Gameplay vs. highlights: la pronuncia del Tribunale di Genova
Sports IP & Digital Content
Con l’ordinanza del 3 novembre 2025, il Tribunale di Genova ha affrontato per la prima volta l’utilizzo dei videogiochi per la ricostruzione virtuale di azioni calcistiche reali, escludendo che tale pratica violi i diritti audiovisivi della Lega Serie A o integri concorrenza sleale. Il Tribunale ha affermato che l’esclusiva prevista dal D.Lgs. 9/2008 tutela l’immagine dell’evento sportivo reale, non la sua dinamica astratta, e che la protezione opera solo quando la rappresentazione digitale riproduce in modo riconoscibile lo sviluppo dell’azione originaria.
Il ricorso della Lega riguardava un creatore di contenuti che, tramite EA Sports FC25, ricostruiva azioni salienti delle partite di Serie A. Secondo la Lega, tali opere costituivano “immagini salienti” ai sensi dell’art. 2 del Decreto Melandri e rappresentavano un surrogato degli highlights ufficiali. Il resistente, invece, aveva evidenziato il carattere creativo delle proprie realizzazioni, frutto di gameplay, rielaborazioni e commento sociale.
Accogliendo questa impostazione, il Tribunale ha rilevato che i video presentavano scostamenti significativi rispetto all’azione reale — posizioni in campo, numero di giocatori, traiettorie, dinamiche — tali da impedire al pubblico di percepirli come una riproduzione dell’evento. Ne deriva la qualificazione delle opere videoludiche come creazioni autonome, non lesive dell’esclusiva audiovisiva.
Il giudice ha inoltre segnalato che un’estensione della nozione di “immagini salienti” fino a ricomprendere qualsiasi rappresentazione ispirata all’evento sportivo comporterebbe una compressione eccessiva della libertà di espressione e della creatività degli utenti, tutelate dagli artt. 21 Cost. e 10 CEDU.
La pronuncia rappresenta un importante precedente nell’intersezione tra diritto sportivo e contenuti digitali: la ricostruzione videoludica non fedele dell’azione reale costituisce un’opera autonoma e non viola i diritti audiovisivi dell’evento.
Per approfondimenti o assistenza in materia di diritti audiovisivi, videogiochi ed elaborazioni digitali, il Team D&TI di LEXIA è a disposizione.
Digital Omnibus
Digital Regulation – EU Policy & Compliance
Il 19 novembre 2025 la Commissione europea ha pubblicato la versione finale delle proposte di regolamento COM(2025) 836 e COM(2025) 837, che compongono il pacchetto “Digital Omnibus”. L’iniziativa nasce dall’esigenza di semplificare e razionalizzare l’ecosistema normativo digitale dell’Unione, riducendo gli oneri amministrativi, aumentando la certezza del diritto e rafforzando la competitività del mercato interno: il settore ICT, pur essendo un pilastro economico dell’UE, risente infatti di una stratificazione normativa che negli ultimi anni ha complicato l’implementazione operativa delle regole.
La proposta COM(2025) 837 introduce una complessiva revisione tecnica del quadro normativo vigente, articolata in quattro direttrici principali.
1. Consolidamento della legislazione sui dati
La Commissione propone di unificare in un unico corpus normativo le discipline relative ai dati non personali. Il Data Act (Reg. 2023/2854) diventa così la norma di riferimento, assorbendo il Free Flow of Non-Personal Data Regulation, il Data Governance Act e la Open Data Directive. L’obiettivo è ridurre frammentazione, duplicazioni e oneri di compliance per imprese e pubbliche amministrazioni.
2. GDPR ed ePrivacy: chiarimenti e semplificazioni
Una parte rilevante del pacchetto riguarda l’armonizzazione e la chiarificazione di definizioni e concetti del GDPR e della Direttiva ePrivacy, con l’intento di superare numerose incertezze applicative emerse nella prassi e di semplificare gli adempimenti per titolari e responsabili del trattamento.
3. Cybersicurezza: il principio “Report Once, Share Many”
Per superare la molteplicità di obblighi di notifica oggi previsti da NIS 2, GDPR, DORA, eIDAS e CER, l’Omnibus introduce – tramite un nuovo art. 23a della Direttiva NIS 2 – un meccanismo europeo di segnalazione unica, gestito da ENISA come single-entry point; le autorità competenti potranno poi condividere le informazioni tra loro, riducendo costi e duplicazioni per gli operatori essenziali e i fornitori di servizi digitali.
4. Razionalizzazione delle norme sulle piattaforme online
Il Regolamento P2B (Reg. UE 2019/1150) viene abrogato, poiché ampiamente superato da Digital Services Act (Regolamento (UE) 2022/2065) e Digital Markets Act (Regolamento (UE) 2022/1925). La Commissione mira così a eliminare sovrapposizioni normative e a garantire maggiore chiarezza agli operatori, con una conseguente riduzione dei costi di conformità.
Accanto alla revisione orizzontale del quadro digitale, la proposta COM(2025) 836 (“Digital Omnibus on AI”) interviene sull’AI Act (Reg. 2024/1689), introducendo adeguamenti tecnici destinati soprattutto a facilitare la fase iniziale di implementazione del regolamento: le modifiche mirano a rendere più sostenibili gli obblighi dei fornitori di sistemi di AI, chiarire aspetti rimasti incerti nella prima applicazione e assicurare che le scadenze relative ai sistemi ad alto rischio possano essere rispettate senza compromettere innovazione, competitività e funzionamento del mercato interno. Il pacchetto Digital Omnibus si presenta quindi come la prima grande operazione di manutenzione legislativa del nuovo quadro digitale europeo: un tentativo di trasformare un corpo normativo cresciuto rapidamente in un sistema più coerente, leggibile e, soprattutto, applicabile.
Whistleblowing e privacy: nuove indicazioni del Garante sulle Linee Guida ANAC
Data protection
Con il provvedimento n. 581 del 9 ottobre 2025, il Garante Privacy ha espresso parere sugli schemi di Linee Guida ANAC in materia di whistleblowing, intervenendo sia sulle procedure per le segnalazioni esterne sia sui canali interni: l’Autorità ribadisce la necessità di un equilibrio tra efficacia delle segnalazioni e tutela dei dati personali degli interessati.
Il Garante ha richiamato le criticità legate all’uso della posta elettronica – anche PEC – quale canale di segnalazione, poiché i log di trasmissione possono rendere identificabile il segnalante, suggerendo di privilegiare piattaforme dedicate, dotate di crittografia e meccanismi che garantiscano la non tracciabilità dell’accesso, previa valutazione di impatto (DPIA) obbligatoria per ogni canale attivato. La DPIA deve individuare misure tecniche e organizzative adeguate, anche con il supporto dei fornitori tecnici, chiamati a loro volta a svolgere valutazioni coerenti con il ruolo di Responsabili del trattamento.
Il Garante ricorda inoltre che gli addetti alla gestione delle segnalazioni devono essere specificamente formati anche in materia di data protection.
Per i gruppi societari, quando la capogruppo gestisce il canale, essa assume il ruolo di Responsabile del trattamento ai sensi dell’art. 28 GDPR. L’Autorità conferma anche i limiti di conservazione: i dati relativi a una segnalazione non devono essere conservati oltre il tempo necessario alla gestione e comunque non più di cinque anni dall’esito finale, salvo esigenze legali ulteriori.
Infine, anche quando la segnalazione non rientra nell’ambito del whistleblowing, deve essere garantita la riservatezza del segnalante, in ragione dell’aspettativa legittima di tutela.
Il parere conferma che la compliance whistleblowing richiede un approccio integrato e data protection by design. Il team Data & Technology Innovation di LEXIA resta a disposizione per supportare l’adeguamento delle procedure ai requisiti ANAC e Garante Privacy.
Controllo sugli strumenti informatici aziendali: l’importanza della policy IT secondo la Cassazione
Data protection
Una recente sentenza della Corte di Cassazione (n. 28365 del 27/10/2025) ha stabilito che una policy sull’utilizzo dei sistemi informatici e asset aziendali, purché sia chiara, diffusa e aggiornata, rappresenta un presupposto necessario per la legittimità dei controlli del datore di lavoro sui dipendenti, in conformità all’art. 4 dello Statuto dei Lavoratori (L. n. 300/1970).
La Corte ha confermato il licenziamento disciplinare di un dipendente che aveva effettuato accessi massivi e abusivi ai sistemi dell’azienda, nonché trasmesso all’esterno dati sensibili di clienti e inviato numerose e-mail a indirizzi personali, ritenendo utilizzabili gli elementi di prova acquisiti dalla società estratti dal computer in uso al lavoratore. Il controllo da parte del datore di lavoro è stato ritenuto legittimo poiché i lavoratori erano stati adeguatamente informati tramite una policy sull’uso delle dotazioni informatiche, che segnalava la possibilità di verifiche in caso di anomalie e le relative conseguenze disciplinari (incluso il licenziamento).
Alla luce della sentenza della Cassazione, la policy IT non rappresenta solo un semplice adempimento formale, ma anche la condizione che legittima il controllo sui dipendenti. A tal fine, la policy deve: (i) essere accessibile; (ii) essere effettivamente comunicata ai lavoratori; (iii) essere calibrata su finalità dei controlli, perimetro degli strumenti, modalità e tempi di conservazione, misure di minimizzazione, tracciabilità, procedure e sanzioni disciplinari, agendo anche da deterrente e guida per i comportamenti dei dipendenti.
La sentenza non si sofferma su altri aspetti di rilievo, quali la necessità di effettuare una valutazione d’impatto sulla protezione dei dati personali (DPIA) – che potrebbe risultare opportuna in considerazione della natura vulnerabile dei dipendenti oggetto dei controlli – e l’opportunità di condurre un test di bilanciamento tra i diritti e gli interessi contrapposti (LIA). Tali adempimenti richiedono pertanto ulteriori approfondimenti e valutazioni da parte dei datori di lavoro.
In sintesi, una policy IT completa, diffusa e resa adeguatamente accessibile, costituisce garanzia di legittimità dei controlli e una difesa in sede processuale, oltre che uno strumento di sicurezza informatica e di protezione dei dati.
ll team Data & Technology Innovation di LEXIA è a disposizione per assistervi nella verifica e redazione di policy aziendali e informative sull’uso degli strumenti informatici aggiornate, in linea con gli sviluppi normativi e giurisprudenziali.
Meta AI su WhatsApp: l’AGCM accelera sul primo grande caso europeo di AI integrata in piattaforme dominanti
Digital Platforms & AI
L’AGCM ha ampliato e irrigidito, nel novembre 2025, l’istruttoria avviata contro Meta sull’integrazione di “Meta AI” in WhatsApp, contestando una possibile violazione dell’art. 102 TFUE e dell’art. 3 della legge n. 287/1990. L’indagine riguarda due condotte ritenute potenzialmente idonee a produrre effetti escludenti: la preinstallazione dell’assistente AI all’interno dell’app e le nuove condizioni applicate ai servizi WhatsApp Business, che limitano l’interoperabilità con chatbot e assistenti digitali di terze parti.
Nella prospettiva dell’Autorità, l’integrazione dell’assistente direttamente nella barra di ricerca e in altre sezioni centrali dell’interfaccia di WhatsApp — applicazione dove Meta detiene una posizione dominante — potrebbe costituire una forma di tying capace di indirizzare in modo artificiale le scelte degli utenti. Parallelamente, le restrizioni contrattuali sul canale Business potrebbero impedire ai concorrenti di sviluppare o distribuire soluzioni alternative di AI conversazionale, alterando il naturale processo competitivo in un mercato emergente e altamente innovativo.
La decisione di ricorrere al procedimento cautelare ex art. 14-bis L. 287/1990 segnala un rischio percepito come “grave e irreparabile” per la concorrenza. È una scelta non frequente, che allinea l’analisi italiana ai principi consolidati dalla giurisprudenza europea nei casi Microsoft e Google Shopping, dove l’integrazione privilegiata di servizi aggiuntivi in ecosistemi dominanti è stata ritenuta idonea a ostacolare l’efficienza e lo sviluppo tecnico dei concorrenti.
Il procedimento rappresenta un banco di prova importante per il coordinamento tra antitrust, regolazione delle piattaforme e disciplina dell’intelligenza artificiale: un caso che anticipa il dibattito europeo sulle condizioni di integrazione dei modelli generativi all’interno di servizi che già controllano l’accesso a milioni di utenti. Per gli operatori del settore, il caso indica la necessità di valutare ex ante l’impatto concorrenziale delle scelte di design, di interoperabilità e di distribuzione dei servizi AI.
