Atto del Governo n. 303
Schema di decreto legislativo recante individuazione delle autorità competenti di cui all’articolo 31 del regolamento (UE) 2023/1543, relativo agli ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali e per l’esecuzione di pene detentive a seguito di procedimenti penali, nonché delle procedure per l’emissione, ricezione, esecuzione e riesame degli ordini europei di produzione e di conservazione
Atto del Governo n. 330
Schema di decreto legislativo concernente attuazione della direttiva (UE) 2023/1544, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali
1. Premessa
Come anticipato nei miei precedenti articoli su Sicurezza e Giustizia (links in Appendice), il principio cardine della presente regolamentazione parte dal presupposto che l’accesso alle prove elettroniche da parte delle autorità giudiziarie dell’Unione, allo stato attuale, si riveli un processo lungo e complicato (e spesso infruttuoso) data la collocazione delle stesse in un altro paese membro, sommato al fatto che lo siano anche le sedi dei prestatori di servizi che le detengono (in alcune ipotesi in paesi terzi): è emersa quindi la necessità di porre in essere un processo che necessita di maggiore velocità e flessibilità.
Nel contesto attuale, infatti, l’acquisizione delle prove elettroniche da parte delle Autorità Giudiziarie risulta esperibile per il tramite di una procedura farraginosa, in quanto soggetta ad una disciplina disorganica e frammentata, causata dalla numerosità delle norme attualmente vigenti in materia di cooperazione giudiziaria (vedasi ad esempio OEI, Convenzione di Bruxelles in materia di assistenza giudiziaria del 2000, Rogatoria, ecc.).
Con la pubblicazione sulla Gazzetta Ufficiale dell’Unione europea del 28 luglio 2023, L. 191, sono stati emanati due atti preposti alla regolamentazione dell’accesso “transfrontaliero” delle prove digitali (c.d. E-Evidence Package):
- la direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio, del 12 luglio 2023, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali;
- e il regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023, relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali.
Il 25 giugno 2025 è stata pubblicata, sulla Gazzetta ufficiale, la legge 13 giugno 2025, n. 91 «Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2024, che, agli articoli 7 e 19, ha introdotto princìpi e criteri direttivi necessari al recepimento delle su riportate normative
Sulla base della su citata legge di delegazione, il Consiglio dei Ministri ha approvato lo schema di decreto legislativo n. 303/2025 che disciplina l’adeguamento dell’ordinamento nazionale al Regolamento e-Evidence e definisce le procedure di ricezione, esecuzione e controllo giudiziario degli ordini (EPOC, EPOC-PR). Un secondo schema (330/2025), recepisce la Direttiva introducendo l’obbligo per i prestatori di servizi di designare uno stabilimento o un rappresentante legale abilitato a ricevere e dare seguito agli ordini provenienti da autorità straniere dell’Unione Europea.
2. Lo schema D.Lgs. 303/2025 – Regolamento UE 2023/1543 Individuazione delle autorità competenti di cui all’articolo 31 del regolamento (UE) 2023/1543
Lo schema di decreto legislativo, approvato in esame preliminare nel Consiglio dei ministri del 4 agosto 2025, individua le autorità competenti e le procedure per l’emissione, ricezione, esecuzione e riesame degli ordini europei di produzione e conservazione di prove elettroniche, nonché l’autorità centrale.
2.1) Key Points
- Artt. 1–2 individuano come autorità competenti pubblici ministeri e giudici per l’emissione degli ordini di produzione; previste procedure d’urgenza e casi di emergenza.
- Artt. 3–4 disciplinano gli ordini di conservazione dei dati e introducono una procedura accelerata per i casi urgenti.
- Artt. 5–6 il Ministero della Giustizia è designato autorità centrale per la trasmissione e la gestione amministrativa; definite le procedure e le Autorità di esecuzione e anche i casi di informativa verso la Procura Nazionale Antimafia e Antiterrorismo.
- Art. 7 regola la procedura di riesame in caso di obblighi contrastanti.
- Art. 8 affida al Ministero della Giustizia la raccolta delle statistiche e la comunicazione alla Commissione UE.
- Art. 9 introduce modifiche all’art. 132 Codice Privacy per allineare la disciplina nazionale, compreso l’ordine di conservazione “domestico”, al Regolamento (Rimando ad un successivo approfondimento le modifiche apportate).
2.2) Ordine di conservazione “domestico”
Il nuovo comma 3.bis.1 prevede il potere del PM di emettere un ordine di conservazione “domestico” ai fornitori e agli operatori di servizi telefonici, informatici o telematici, per conservare, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telefonico e telematico, esclusi comunque i contenuti delle comunicazioni, nonché i dati relativi alle chiamate senza risposta. Il provvedimento è prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, e può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi telefonici, informatici o telematici ovvero di terzi.
La disciplina dettata dal nuovo comma 3.bis.1 per l’ordine di conservazione del PM è analoga a quella dettata dal comma 4-terdell’art. 132 del codice della privacy.
Il nuovo comma 3.bis.2 stabilisce che la disciplina dettata dai commi 3 e 3-bis dell’articolo 132 non trova applicazione nel caso di acquisizione dei dati relativi agli abbonati. La stessa disposizione reca una definizione dei
dati relativi agli abbonati detenuti da un prestatore di servizi, che sono
riconducibili a:
- l’identità di un abbonato o di un cliente, come il nome, la data di nascita, l’indirizzo postale o geografico, i dati di fatturazione e pagamento, il numero di telefono o l’indirizzo e-mail forniti;
- il tipo di servizio e la sua durata, compresi i dati tecnici e i dati che identificano le misure tecniche correlate o le interfacce usate dall’abbonato o dal cliente o a questo fornite al momento della registrazione o dell’attivazione iniziale e i dati connessi alla convalida dell’uso del servizio, ad esclusione di password o altri
mezzi di autenticazione usati al posto di una password, forniti dall’utente o creati a sua richiesta.
Il nuovo comma 3-bis.3. precisa, con riguardo all’acquisizione dei dati relativi agli abbonati, che a tale acquisizione provvede il PM ovvero la polizia giudiziaria, di propria iniziativa o su delega del PM.
3. Lo schema D.Lgs. 330/2025 – Direttiva UE 2023/1544 Norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali
Con lo schema approvato dal Consiglio dei Ministri, si vuole assicurare che ogni prestatore di servizi attivo nell’UE disponga di un punto di riferimento abilitato (uno o più stabilimenti o rappresentante legale, a seconda che sia rispettivamente stabilito o meno in un Paese UE) a ricevere ordini EPOC/EPOC-PR e cooperare con le autorità, prevedendo al riguardo un sistema sanzionatorio. Viene inoltre individuata l’autorità centrale.
3.1) Key Points
Autorità centrale (art. 8)
- Ministero dell’Interno, tramite l’organo centrale per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (CNAIPIC).
- I compiti assegnati sono: ricevere notifiche, pubblicare dati nel portale UE, applicare sanzioni, coordinare la vigilanza tecnica.
Obblighi per i prestatori di servizi
- Designazione obbligatoria (art. 4)
- Prestatori stabiliti in Italia devono designare uno o più “stabilimenti designati”. L’obbligo di designazione vi è anche nei casi di servizi offerti da un Telco italiano, in altro Stato membro.
- Prestatori non stabiliti nell’UE ma con servizi offerti in Italia devono nominare uno o più rappresentanti legali.
- Obbligo di attribuire agli stabilimenti e ai rappresentanti, poteri e risorse necessarie per ottemperare agli Ordini.
- Comunicazione e lingue (art. 6)
- I prestatori di servizi devono notificare per iscritto al Ministero dell’Interno dei dati di contatto del rappresentante/stabilimento, ovvero a quella del diverso Stato membro in cui lo stabilimento designato è stabilito o il rappresentante legale risiede.
- I prestatori di servizi devono indicare le lingue ufficiali UE accettate per la corrispondenza.
- Le informazioni vengono trasmesse al Ministero della Giustizia per la pubblicazione sul portale della rete giudiziaria europea.
- Responsabilità solidale (art. 5)
- Il prestatore e il rappresentante/stabilimento sono responsabili in solido per inottemperanze e mancanza di cooperazione. Viene specificato che non possa costituire causa di giustificazione la mancanza o l’inadeguatezza delle procedure interne per la ricezione, ottemperanza o esecuzione delle decisioni delle autorità.
- Sanzioni (art. 7 dello schema D. Lgs.– art. 5 Direttiva UE 2023/1544)
| Violazione | Articolo | Sanzione (€) |
| Mancata nomina/designazione | art. 4 co. 1-3 | 500.000 – 1.500.000 |
| Mancata attribuzione di poteri o risorse | art. 4 co. 4 | 400.000 – 1.000.000 |
| Mancata cooperazione | art. 4 co. 5 | 50.000 – 350.000 |
| Mancata notifica/aggiornamento dati di contatto | art. 6 co. 1 | 250.000 – 800.000 |
| Violazioni sulle lingue ufficiali | art. 6 co. 2 | 15.000 – 50.000 |
| Errata indicazione su ambito o lingue | art. 6 co. 3 | 150.000 – 500.000 |
E. Erogazione e proventi delle sanzioni
Le sanzioni sono accertate e irrogate dall’organo centrale del Ministero dell’Interno (art. 8 co. 2) a cui spetta anche l’attività di vigilanza, applicabili secondo il modello previsto dalla legge 24 novembre 1981, n. 689. I proventi delle sanzioni, sono versati al bilancio dello Stato e riassegnati al Ministero dell’Interno per potenziare le risorse dedicate all’attuazione e vigilanza del sistema (art. 7 co. 4).
È previsto, inoltre, che l’autorità possa definire con proprio regolamento ulteriori norme per l’attuazione delle funzioni attribuite (comma 3).
L’autorità centrale è dotata, altresì, del potere di acquisire dal Ministero delle Imprese e del made in Italy e dall’Autorità per le garanzie nelle comunicazioni, secondo modalità che saranno definite d’intesa, le informazioni necessari e all’esercizio della vigilanza e dei poteri i sanzionatori (es. elenco Autorizzazioni Generali).
3.2) Scadenza
Il Regolamento entrerà in vigore il 18 agosto 2026 e sarà vincolante in tutte le sue parti a partire da tale data, mentre il termine per adempiere alla designazione di uno o più stabilimenti o per la nomina dei rappresentanti legali è il 18 agosto 2026 (art. 4, comma 6, lett. a D.Lgs. 330/2025; art. 7 Dir. 1544) per chi offre servizi già al 18 febbraio 2026; ovvero entro 6 mesi dall’avvio dell’attività per i nuovi prestatori.
4. Implicazioni operative per i prestatori di servizi e gli operatori TELCO – Il nuovo ruolo “attivo” dei prestatori di servizi e le responsabilità derivanti dal pacchetto e-Evidence
Con l’attuazione del c.d. e-Evidence Package, cambia il concetto secondo cui i prestatori di servizi di comunicazione elettronica risultavano di fatto meri esecutori passivi di ordini giudiziari, trasformandosi in soggetti attivi, pienamente coinvolti nel processo previsto dalla nuova normativa Europea.
4.1) Sintesi degli impatti sulle Telco
Verifica di ammissibilità e legittimità formale dell’ordine
In forza dell’art. 7 del Regolamento 2023/1543, un prestatore destinatario di un ordine europeo di produzione (EPOC) o di conservazione (EPOC-PR) di prove elettroniche deve, prima di dar seguito all’esecuzione, è tenuto a verificare che l’ordine:
- sia completo e conforme alla forma prevista;
- che l’autorità emittente sia quella prevista all’art. 4;
- che sia prevista la categoria di dati indicata all’art. 5 (dati di abbonamento, dati di traffico o dati di contenuto) come chiarito dall’art. 3, par. 8.
Le tre condizioni hanno carattere cumulativo e il mancato rispetto anche di una sola di esse impedisce di dare esecuzione all’ordine; pertanto, le TELCO sono tenute a verificarne puntualmente la sussistenza prima di procedere.
Valutazione delle possibili violazioni di norme estere
L’art. 17 del Regolamento impone che il Telco segnali all’autorità di emissione eventuali ostacoli derivanti da obblighi giuridici dello Stato di esecuzione o da leggi di paesi terzi che vietano la divulgazione dei dati. In pratica, un operatore TELCO potrebbe trovarsi nella situazione di dover valutare se la richiesta violi norme dello Stato in cui è stabilito o di un terzo Stato, e dovrà attivare procedure di “due diligence” normativa, gestendo eventuali interazioni con l’autorità di emissione. Queste responsabilità operative richiedono che siano definite policy interne su conflitti normativi, immunità/privilegi (art. 10 del Regolamento) e conservazione dei dati, integrare i processi di retention e cancellazione per evitare, ad esempio, che vengano forniti dati “successivi alla notifica” (art. 3 par. 8 Regolamento) o che vengano cancellati prima della richiesta, con conseguente rischio di inadempienza o responsabilità.
Obblighi di conservazione e tempestività di risposta
Gli articoli 11 e 12 del Regolamento disciplinano le tempistiche previste per l’esecuzione degli ordini, che appaiono particolarmente stringenti:
l’art. 11 prevede che l’ordine di produzione venga eseguito entro 10 giorni, ridotti a 8 ore in situazioni di emergenza;
l’art. 12 regola l’ordine di conservazione (EPOC-PR) con obbligo di conservare i dati per un periodo di default fino a 60 giorni, prorogabile di ulteriori 30 giorni.
Per gli operatori TELCO tali tempistiche richiedono la predisposizione di un servizio di “front end” operativo 24/7, in grado di ricevere notifiche e attivare tempestivamente i flussi interni di risposta, comportando un significativo effort organizzativo e tecnico, legato sia alla disponibilità continua di personale specializzato sia all’adeguamento delle infrastrutture e dei processi di gestione operativa.
Principali criticità operative per i TELCO
Le principali sfide che gli operatori dovranno affrontare sono:
- la valutazione giuridica preliminare di ciascun ordine (richiede competenze interne in diritto penale europeo).
- la gestione dei conflitti normativi tra ordinamenti (art. 15 Regolamento) e la conseguente interazione con autorità centrali o Stati terzi.
- l’armonizzazione dei sistemi informatici, per assicurare la tracciabilità, storicizzazione, immodificabilità e protezione dei dati richiesti.
- la capacità di garantire risposte entro termini estremamente ristretti (10 giorni o, nei casi più urgenti, 8 ore), con la conseguente necessità di turni operativi o di reperibilità continuativi e di processi interni strutturati, chiari e rapidamente attivabili, la necessità di adeguarsi a policy di data retention coerenti con il Regolamento e-Evidence e con il GDPR, per evitare la conservazione arbitraria di dati oppure la cancellazione prematura che pregiudica l’esecuzione dell’ordine (v. art. 12 par. 2 Regolamento).
Per un riscontro più articolato, si rimanda gli articoli pubblicati su Sicurezza e Giustizia (Vedi Link in Appendice).
Next steps
Entrambi gli schemi di decreto sono all’esame delle Commissioni del Parlamento per l’espressione del parere (non vincolante).
Dopo l’acquisizione dei pareri, il Governo potrà procedere con l’adozione definitiva e la pubblicazione in G.U.
Manca ancora la definizione delle sanzioni previste dall’art. 15 del Regolamento.
Principali impatti sulle Società Telco per il Regolamento E-Evidence
