Studio Legale Iafolla

27/01/2026

𝗜𝗻𝘁𝗲𝗹𝗹𝗶𝗴𝗲𝗻𝘇𝗮 𝗮𝗿𝘁𝗶𝗳𝗶𝗰𝗶𝗮𝗹𝗲 𝗲 𝗣𝘂𝗯𝗯𝗹𝗶𝗰𝗮 𝗔𝗺𝗺𝗶𝗻𝗶𝘀𝘁𝗿𝗮𝘇𝗶𝗼𝗻𝗲
Pubblicato sul Blog dello Studio un nuovo approfondimento dedicato all’evoluzione dei modelli organizzativi e decisionali nella Pubblica Amministrazione alla luce dell’introduzione di sistemi di intelligenza artificiale.

Il contributo è a firma di Mariamichaela Li Volti Polidori, Avvocato Cassazionista e Dirigente dell’Avvocatura della Città di Torino e offre una ricognizione strutturata del quadro giurisprudenziale e delle principali prassi operative oggi disponibili per orientare amministrazioni e operatori del diritto nella gestione responsabile delle tecnologie di IA.

Il documento è consultabile integralmente sul sito dello Studio, con lettura integrata e collegamenti ipertestuali per agevolare l’analisi delle fonti e dei materiali di riferimento.

Link all’articolo: https://www.studiolegaleiafolla.it/2026/01/23/ai-pubblica-amministrazione-dossier/

12/08/2025

Contratti SaaS: una piccola guida per imprese ICT e tech

Il è un modello che rappresenta oggi una leva strategica per innovazione e digitalizzazione ed è una grande opportunità per le imprese ICT.
È fondamentale, però, un contratto solido che possa proteggere il business, i rapporti con i clienti e la reputazione sul mercato.

Ecco una "piccola guida essenziale" con alcuni punti da non sottovalutare in questo tipo di contratti: oggetto, SLA, compliance, mancato pagamento, modifiche unilaterali.

📎 Potete leggerla sul Blog dello Studio, a questo link: https://www.studiolegaleiafolla.it/2025/08/12/contratto-saas-piccola-guida-per-una-tutela-del-business/

19/03/2025

𝐃𝐚𝐭𝐚 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧, 𝐛𝐫𝐚𝐧𝐝 𝐞 𝐟𝐢𝐝𝐮𝐜𝐢𝐚: la privacy come una reale opportunità di rafforzare la relazione con clienti e utenti.

Questo approccio può davvero fare la differenza per il business, al di là dell'obbligo normativo. A questo proposito, il Digital Trust Index 2025 – Consumer Edition di Thales evidenzia dati molto interessanti:

- l’82% degli utenti ha abbandonato almeno un brand negli ultimi 12 mesi a causa di preoccupazioni su come venivano utilizzati i propri dati personali;
- il 19% lo ha fatto in seguito a una notifica di violazione dati personali.

Anche i numeri, dunque, confermano come la protezione dei dati personali sia oggi un elemento centrale nella costruzione di rapporti di fiducia e nella fidelizzazione degli utenti.

Ne scrive Federprivacy qui: https://www.federprivacy.org/informazione/societa/l-82-degli-utenti-abbandona-un-brand-per-mancanza-di-fiducia-e-il-19-lo-fa-a-seguito-di-un-data-breach

L'82% degli utenti ha abbandonato almeno un brand negli ultimi 12 mesi a causa di preoccupazioni su come venivano utilizzati i propri dati personali, e il

13/02/2025

Il Legal Design per informative privacy più comprensibili: un approccio rivolto all’utente

La sfida della trasparenza non solo come principio fondante della normativa, ma anche come approccio per rafforzare il rapporto di fiducia con il nostro interlocutore.

Anche l'avv. Maria Elena Iafolla è tra i contributor, insieme ai Colleghi di CSIG - Centro studi di informatica giuridica Ivrea-Torino, del White Paper di Autorità Garante per la protezione dei dati personali e Creative Commons, che indaga concrete modalità per promuovere una cultura della consapevolezza nella gestione dei dati.

Ulteriori informazioni e il White Paper integrale al link: https://www.csigivreatorino.it/pubblicazione-whitepaper-rendere-le-informative-privacy-piu-comprensibili-il-legal-design-come-approccio-rivolto-allutente/

16/01/2025

Imprese ICT e compliance – il 17 gennaio 2025 (domani) è una data importante per la compliance delle imprese del settore tech e ict e, di conseguenza, per il business e le forniture:

𝐃𝐎𝐑𝐀 - Si applica il Regolamento DORA, relativo alla resilienza operativa digitale per il settore finanziario.
La gestione del rischio di terze parti derivante dal ricorso ai service provider ICT ne costituisce uno dei punti principali, con importanti conseguenze sui contratti di fornitura.

Dunque, anche nel caso in cui il fornitore ICT non sia identificato come critico secondo i parametri ESAs, i clienti che rientrano nell’ambito applicativo DORA potrebbero richiedere contrattualmente specifiche misure di sicurezza, obblighi, garanzie e in generale una maggiore attenzione ai temi della sicurezza.

𝐍𝐈𝐒𝟐 - Scade il termine per l’iscrizione nel portale ACN dei soggetti NIS2 che operano nei settori delle infrastrutture digitali e dei servizi digitali (fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, cloud provider, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network).

La mancata registrazione comporta una sanzione amministrativa pecuniaria di importo fino allo 0.1% del fatturato annuo su scala mondiale del soggetto.

Anche la NIS2, inoltre, riconosce l’importanza delle catene di fornitura e prevede azioni obbligatorie di monitoraggio e controllo per la corretta gestione della supply chain.

La compliance non come rispetto di un obbligo normativo, ma capacità di soddisfare le richieste del propri clienti e dunque, fondamentalmente, come parte importante del business.

03/01/2025

Data Center, le sfide e le opportunità per il 2025

Aumenta la domanda di servizi di , ormai cuore tecnologico di qualsiasi business, progetto o processo aziendale: secondo l’Italian Datacenter Association, si stimano per circa 2800 milioni di euro entro il 2026, con un CAGR del 3.80% e almeno 30000 posti di lavori diretti e indiretti (sulla base dei dati Eurostat, nel 2022 gli impiegati nei data center italiani e nelle società dell’indotto erano circa 17000).

Alcuni temi - di governance, di business, di diritto e di strategia – sono fondamentali per la gestione corretta ed efficiente di queste infrastrutture, come ad esempio:

✔️Forniture, contratti, business continuity, SLA e livelli di servizio da garantire ai propri clienti

✔️Compliance integrata alle normative in materia di sicurezza e cyber-sicurezza, resilienza, protezione dei dati

✔️Approvvigionamento energetico (i data center consumano attualmente tra l’1% e il 2% dell’energia globale, ma con l’espansione dell’AI si prevede che questa cifra salga al 3-4% entro il 2030)

✔️Consumo di acqua (secondo il Financial Times, nel 2023 i data center USA hanno consumato oltre 283,9 miliardi di litri d’acqua, con una media giornaliera per ogni data center di 1,7 milioni di litri, l’equivalente del consumo giornaliero di circa 1500 famiglie americane)

✔️Sostenibilità ambientale (si vedano a questo proposito le Linee Guida MASE VA Data Center, decreto direttoriale n. 257 del 2 agosto 2024)

✔️Formazione specialistica del personale, non solo tecnico

Tanto per i fornitori quanto per le imprese clienti, le sfide sono molte e grandi e richiedono un approccio integrato di tecnologia e tecnica ovviamente, ma anche strategia, visione, diritto, politica, formazione.



(le riflessioni di questo post trasformate in immagine da Copilot)

29/11/2024

I soggetti che rientrano nell'ambito applicativo NIS2 devono registrarsi sulla piattaforma digitale di ACN entro il 28 febbraio* e individuare un Punto di contatto interno.

Qualche informazione pratica sul Blog dello Studio: https://www.studiolegaleiafolla.it/2024/11/29/nis2-registrazione-acn/

* attenzione, la scadenza è diversa per i soggetti NIS2 del settore ICT e digital.

22/10/2024

La Direttiva NIS2 rappresenta un passo importante per il rafforzamento della cybersecurity all’interno dell’Unione Europea e un’opportunità significativa per migliorare il livello di sicurezza all’interno delle organizzazioni.

Ma quali organizzazioni rientrano nell’ambito applicativo NIS2?

In questa fase si tratta sicuramente di uno dei dubbi più diffusi, cui abbiamo cercato di rispondere in modo pratico sul blog dello Studio.

Trovate l’approfondimento qui: https://www.studiolegaleiafolla.it/2024/10/22/direttiva-nis2-soggetti-e-settori-coinvolti/

Definire se un'organizzazione rientri nell'ambito applicativo della Direttiva NIS2 è il primo passo per la compliance, ecco una piccola guida sui soggetti e i settori coinvolti.

23/08/2024

Imprese ICT e minacce cyber per il mese di luglio 2024

È stato pubblicato il terzo report di ACN con l’analisi dell’andamento delle minacce cyber e delle vulnerabilità informatiche più gravi: un appuntamento utilissimo per avere un quadro aggiornato e indirizzare correttamente anche le riflessioni strategiche.

Il settore tecnologico risulta il 4° più colpito*,
dato che sembra incredibile di primo acchito, ma non può stupire se pensiamo anche soltanto a due fattori:

- la quantità e qualità dei dati di cui le imprese ICT sono in possesso e che trattano per conto proprio o dei clienti
- la possibilità di veicolare un attacco ad imprese di altri settori, passando proprio per i fornitori ICT.

L’attenzione a compliance, sicurezza, responsabilità contrattuali, requisiti e SLA diventa perciò sempre più tutela del cliente, della reputazione e, in una parola, del business.

Link al report integrale nei commenti.

* dopo PA centrale, Telecomunicazioni e Sanità

19/07/2024

Oggi un problema informatico ha bloccato servizi - anche critici - in tutto il mondo.

Dalle notizie che abbiamo in questo momento, la causa sembrerebbe essere l’aggiornamento non corretto di un diffusissimo software di cybersecurity.

Nell’attesa di maggiori informazioni, cogliamo l’occasione per qualche riflessione su sicurezza, incidenti e contratti:

1. gli eventi di sicurezza non derivano soltanto da attacchi intenzionali, ma spesso da semplici malfunzionamenti tecnici, che possono avere esattamente le stesse conseguenze. Il contratto che stiamo utilizzando considera i malfunzionamenti, valuta il loro impatto e disciplina rischi e responsabilità?

2. il primo e più immediato impatto di un evento di sicurezza è sulla continuità operativa e cioè sulla capacità di “continuare a lavorare”. Il fornitore garantisce livelli di servizio e tempi di ripristino? Quei tempi sono adeguati al settore, alla criticità, alle necessità dei clienti finali e dunque alle specifiche necessità di quella fornitura?

3. il controllo della catena di fornitura è un elemento imprescindibile della sicurezza. Il contratto prevede adeguate garanzie anche rispetto alle terze parti?

4. anche la sola indisponibilità dei dati personali può determinare un data breach. Il contratto disciplina ruoli, responsabilità, attività privacy? Sono implementate procedure per la gestione delle violazioni?

5. nella gestione di eventi di sicurezza, trasparenza, collaborazione e aggiornamenti sono importanti, non solo per il rispetto delle varie normative ma soprattutto per tutelare il rapporto cliente-fornitore. Sono implementate procedure di comunicazione chiare alle Autorità, ai clienti, eventualmente alla cittadinanza?

Riflessione bonus, ma importantissima:
La continuità operativa e la resilienza dei sistemi sono punti cardine della direttiva NIS2 e del Regolamento DORA.
Attenzione perché per le organizzazioni che rientrano nell’applicazione di queste normative sono previsti tempi di azione e reazione molto stringenti, anche per la notifica alle Autorità.

01/07/2024

Rapporti di fornitura, supply chain e accortezze contrattuali (anche) alla luce della NIS2

Ci sono alcune accortezze che possono aiutare a tutelare la fornitura, il business e anche la sicurezza dei settori essenziali e importanti individuati dalla Direttiva NIS2.

Questo il punto di vista portato dall'Avv. Maria Elena Iafolla all’evento “NIS2 Oltre la compliance”, per mostrare come il contratto, ben lungi dall’essere un passaggio burocratico, sia uno dei principali strumenti di gestione dei rischi, perché permette tra le altre cose di:

✔️ definire la criticità di una fornitura e di un fornitore, comprendere gli impatti e le conseguenze di eventuali inadempimenti
✔️ determinare le necessità in termini di continuità operativa e prevedere livelli di servizio adeguati
✔️ individuare chiare responsabilità e allocare i rischi
✔️ garantire la sicurezza dei dati e delle informazioni
✔️ mantenere il controllo e un monitoraggio efficace sul fornitore e, con lui, anche sugli altri anelli della catena
✔️ eliminare zone di grigio e di indeterminatezza, terreno fertile per i contenziosi

***

C’è molto da raccontare su questa giornata, poiché sono emersi molti contenuti, punti di vista che vale la pena approfondire, ma intanto i ringraziamenti: ai relatori intervenuti, tutti di altissimo profilo, a CSI Piemonte per aver organizzato questo evento formativo e per aver voluto la collaborazione di Digital Forensics Alumni, insieme ad ANRA - Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali, garanzia di qualità e competenza e con la graditissima partecipazione di Agenzia per la Cybersicurezza Nazionale.

L’evento ha visto circa 400 iscritti, di cui un centinaio in presenza, a riprova di quanto sia importante confrontarsi, condividere, creare insieme buone pratiche su tematiche di così grande impatto per imprese, p.a. e cittadini.

06/06/2024

La nuova Direttiva NIS 2 si pone l’obiettivo di incrementare i livelli di sicurezza delle organizzazioni, per tenere il passo con l'evoluzione degli scenari e delle minacce.

Applicarla in maniera efficace non è dunque soltanto compliance, ma un'opportunità per costituire una filiera virtuosa che sarà capace di migliorare la resilienza cyber e i processi interni, aumentando al contempo consapevolezza ed engagement del personale.

Con grande piacere dunque vi invitiamo all'evento formativo “NIS2: oltre la compliance - Come e perché applicarla”
organizzato dal Digital Campus del CSI Piemonte in partnership con ANRA - Associazione Nazionale Risk Manager e Responsabili Assicurazioni Aziendali e Digital Forensics Alumni.

Parteciperà anche l'avv. Maria Elena Iafolla, nei saluti iniziali e nel secondo tavolo dedicato a “I rischi e la sicurezza delle terze parti”, con un intervento specificamente dedicato ai rapporti di fornitura e alle accortezze contrattuali.

Vi aspettiamo il 26 giugno alle 10 in presenza a Torino oppure in streaming.

La partecipazione è gratuita, ma bisogna registrarsi.

Tutte le informazioni, i relatori e i tavoli a questo link: https://www.csipiemonte.it/it/NIS2_oltrelacompliance

La nuova Direttiva NIS 2 si pone l’obiettivo di incrementare i livelli di sicurezza cibernetica delle organizzazioni. Applicarla in maniera efficace rappresenta una sfida che va oltre la mera compliance: essa costituisce infatti un’opportunità per enti e aziende di costituire una filiera virtuo...