Data & Technology Innovation | Insight Luglio 2026

Contenuti

AI Act e pacchetto “Omnibus VII”: cosa cambia tra nuove scadenze, semplificazioni e divieti

Artificial Intelligence

Il 29 giugno 2026 il Consiglio dell’Unione Europea ha approvato in via definitiva il nuovo regolamento “Omnibus digitale sull’IA. Il provvedimento modifica il Regolamento (UE) 2024/1689 (“AI Act”) e altre normative connesse, con l’obiettivo di semplificare l’applicazione delle regole sull’intelligenza artificiale e ridurre gli oneri burocratici per imprese, fornitori e deployer, senza rinunciare alla tutela dei diritti fondamentali.

Una delle novità principali riguarda il rinvio delle scadenze per i sistemi di IA ad alto rischio: il 2 dicembre 2027 per i sistemi ad alto rischio autonomi (non embedded); il 2 agosto 2028 per i sistemi integrati nei prodotti. Anche il termine per l’attivazione degli “spazi di sperimentazione normativa” (sandbox) è posticipato al 2 agosto 2027.

Il regolamento introduce due nuovi divieti operativi dal 2 dicembre 2026, che si aggiungono a quelli dell’art. 5 dell’AI Act: l’uso dell’IA per creare o manipolare, senza consenso, immagini o video intimi dall’aspetto realistico (deepfake a carattere sessuale) e materiale di abuso sessuale su minori.

Sul fronte della semplificazione, il regolamento affronta le sovrapposizioni tra AI Act e normative di settore (es. dispositivi medici, giocattoli): se una normativa speciale già garantisce tutele equivalenti o superiori, alcuni obblighi dell’AI Act potranno non applicarsi. Il Regolamento (UE) 2023/1230 sulle macchine è ora incluso nell’Allegato I all’AI Act, integrando i requisiti di sicurezza relativi all’IA nella disciplina sulle macchine.

Il regolamento interviene anche sul rapporto con il GDPR. Una nuova base giuridica consente ai fornitori di sistemi ad alto rischio di trattare, in casi eccezionali e con rigorose garanzie, dati personali di categorie particolari (art. 9 GDPR) per correggere distorsioni algoritmiche (bias). Inoltre, è prevista la possibilità di coordinare la valutazione d’impatto sui diritti fondamentali (FRIA) con la DPIA prevista dal GDPR, evitando duplicazioni.

Il regolamento entrerà in vigore il terzo giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea.

L’AGCM avvia un’indagine sull’impossibilità di eseguire il backup di un dispositivo Apple su un servizio cloud diverso da iCloud (violazione dell’obbligo di interoperabilità)

Digital Markets Act

Con delibera del 9 giugno 2026, l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha avviato un’indagine nei confronti di Apple Inc., Apple Distribution International Ltd e Apple Italia S.r.l. (“Apple”) per presunta violazione dell’obbligo di interoperabilità previsto dall’art. 6, par. 7, del Regolamento (UE) 2022/1925 (Digital Markets Act, “DMA”), con riferimento ai sistemi operativi iOS e iPadOS e ai servizi cloud concorrenti di iCloud.

Si tratta della prima volta che l’AGCM esercita i poteri di indagine attribuiti dal DMA. Il procedimento origina da una denuncia pervenuta nell’aprile 2025 relativa all’impossibilità per gli utenti di effettuare il backup integrale del proprio iPhone o iPad su un servizio cloud diverso da iCloud. Tale limitazione sarebbe riconducibile a una scelta tecnica di Apple, che non consentirebbe ai fornitori concorrenti di accedere alle componenti di iOS e iPadOS necessarie per creare un backup completo, funzionalità invece garantita a iCloud.

Apple, designata gatekeeper ai sensi del DMA per iOS e iPadOS, è tenuta a garantire ai fornitori terzi di servizi cloud l’effettiva interoperabilità con le stesse componenti hardware e software disponibili per iCloud. Ove confermata, la condotta favorirebbe iCloud a scapito dei concorrenti, disincentivando gli utenti dal ricorrere ad alternative e compromettendo la contendibilità dei mercati digitali.

La Cassazione sulla validità della “spunta” per la sottoscrizione online delle clausole vessatorie

Commercio elettronico

Con ordinanza n. 20945 del 20 giugno 2026 (l’“Ordinanza”), la Corte di cassazione si è pronunciata sulla validità della “spunta” per la sottoscrizione delle clausole vessatorie nei contratti telematici, ritenendola non conforme al requisito dell’art. 1341, comma 2, c.c., in combinato disposto con il d.lgs. 70/2003 sul commercio elettronico.

La Corte ha ritenuto tale modalità insufficiente a garantire la specifica approvazione per iscritto, che nei contratti a distanza non soggetti a forma ad substantiam può assumere la veste della firma elettronica semplice (art. 3, punto 10, del Regolamento eIDAS).

L’Ordinanza non introduce un principio nuovo, ma si colloca in continuità con l’orientamento consolidato (tra cui la sentenza n. 9413/2021) che ritiene sufficiente, per i contratti a distanza, la firma elettronica semplice, incluso l’accesso ad un’area riservata e la pressione del pulsante di assenso (“point and click”).

Nel caso di specie, il contratto era stato concluso tramite “flag” delle caselle corrispondenti al servizio e la clausola vessatoria approvata con doppia spunta. Dalla stampa del PDF prodotto in giudizio non risultava dimostrabile una specifica accettazione equiparabile alla sottoscrizione del contratto generale. La Corte ha precisato che è sufficiente che il prestatore predisponga sul proprio sito un form che consenta al firmatario di approvare specificamente la clausola vessatoria mediante firma elettronica semplice, non essendo sufficiente la mera “flaggatura”.

Intelligenza artificiale generativa e tutela del diritto d’autore: il Rapporto AGCOM 2026

Diritto d’autore

Il 17 giugno 2026 l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha pubblicato il Rapporto sull’Intelligenza Artificiale 2026, che ricostruisce le trasformazioni tecnologiche, economiche e giuridiche indotte dallo sviluppo dei modelli di IA. Il Rapporto si articola in due sezioni: la prima offre un’analisi tecnico-economica dell’evoluzione dei Large Language Models; la seconda sviluppa una riflessione giuridico-regolatoria sull’interazione fra AI Act, Digital Services Act e disciplina autoriale, con approfondimento dedicato alla tutela della creatività umana.

Il principio cardine del Rapporto muove dalla centralità del requisito della paternità creativa umana quale presupposto della protezione autoriale ex art. 2575 c.c. e L. 633/1941. Il Rapporto affronta criticamente se un output generato autonomamente da un sistema di IA possa qualificarsi come “opera dell’ingegno” e se il sistema possa configurarsi come “autore artificiale”, propendendo per l’esclusione della tutela in assenza di un apporto creativo umano riconoscibile.

Il secondo nucleo problematico riguarda l’addestramento dei modelli generativi e il regime di liceità del text and data mining. Il Rapporto evidenzia come il meccanismo dell’opt-out machine-readable (artt. 3-4 dir. 2019/790) costituisca lo strumento per bilanciare lo sviluppo dei modelli e il diritto dei titolari a riservarsi l’uso dei propri contenuti. A ciò si affianca l’obbligo di trasparenza ex art. 53 AI Act, che impone ai fornitori di modelli per finalità generali una sintesi dei contenuti protetti utilizzati in fase di addestramento.

L’AGCOM, quale Digital Services Coordinator, sottolinea il valore dell’equo compenso, già sperimentato nei rapporti tra editori e piattaforme, come paradigma di redistribuzione del valore generato dall’utilizzo di contenuti nell’addestramento dell’IA generativa. A tal fine, l’Autorità ha avviato un Tavolo tecnico permanente su IA, diritto d’autore e pluralismo.

L’AGCM sanziona Philip Morris Italia per 7 milioni di euro per i claim pubblicitari relativi ad IQOS

Pratiche commerciali scorrette

Con provvedimento del 9 giugno 2026 (il “Provvedimento”), l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha irrogato una sanzione di sette milioni di euro a Philip Morris Italia S.r.l. per pratica commerciale scorretta. L’azienda ha utilizzato espressioni quali “senza fumo”, “prodotti senza fumo” e “progettare un futuro senza fumo” in relazione ai prodotti a tabacco riscaldato IQOS, inducendo i consumatori, inclusi i minori, a ritenere erroneamente che si tratti di prodotti privi di effetti nocivi o meno dannosi delle sigarette tradizionali.

Il procedimento trae origine da una segnalazione del Ministero della Salute del marzo 2025 relativa a una campagna pubblicitaria dal titolo “In Italia per costruire insieme un futuro senza fumo”. L’AGCM ha ritenuto che la locuzione “senza fumo” non si limiti a descrivere l’assenza di combustione, ma costituisca un messaggio decettivo, capace di ingenerare nel consumatore medio la percezione che tali prodotti siano innocui o meno nocivi delle sigarette.

Il messaggio è decettivo in quanto non vi è alcun riscontro scientifico: il Ministero della Salute, l’Istituto Superiore di Sanità e l’OMS hanno chiarito che l’aerosol emesso dai prodotti a tabacco riscaldato rientra nella definizione di fumo, che tali prodotti contengono nicotina in concentrazioni analoghe alle sigarette tradizionali e che non esistono prove della loro minore nocività. L’AGCM ha rilevato che la società era consapevole di questa incertezza scientifica ma ha comunque intensificato la strategia comunicativa incentrata sul claim “senza fumo” a partire dal 28 giugno 2022.

Pubblicata la versione finale del Code of Practice on Transparency of AI-Generated Content

Artificial Intelligence

Il 10 giugno 2026 la Commissione europea ha pubblicato la versione definitiva del Code of Practice on Transparency of AI-Generated Content (il “Codice”), strumento di adesione volontaria che traduce in misure operative gli obblighi di trasparenza sui contenuti generati dall’IA previsti dall’art. 50 dell’AI Act. Per essere inclusi nella prima lista pubblica di firmatari, providers e deployers devono aderire entro il 22 luglio 2026.

Il Codice conferma la struttura in due sezioni (Sezione 1 per i providers e Sezione 2 per i deployers) introducendo alcune novità rispetto alla seconda versione del Codice:

  • Sezione 1 – Providers: resta centrale l’approccio multi-layered, che richiede almeno due livelli di marcatura machine-readable (metadati firmati e watermarking). È consentito un solo livello per sistemi integrati in prodotti fisici operanti in ambienti chiusi; per il free-form text, il watermarking è escluso sotto i 200 token. I firmatari dovranno implementare entro il 2 febbraio 2027 una soluzione di interoperabilità per i meccanismi di detection.
  • Sezione 2 – Deployers: il Codice rende disponibili tre icone UE: “AI + GENERATED” per contenuti integralmente generati, “AI + MODIFIED” per quelli parzialmente modificati e un’icona base con ulteriori layer informativi.

Gli obblighi di trasparenza dell’art. 50 dell’AI Act decorrono dal 2 agosto 2026. Come precisato nel regolamento “Omnibus digitale sull’IA (v. articolo dedicato), il periodo transitorio per i providers è stato ridotto da sei a tre mesi: per i sistemi già sul mercato prima del 2 agosto 2026, il termine è fissato al 2 dicembre 2026.

Il caso Trenitalia e gli obblighi di comunicazione del titolare in caso di data breach

Data Protection

Il recente data breach che ha coinvolto Trenitalia, comunicato agli utenti il 26 giugno 2026, rappresenta un caso emblematico per analizzare gli obblighi di notifica e comunicazione previsti dal GDPR. L’accesso non autorizzato ai dati personali di una parte dei passeggeri solleva questioni rilevanti sulla tempestività e trasparenza delle misure adottate dal titolare del trattamento.

Il GDPR prevede un sistema duale di adempimenti. L’art. 33 impone al titolare l’obbligo di notificare la violazione all’Autorità di controllo “senza ingiustificato ritardo e, ove possibile, entro 72 ore”. L’art. 34 stabilisce che, qualora la violazione presenti un “rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare debba comunicare l’accaduto anche agli interessati, sempre “senza ingiustificato ritardo”.

Nel caso Trenitalia emergono due criticità. La prima riguarda la tempistica: l’attacco informatico risalirebbe a ottobre 2025, mentre la comunicazione agli utenti è avvenuta solo a fine giugno 2026, con un ritardo di circa otto mesi difficilmente compatibile con il termine di 72 ore previsto dall’art. 33 GDPR.

La seconda criticità riguarda la gestione del rischio: una comunicazione tardiva impedisce agli interessati di adottare misure di protezione elementari, come il cambio delle credenziali, la verifica di anomalie nei propri conti o una maggiore attenzione ai tentativi di phishing.

Il caso conferma che il rispetto delle tempistiche GDPR non è un mero adempimento formale, ma il nucleo della protezione dei dati personali. Una gestione tardiva del data breach compromette la fiducia degli utenti e può esporre il titolare a conseguenze sanzionatorie e reputazionali.


Approfondimenti

Conservazione documentale e GDPR: due regimi sullo stesso documento.

La conservazione “a norma” del documento informatico e la disciplina di protezione dei dati personali non sono binari paralleli: sono due regimi distinti che insistono sullo stesso processo e devono coesistere. Il punto di tensione più frequente è il tempo. L’art. 5, par. 1, lett. e), GDPR impone limiti che si combinano — talvolta in modo contraddittorio — con i termini documentali settoriali del TUB, della disciplina antiriciclaggio, della MiFID II e del DORA. Per banche e intermediari, riconciliare i due regimi è una scelta di governance che si misura in sede ispettiva e contenziosa…

Leggi qui l’articolo completo >

Il capo VI del Data Act e la disciplina del passaggio tra servizi cloud: profili normativi e implicazioni operative

La libertà di cambiare fornitore cloud è stata, fino ad oggi, più un principio teorico che un diritto effettivo: il Capo VI del Regolamento (UE) 2023/2854 (Data Act) interviene proprio su questo punto nevralgico, configurandosi non come un regime normativo autonomo rispetto alla disciplina contrattuale dei servizi cloud, bensì come un livello di regolazione ulteriore che insiste sul medesimo rapporto giuridico e che, pertanto, deve necessariamente coesistere con essa in un quadro di reciproca integrazione. Il mercato dei servizi cloud è storicamente edificato su architetture proprietarie, formati non interoperabili e meccanismi economici che disincentivano strutturalmente l’uscita del cliente dall’ecosistema del fornitore…

Leggi qui l’articolo completo >

Data
Consulta i nostri professionisti