Nel contesto digitale contemporaneo, caratterizzato da una pervasiva connettività (accesso costante ad internet tramite dispositivi di vario genere), dalla centralità dei dati ormai considerati una risorsa strategica (“data is the new oil”), dall’incremento esponenziale della digitalizzazione dei processi e dall’impiego sistematico di algoritmi di intelligenza artificiale e machine learning, si impone per le imprese la necessità di approntare misure adeguate a protezione del proprio patrimonio immateriale. Difatti, il know-how, le procedure tecniche, gli algoritmi, così come ogni altra informazione aziendale riservata, richiedono oggi forme di tutela che vadano oltre la tradizionale protezione offerta da marchi e brevetti, integrandosi in strategie giuridiche e operative strutturate.
Ai sensi dell’art. 98 del Codice della Proprietà Industriale (D.lgs. 30/2005), sono considerati segreti commerciali “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, che siano segrete, abbiano valore economico in quanto segrete e siano sottoposte a misure adeguate a mantenerle tali”. La giurisprudenza nazionale ha progressivamente ampliato la portata della nozione, avendo definito il know-how come il complesso di conoscenze e competenze organizzative e produttive indispensabili per la realizzazione, gestione e manutenzione di un apparato industriale (Cass. pen., n. 25008/2001), includendovi anche combinazioni tecniche non brevettabili ma suscettibili di generare un vantaggio competitivo (Cass. pen., n. 16975/2020). Inoltre, è stata riconosciuta la rilevanza penale della rivelazione anche parziale di un processo produttivo pur in assenza di una sottrazione documentale completa (Cass. pen., sez. V, n. 3211/2024).
L’evoluzione tecnologica ha però modificato radicalmente le modalità attraverso le quali tali informazioni possono essere compromesse. L’accesso da remoto, la collaborazione su piattaforme digitali, l’utilizzo di soluzioni cloud e l’impiego di sistemi AI, moltiplicano i vettori del rischio, determinando fenomeni di appropriazione indebita che sfuggono ai tradizionali paradigmi di sottrazione fisica.
Una delle pratiche più insidiose è rappresentata dallo scraping automatizzato, ovvero l’estrazione sistematica di dati tramite bot da ambienti digitali. Qualora le informazioni non siano liberamente accessibili, ma protette anche solo debolmente (repository pseudo-pubblici o vulnerabilità cloud), tale condotta può integrare fattispecie illecite, rilevanti sia civilmente sia penalmente, configurando, in taluni casi, l’accesso abusivo a sistema informatico (art. 615-ter c.p.) o la rivelazione di segreti industriali (art. 623 c.p.).
A livello normativo, la Direttiva (UE) 2016/943 ha imposto agli Stati membri di prevedere tutele efficaci anche in caso di acquisizione non autorizzata tramite accesso, appropriazione o copia di file elettronici. Il recepimento è avvenuto con il D.lgs. 63/2018, che ha integrato nel nostro ordinamento un regime di protezione organico, condizionato tuttavia all’adozione, da parte dell’impresa, di misure ragionevolmente adeguate alla conservazione della riservatezza.
In ambito europeo, un ulteriore impulso alla protezione del patrimonio costituito da dati e informazioni riservate deriva dal Regolamento (UE) 2024/1689 – AI Act – entrato in vigore nell’agosto 2024. Esso disciplina l’impiego di sistemi di intelligenza artificiale, individuando quelli “ad alto rischio” e imponendo obblighi di valutazione, trasparenza, audit e tracciabilità. In attuazione del Regolamento, il disegno di legge italiano approvato il 20 marzo 2025 in Senato prevede aggravanti specifiche per i reati commessi mediante l’uso di IA, imponendo l’aggiornamento dei modelli organizzativi ex D.lgs. 231/2001, integrandoli con protocolli di gestione dell’intelligenza artificiale.
Alla luce del mutato quadro normativo e tecnologico, risulta imprescindibile per le imprese adottare una cultura organizzativa fondata sulla riservatezza, accompagnata da un sistema di governance integrata, attraverso l’utilizzo di misure di natura tecnica, contrattuale e organizzativa. Tali misure comprendono:
- la mappatura e classificazione del patrimonio informativo rilevante (dati, algoritmi, procedimenti);
- l’adozione di policy aziendali con tracciabilità digitale degli accessi e dei flussi informativi;
- l’aggiornamento della contrattualistica con clausole specifiche di riservatezza, proprietà intellettuale e non concorrenza, estese anche a fornitori e partner tecnologici;
- l’implementazione di strumenti tecnici quali cifratura, autenticazione forte, segmentazione dei sistemi e accesso differenziato;
- la conformità ai requisiti del Regolamento AI e dei modelli 231, con previsione di audit periodici e formazione del personale;
- l’adozione di procedure reattive e preventive, tra cui sistemi di whistleblowing e protocolli di risposta immediata a violazioni o fughe di dati.
In conclusione, implementare il sistema aziendale nella maniera sopra descritta significa non solo prevenire i rischi, ma valorizzare e rendere difendibile il proprio patrimonio immateriale, anche in un contesto dove l’IA può trasformarsi in strumento di concorrenza sleale e violazione del segreto.
