La direttiva NIS2 è entrata nella fase più delicata del suo percorso. Tra gennaio e ottobre 2026 le imprese italiane affrontano le scadenze operative più severe, mentre la Commissione europea, il 20 gennaio 2026, ha presentato un nuovo Cybersecurity Act per semplificare gli obblighi. Il problema è che gran parte del tessuto produttivo non è pronto: solo il 3,9% delle aziende dichiara una conoscenza dettagliata delle nuove regole, e le sanzioni arrivano fino a 10 milioni di euro. Questa analisi spiega cosa cambia davvero, chi deve adeguarsi e quanto costa restare indietro.
NIS2 in Italia ed Europa: il quadro a giugno 2026
La direttiva NIS2 (Network and Information Security 2) è il principale strumento dell’Unione europea per innalzare il livello di sicurezza informatica delle infrastrutture critiche e dei servizi essenziali. Sostituisce la prima direttiva NIS del 2016, ampliando in modo netto sia i settori coinvolti sia gli obblighi a carico delle organizzazioni. In Italia il recepimento è arrivato con il Decreto Legislativo n. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre 2024. Il testo europeo di riferimento è la Direttiva UE 2022/2555, pubblicata su EUR-Lex.
A giugno 2026 il tema è tornato in cima alle ricerche di imprese, consulenti e responsabili IT per tre ragioni convergenti. La prima: scattano gli obblighi sostanziali, non più solo la registrazione. La seconda: il 20 gennaio 2026 Bruxelles ha proposto modifiche mirate alla NIS2 per ridurre il peso burocratico su decine di migliaia di aziende. La terza: i dati di mercato segnalano un aumento del 42% degli attacchi ransomware nel mondo nel 2025, con 166 casi censiti in Italia. La pressione normativa cresce mentre la minaccia accelera, e questo divario definisce l’agenda della sicurezza europea per l’intero 2026.
Per chi parte da zero conviene avere chiari i fondamentali della sicurezza online e delle violazioni di dati, perché la NIS2 trasforma in obblighi di legge molte buone pratiche che finora erano facoltative.
Il recepimento italiano: il D.Lgs 138/2024 e il ruolo dell’ACN
Il Decreto Legislativo 138/2024 traduce in diritto italiano la direttiva europea e assegna un ruolo centrale all’Agenzia per la Cybersicurezza Nazionale (ACN). Dal 16 ottobre 2024 l’ACN è l’autorità nazionale competente in materia NIS e il punto di contatto unico verso le istituzioni europee. È l’ACN a gestire la piattaforma di registrazione, a definire le misure di sicurezza, a ricevere le notifiche di incidente e ad applicare le sanzioni.
Il modello italiano segue la logica della direttiva: le organizzazioni si registrano, l’Agenzia consolida l’elenco dei soggetti NIS e da quel momento partono i conteggi per gli adempimenti. Bruno Frattasi, direttore generale dell’ACN, ha indicato nelle comunicazioni ufficiali dell’Agenzia che la priorità del 2025-2026 è accompagnare le imprese verso una conformità reale e non solo formale, costruendo capacità di risposta agli incidenti prima ancora che scattino le verifiche. L’Agenzia ha pubblicato linee guida operative e ha aggiornato gli obblighi NIS2 con una nota del 22 novembre 2025.
La governance accentrata sull’ACN ha un vantaggio e un limite. Il vantaggio: un unico interlocutore tecnico, con competenze e potere sanzionatorio, evita la frammentazione tra autorità di settore. Il limite: l’Agenzia deve gestire migliaia di soggetti molto diversi tra loro, dalle multinazionali energetiche alle piccole società di servizi digitali, con risorse e tempi che restano una sfida concreta. Per approfondire il funzionamento dell’autorità nazionale è utile consultare il portale NIS dell’ACN.
Scadenze NIS2: il calendario degli obblighi 2025-2026
Il calendario della direttiva NIS2 in Italia si sviluppa su una sequenza precisa di scadenze. La prima fase, nel 2025, ha riguardato la registrazione sulla piattaforma ACN. La seconda fase, nel 2026, riguarda gli obblighi sostanziali: notifica degli incidenti e adozione delle misure di sicurezza e di governance. Saltare una tappa non significa solo rischio sanzionatorio, ma anche perdere la finestra per costruire le difese richieste.
| Scadenza | Adempimento | Soggetti interessati |
|---|---|---|
| 17 gennaio 2025 | Registrazione sulla piattaforma ACN | Alcuni fornitori di servizi digitali (marketplace, motori di ricerca, social network) |
| 28 febbraio 2025 | Registrazione iniziale | Tutti i soggetti rientranti nell’ambito NIS2 |
| 31 marzo 2025 | Finalizzazione dell’elenco nazionale dei soggetti NIS | ACN |
| 31 luglio 2025 | Proroga per l’aggiornamento annuale dei dati | Soggetti che hanno richiesto supporto |
| Gennaio 2026 | Avvio degli obblighi di notifica degli incidenti | Soggetti essenziali e importanti |
| Ottobre 2026 | Piena conformità su misure di sicurezza e governance (18 mesi dalla pubblicazione dell’elenco) | Soggetti essenziali e importanti |
| 1 gennaio – 28 febbraio (ogni anno) | Finestra annuale di registrazione e aggiornamento | Tutti i soggetti NIS |
La data che pesa di più è ottobre 2026. Da quel momento l’ACN può verificare non solo l’avvenuta registrazione, ma anche l’adozione concreta delle misure tecniche e organizzative. Per chi non ha ancora avviato il percorso, restano pochi mesi per coprire un divario che molte aziende sottovalutano.
A chi si applica la NIS2: 18 settori tra essenziali e importanti
Una delle domande più cercate è “NIS2 a chi si applica“. La risposta ruota attorno a due variabili: il settore di attività e la dimensione dell’organizzazione. La direttiva copre 18 settori critici a livello europeo. L’implementazione italiana li distingue in 11 settori altamente critici e 7 settori critici, da cui derivano due categorie di soggetti: essenziali e importanti.
I settori includono energia, trasporti, sanità, finanza, gestione delle acque, infrastrutture digitali, comunicazioni elettroniche pubbliche, servizi digitali, gestione dei rifiuti e delle acque reflue, produzione di prodotti critici, servizi postali e di corriere, pubblica amministrazione e settore spaziale. L’Italia ha esteso il perimetro includendo anche alcune pubbliche amministrazioni, fornitori di trasporto pubblico locale, istituzioni educative attive nella ricerca, organizzazioni culturali e società a controllo pubblico.
Soggetti essenziali e soggetti importanti: la differenza che conta
La distinzione tra soggetti essenziali e importanti non è formale. Determina il livello di vigilanza e l’entità delle sanzioni. I soggetti essenziali sono sottoposti a controlli proattivi e possono essere ispezionati anche in assenza di un incidente. I soggetti importanti sono sottoposti a vigilanza reattiva, cioè in seguito a segnalazioni o eventi. Per alcuni fornitori di infrastrutture e servizi digitali l’applicazione prescinde dalla dimensione aziendale: rientrano nel perimetro a prescindere dal numero di dipendenti o dal fatturato.
Questo punto è cruciale per le PMI. Molte piccole imprese che fanno parte di catene di fornitura di settori critici scoprono di rientrare indirettamente negli obblighi, perché i clienti essenziali chiedono garanzie di sicurezza lungo tutta la filiera. La NIS2 sposta così l’attenzione dalla singola azienda all’intero ecosistema, in linea con la difesa dagli attacchi alla supply chain che hanno colpito l’Europa negli ultimi mesi.
Le sanzioni NIS2: fino a 10 milioni di euro o il 2% del fatturato
Il regime sanzionatorio è la leva che ha riportato la direttiva NIS2 in cima all’agenda dei consigli di amministrazione. Le cifre sono allineate, per filosofia, a quelle del GDPR e colpiscono il fatturato globale, non solo quello italiano. Per i soggetti essenziali le multe arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale, a seconda di quale importo sia maggiore. Per i soggetti importanti il tetto scende a 7 milioni di euro o all’1,4% del fatturato.
| Categoria | Sanzione massima (importo fisso) | Sanzione massima (% fatturato mondiale) | Tipo di vigilanza |
|---|---|---|---|
| Soggetti essenziali | 10 milioni di euro | 2% del fatturato annuo | Proattiva (ispezioni anche senza incidente) |
| Soggetti importanti | 7 milioni di euro | 1,4% del fatturato annuo | Reattiva (su segnalazione o evento) |
| Mancata registrazione (regime italiano) | Sanzione amministrativa | fino allo 0,1% del fatturato mondiale | Verifica formale |
Oltre alle multe, la NIS2 introduce la responsabilità diretta del management. Gli organi di amministrazione devono approvare le misure di gestione del rischio, vigilare sulla loro attuazione e seguire formazione specifica. In caso di violazioni gravi e ripetute, le autorità possono sospendere temporaneamente dirigenti dalle funzioni manageriali nei soggetti essenziali. Per la prima volta la sicurezza informatica diventa una responsabilità personale dei vertici aziendali, non un problema delegabile al solo reparto IT.
Le aziende italiane non sono pronte: i numeri dell’allarme
Il dato che ha acceso il dibattito a giugno 2026 riguarda la consapevolezza. Secondo il report di TIM e Format Research sul 2025, la conoscenza della NIS2 tra le imprese italiane resta limitata. Il 62,2% delle aziende ha risposto in modo spontaneo quando interrogato sulla NIS2, ma molte risposte riflettono una familiarità debole più che una reale prontezza operativa. Il 13,3% delle aziende non sapeva nemmeno dire se conosceva la NIS2.
Scendendo nel dettaglio, solo il 24,5% si è dichiarato almeno parzialmente familiare con la direttiva, e appena il 3,9% ha dichiarato una conoscenza “dettagliata”. La consapevolezza è più alta tra le imprese più vicine al perimetro della norma, in particolare le grandi aziende e i settori più direttamente coinvolti. Tradotto: chi è già nel mirino regolatorio si sta muovendo, ma la lunga coda di fornitori e PMI rischia di arrivare impreparata a ottobre 2026.
Questo divario di consapevolezza si combina con un divario di competenze. La carenza di professionisti della cybersicurezza in Europa rende difficile, per le imprese più piccole, assumere internamente le figure necessarie. Il risultato è una corsa a consulenti e fornitori di servizi gestiti, con un’inevitabile pressione sui prezzi e sui tempi di consegna nei mesi che precedono le scadenze.
La spinta UE alla semplificazione: il Cybersecurity Act del 20 gennaio 2026
Il 20 gennaio 2026 la Commissione europea ha proposto un nuovo Cybersecurity Act per rafforzare la resilienza e le capacità di sicurezza informatica dell’Unione. Nello stesso giorno ha proposto modifiche mirate alla direttiva NIS2 per aumentarne la chiarezza giuridica. L’obiettivo dichiarato è semplificare la conformità alle regole europee e ridurre il peso degli obblighi di gestione del rischio per le aziende che operano nel mercato unico.
Secondo la Commissione, le modifiche faciliterebbero la conformità per 28.700 aziende, di cui 6.200 microimprese e piccole imprese. È un segnale politico importante: Bruxelles riconosce che la prima ondata di attuazione ha generato incertezza e costi sproporzionati per gli operatori più piccoli, e prova a correggere il tiro senza abbassare gli obiettivi di sicurezza. Henna Virkkunen, vicepresidente esecutiva della Commissione per la sovranità tecnologica, la sicurezza e la democrazia, è la titolare del dossier e ha legato il pacchetto alla necessità di un’Europa più sicura senza soffocare la competitività delle imprese.
La tensione di fondo è chiara. Da un lato l’Unione vuole alzare l’asticella della sicurezza di fronte a minacce crescenti. Dall’altro deve evitare che la complessità normativa spinga le PMI verso una conformità solo cartacea. Il pacchetto di gennaio 2026 prova a tenere insieme i due obiettivi, ma il risultato dipenderà dai testi finali e dai tempi di adozione, ancora incerti. I dettagli ufficiali sono pubblicati sulla pagina della Commissione europea dedicata alla NIS2.
NIS2 vs DORA vs Cyber Resilience Act: come si incastrano
La NIS2 non vive isolata. Convive con altri due pilastri normativi europei che spesso generano confusione: il regolamento DORA per il settore finanziario e il Cyber Resilience Act per i prodotti digitali. Capire i confini è essenziale per non duplicare gli sforzi né lasciare scoperti dei pezzi.
| Normativa | Ambito principale | Soggetti tipici | Focus |
|---|---|---|---|
| NIS2 | 18 settori critici e servizi essenziali | Operatori di infrastrutture e servizi, alcune PA | Gestione del rischio organizzativo e notifica incidenti |
| DORA | Settore finanziario | Banche, assicurazioni, fornitori ICT del finance | Resilienza operativa digitale e rischio ICT |
| Cyber Resilience Act | Prodotti con elementi digitali | Produttori di hardware e software | Sicurezza del prodotto lungo il ciclo di vita |
La regola pratica è questa: la NIS2 guarda all’organizzazione, DORA al settore finanziario e ai suoi fornitori tecnologici, il Cyber Resilience Act al prodotto immesso sul mercato. Una banca può essere soggetta a DORA come regime prevalente, ma usare prodotti che dovranno rispettare il Cyber Resilience Act. Una utility energetica rientra nella NIS2 e acquista software che ricade nel CRA. La sovrapposizione richiede un coordinamento interno per evitare adempimenti ridondanti.
Il fattore ransomware: +42% nel mondo, 166 casi in Italia
La direttiva NIS2 non nasce nel vuoto. Risponde a una curva di minaccia che continua a salire. Il report TIM e Format Research indica che nel 2025 gli attacchi ransomware sono cresciuti del 42% a livello globale rispetto al 2024. In Italia i casi censiti hanno raggiunto quota 166, con un aumento del 14%. Il ransomware resta la minaccia che traduce in modo più diretto un incidente tecnico in danno economico, operativo e reputazionale.
È esattamente questo tipo di evento che la NIS2 vuole intercettare con gli obblighi di notifica rapida. Le organizzazioni devono segnalare gli incidenti significativi entro tempi stretti, con una prima comunicazione di allerta seguita da aggiornamenti e da una relazione finale. L’obiettivo è duplice: permettere all’ACN di avere una visione aggregata della minaccia nazionale e costringere le aziende a dotarsi di processi di rilevamento e risposta che oggi molte non hanno. Per chi vuole capire la meccanica degli attacchi, resta utile l’analisi dedicata al ransomware in Italia.
Il dato italiano va letto nel contesto europeo. La crescita degli attacchi non è uniforme: colpisce in particolare manifattura, sanità e pubblica amministrazione, settori in larga parte coperti dalla NIS2. La direttiva, in questo senso, mira proprio dove la minaccia è più concentrata.
L’intelligenza artificiale come nuova minaccia regolatoria
Un messaggio centrale della Commissione europea nel 2026 è che l’intelligenza artificiale avanzata può intensificare il rischio cyber. Bruxelles ha avvertito che i modelli di IA più potenti possono “identificare e sfruttare vulnerabilità software nascoste”, un punto di svolta per la sicurezza europea. Non è più solo questione di difendersi da attaccanti umani: gli strumenti automatizzati abbassano la barriera d’ingresso e accelerano la scoperta di falle.
Per questo la Commissione ha stabilito che i fornitori dei modelli di IA più avanzati devono notificare alla Commissione stessa quando sanno di avere un modello con tali capacità, e devono valutare e mitigare i rischi sistemici, incluso l’uso improprio in ambito cyber. È un’estensione della logica di responsabilità: chi produce capacità potenzialmente pericolose deve farsene carico. Il tema si collega direttamente al dibattito sulla sicurezza delle applicazioni esposte agli attacchi automatizzati.
A completare il quadro c’è il Cyber Resilience Act, che impone ai produttori di hardware e software di testare i prodotti per individuare vulnerabilità prima di immetterli sul mercato. La combinazione tra NIS2, regole sull’IA e Cyber Resilience Act disegna un sistema in cui la sicurezza diventa un requisito di ingresso, non un optional successivo. Per i vendor italiani ed europei la pressione regolatoria è destinata a crescere ancora nel 2026 e oltre.
Voci dagli esperti sulla conformità NIS2
Le posizioni pubbliche dei principali attori istituzionali convergono su un punto: la conformità formale non basta. L’ACN, attraverso le comunicazioni del suo direttore generale Bruno Frattasi, ha ribadito che l’obiettivo del biennio 2025-2026 è costruire capacità reali di prevenzione e risposta, non solo registrare soggetti su una piattaforma. La logica è quella di una resilienza che si misura sul campo, durante un incidente, e non sulla carta.
Sul fronte europeo, Henna Virkkunen ha legato il pacchetto di gennaio 2026 a una doppia esigenza: alzare il livello di sicurezza dell’Unione di fronte a minacce che sfruttano anche l’intelligenza artificiale, e allo stesso tempo evitare che la complessità normativa schiacci le piccole imprese. La proposta di semplificare gli obblighi per 28.700 aziende è la traduzione operativa di questa linea.
Le associazioni di settore aggiungono una nota di cautela. Il Clusit, l’associazione italiana per la sicurezza informatica, documenta da anni la crescita degli attacchi verso imprese e pubblica amministrazione e segnala come il divario tra grandi e piccole organizzazioni rischi di ampliarsi proprio sotto la spinta normativa. Il rapporto TIM e Format Research, dal canto suo, fotografa una consapevolezza ancora insufficiente: con appena il 3,9% di aziende che dichiara una conoscenza dettagliata della direttiva, la sfida non è scrivere regole migliori, ma farle arrivare a chi deve applicarle. Dati e approfondimenti sono disponibili sui siti del Clusit e dell’ENISA, l’agenzia europea per la cybersicurezza.
Impatto sul mercato: costi di compliance e nuove opportunità
La direttiva NIS2 sta ridisegnando il mercato della cybersicurezza in Italia e in Europa. Sul lato dei costi, le imprese in ambito devono investire in tecnologie di rilevamento, processi di risposta agli incidenti, formazione del management e, spesso, consulenza esterna. Per una media impresa l’adeguamento comporta una spesa significativa, concentrata nei mesi che precedono ottobre 2026. La domanda di servizi gestiti di sicurezza, di valutazioni del rischio e di audit cresce di conseguenza.
Sul lato delle opportunità, l’effetto è speculare. I fornitori di servizi di sicurezza gestiti, le società di consulenza e i produttori di soluzioni di monitoraggio vedono espandersi il mercato di riferimento. La NIS2 funziona da acceleratore della domanda: ciò che prima era una scelta discrezionale diventa un obbligo con scadenza e sanzione. Anche le assicurazioni cyber entrano nel gioco, perché la conformità alla direttiva diventa un parametro per valutare il rischio assicurabile.
C’è poi un effetto filiera. Le grandi aziende essenziali scaricano i requisiti sui fornitori, chiedendo garanzie contrattuali di sicurezza. Questo trasferisce la domanda di conformità anche verso PMI che, in teoria, non sarebbero direttamente soggette agli obblighi. Il mercato della sicurezza, in altre parole, si allarga ben oltre il perimetro formale della direttiva, generando un indotto difficile da quantificare ma reale.
Cosa aspettarsi: 5 previsioni per la NIS2 entro fine 2026
Sulla base dei dati disponibili e della traiettoria normativa, ecco cinque previsioni ragionevoli per i prossimi mesi.
- Corsa alla conformità nel terzo trimestre. Con la scadenza di ottobre 2026 sulle misure di sicurezza, ci si attende un picco di attività tra luglio e settembre, con saturazione dell’offerta di consulenti e fornitori.
- Prime sanzioni esemplari. È probabile che l’ACN concentri l’attività ispettiva iniziale sui soggetti essenziali più visibili, con qualche provvedimento dimostrativo per segnalare che la fase di tolleranza è finita.
- Pressione crescente sulla supply chain. Le richieste di garanzie contrattuali di sicurezza verso i fornitori diventeranno prassi diffusa, estendendo di fatto gli obblighi a migliaia di PMI non direttamente soggette.
- Semplificazione lenta. Le modifiche proposte il 20 gennaio 2026 richiederanno tempo per l’adozione: nel breve periodo le imprese dovranno comunque adeguarsi al quadro vigente, senza attendere alleggerimenti.
- Convergenza con l’IA. Il tema dei modelli di IA capaci di scoprire vulnerabilità entrerà stabilmente nelle valutazioni del rischio NIS2, spingendo verso strumenti di difesa altrettanto automatizzati.
Come prepararsi: checklist operativa per le imprese
Per le organizzazioni che devono ancora muoversi, la priorità è chiudere il divario tra registrazione e conformità sostanziale. Ecco i passi essenziali da affrontare prima della scadenza di ottobre 2026.
- Verifica dell’ambito. Determinare se l’azienda rientra tra i soggetti essenziali o importanti, considerando anche la posizione nelle catene di fornitura dei settori critici.
- Registrazione e aggiornamento. Confermare l’iscrizione sulla piattaforma ACN e mantenere aggiornati i dati nella finestra annuale tra gennaio e febbraio.
- Analisi del rischio. Condurre una valutazione formale dei rischi su sistemi, dati e fornitori, documentata e approvata dal management.
- Misure tecniche. Implementare controlli su accessi, gestione delle vulnerabilità, cifratura, backup e continuità operativa, in linea con le buone pratiche di protezione dai data breach.
- Processo di notifica. Predisporre un processo di rilevamento e notifica degli incidenti compatibile con i tempi stretti richiesti dall’ACN.
- Governance e formazione. Coinvolgere gli organi di amministrazione nell’approvazione delle misure e prevedere formazione specifica, dato che la responsabilità ricade ora anche sui vertici.
Il filo conduttore è uno: trasformare la conformità da esercizio documentale a capacità reale di resistere e reagire a un incidente. È esattamente ciò che la direttiva chiede e ciò che le sanzioni puniscono se manca.
Domande frequenti sulla NIS2
Quando è entrata in vigore la NIS2 in Italia?
La NIS2 è stata recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre 2024. Da quella data l’ACN è l’autorità nazionale competente. Gli obblighi sostanziali, però, scattano nel 2026: notifica degli incidenti da gennaio e piena conformità sulle misure di sicurezza entro ottobre 2026.
Quali sono le sanzioni previste dalla direttiva NIS2?
Per i soggetti essenziali le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Per i soggetti importanti il tetto è di 7 milioni di euro o l’1,4% del fatturato. In Italia la mancata registrazione può comportare sanzioni fino allo 0,1% del fatturato mondiale.
La NIS2 si applica anche alle PMI?
Dipende dal settore e dalla dimensione. Alcuni fornitori di infrastrutture e servizi digitali rientrano a prescindere dalla dimensione. Molte PMI, inoltre, sono coinvolte indirettamente perché fanno parte delle catene di fornitura di soggetti essenziali, che chiedono garanzie di sicurezza contrattuali lungo tutta la filiera.
Che differenza c’è tra NIS2, DORA e Cyber Resilience Act?
La NIS2 riguarda l’organizzazione in 18 settori critici. DORA è specifica per il settore finanziario e i suoi fornitori ICT. Il Cyber Resilience Act riguarda invece i prodotti con elementi digitali immessi sul mercato. Un’azienda può essere soggetta a più normative contemporaneamente e deve coordinare gli adempimenti per evitare duplicazioni.
Cosa cambia con il pacchetto UE del 20 gennaio 2026?
Il 20 gennaio 2026 la Commissione ha proposto un nuovo Cybersecurity Act e modifiche mirate alla NIS2 per aumentare la chiarezza giuridica e semplificare la conformità. Secondo la Commissione le modifiche faciliterebbero gli adempimenti per 28.700 aziende, incluse 6.200 microimprese e piccole imprese. I testi finali e i tempi di adozione restano però da definire.
Chi è l’autorità competente per la NIS2 in Italia?
L’autorità competente è l’Agenzia per la Cybersicurezza Nazionale (ACN), che svolge anche il ruolo di punto di contatto unico verso le istituzioni europee. L’ACN gestisce la registrazione dei soggetti, definisce le misure di sicurezza, riceve le notifiche di incidente e applica le sanzioni in caso di inadempienza.
Related Coverage
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]
- Patch Tuesday Giugno 2026: 208 CVE, 3 Zero-Day [2026]
- Violazioni di dati: come avvengono e come proteggersi
- Sicurezza online: violazioni, password, HTTPS e phishing
Articolo pubblicato il 12 giugno 2026. I dati su scadenze, sanzioni e statistiche provengono da fonti ufficiali ACN, Commissione europea e dal report TIM e Format Research 2025. Le normative possono subire modifiche: verificare sempre i testi ufficiali aggiornati.
