottenere gli estremi identificativi del titolare nonché l’elenco aggiornato dei responsabili e di tutti i soggetti cui i suoi dati sono comunicati; (iii) diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati relativi all’interessato, a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali.
Per modificare le impostazioni, segui il procedimento indicato dai vari browser che trovi alle voci “Opzioni” o “Preferenze”.
Per saperne di più riguardo ai cookie leggi la normativa.
