Sicurezza dei prodotti: nuove regole in vigore dal 13 dicembre 2024

Si avvicina la data in cui si applicheranno in Italia e sul territorio dell’Unione Europea le nuove regole in materia di sicurezza dei prodotti.

Infatti, il Regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativo alla sicurezza generale dei prodotti (Regolamento 2023/988), entrerà in vigore il prossimo 13 dicembre 2024.

Il Regolamento abroga e sostituisce la Direttiva 2001/95/CE sulla sicurezza generale dei prodotti e la Direttiva 87/357/CEE sulla sicurezza dei prodotti che imitano prodotti alimentari.

A differenza di una direttiva, che necessita di essere trasposta e recepita nella legislazione nazionale, il Regolamento 2023/988 troverà diretta applicazione in tutti gli stati membri.

Obiettivi e ambito di applicazione

Il Regolamento 2023/988 intende fornire un elevato livello di tutela dei consumatori e condizioni di parità per le imprese, migliorando in tal modo il funzionamento del mercato interno dell’Unione europea.

A tal fine, stabilisce norme essenziali in materia di sicurezza dei prodotti di consumo immessi o messi a disposizione sul mercato, laddove si intende:

  • per “messa disposizione”, la distribuzione, il consumo o l’uso sul mercato dell’Unione nel quadro di un’attività commerciale, a titolo oneroso o gratuito;
  • per “immissione sul mercato”, la prima messa a disposizione di un prodotto sul mercato interno

Esso si applicherà nella misura in cui non esistano altre disposizioni specifiche riguardanti la sicurezza applicabili a specifici prodotti e riguarderà prodotti nuovi, usati, riparati o ricondizionati.

Tuttavia, non si applicherà ai prodotti da riparare o ricondizionare prima dell’uso immessi o messi a disposizione sul mercato e chiaramente contrassegnati in quanto tali.

Inoltre, sono esclusi dall’ambito di applicazione del Regolamento 2023/988 i seguenti prodotti:

  1. medicinali per uso umano o veterinario;
  2. alimenti;
  3. mangimi;
  4. piante e animali vivi, organismi geneticamente modificati, microorganismi geneticamente modificati a impiego confinato;
  5. sottoprodotti e prodotti derivati di origine animale;
  6. prodotti fitosanitari;
  7. attrezzature su cui i consumatori circolano o viaggiano se tali attrezzature sono gestite direttamente da un prestatore di servizi nel contesto della prestazione di un servizio di trasporto e non sono gestite dai consumatori stessi;
  8. aeromobili la cui progettazione, produzione, manutenzione e funzionamento comportano un basso rischio per la sicurezza;
  9. oggetti d’antiquariato.

Soggetti interessati

Il Regolamento 2023/988 prevede obblighi specifici per diverse categorie di operatori economici fra cui i principali sono:

  • fabbricanti
  • importatori
  • distributori
  • fornitori di mercati online
  • fornitori di servizi di logistica

Per tutti questi soggetti sono previsti diversi gradi di responsabilità quando siano coinvolti nella messa a disposizione di prodotti nel mercato interno dell’Unione.

Tali obblighi e responsabilità coinvolgono, fra l’altro, le regole di etichettatura, l’analisi dei rischi legata all’uso dei prodotti, la redazione di istruzioni sulla sicurezza, gli obblighi di richiamo dei prodotti in caso di difetti che ne compromettano la sicurezza, eccetera.

 

Quanto precede è chiaramente un brevissimo e primo sguardo d’insieme sulle disposizioni del Regolamento 2023/988, sul quale torneremo con ulteriori articoli di approfondimento.

Nel frattempo, per qualsiasi domanda e per ulteriori informazioni, vi invitiamo a contattare i professionisti del nostro Studio che saranno lieti di fornirvi la loro consulenza.

La firma digitale in Italia: dubbi e quesiti

Nonostante l’ampissima diffusione delle sottoscrizioni per mezzo della firma digitale, spesso quando si presenta per la prima volta la necessità di firmare elettronicamente un documento sono parecchi i dubbi che sorgono: che differenza c’è fra firma elettronica e firma digitale? Come si fa ad essere certi che il servizio di firma elettronica che stiamo utilizzando sia valido? E soprattutto: il documento sottoscritto con la firma elettronica avrà valore legale come quelli firmati manualmente? In questo articolo, cercheremo di rispondere alle domande pratiche più frequenti che si presentano nel momento in cui ci si trova a dover utilizzare servizi di firma elettronica.

 

Quali fonti normative regolano la firma elettronica?

Quando parliamo di firma elettronica, le leggi di riferimento più importanti sono sicuramente due: a livello nazionale il d.lgs. n. 82 del 2005, o Codice dell’Amministrazione Digitale e a livello europeo il regolamento UE n. 210 del 2014, ossia il regolamento eIDAS.

Come normativa di riferimento va sicuramente citato anche Il D.P.C.M. n. 117 del 2013 che detta le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, nonché per la validazione temporale, ed è quindi destinato ai certificatori qualificati, per i quali costituisce una sorta di “manuale tecnico”.

 

Quanti tipi di firma elettronica ci sono?

Il regolamento eIDAS delinea e riconosce, nella Sezione 4, tre tipi di firma elettronica:

  • la firma elettronica semplice (o SES): si tratta del tipo di firma elettronica più basilare, la quale, in base al suo grado di sicurezza e complessità può essere legalmente applicabile ed ammissibile come prova in giudizio;
  • la firma elettronica avanzata (o AES), che ha un livello di sicurezza più avanzato e deve soddisfare quattro requisiti:
  1. deve essere connessa unicamente al firmatario;
  2. deve essere idonea a identificare il firmatario;
  3. il titolare della firma ne deve avere l’esclusivo controllo;
  4. deve essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
  • la firma elettronica qualificata (o QES), che è una firma elettronica avanzata creata da un dispositivo per la creazione di firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.

 

Perché in Italia parliamo di firma digitale? Che cos’è?

La firma digitale altro non è che un particolare tipo di firma elettronica qualificata, basato su una specifica tecnologia di chiavi crittografiche asimmetriche. Il termine “firma digitale” viene utilizzato in Italia, spesso a fianco o in sostituzione della più generale espressione “firma elettronica qualificata”, perché è stato introdotto dal CAD, che è antecedente di nove anni rispetto al regolamento eIDAS. Il CAD definisce la firma digitale all’art. 24, stabilendo che:

“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.

  1. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
  2. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
  3. Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d’uso. Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma”.

 

Chi può emettere firme elettroniche qualificate?

Affinché una firma elettronica si possa definire come tale, bisogna che i certificati qualificati siano rilasciati dai Qualified trust service providers, vale a dire da fornitori di servizi fiduciari accreditati dalle autorità locali designate da ogni Stato Membro UE (in Italia, l’autorità a ciò deputata è l’Agenzia per l’Italia Digitale o AgID).

ll regolamento eIDAS disciplina i Qualified trust service providers nella Sezione 3, stabilendo che, per poter essere tali, i certificatori devono rientrare negli “Elenchi di fiducia” tenuti dagli Stati membri dell’UE. Quando un certificatore è accreditato dall’Autorità di un paese membro dell’Unione Europea, e dunque è presente nel suo elenco, esso può emettere firme elettroniche qualificate valide per tutta l’Unione, ai sensi dell’art. 4 del regolamento eIDAS. Quindi, per verificare se il provider dei cui servizi ci si vuole avvalere sia abilitato o meno ad emettere QES, sarà sufficiente controllare che sia presente in uno degli elenchi pubblici di certificatori accreditati tenuti dalle varie autorità dei singoli Stati, reperibili sul sito web di eIDAS (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home), e che sia abilitato a fornire il servizio esatto di cui si ha bisogno, informazione sempre rinvenibile sul sito di eIDAS.

 

Qual è il valore legale di un documento sottoscritto con firma digitale?

Con riferimento alla validità dei documenti firmati digitalmente, il CAD stabilisce quanto segue all’art. 21, commi 1 e 2:

“Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, ha altresì l’efficacia prevista dall’articolo 2702 del Codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico”.

Il documento sottoscritto con una firma elettronica qualificata o avanzata soddisfa quindi il requisito della forma scritta, ha valore di scrittura privata e fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. Invece, l’idoneità delle SES a soddisfare tale requisito deve essere valutata dal giudice, sulla base delle caratteristiche della firma elettronica utilizzata in termini di sicurezza, integrità e immodificabilità.

Si è espressa in questo senso anche la Cassazione civile nella sentenza n. 5523 del 2018, la quale, riferendosi nel caso specifico alle e-mail, ha affermato che:

“In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (cd. e-mail) privo di firma elettronica non ha l’efficacia della scrittura privata prevista dall’art. 2702 c.c. quanto alla riferibilità al suo autore apparente, attribuita dall’art. 21 del d.lgs. n. 82 del 2005 solo al documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso è liberamente valutabile dal giudice, ai sensi dell’art. 20 del medesimo decreto, in ordine all’idoneità a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità”.

 

Disposizioni BankIt per i fornitori di servizi di crowdfunding

Il provvedimento di Banca d’Italia

Banca d’Italia ha recentemente concluso la procedura di consultazione sulla bozza di Disposizioni di attuazione dell’articolo 4-sexies.1 del TUF in materia di fornitori di servizi di crowdfunding per le imprese, pubblicando sul proprio sito gli esiti e il provvedimento in forma definitiva (link al provvedimento).

Ricordiamo che i servizi di crowdfunding dedicati alle imprese possono essere forniti, previa autorizzazione da parte dell’autorità competente, da:

  • intermediari vigilati (banche, intermediari finanziari ex art. 106 del Testo Unico Bancario, istituti di pagamento, istituti di moneta elettronica e SIM)
  • dai “fornitori specializzati di servizi di crowdfunding”

I primi sono autorizzati dalla Banca d’Italia, a eccezione delle SIM che sono autorizzate, con i secondi, dalla Consob.

Sono destinatari del provvedimento tutti i soggetti anzidetti, con le modalità indicate nel provvedimento stesso.

Comunicazioni agli organi di Vigilanza

Il primo paragrafo del provvedimento è dedicato alle comunicazioni da effettuare agli organi di vigilanza e, in particolare:

  • entro il 25 gennaio di ogni anno, gli intermediari autorizzati dalla Banca d’Italia trasmettono a quest’ultima un elenco dei progetti finanziati attraverso la propria piattaforma di crowdfunding
  • gli intermediari trasmettono, senza ritardo alla Banca d’Italia e alla Consob, le date di avvio di utilizzo dell’autorizzazione, di interruzione e di riavvio della fornitura di servizi di crowdfunding, nonché ogni modifica sostanziale delle condizioni di autorizzazione
  • entro il 30 aprile di ogni anno, i fornitori specializzati di servizi di crowdfunding inviano alla Banca d’Italia informazioni circa le variazioni intervenute rispetto agli accordi di esternalizzazione in essere

Comunicazioni relative ai partecipanti al capitale

Il secondo paragrafo del provvedimento è dedicato ai partecipanti al capitale dei fornitori specializzati di servizi di crowdfunding.

Al fine di monitorare il rispetto delle norme in tema di detenzione di partecipazioni qualificate (pari o superiore al 20%) nel capitale dei fornitori specializzati di servizi di crowdfunding, questi ultimi comunicano alla Banca d’Italia:

  • l’acquisizione o l’incremento di una partecipazione che comporti il raggiungimento o il superamento della soglia del 20% del capitale o dei diritti di voto nel fornitore di servizi di crowdfunding, o che comporti la possibilità di esercitare il controllo sul fornitore specializzato di servizi di crowdfunding
  • la riduzione della partecipazione al di sotto delle soglie di cui al punto 1).

Il termine per la comunicazione è di soli 10 giorni dal verificarsi dell’acquisizione, dell’incremento o della riduzione della partecipazione o, se successivo, dal momento in cui il fornitore di servizi di crowdfunding ne viene a conoscenza.

Comunicazioni relative agli esponenti aziendali

Il terzo e ultimo paragrafo è dedicato agli esponenti dei fornitori di servizi specializzati di servizi di crowdfunding, intesi quali tutti i soggetti persone fisiche che svolgono attività di amministrazione, controllo o direzione dell’ente.

Ebbene, al proposito la Banca d’Italia ha disposto che si applichi, per quanto compatibile, quanto disposto dalle Sezione I, Sezione II, paragrafi 1.1, 1.2, 1.3, 1.4, 1.5, 1.7, 1.8, 1.9, 1.11, 2, 3, 5 e Sezione III, paragrafo 2, del Provvedimento della Banca d’Italia del 4 maggio 2021, recante “Disposizioni sulla procedura di valutazione dell’idoneità degli esponenti di banche, intermediari finanziari, istituti di moneta elettronica, istituti di pagamento e sistemi di garanzia dei depositanti” (link al provvedimento).

Visita anche la pagina dedicata all’area di diritto bancario di Princivalle Apruzzi Danielli Studio Legale.

Digital Markets Act: i destinatari della riforma

La riforma del mercato digitale

Il 5 luglio 2022 è stato approvato dal Parlamento europeo il Digital Markets Act (adottato con Regolamento EU 2022/1925) (DMA), il primo regolamento europeo sui mercati digitali che insieme al Digital Services Act (DSA) (Regolamento sui servizi digitali) è parte del più ampio pacchetto di riforme digitali finalizzato a rafforzare la regolamentazione delle grandi società tecnologiche.

L’obbiettivo primario del DMA è quello di promuovere la concorrenza equa e limitare le pratiche monopolistiche delle grandi piattaforme online, oltre quello di arginare il più possibile gli abusi e limitare le posizioni dominanti al fine di rafforzare la concorrenza sul mercato e dare maggiore spazio agli operatori “più piccoli”.

I destinatari della normativa

a) I gatekeepers

A seguito dell’entrata in vigore del DMA (1 novembre 2022) e del termine imposto dalla normativa europea per adeguarsi alle relative prescrizioni (entro il 6 marzo 2024), i destinatari cosiddetti gatekeepers hanno l’obbligo di rispettare precise direttive per non incorrere in pesanti sanzioni.

Per definizione, i gatekeepers sono quelle società che hanno il controllo di un determinato settore di mercato e che nel mondo digitale sono rappresentate dalle LOPsLarge Online Platforms.

Ai sensi degli artt. 2 e 3 del DMA, con il termine “gatekeeper” ci si riferisce alle imprese che forniscono un servizio di piattaforma di base tra cui:

  • motori di ricerca
  • servizi di intermediazione
  • servizi di social networking
  • piattaforme di condivisione video
  • sistemi operativi
  • servizi di comunicazione interpersonale
  • cloud computing e pubblicità.

b) I limiti dimensionali dei gatekeepers 

La normativa europea precisa quali siano le soglie dimensionali  per poter essere designati gatekeepers ai sensi del Regolamento DMA.

Innanzitutto, è necessario che le Big Tech abbiano registrato un fatturato annuo all’interno dello Spazio Economico Europeo (SEE) di almeno 7,5 miliardi di Euro (negli ultimi tre anni), o una capitalizzazione di mercato media di almeno 75 miliardi di Euro nell’ultimo anno, ma soprattutto che abbia erogato i propri servizi in almeno tre stati membri (art. 3, par. 2 lett a) Reg. DMA).

Altro requisito è la registrazione sulla piattaforma di base un numero di utenti UE attivi superiore ai 45 milioni e un numero di imprese UE attive di oltre 10.000, su base mensile (per la corretta individuazione degli utenti/imprese “attivi” al fine del calcolo dimensionale, il Regolamento stesso ha previsto un apposito allegato che individua i criteri di calcolo di questi indicatori) (art. 3, par. 2 lett. b) Reg. DMA).

Infine, la posizione sul mercato digitale deve essere “consolidata e duratura” (art. 3, par. 1 lett. c) DMA), ovvero che negli ultimi tre esercizi finanziari l’azienda abbia soddisfatto i precedenti due requisiti (mercato interno/fatturato e controllo del gateway e utenti/imprese attive su base mensile) (art. 3, par. 2 lett.c) DMA).

Le aziende potranno comunque contestare il risultato finale del calcolo adducendo eventuali circostanze eccezionali che possano giustificare l’esclusione dalla categoria suddetta.

c) Le imprese “emergenti”

La Commissione europea potrà designare come gatekeepers anche imprese cosiddette “emergenti”, ovvero che hanno tutti i requisiti per diventare un giorno dei veri e propri gatekeepers. A queste imprese verranno applicati solo una parte degli obblighi destinati ai gatekeepers “consolidati”.

Il compito della Commissione sarà quindi quello di monitorare periodicamente, e comunque ogni tre anni, lo status dei gatekeepers, con facoltà di richiedere in qualunque momento ad una Big Tech “tutte le informazioni che ritiene necessarie” in occasione di fusioni  o acquisizioni delle stesse società emergenti da parte di quelle che dominano il mercato digitale.

Scorrendo la normativa DMA si evince chiaramente che il fine dell’Unione Europea sia quello di ridurre il dominio delle grandi piattaforme digitali e promuovere un ambiente digitale più aperto, innovativo e competitivo per le imprese e i consumatori europei.

I gatekeepers secondo la Commissione UE

La Commissione Europea ha designato i primi sei gatekeepers (Meta, Amazon, Apple, Microsoft, Alphabet, ByteDance) e ha identificato i servizi di piattaforma di base (CPS, Core Platform Service) correlati:

  • 6 piattaforme di intermediazione (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
  • 4 social network (Facebook, Instagram, LinkedIn, TikTok)
  • 3 servizi pubblicitari online (Amazon, Google e Meta)
  • 3 sistemi operativi più diffusi (Google Android, iOS, SO Windows PC)
  • 2 browser Web (Chrome e Safari)
  • 2 grandi servizi di comunicazione (Facebook Messenger e WhatsApp, entrambi di proprietà di Meta)
  • 1 piattaforma di condivisione video (YouTube)
  • 1 motore di ricerca (Google)

Nuovi obblighi e divieti per i gatekeepers

Ai sensi della nuova normativa in materia, i gatekeepers dovranno adempiere ad una serie di doveri e rispettare i relativi divieti.

Tra gli obblighi imposti dal Regolamento vi è quello consentire agli utenti finali di annullare l’iscrizione ai servizi principali della piattaforma con la stessa facilità con cui si abbonano.

Tra i divieti vi è invece quello di non tracciare gli utenti finali al di fuori del servizio principale della piattaforma del gatekeeper per effettuare pubblicità mirata, senza tuttavia averne ottenuto il consenso dovuto. Si tratterà principalmente di ottenere un consenso valido da parte dell’utente prima che i dati personali vengano raccolti o utilizzati tramite le piattaforme o i servizi dei gatekeepers utilizzati da terze parti.

In molti casi, a queste aziende verrà richiesto di manifestare il consenso ai gatekeepers per mantenere l’accesso alle loro piattaforme, ad esempio tramite la modalità consenso di Google (Google Consent Mode che sarà sarà oggetto di approfondimento in un separato articolo prossimo all’uscita sul nostro sito).

Ed ancora, non mostrare preferenze di posizionamento o accesso ai propri prodotti e servizi rispetto agli altri operatori del web. Semplificare il trasferimento dei dati degli utenti dalle loro piattaforme verso altri servizi.

In definitiva, l’obbiettivo ambizioso che l’Unione Europea si è prefissata con questa riforma è quello garantire una maggiore apertura delle piattaforme digitali, consentendo anche ad imprese “minori” di avere uguale accesso alla platea di utenti web e ai relativi dati prodotti sulle piattaforme, nel tentativo di circoscrivere il più possibile le fattispecie di concorrenza sleale a posizione dominante che i colossi del web hanno esercitato sino ad oggi.