L’AGCOM approva le Linee guida e il Codice di Condotta per gli influencer
Digital Compliance
Con delibera approvata il 23 luglio 2025, l’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) ha adottato in via definitiva le Linee guida e il Codice di Condotta per gli influencer, al termine di un procedimento partecipativo avviato con Tavolo tecnico e successiva consultazione pubblica (Vedasi Delibera 472/24/CONS).
Il nuovo framework normativo si inserisce nel contesto del Testo Unico sui servizi di media audiovisivi (c.d. TUSMA), estendendo agli influencer che soddisfano determinati requisiti di rilevanza (ossia la soglia minima di 500.000 follower o 1 milione di visualizzazioni medie mensili su almeno una piattaforma) obblighi assimilabili a quelli previsti per i fornitori di servizi di media. A tali soggetti viene espressamente riconosciuta una responsabilità editoriale per i contenuti pubblicati sui social media e sulle piattaforme di condivisione video.
Il Codice di Condotta stabilisce regole volte a garantire (i) trasparenza nelle comunicazioni commerciali (e.g. gli influencer sono tenuti a prevenire la diffusione di fake news e a fornire informazioni accurate), (ii) riconoscibilità dei contenuti, (iii) tutela dei minori, (iv) protezione dei diritti fondamentali (e.g. divieto di pubblicare contenuti che possano ledere la dignità o, ancora, il contrasto agli hate speech) e (v) rispetto della proprietà intellettuale. Gli influencer c.d. “rilevanti” saranno iscritti in un elenco pubblico gestito da AGCOM e dovranno conformarsi alle disposizioni entro sei mesi dalla pubblicazione del Codice.
Il provvedimento introduce un sistema di monitoraggio e controllo del rispetto delle regole, prevedendo sanzioni amministrative comprese tra 250.000 e 600.000 euro in caso di violazioni. Viene inoltre sancito il divieto di pubblicità occulta e l’obbligo di chiara indicazione delle collaborazioni promozionali, in linea con i principi di correttezza e tutela del consumatore.
L’intervento di AGCOM rappresenta un momento di svolta nel quadro regolatorio dell’influencer marketing, introducendo obblighi particolarmente stringenti per gli influencer e i content creator rilevanti, ora equiparati a veri e propri soggetti editoriali. A questi operatori viene attribuita una responsabilità diretta per i contenuti diffusi, con l’obiettivo di rafforzare la tutela degli utenti e armonizzare le dinamiche digitali con gli standard già previsti per gli altri player del settore audiovisivo.
Per un’analisi approfondita degli impatti del nuovo Codice di Condotta, il Team Data & Technology Innovation di LEXIA è a disposizione.
AI Act: GPAI Code of Practice e linee guida UE
Artificial Intelligence
Il 10 luglio 2025 è stato adottato il GPAI Code of Practice (Codice di Buone Pratiche per i Modelli di Intelligenza Artificiale Generale), con l’obiettivo di guidare i fornitori di sistemi di intelligenza artificiale generali – ossia quelli progettati per essere integrati in un ampio ventaglio di applicazioni downstream e in grado di svolgere più compiti – nell’adeguamento agli obblighi previsti dal Capo V del Regolamento UE 2024/1689 (“AI Act”).
Il Code of Practice si pone quale strumento di soft law, ad adesione volontaria, sviluppato da esperti indipendenti attraverso un processo multi-stakeholder. Esso mira a supportare il settore dell’intelligenza artificiale generale nel garantire la conformità agli obblighi legali stabiliti dagli articoli 53 e 55 dell’AI Act, che riguardano in particolare sicurezza, trasparenza e copyright.
Destinato ai fornitori di modelli di IA generale, il Code of Practice si configura come uno strumento per facilitare la conformità dei fornitori all’AI Act, riducendo così l’onere legale e gestionale delle attività di compliance e garantendo loro una maggiore certezza giuridica rispetto a quanto avverrebbe se dovessero garantire la conformità all’AI Act con metodi alternativi e non predeterminati.
Il Code of Practice si articola in tre capitoli distinti: Trasparenza, Copyright e Sicurezza. I capitoli sulla trasparenza e sul diritto d’autore offrono a tutti i fornitori di modelli di intelligenza artificiale generale un modo per dimostrare la conformità agli obblighi derivanti dall’articolo 53 dell’AI Act. Il capitolo sulla sicurezza rileva solo per il più ristretto e speciale novero dei fornitori di modelli di intelligenza artificiale a rischio sistemico ai sensi dell’articolo 55 dell’AI Act.
Ad oggi, secondo quanto riportato dalla Commissione UE, tra i principali aderenti al Code of Practice figurano realtà di rilevanza internazionale come Amazon, Anthropic, Fastweb, Google, IBM, Microsoft e OpenAI, fornitori dei modelli di intelligenza artificiale generale più diffusi.
A supporto di questo strumento, il 18 luglio scorso la Commissione UE ha approvato, ai sensi dell’Articolo 96 dell’AI Act, le linee guida per i fornitori di modelli di IA generale, complementari al Code of Practice.
Per supportare tutti gli attori dell’ecosistema legato ai modelli di intelligenza artificiale generale, la Commissione UE, all’interno delle linee guida, con un approccio pragmatico, ha fornito orientamenti interpretativi che chiariscono:
- quando un modello di AI è considerato un modello di AI per finalità generali e quando supera quella soglia per cui rientra nella categoria dei modelli a rischio sistemico;
- i criteri per identificare da un punto di vista sostanziale i “fornitori” che immettono sul mercato modelli di IA per finalità generali e gli obblighi specifici loro applicabili;
- le esenzioni che si applicano ai fornitori di modelli di intelligenza artificiale open-source.
Il Code of Practice e le nuove linee guida, tuttavia, sollevano anche alcune riflessioni in merito all’efficacia e alla praticabilità degli strumenti di regolazione proposti e alla loro volontarietà quale strumento giuridico.
Il team Data & Technology Innovation di LEXIA è a disposizione per assistere fornitori e deployer di sistemi di intelligenza artificiale nell’adeguamento progressivo all’AI Act, offrendo supporto consulenziale su misura, assistenza operativa e programmi formativi specifici.
Identità digitale e servizi fiduciari: cosa cambia con i nuovi regolamenti eIDAS
Digital Identity
Il 30 luglio 2025 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea tre regolamenti di esecuzione che completano l’attuazione di eIDAS 2.0, introducendo riferimenti tecnici e procedure operative per l’identità digitale, la firma elettronica e il sigillo elettronico. Si tratta di un passo importante verso un ecosistema digitale europeo più sicuro, interoperabile e affidabile, grazie all’integrazione di standard ETSI comuni e requisiti tecnici vincolanti per i prestatori qualificati.
I regolamenti definiscono, in particolare, gli standard di riferimento per la verifica degli attributi digitali, le regole di sicurezza per i dispositivi di firma e sigillo elettronico a distanza, nonché le procedure per l’attestazione elettronica qualificata di attributi, destinata a diventare un elemento chiave nei futuri portafogli digitali europei. Per i prestatori di servizi fiduciari, ciò comporta l’obbligo di adeguarsi alle nuove specifiche entro il termine di transizione fissato per agosto 2027, aggiornando infrastrutture, processi e documentazione.
Questo aggiornamento non riguarda soltanto il quadro europeo: le novità introdotte si intrecciano infatti con la disciplina nazionale contenuta nel Codice dell’Amministrazione Digitale (CAD), che regola da anni i servizi fiduciari in Italia, dalla conservazione digitale alla gestione delle identità. Il CAD dovrà essere armonizzato con i nuovi standard UE, evitando sovrapposizioni e incoerenze. In particolare, si renderanno necessari interventi sulle regole di conservazione digitale, sui sistemi di gestione dei registri elettronici e sui meccanismi di identificazione, affinché siano pienamente compatibili con le norme tecniche ETSI richiamate dai regolamenti europei.
Questo processo di convergenza richiederà uno sforzo coordinato: da un lato, l’aggiornamento normativo a livello nazionale, con l’intervento di AgID e l’attesa riforma del CAD; dall’altro, un’azione concreta da parte di prestatori qualificati e operatori, che dovranno avviare audit tecnici, revisionare policy e contratti, e pianificare un percorso di adeguamento graduale alle nuove regole.
Il team Data & Technology Innovation di LEXIA è a disposizione per supportare imprese e prestatori fiduciari nell’analisi degli impatti rispetto al CAD, nella valutazione dei requisiti ETSI e nella definizione di piani di adeguamento tecnico e normativo coerenti con il nuovo quadro eIDAS.
Privacy e AI: la formazione non è più un’opzione (e perché ignorarla può costare caro)
Compliance
La crescente complessità del contesto normativo in materia di protezione dei dati personali e intelligenza artificiale rende sempre più centrale l’adempimento degli obblighi formativi da parte di imprese, enti pubblici e soggetti che trattano dati personali o impiegano tecnologie automatizzate.
Per quanto riguarda la data protection, l’art. 29 del Regolamento (UE) 2016/679 (GDPR) prevede che chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento debba essere istruito in merito alle corrette modalità di trattamento dei dati personali. A ciò si aggiunge il principio di accountability (art. 5, par. 2 e art. 24 GDPR), che impone al titolare di dimostrare di aver adottato misure tecniche e organizzative adeguate, tra cui rientrano in modo imprescindibile le attività di formazione del personale.
Sul fronte dell’intelligenza artificiale, il Regolamento (UE) 2024/1689 (AI Act) introduce nuovi obblighi formativi per i fornitori, i distributori e gli utilizzatori di sistemi di IA, in particolare:
- all’art. 4, par. 3, viene previsto che gli operatori assicurino che il personale coinvolto nella gestione dei sistemi di AI riceva formazione adeguata sul funzionamento, i rischi e le limitazioni degli stessi;
- per i sistemi ad alto rischio, l’art. 26 impone specifiche misure di formazione per gli utenti, anche finalizzate alla comprensione del contesto in cui i sistemi vengono utilizzati, dei dati trattati e delle potenziali implicazioni sui diritti fondamentali;
- in materia di modelli di intelligenza artificiale generale, le linee guida della Commissione europea (luglio 2025) sottolineano l’importanza di formare adeguatamente i team tecnici e legali sulla governance del ciclo di vita del modello, anche nei casi di adozione di sistemi open-source o preaddestrati.
Non si tratta quindi di una mera raccomandazione, ma di un vero e proprio obbligo normativo, la cui inosservanza può comportare sanzioni e responsabilità in caso di data breach, uso scorretto della tecnologia o inosservanza degli obblighi di trasparenza e controllo.
Il team Data & Technology Innovation di LEXIA è progetta e realizza programmi di formazione personalizzati in materia di protezione dei dati personali e intelligenza artificiale, rivolti a DPO, team legali, HR, IT, marketing e direzioni aziendali, in linea con gli standard previsti dalla normativa nazionale ed europea.
Contattaci per costruire insieme un percorso formativo che non sia solo un adempimento, ma un vero strumento di gestione del rischio e di valorizzazione della compliance.