Indice
In primo piano
Relazione del Governatore della BdI
Il 31 maggio 2022 la BdI ha pubblicato la relazione annuale, dalla quale si evince che:
- l’economia internazionale, grazie alle campagne vaccinali, sta recuperando con un aumento della domanda. Tuttavia, la guerra in Ucraina ha determinato un peggioramento delle aspettative di crescita accompagnate da un rincaro dei prezzi delle materie prime;
- le difficoltà di approvvigionamento dei beni energetici hanno indebolito l’attività economica alla fine dell’anno, tuttavia, in quasi tutti i paesi dell’area dell’euro, il disavanzo e il debito sono diminuiti rispetto al 2020;
- l’economia italiana nel 2021 ha registrato un miglioramento, il PIL è aumentato del 6,6%. La crescita è avvenuta in tutte le regioni italiane con ottimi risultati. Il reddito delle famiglie è cresciuto grazie all’aumento dell’occupazione e agli interventi pubblici;
- nell’ambito della finanza pubblica si è registrato un significativo miglioramento dei conti pubblici. L’indebitamento netto delle amministrazioni pubbliche è sceso al 7,2%.
Nelle considerazioni finali alla Relazione, il Governatore ha lanciato un monito di speranza nei confronti del PNRR che “potrà contribuire al rafforzamento e all’espansione dei segmenti più dinamici del nostro sistema produttivo, nonché dell’industria finanziaria”.
Relazione annuale 2021 della BdI, pubblicata sul sito ufficiale il 31 maggio 2022
Registro del titolare effettivo
È stato recentemente pubblicato il decreto del MEF di concerto con il MiSE, che disciplina la comunicazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, persone giuridiche private, trust e istituti affini.
I soggetti che devono comunicare al registro delle imprese territorialmente competente la titolarità effettiva sono:
- gli amministratori delle imprese dotate di personalità giuridica;
- il fondatore, se in vita, o i soggetti cui è attribuita la rappresentanza e l’amministrazione delle persone giuridiche private;
- il fiduciario di trust o di istituti affini.
Inoltre, gli stessi sono tenuti a comunicare:
- eventuali variazioni della titolarità effettiva entro 30 giorni dalla variazione; e
- la conferma dei dati e delle informazioni entro 12 mesi dalla prima comunicazione o da quella di variazione e poi annualmente.
I suddetti obblighi devono essere adempiuti entro 60 giorni dall’entrata in vigore del presente decreto, prevista per il prossimo 9 giugno.
Decreto del MEF di concerto con il Mise del 11 marzo 2022 n. 55, (pubblicato in G.U. il 25 maggio 2022 n. 121)
Decreto Ucraina-bis
Il 21 maggio è entrato in vigore il decreto che prevede misure urgenti per contrastare gli effetti economici e umanitari derivanti dall’invasione dell’Ucraina da parte della Russia.
Tra gli interventi più rilevanti, è stata modificata la disciplina dei c.d. “golden power”, (ovvero dei poteri speciali del Governo, funzionali alla salvaguardia degli assetti proprietari e della gestione di società nazionali operanti in settori strategici e di interesse nazionale).
In particolare, la costituzione di nuova impresa di rilevanza strategica per la difesa e sicurezza nazionale è soggetta all’obbligo di notifica. Inoltre, nei settori delle comunicazioni, energia, trasporti, salute, agroalimentare e finanziario, tale obbligo di notifica viene esteso agli acquisti di partecipazioni rilevanti compiuti da soggetti europei (anche residenti in Italia), nella misura in cui l’acquisto determini l’insediamento stabile in ragione dell’assunzione del controllo della società.
Al fine di potenziare l’attività di coordinamento delle attività propedeutiche all’esercizio dei golden power, è stato istituito un nucleo di valutazione e analisi strategica, presso il dipartimento per il coordinamento amministrativo della Presidenza del Consiglio dei ministri.
Legge n. 51 del 20 maggio 2022, di conversione del D.L. 21 marzo 2022, n. 21 (pubblicato in Gazzetta Ufficiale il 20 maggio 2022 n. 117)
Strategia nazionale di cybersicurezza
L’agenzia nazionale per la cybersicurezza, è stata istituita con il D.L. n. 82/2021, a tutela degli interessi nazionali nel cyberspazio.
Inoltre, la strategia nazionale di cybersicurezza, per gli anni 2022-2026, è stata adottata al fine di pianificare, coordinare e attuare misure tese a rendere l’Italia un paese più sicuro e resiliente dai rischi connessi alla transizione digitale. Tra questi rischi, si annoverano:
- attacchi cyber che sfruttano errori software, errate configurazioni, debolezze nei protocolli per sottrarre dati o arrecare danni ai sistemi; e
- diffusione, attraverso lo spazio cibernetico, di fake news, deep-fake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini.
Per poter realizzare gli obiettivi (protezione degli asset strategici nazionali, risposta alle minacce e alle crisi cyber, sviluppo consapevole e sicuro delle tecnologie), sono indispensabili i seguenti fattori abilitanti:
- la formazione (ovvero, creare una solida forza lavoro nazionale, composta da esperti e giovani talenti in possesso delle capacità e delle competenze necessarie); e
- promuovere la cultura della sicurezza cibernetica, aumentare la consapevolezza nel settore pubblico e privato ed in particolare nella società civile sui rischi e le minacce cyber (tra le quali il fenomeno del cyber bullismo, che, ancorché non nuovo, non cessa di creare allarme sociale).
Strategia nazionale di cybersicurezza 2022-2026, adottata con decreto del Presidente del Consiglio dei ministri il 17 maggio 2022 (pubblicata in Gazzetta Ufficiale l’1 giugno 2022 n. 127)
Diritto societario/Contrattualistica
Clausola “russian roulette”: la Cassazione vuole approfondirne la validità
Con ordinanza, la Corte di Cassazione, in relazione all’assoluta novità e complessità delle questioni sollevate nel corso del giudizio, ha affidato all’ufficio del Massimario un approfondimento, del quadro normativo, giurisprudenziale e dottrinale, anche statunitense e canadese, relativo alla disciplina della clausola antistallo denominata “russian roulette clause”, con particolare riguardo alla sua validità ed efficacia tra le parti stipulanti.
Cassazione civile, I sezione, ordinanza interlocutoria del 29 aprile 2022 n. 13545
Diritto bancario
Truffa online: i limiti di responsabilità della banca
Il Tribunale penale di Parma ha recentemente respinto un ricorso contro una presunta truffa online. Il ricorrente aveva citato in giudizio la banca in questione per ottenere la restituzione delle somme asseritamente sottratte.
Nel merito, il tribunale ha accertato che la banca non può essere ritenuta responsabile per il comportamento negligente del ricorrente nell’utilizzo di tali mezzi di pagamento.
Infatti, ai sensi dell’art. 12 del D. Lgs. 11/2010, tutte le perdite derivanti da operazioni di pagamento non autorizzate sono imputabili al cliente che ha agito in modo fraudolento o non ha adempiuto agli obblighi relativi all’utilizzo dei mezzi di pagamento previsti dal contratto stipulato con la banca.
Pertanto, nel caso in questione il cliente aveva violato i suoi obblighi contrattuali, poiché nei giorni precedenti ai pagamenti non autorizzati aveva fornito i suoi dati di accesso personali e non trasferibili a una persona sconosciuta durante una telefonata (seguita da molte altre). Inoltre, il cliente non aveva comunicato alla banca la suddetta situazione.
Sullo stesso tema, la Corte di Cassazione ha recentemente ritenuto responsabile una banca per mancanza di diligenza del debitore nell’adempimento del contratto, in quanto non aveva adottato strumenti idonei a contrastare l’accesso non autorizzato al sistema di home banking dei propri clienti. Infatti, in base al principio di diligenza professionale della banca – che prevede il rispetto dei parametri del cosiddetto “banchiere prudente” – è necessario predisporre adeguati strumenti di prova di un’operazione, in grado di risalire al cliente che l’ha effettuata. Nel caso deciso dalla Cassazione, se da un lato il cliente aveva correttamente denunciato l’omissione della banca (cioè di contrastare il prelievo illegittimo), dall’altro la banca non ha dimostrato di aver rispettato le norme prudenziali che regolano l’utilizzo del sistema di home banking.
Tribunale penale di Parma, ordinanza del 27 aprile 2022 e Cassazione Civile, sez. I, sentenza del 20 maggio 2022 n. 16417
Il dovere di controllo del collegio sindacale sugli organi interni con funzioni amministrative
Nella struttura societaria delle banche, la presenza di un sistema di controlli interni non limita gli obblighi e i doveri di controllo che incombono sul collegio sindacale. Infatti, i soggetti preposti ad attività di controllo interno hanno una funzione di supporto al collegio sindacale, ma non si sostituiscono a questo nella sua funzione di controllo.
Il collegio sindacale è, in ogni caso, tenuto ad assicurare una costante sorveglianza sull’operato dei soggetti incaricati di funzioni amministrative e gestionali, con l’obbligo di riscontrare la correttezza, formale e sostanziale, delle procedure e dei processi messi in atto, monitorando eventuali disfunzioni, anomalie o carenze.
Cassazione civile, sez. II, sentenza del 19 maggio 2022, n.16276
Relazione dell’ABE sul sistema bancario ombra
L’ABE ha pubblicato la proposta finale di norme tecniche di regolamentazione che stabiliscono i criteri per identificare i soggetti del sistema bancario ombra ai fini delle segnalazioni di vigilanza riguardanti le grandi esposizioni. Le entità che svolgono attività o servizi bancari, autorizzate e sottoposte a vigilanza, conformemente alla normativa euro-comunitaria, non sono entità bancarie ombra.
Altresì, non sono entità bancarie ombra, gli enti stabiliti in un Paese terzo, autorizzati e vigilati da un’autorità di vigilanza che applica i principi fondamentali di Basilea (per un’efficace vigilanza bancaria) o che sono soggette a un regime regolamentare riconosciuto come equivalente a quello applicato nell’UE.
Relazione finale dell’ABE, Progetto di standard tecnici di regolamentazione sui criteri di identificazione delle entità del sistema bancario ombra ai sensi dell’articolo 394, comma 4, del Regolamento n. 575/2013/UE del 23 maggio 2022
Diritto finanziario
Relazione dell’ESMA sulle segnalazioni di best execution
L’ESMA ha pubblicato una relazione rivolta alla Commissione europea in materia di segnalazioni di vigilanza per le imprese di investimento sulla best execution ai sensi della MiFID II, al fine di assicurare un livello efficace di regolamentazione e vigilanza e per migliorare la protezione degli investitori.
La best execution è l’obbligo per gli intermediari, nell’esecuzione degli ordini dei clienti, di adottare misure adeguate per conseguire il miglior risultato possibile per la clientela, in riferimento al prezzo, costi, rapidità di esecuzione e tipo di ordine.
In particolare, l’ESMA suggerisce di:
- migliorare la qualità delle informazioni relative alle segnalazioni di vigilanza, eliminando l’obbligo di segnalazione per le imprese sulle caratteristiche degli ordini eseguiti, in quanto non si è dimostrato efficace nell’ambito dell’attuale quadro normativo;
- facilitare l’utilizzo delle modalità di segnalazione.
Relazione finale, “Revisione del quadro normativo MiFID II sulle segnalazioni di best execution da parte delle imprese di investimento”, pubblicata sul sito dell’ESMA il 16 maggio 2022
Come si prova la cessione di crediti
La Corte d’appello di Ancona, in conformità con altre pronunce giurisprudenziali, ha affermato che la prova della titolarità del credito deve essere fornita attraverso il contratto di cessione, da cui si ricavi in modo chiaro ed univoco che il credito oggetto di contestazione è stato effettivamente ceduto.
Secondo la Corte, la pubblicazione dell’avviso di cessione nella Gazzetta Ufficiale non è sufficiente a provare la titolarità del credito, bensì dà solo notizia dell’avvenuta cessione, senza prevedere la specifica indicazione dei crediti ceduti.
Corte d’appello di Ancona, sentenza del 3 maggio 2022
Conformità alle norme
D.Lgs. 231/2001
La mancata adozione di un modello organizzativo non determina automaticamente la responsabilità amministrativa dell’ente. La quarta sezione della Corte di Cassazione ha distinto il profilo di responsabilità dell’ente da quello dei soggetti apicali, autori del reato.
La Corte ha stabilito che la mancata adozione o l’inefficace attuazione dei modelli di organizzazione e di gestione (Artt. 6 e 7 del Decreto 231 e art. 30 del d.lgs. n. 81/2008) non assurgono ex se ad elementi costitutivi dell’illecito dell’ente. È invece necessario dimostrare la colpa di organizzazione (ovvero un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzato) da parte dell’accusa, mentre l’ente può dare dimostrazione dell’assenza di tale colpa.
Sotto il profilo della responsabilità dei soggetti apicali, la Corte li ha riconosciuto responsabili per omissioni e violazioni della normativa prevenzionistica; tuttavia, tali condotte non determinano l’automatica responsabilità dell’ente.
Cassazione penale, sez. IV, sentenza del 10 maggio 2022 n. 18413
Protezione dei dati personali
Il whistleblowing deve tutelare la privacy del segnalante
Il whistleblowing è uno strumento di compliance aziendale, tramite il quale i dipendenti oppure terze parti di un’azienda possono segnalare, in modo riservato e protetto, eventuali illeciti riscontrati durante la propria attività.
Recentemente, il Garante privacy ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio di whistleblowing per aver violato il GDPR. Le società utilizzavano sistemi che registravano e conservavano i dati di navigazione degli utenti, consentendo l’identificazione degli stessi, tra cui i potenziali segnalanti.
Nello specifico, la struttura sanitaria non aveva informato preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento (uno strumento utile per valutare i rischi per i diritti e le libertà degli interessati).
Provvedimento del Garante Privacy n. 134 del 7 aprile 2022
“Uber” sanzionata per più di 4 milioni di euro
Il Garante Privacy ha sanzionato Uber B.V, con sede legale ad Amsterdam, e Uber Technologies Inc, con sede legale a San Francisco per 4 milioni e 240.000 euro complessivi.
Le sanzioni sono state applicate in seguito ad accertamenti ispettivi effettuati presso Uber Italy s.r.l in occasione di un data breach segnalato dalla capogruppo statunitense nel 2017. Le società sono state sanzionate, come contitolari del trattamento, ciascuna responsabile per le violazioni della normativa privacy commesse nei confronti degli utenti italiani, circa 1 milione e mezzo, tra autisti e passeggeri.
Le sanzioni riguardavano:
- l’inidoneità dell’informativa resa agli utenti, in quanto priva dell’indicazione della contitolarità del trattamento, formulata in maniera generica e approssimativa con informazioni poco chiare e incomplete. Le finalità del trattamento non erano specificate, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi e non era chiaro se gli utenti fossero obbligati o meno a fornire i propri dati;
- la mancanza di un valido consenso al trattamento dei dati; e
- la mancata notifica al Garante del trattamento dei dati per finalità di geolocalizzazione.
Provvedimento del Garante della Privacy n. 101 del 24 marzo 2022
Tutela della concorrenza e del mercato
Abuso di posizione dominante: i criteri di qualificazione della CGUE
Secondo la CGUE, l’abuso di posizione dominante ai sensi dell’articolo 102 del TFUE si verifica quando un’impresa sfrutta le proprie risorse o i propri beni al fine di utilizzare la propria posizione di forza sul mercato per impedire o ostacolare la concorrenza.
A questo proposito, la CGUE ha stabilito i seguenti criteri:
- per stabilire se un determinato comportamento costituisce un abuso di posizione dominante, è sufficiente dimostrare che esso è in grado di pregiudicare la concorrenza sul mercato rilevante o il benessere dei consumatori;
- la prova dell’assenza di effetti restrittivi non è di per sé sufficiente a escludere il carattere abusivo di un comportamento;
- una pratica di mercato considerata lecita può risultare abusiva se, attuata da un’impresa in posizione dominante, produce effetti di esclusione e comporta l’impiego di mezzi diversi da quelli considerati normalmente concorrenziali sul mercato rilevante;
- quando una posizione dominante viene abusata da una o più società controllate, la stessa esistenza di un gruppo di società è sufficiente per ritenere la società madre ugualmente responsabile dell’abuso. Infatti, la responsabilità è presunta se, durante il periodo contestato, la quasi totalità del capitale azionario delle società controllate è posseduto, direttamente o indirettamente, dalla società madre. Quest’ultima può essere esonerata solo se dimostra di non avere alcun controllo sulla condotta e sulle decisioni delle sue controllate, che sono state prese autonomamente.
CGUE, Sez. V, sentenza del 12 maggio 2022, causa C‑377/20
Diritto penale societario
I reati di manipolazione del mercato e di ostacolo alla vigilanza della Consob: le precisazioni della Cassazione
La quinta sezione della Corte di Cassazione ha delineato i confini applicativi dei reati di ostacolo alle funzioni di vigilanza, di cui all’art. 2638 c.c., e di manipolazione del mercato, disciplinato dall’art. 185 del TUF.
Pertanto, il primo è un c.d. “reato di evento”, che si consuma nel momento in cui si realizza un ostacolo alle funzioni di vigilanza e si perfeziona con il verificarsi di un danno effettivo e rilevante, derivante da una condotta attiva o omissiva consistente nell’omissione di informazioni alle autorità di vigilanza competenti.
Viceversa, il secondo, che tutela l’integrità del mercato finanziario e dell’investitore, è considerato un “reato di condotta” e di “pericolo concreto”, consumato quando la condotta è idonea a produrre un’alterazione del prezzo degli strumenti finanziari.
Cassazione penale, Sez. V, sentenza del 4 maggio 2022, n. 17789
Secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica
A Strasburgo, il 12 maggio scorso, il Ministro della Giustizia Marta Cartabia ha firmato il secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica.
La Convenzione di Budapest è il principale patto multilaterale volta ad agevolare la lotta contro la criminalità informatica e ad istituire un regime di cooperazione internazionale; attualmente ne fanno parte 66 paesi, tra cui 26 Stati membri dell’UE.
Il secondo protocollo è frutto dell’esigenza avvertita da tutti gli Stati aderenti di rafforzare la cooperazione transfrontaliera e la raccolta di prove in formato elettronico ai fini di indagini o procedimenti penali.
Il nuovo strumento giuridico propone di semplificare l’accesso, da parte di autorità giudiziarie e polizia, alle prove elettroniche detenute dagli internet provider. Tuttavia, permane l’esigenza di rispettare i diritti fondamentali, compresi i diritti processuali in materia penale, il diritto alla riservatezza e il diritto alla protezione dei dati personali.
Secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche, Consiglio dell’Unione europea, Bruxelles, 29 marzo 2022
Legenda
UE: Unione Europea
ABE: Autorità Bancaria Europea
BCE: Banca centrale europea
BdI: Banca d’Italia
CGUE: Corte di Giustizia Europea
CONSOB: Commissione Nazionale delle Società e della Borsa
Decreto 231: Decreto Legislativo n. 231/01
ESMA: Autorità europea degli strumenti finanziari e dei mercati
Garante Privacy: Garante per la protezione dei dati personali
GDPR: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46
D.L. 82/2021: Decreto Legge 14 giugno 2021, n. 82 Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale
D.Lgs. 81/2008: Decreto Legislativo 9 aprile 2008, n. 81 attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro
D.Lgs. 11/2010: Decreto Legislativo 27 gennaio 2010, n. 11, attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE
MEF: Ministero dell’Economia e delle Finanze
MISE: Ministero dello Sviluppo Economico
MIFID II: Direttiva UE n. 2014/65 sui mercati degli strumenti finanziari
PNRR: Decreto Legge 6 novembre 2021, n. 152, recante Disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza e per la prevenzione delle infiltrazioni mafiose, convertito con modificazioni nella Legge 29 dicembre 2021, n. 233, pubblicata in Gazzetta Ufficiale n. 310 del 31 dicembre 2021
TFUE: Trattato sul funzionamento dell’Unione Europea
TUF: Testo Unico della Finanza, Decreto Legislativo 24 febbraio 1998, n. 58, Testo unico delle disposizioni in materia di intermediazione finanziaria