E-commerce: come mettere in sicurezza il sito web ed evitare rischi legali

L’E-commerce (o commercio elettronico) è in costante crescita, in Italia come nel mondo. Ma gli operatori non sempre hanno adeguata conoscenza e consapevolezza delle normative vigenti in tema di e-commerce e i rischi legali a cui possono andare incontro in caso di mancata o insufficiente ottemperanza alle stesse. La normativa che regolamenta il commercio elettronico (ovvero essenzialmente il D.lgs. n. 70/2003 e il Codice del Consumo) prevedono infatti una serie di precise informazioni che devono essere contenute nel sito web attraverso cui viene esercitata l’attività di e-commerce, a tutela del consumatore. L’inottemperanza delle aziende di e-commerce a tali prescrizioni può causare sanzioni anche gravi che vengono irrogate dall’Autorità garante per la concorrenza e il mercato (AGCM). Tali sanzioni sono state elevate dal D. Lgs. n. 26/2023, entrato in vigore il 2 aprile 2023, emanato in attuazione della Direttiva Omnibus, il quale ha inoltre introdotto nuovi obblighi per i professionisti che operano on line, a tutela dei consumatori. E’ quindi di fondamentale importanza per tutte le imprese che operano nell’e-commerce, allo scopo di regolamentare in modo ottimale i rapporti con gli acquirenti ed evitare sanzioni o comunque rischi legali, predisporre le condizioni generali di contratto di vendita on line, rivolgendosi ad uno studio legale specializzato. Inoltre occorre prestare attenzione anche alle varie normative dei paesi esteri in cui risiedono gli acquirenti, che si applicano essendo poste a tutela dei consumatori. Infine, le imprese che operano on line devono conformarsi alla normativa sulla privacy, introdotta dal Regolamento UE n. 2016/679 (GDPR).

Ascolta il riassunto audio dell’articolo:

1. L’E-commerce: un settore in grande crescita, ma attenzione a rischi e sanzioni

L’E-commerce (o commercio elettronico) è in costante crescita, in Italia come nel mondo. Secondo gli ultimi dati, nel 2022 il volume d’affari delle imprese italiane che operano on line ha generato un volume d’affari superiore a 48 mld. di Euro, con un incremento di circa il 20 % rispetto al 2021.Il dato non sorprende, visti i molteplici vantaggi che il commercio elettronico può offrire alle imprese (in termini di risparmio di costi, sviluppo di clientela, apertura di nuovi mercati, etc.)

Alla crescente importanza del settore non sempre si accompagna, tuttavia, un’adeguata conoscenza e consapevolezza da parte degli operatori circa le normative vigenti in tema di e-commerce e i rischi legali a cui possono andare incontro in caso di mancata o insufficiente ottemperanza alle stesse.

Tale conclusione è avvalorata dai numerosi provvedimenti sanzionatori che l’ Autorità garante per la concorrenza e il mercato (AGCM) anche su segnalazione di utenti e associazioni di consumatori, assume nei confronti delle imprese che svolgono attività di e-commerce, per violazioni della normativa in materia.

Ed infatti, solo negli ultimi 3 anni, l’AGCM ha irrogato ad imprese operanti nel commercio on line sanzioni per oltre 20 mln. di Euro, mentre solo nei primi mesi del 2023 l’AGCM ha oscurato molti siti web che operavano in violazione delle norme in tema di e-commerce.

Come si vedrà, le sanzioni per il mancato rispetto delle norme in tema di e-commerce sono state recentemente elevate dal D. Lgs. n. 26/2023, entrato in vigore il 2 aprile 2023, emanato in attuazione della Direttiva (UE) 2019/2161 (c.d. Direttiva Omnibus), il quale ha inoltre introdotto nuovi obblighi per i professionisti che operano on line, a tutela dei consumatori.

È quindi necessario che le aziende le quali operano on line strutturino il proprio sito in modo conforme alle normative di settore, altrimenti esse rischiano di andare incontro a spiacevoli conseguenze; ciò soprattutto quando decidano di operare attraverso il proprio sito di e-commerce, (anziché attraverso retailer online o marketplace), accollandosi così direttamente gli oneri e le conseguenze del proprio operato.

Vediamo quindi, in sintesi, quali sono i principali obblighi delle aziende operanti nel settore del commercio on-line, previste dalla normativa vigente in tema di e-commerce, e i conseguenti rischi ai quali le stesse possono andare incontro, in caso di violazione delle normative applicabili.

In questo articolo ci soffermeremo esclusivamente sulle norme che regolano l’attività svolta dalle imprese nei confronti dei consumatori (B2C) – cioè delle persone fisiche che agiscono per scopi estranei all’attività imprenditoriale o professionale – che è quella maggiormente complessa ed espone le aziende ai rischi maggiori.

2. Gli obblighi informativi generali sul sito web

La normativa che regolamenta il commercio elettronico (ovvero essenzialmente il D.lgs. n. 70/2003 e il Codice del Consumo (D.lgs. n. 206/2005) ha lo scopo di assicurare trasparenza ed informazione all’acquirente – che a causa delle peculiarità dell’e-commerce non può avere una conoscenza diretta né un contatto immediato con il venditore – e di rendere affidabili e sicure le transazioni on line.

Nel settore dell’e-commerce, infatti, la spersonalizzazione del rapporto d’acquisto indebolisce tendenzialmente il consumatore- acquirente e lo pone in una posizione di asimmetria informativa rispetto all’azienda.

Per tutelare il consumatore, tutte le imprese che effettuano attività di e-commerce elettronico hanno l’obbligo di fornire una serie di informazioni generali, volte ad identificare l’azienda venditrice, i prodotti e servizi offerti, il prezzo e le modalità di pagamento, le garanzie per il consumatore etc., Tali informazioni devono essere inserite sul sito web, indipendentemente dall’ordine.

Si tratta essenzialmente delle seguenti informazioni:

dati riguardanti l’identificazione del venditore/prestatore di servizi (nome, denominazione societaria, domicilio, sede, telefono, posta elettronica, numero iscr. REA – Reg. Imprese etc.);
indicazione di prezzi e tariffe relative ai beni/servizi, con oneri fiscali , costi di consegna ed altri costi accessori;
esistenza del diritto di recesso (ivi compreso il modulo per il recesso) o esclusione dello stesso (nelle sole ipotesi tassativamente previste dalla legge ) con modalità tempi per ritiro o la restituzione bene nel caso di recesso;
le modalità di pagamento, consegna (ivi comprese eventuali restrizioni) ed esecuzione dell’ordine;
garanzie legali connesse alla vendita;
indirizzo del fornitore per eventuali reclami;
link alla piattaforma di risoluzione stragiudiziale delle controversie (ODR).

3. Le informazioni attinenti il contratto on line

La normativa sul commercio elettronico prevede una serie di obblighi di contenuto informativo e operativo da rispettare nel corso della conclusione del contratto telematico. Tale disciplina può essere derogata solo in caso di rapporti tra imprenditori (B2B), mentre è inderogabile se il destinatario del servizio è un consumatore. Sono esclusi da tale normativa i contratti:

conclusi esclusivamente tramite posta elettronica;
che istituiscono o trasferiscono diritti relativi a beni immobili, diversi da quelli in materia di locazione che richiedono per legge l’intervento di organi giurisdizionali, pubblici poteri o professori che implicano l’esercizio di pubblici poteri di fideiussione o di garanzie prestate da persone che agiscono a fini che esulano dalle loro attività commerciali, imprenditoriali o professionali disciplinati dal diritto di famiglia o di successione.

Prima dell’inoltro dell’ordine da parte del destinatario, è necessario fornire le seguenti informazioni:

le fasi tecniche da seguire per la conclusione del contratto;
il modo in cui il contratto verrà archiviato e le relative modalità di accesso allo stesso;
i mezzi tecnici messi a disposizione del destinatario per individuare e correggere gli errori prima dell’inoltro dell’ordine;
gli eventuali codici di condotta del prestatore;
le lingue a disposizione per concludere il contratto.

Tutte tali informazioni devono essere fornite in modo:

facilmente accessibile (cioè qualsiasi utente medio deve essere in grado senza particolari difficoltà di accedere alle informazioni);
diretto (cioè non possono essere utilizzati intermediari, o rinviare a link e altre informazioni rese disponibili altrove, l’utente deve conoscere in un unico contesto le informazioni tramite lo stesso sito nel quale è offerto il bene o il servizio)
permanente (cioè devono essere accessibili in modo stabile);
aggiornato.

Inoltre, tali informazioni devono essere fornite in modo appropriato rispetto al mezzo di comunicazione a distanza impiegato, con un linguaggio semplice, chiaro e comprensibile (landing page, e-mail, banner).

Le condizioni generali di contratto devono essere messe disposizioni del destinatario in modo che gli sia consentita la memorizzazione e la riproduzione (download). Si applica in ogni caso la normativa di cui agli artt. 1341 e 1342 c.c., in materia di clausole vessatorie.

A tal proposito, è dubbio se, per l’approvazione delle clausole vessatorie presenti nelle condizioni generali di contratto on line, ai sensi degli artt. 1341-1342 c.c., sia sufficiente la c.d. firma elettronica semplice, cioè un meccanismo di autenticazione del contraente mediante username e password sul sito del proponente, e il click su una casella specifica per la clausola vessatoria, oppure occorra la vera e propria firma digitale; in via precauzionale, è suggeribile ricorrere a quest’ultima.

Il D. Lgs. n. 26/2023, emanato in attuazione della Direttiva (UE) 2019/2161 (c.d. Direttiva Omnibus), ha modificato il Codice del consumo, ampliando le informazioni che devono essere fornite, in modo chiaro e comprensibile, prima del perfezionamento del contratto on line da parte dei fornitori di mercato on line, ovvero da qualsiasi professionista, il quale fornisca un servizio che utilizza un software, compresi siti web, parte di siti web o un’applicazione, gestito da o per conto del professionista, che permette ai consumatori di concludere contratti a distanza con altri professionisti o consumatori (mercato on line: si tratta in sostanza di sito web o app nel quale diversi venditori possono vendere i propri prodotti).

Ai sensi del nuovo art. 49-bis del Codice del consumo, il titolare del marketplace on line ha i seguenti obblighi:

indicare l’indirizzo geografico dove il fornitore è stabilito, in numero di telefono e l’indirizzo di posta elettronica, tali da permettere al consumatore di contattare il fornitore rapidamente e in modo efficace;
informazioni circa la qualifica della controparte contrattuale, cioè se il terzo che offre beni, servizi o contenuti digitali attraverso il marketplace è un professionista o un altro consumatore (nella seconda ipotesi, occorre informare il consumatore che per quella transazione non è tutelato dalla normativa in materia di diritti dei consumatori); a tal proposito, ai sensi dell’art. 30 del Regolamento (UE) 2022/2065 (c.d. Digital Services Act, applicabile, salvo specifiche eccezioni, a partite dal febbraio 2024), il fornitore di piattaforme online deve compiere il massimo sforzo possibile per valutare se le informazioni fornite dal terzo professionista siano attendibili e complete;
fornire informazioni sui principali parametri che determinano la classificazione (c.d. ranking) delle offerte presentate al consumatore come un risultato della sua ricerca e sull’importanza di tali parametri rispetto ad altri (cioè informazioni sui criteri che determinano l’ordine con cui i prodotti appaiono al consumatore che effettua una ricerca sul sito o su un’applicazione del mercato online).

Inoltre, il professionista è tenuto a fornire un promemoria circa l’esistenza della garanzia legale di conformità, nonché le informazioni circa la funzionalità (ivi incluse le misure di protezione tecnica applicabili), la compatibilità e l’interoperabilità.

Infine, in relazione al dovere di indicare in modo chiaro il prezzo totale dei beni o dei servizi offerti sul sito e-commerce, l’art. 49-bis del Codice del consumo prevede l’ulteriore obbligo di informare il consumator qualora il prezzo sia stato calcolato sulla base di un processo decisionale automatizzato.

4. Le informazioni relative all’ordine

La normativa in tema di e-commerce, prevede che le imprese operanti in tale settore devono fornire agli utenti una serie di informazioni, non soltanto sul proprio sito web, ma anche sia prima che dopo che l’ordine da parte dell’utente è stato effettuato.

Anzitutto, già prima che il cliente effettui l’ordine on line (cliccando sul relativo pulsante) la pagina d’ordine presente sul sito web deve contenere una sorta di riassunto dell’ordine, contenente le seguenti informazioni:

caratteristiche principali dei prodotti;
spese di consegna;
durata del contratto.

Queste informazioni devono essere fornite in modo chiaro, posizionate al di sopra del pulsante “ordine con obbligo di pagare” (di cui sotto) e chiaramente evidenziate rispetto al resto della pagina web.

Al momento di inoltrare l’ordine, l’impresa deve garantire che il consumatore abbia ben chiaro che l’atto che sta compiendo implica un obbligo di pagamento. Pertanto, se l’inoltro dell’ordine implica azionare un pulsante o una funzione analoga (come generalmente accade: si tratta del c.d. “point and click”), il pulsante o la funzione analoga devono riportare in modo facilmente leggibile le parole “ordine con obbligo di pagare” o una formulazione corrispondente, indicante in modo inequivocabile che l’inoltro dell’ordine implica l’obbligo di pagare (art. 51 del Codice del Consumo).

Se l’impresa disattende tale previsione, la conseguenza è molto drastica: il consumatore non è vincolato dal contratto o dall’ordine. Ha quindi diritto–se ha pagato– alla restituzione di quanto versato, e può agire per il risarcimento del danno.

Inoltre, l’inottemperanza da parte delle aziende di e-commerce alle prescrizioni normative può integrare delle pratiche commerciali scorrette, che espongono le imprese a conseguenze anche gravi (si pensi ad es. alla sospensione dell’attività di e-commerce).

Vi sono poi ulteriori obblighi informativi successivi all’inoltro dell’ordine; nella fase di esecuzione del contratto occorre infatti divulgare informazioni circa la conferma dell’ordine di acquisto e lo stato effettivo e gli sviluppi concreti dell’ordine. Ciò anche perché, attesa l’elevata concorrenza nell’e-commerce, se prontamente e adeguatamente informato sull’eventuale impossibilità di evadere l’ordine alle condizioni prospettate, il consumatore potrebbe sostituire l’impresa con una sua concorrente.

In particolare, una volta ricevuto l’ordine dall’acquirente, l’operatore deve fornire la conferma dell’ordine del destinatario contenente:

tutte le informazioni obbligatorie che devono già essere fornite prima dell’ordine (ad es. dati riguardanti il venditore/prestatore di servizi, caratteristiche del bene/servizio, prezzo, costi di consegna, mezzi di pagamento, recesso, reclami etc.);
un riepilogo delle condizioni generali e particolari applicabili al contratto.

Tali informazioni devono essere fornite su un mezzo durevole (ad es. via mail) entro un termine ragionevole dopo la conclusione del contratto e comunque al più tardi al momento della consegna dei beni oppure prima che l’esecuzione del servizio abbia inizio.

Anche in ordine a queste informazioni, l’AGCM è intervenuta varie volte, anche recentemente, sanzionando pesantemente varie imprese che avevano adottato un comportamento molto evasivo nei confronti dei consumatori circa l’andamento del proprio ordine. Anche tali comportamenti integrano infatti delle pratiche commerciali scorrette che espongono le imprese a sanzioni.

E’ dunque di fondamentale importanza per tutte le imprese che operano nell’e-commerce, allo scopo di regolamentare in modo ottimale i rapporti con gli acquirenti ed evitare sanzioni o comunque rischi legali, predisporre delle condizioni generali di contratto di vendita on line (terms and conditions). Tali condizioni dovrebbero essere poi diversamente strutturate a seconda che gli acquirenti siano consumatori (B2C) o imprese e professionisti (B2B).

A tal proposito, è assolutamente sconsigliabile che le imprese adottino o addirittura copino i terms and conditions di altri siti, essendo indispensabile ridirigerli in modo aderente alla specifica realità di ogni imprese, e alla struttura del processo di vendita on line adottato. E’ invece altamente consigliabile rivolgersi ad uno studio legale specializzato in diritto d’impresa e commercio on line.

5. Le informazioni sul diritto di recesso

Nei contratti conclusi on line, i consumatore – cioè le persone fisiche che agiscono per scopi estranei all’attività imprenditoriale o professionale – hanno sempre (tranne alcuni casi tassativi) il diritto di recedere, entro 14 giorni, senza dover fornire alcuna motivazione e senza, normalmente, dover sostenere dei costi per l’esercizio di tale diritto.

Il Codice del consumo prevede in proposito che, tra le informazioni obbligatorie che gli operatori on line devono inserire nel proprio sito web, vi sono anche quelle relative a:

l’esistenza del diritto di recesso in favore del consumatore;
le condizioni, termini e le procedure per esercitare tale diritto;
il modulo tipo da utilizzare per il recesso;
i casi in cui il consumatore perde il diritto al recesso o lo stesso non è previsto.

Il D. Lgs. n. 26/2023, emanato in attuazione della Direttiva Omnibus, ha aggiunto agli obblighi del professionista in caso di recesso del consumatore ulteriori adempimenti vincolanti, in particolare con riguardo ai contratti connessi alla fornitura di contenuti o servizi digitali (ovvero i servizi che consente al consumatore di creare, trasformare, archiviare i dati o di accedervi in formato digitale, o la condivisione di dati in formato digitale, caricati o creati dal consumatore e da altri utenti di tale servizio, o qualsiasi altra interazione con tali dati).

In particolare, è stato introdotto:

il divieto per il fornitore di usare qualsiasi contenuto – diverso dai dati personali – che sia stato fornito o creato dal consumatore durante l’uso di un contenuto o servizio digitale del professionista;
in caso di richiesta del consumatore, l’obbligo di mettere a sua disposizione gratuitamente ed entro un lasso di tempo ragionevole i suddetti contenuti in un formato di uso comune e facilmente leggibile (portabilità);
l’obbligo di rispettare in ogni caso le previsioni del Regolamento (UE) 2016/679 (GDPR).

In caso di contratti per la fornitura di contenuto digitale mediante un supporto non materiale che impongono l’obbligo di pagare, se l’esecuzione sia iniziata e il consumatore abbia acconsentito a iniziare la prestazione durante il periodo di diritto di recesso, il consumatore deve essere debitamente informato circa la perdita del suo diritto di recesso e deve fornire il proprio consenso; il professionista, a sua volta, deve fornire debita conferma circa la conclusione del contratto.

Sul tema del diritto di recesso nei contratti on line, si veda il relativo articolo di approfondimento.

6. Gli obblighi sulle comunicazioni commerciali e le riduzioni di prezzo

Le comunicazioni commerciali on line – ovvero tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa – devono essere subito chiaramente identificabili come tali, cioè fin dal momento in cui il destinatario le riceve.

Fin dal primo invio, le comunicazioni commerciali devono contenere, in modo chiaro e inequivocabile, una specifica informativa diretta ad evidenziare:

che si tratta di comunicazione commerciale;
la persona fisica o giuridica per conto del quale essa è inviata le offerte promozionali di qualsiasi natura (ad es. sconti, premi, omaggi etc.);
le condizioni di accesso i concorsi o giochi promozionali e le relative condizioni di partecipazione.

Inoltre, le comunicazioni commerciali non sollecitate devono contenere l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni (sistema del c.d. opt-out: art. 9 del D. Lgs n. 70/2003), fatte salve, in quanto prevalenti, le specifiche discipline dettate dal GDPR e dal Codice del Consumo.

Il D.lgs. n. 26/2023, in attuazione della Direttiva Omnibus, ha introdotto una nuova disciplina in materia di annunci di riduzione dei prezzi, applicabile a partire dal 1° luglio 2023 (art. 17-bis del Codice del consumo).

Ogni annuncio di riduzione di prezzo deve indicare il prezzo precedente applicato dal professionista per un determinato periodo di tempo prima dell’applicazione di tale riduzione, dovendosi intendere per prezzo precedente il prezzo più basso applicato dal professionista alla generalità dei consumatori nei 30 giorni precedenti all’applicazione della riduzione di prezzo.

La definizione di prezzo precedentemente applicato come prezzo più basso praticato alla generalità dei consumatori è diretta ad escludere le c.d. offerte personalizzate – cioè le offerte riservate ad un consumatore specifico o a categorie specifiche al ricorrere di occasioni particolari – dall’alveo dei prezzi praticati da considerare.

Ad es., se un sito di e-commerce espone in data 15 aprile un paio di scarpe al costo di Euro 100,00, e in data 30 aprile aumenta il prezzo ad Euro 150,00, per poi ridurlo dopo alcuni giorni a Euro 120,00, questa riduzione di prezzo deve essere accompagnata da una dicitura che indichi al consumatore il prezzo più basso praticato nei trenta giorni precedenti la riduzione del prezzo, vale a dire l’importo di Euro 100,00. In questo modo, la riduzione di prezzo (da Euro 150,00 ad Euro 120,00) risulta meno “appetibile” per il consumatore, visto che deve essere indicato il prezzo più basso applicato nei 30 giorni precedenti la riduzione di prezzo (Euro 100,00).

Non è quindi più possibile indicare un qualsiasi prezzo barrato relativo a una determinata offerta, ma è necessario indicare il prezzo precedente che corrisponde al prezzo più basso del prodotto nei 30 giorni precedenti all’offerta. Inoltre, come si è visto, è necessario specificare se il prezzo è stato personalizzato sulla base di un processo decisionale automatizzato; è quindi necessario comunicare chiaramente se lo sconto è dovuto all’appartenenza a una categoria di utente che in automatico permette di accedere a scontistiche particolari, e indicare in modo esplicito il processo di acquisizione dello sconto (accumulo punti fedeltà, passaggio di livelli, etc.).

L’obbligo di indicazione del prezzo precedente è escluso per:

i beni che rischiano di deteriorarsi o scadere rapidamente, come i prodotti agricoli e alimentari deperibili(come individuati dal D. Lgs. n. 198/2021);
i prodotti che sono stati immessi sul mercato da meno di 30 giorni; in tal caso, però, occorre indicare, oltre al prezzo individuato come “precedente”, il lasso temporale in cui lo stesso è stato effettivamente applicato.

Tale disposizione non si applica ai casi “prezzi di lancio”, ovvero quelli per i quali si applica un prezzo inferiore al momento dell’immissione sul mercato.

Nel caso in cui la riduzione di prezzo sia progressivamente aumentata, durante una medesima campagna di vendita e senza interruzioni, l’obbligo di indicazione del prezzo precedente si applica alla prima riduzione di prezzo e, per le riduzioni successive, il prezzo precedente sarà il prezzo senza la riduzione anteriore alla prima applicazione della riduzione di prezzo. Ad es., se un bene precedentemente venduto a Euro 20 viene scontato a Euro 10 per venti giorni, poi a Euro 8 per i successivi venti giorni e poi a Euro 5 per ulteriori venti giorni, l’indicazione del prezzo precedente “Euro 20 ” non cambia in occasione degli sconti applicati progressivamente senza soluzione di continuità.

Tali disposizioni si applicano anche alle vendite straordinarie (liquidazioni, vendite di fine stagione o saldi e le vendite promozionali), ma non alle vendite sottocosto (art. 15, comma 7, D. Lgs. n. 114/98) nelle quali il prezzo di vendita al pubblico sottocosto non rileva ai fini dell’individuazione del prezzo precedente.

In ogni caso, ogni annuncio di riduzione di prezzo deve recare, altresì, l’indicazione della percentuale di sconto applicata (art. 15, comma 5, D.lgs. n. 114/1998).

7. La normativa sulle recensioni

Il D.lgs. n. 26/2023, in attuazione della Direttiva Omnibus, prevede che se un professionista fornisce l’accesso alle recensioni dei consumatori sui prodotti, sono considerate rilevanti le informazioni che indicano se e in che modo il professionista garantisce che le recensioni pubblicate provengano da consumatori che hanno effettivamente acquistato o utilizzato il prodotto.

Pertanto, un sito di e-commerce deve indicare se le recensioni pubblicate sul proprio sito sono riconducibili a vere esperienze di acquisto; se ciò non corrisponde a realtà, questa circostanza deve essere indicata sul sito (nelle condizioni generali di vendita).

Qualora invece, un sito di e-commerce abbia deciso di pubblicare recensioni verificate, deve spiegare come “garantisce” che le recensioni siano veritiere. Pertanto, il provider di recensioni che l’impresa deciderà di attivare deve permettere la pubblicazione di recensioni solo a seguito dell’acquisto sul sito, impedendo recensioni a chiunque e in modo indiscriminato.

Ai sensi del D.lgs. n. 26/2023, costituisce una pratica commerciale scorretta indicare che le recensioni di un prodotto sono inviate da consumatori che hanno effettivamente utilizzato o acquistato il prodotto senza adottare misure ragionevoli e proporzionate per verificare che le recensioni provengano da tali consumatori.

Di conseguenza, nonostante che le imprese non abbiano l’obbligo né di pubblicare recensioni sul proprio sito internet, né di pubblicare recensioni vere, ma solo di informare l’utente se e in che modo viene garantito che le recensioni pubblicate online siano riconducibili a vere esperienze di acquisto, i siti di e-commerce nei quali sia indicato che le recensioni sono autentiche devono adottare misure “ragionevoli e proporzionate” per verificare che ciò sia vero. Occorre dunque utilizzare tool che permettano la pubblicazione di recensioni solo dopo la fase di acquisto.

Infine, il D.lgs. n. 26/2023 prevede che costituisce una pratica commerciale scorretta inviare, o incaricare un’altra persona giuridica o fisica di inviare, recensioni di consumatori false o falsi apprezzamenti o di fornire false informazioni in merito a recensioni di consumatori o ad apprezzamenti sui media sociali, al fine di promuovere prodotti.

8. Le sanzioni per la violazione della normativa in tema di e-commerce

Qualora un’impresa operante nel settore del commercio on line violi la normativa in tema di e-commerce, la stessa può andare incontro a sanzioni, anche molto gravi, irrogate dall’ Autorità garante per la concorrenza e il mercato (AGCM). Tali sanzioni sono state aggravate dal D.lgs. n. 26/2023, emanato in attuazione della Direttiva Omnibus.

L’AGCM è un organo amministrativo dotato di poteri molto penetranti (può ad esempio servirsi della Guardia di Finanza, ordinare ispezioni etc.), ed agisce (anche d’ufficio, cioè senza necessità di denuncia) in base ad una procedura molto efficace e di breve durata (specie se paragonata a quella dell’autorità giudiziaria).

Sul procedimento davanti all’AGCM, si veda il relativo articolo di approfondimento.

In particolare, l’AGCM può irrogare le seguenti sanzioni:

pagamento di importi fino a 20.000,00 Euro, per la violazione degli obblighi informativi generali;
pagamento di importi fino a 10 mln. di Euro, se la violazione degli obblighi sia ritenuta integrare una pratica commerciale scorretta , cioè un comportamento contrario alla diligenza professionale, idoneo a falsare il comportamento economico del consumatore medio (il che accade spesso in tema di e-commerce);
per le violazioni di rilevanza c.d. unionale, l’importo massimo della sanzione irrogata dall’AGCM è pari al 4% del fatturato annuo del professionista realizzato in Italia ovvero negli Stati Membri dell’UE interessati (se le informazioni sul fatturato annuo non sono disponibili, l’importo massimo della sanzione irrogata dall’Autorità è pari a Euro 2 milioni);

la violazione delle disposizioni in materia di annunci di riduzione di prezzo è punita con la sanzione amministrativa pecuniaria da 1,000,00 a 3098,00 Euro;

pubblicazione del provvedimento sanzionatorio sul sito dell’AGCM e talvolta anche sul sito web dell’operatore (con conseguenti ricadute negative per l’azienda sul piano dell’immagine);
oscuramento del sito web dell’operatore, ovvero revoca del relativo dominio.

In particolare, qualora l’AGCM ritenga che la violazione degli obblighi informativi da parte dell’azienda integri una pratica commerciale scorretta, le sanzioni sono per lo più elevate, dato che l’attività commerciale on line per sua natura è ritenuta particolarmente pericolosa per il consumatore. Inoltre, tal caso, l’AGCM, nelle more del procedimento (che è comunque piuttosto breve), può sospendere l’utilizzo del sito web attraverso cui l’impresa esercita la propria attività (e anche questo avviene molto spesso).

Le sanzioni vengono quantificate sulla base dei seguenti criteri:

la natura, gravità, entità e durata della violazione;
le eventuali azioni intraprese dal sito web o e-commerce per attenuare il danno subito dai consumatori o per porvi rimedio;
le eventuali violazioni commesse in precedenza dal sito di e-commerce;
i benefici finanziari conseguiti o le perdite evitate dal sito di e-commerce in conseguenza della violazione, se i relativi dati sono disponibili;
le sanzioni inflitte al sito di e-commerce per la medesima violazione in altri Stati membri in casi transfrontalieri;
eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

Inoltre, il D.lgs. n. 26/2023 ha previsto la possibilità per i consumatori di adire direttamente l’Autorità Giudiziaria per chiedere il risarcimento dei danni derivanti da una pratica commerciale scorretta (e quindi, come abbiamo visto, anche dalla violazione della normativa in tema di e-commerce), o per chiedere la riduzione del prezzo o la risoluzione del contratto. il consumatore non è quindi più obbligato ad attendere, come in precedenza, la decisione dell’AGCM per adire le vie legali.

Il suggerimento per le imprese che operano nell’e-commerce è semplice: verificare attentamente, tramite un consulente legale specializzato in materia, che il sito web utilizzato per l’attività di e-commerce sia conforme alla normativa vigente, per evitare sanzioni che possono essere pesanti – anche sul piano dell’immagine- e/o il blocco dell’attività.

9. E-commerce: attenzione alle normative estere

Come si è visto, in Italia il commercio elettronico, è regolamentato da una dettagliata normativa – contenuta principalmente nel D. Lgs. n. 70/2003 e nel Codice del Consumo.

Ciò che è meno noto, o comunque spesso sottovalutato dagli operatori, è che, se l’impresa opera on line non solo entro i confini italiani, ma anche all’estero, cioè si rivolge ad una clientela residente in altri paesi diversi dall’Italia, deve anche conformarsi anche alle normative vigenti in tutti i paesi in cui opera.

In altri termini, se ad esempio un’impresa italiana vende vino tramite il proprio sito di e-commerce in altri paesi europei, o extraeuropei, la stessa deve attenersi alle prescrizioni dei paesi esteri in cui hanno residenza o domicilio gli acquirenti. Ciò in quanto, soprattutto se si tratta di B2C (cioè di contratti con i consumatori), ogni paese ha una propria distinta regolamentazione degli acquisti online, posta a tutela dei (propri) consumatori.

Infatti, in caso di commercio on line, e in particolare nelle transazioni B2C, si applica sempre la normativa del paese nel quale risiedono gli acquirenti (consumatori), poste a tutela di questi ultimi.

Pertanto, anche qualora nelle condizioni generali adottate dall’impresa italiana nel proprio sito web venga designata quale legge applicabile la legge italiana, si applica comunque la normativa del paese in cui l’azienda opera (che potrà essere anche divergente rispetto a quella italiana).

Così, ad esempio, se l’impresa italiana Alfa vende on line i propri prodotti in Francia, anche se nelle condizioni riportate sul proprio sito ha indicato la legge italiana come legge applicabile, si applicherà comunque la legge francese a tutela dei consumatori.

Le normative estere in tema di e-commerce possono essere diverse, anche in modo notevole, da quella italiana. Le differenze in ambito europeo sono nel complesso abbastanza limitate, dato che le normative sul commercio elettronico adottate dai paesi UE sono tutte essenzialmente di derivazione comunitaria (cioè derivano da direttive UE, in particolare in questo caso la Direttiva n. 83/2011), e quindi sono abbastanza simili (ma comunque non identiche).

Vi sono poi le indicazioni da seguire con riferimento alla privacy, anch’esse armonizzate in tutti i paesi UE dal GDPR (e anch’esse sanzionate).

Tuttavia, nonostante la presenza di un quadro uniforme di regole in ambito europeo, ogni paese può regolamentare la materia con disposizioni particolari; per cui occorre esaminare attentamente – avvalendosi di un legale esperto – la legislazione di ogni paese nel quale l’impresa decide di operare con il proprio e-commerce, in quanto possono sussistere norme diverse da paese a paese.

Ad esempio, in Francia la legge sull’e-commerce prevede che la descrizione di un prodotto in una pagina del sito web è considerata come un’offerta contrattuale vincolante; prevede che l’operatore nel proprio store on line debba spiegare agli utenti nel dettaglio termini e condizioni in materia di garanzia; regolamenta in modo molto dettagliato e rigido gli sconti; regolamenta l’onere della prova in caso di difetti della merce in modo diverso dalla direttiva UE; e così via.

In Germania, il commercio on line è regolamentato dettagliatamente da numerose norme – in particolare in materia di condizioni generali di vendita (AGB) e di informazioni dell’operatore di e-commerce (Impressum), di pulsanti di acquisto on line (Kauf buttons), etc. – che prevedono una serie di sanzioni anche pesanti in caso di inosservanza.

In Spagna, nelle transazioni che coinvolgono un consumatore (B2C), gli operatori on line sono tenuti a fornire, insieme al prodotto ordinato, una copia cartacea delle condizioni di vendita del prodotto e delle specifiche policy sul recesso, ameno che il consumatore rinunzi espressamente a tale diritto.

Le differenze (e quindi le difficoltà per gli operatori on line) aumentano quando si tratta di operare in paesi extra UE, che non hanno una legislazione armonizzata e quindi regolamentano la materia in modo totalmente differente tra paese e paese.

In USA, ad esempio, il quadro normativo è particolarmente complesso in quanto, oltre alla normativa federale che regolamenta l’e-commerce, sotto l’egida della Federal Trade Commission (FTC) – a sua volta in modo differenziato a seconda della tipologia dei prodotti – occorre tenere in considerazione le singole normative degli stati, che differiscono notevolmente tra loro. E quindi, per esempio, in caso di vendita online di prodotti food o liquori, ogni stato detta regole diverse in ordine alle licenze, all’etichettatura (labelling), al packaging, etc. Lo stesso dicasi per le norme in materia di privacy.

In Cina vigono norme molto dettagliate in tema di e-commerce, in particolare per quanto concerne la sicurezza e l’igiene di alimenti e di informazioni ai consumatori. Vi sono inoltre precisi e rigidi meccanismi di approvazione obbligatori per l’ingresso di determinati prodotti (ad esempio alimentari, medicinali, alcolici etc.).

Alla luce di quanto sopra, è opportuno che un’impresa di e-commerce che operi in diversi paesi (oltre all’Italia), per evitare di incorrere in conseguenze negative:

effettui in via preventiva un’analisi approfondita della legislazione sul commercio elettronico vigente in ogni singolo paese in cui ha intenzione di operare;
selezioni accuratamente, alla luce di tale analisi, i paesi in cui decide di operare, operando delle scelte mirate;
predisponga per ogni singolo paese in cui ha deciso di operare condizioni contrattuali ad hoc, adottando la lingua di ogni singolo paese (quindi non solo l’inglese) ed eventualmente siti web dedicati.

Tali attività e verifiche devono essere necessariamente fatte rivolgendosi ad uno studio legale specializzato in commercio elettronico.

10. Gli adempimenti privacy

Infine, le imprese che operano on line devono naturalmente conformarsi alla normativa sulla privacy, che come è noto è stata introdotta dal Regolamento UE n. 2016/679 (GDPR).

L’entrata in vigore del GDPR ha determinato un radicale cambiamento nell’approccio nella regolamentazione della materia, introducendo principi prima estranei al nostro “vecchio” Codice Privacy; tra questi, un ruolo preminente spetta al c.d. principio di “responsabilizzazione” (“accountability”), del titolare e del responsabile del trattamento.

Tale principio mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: titolare e responsabile del trattamento devono non solo agire secondo le migliori prassi, ma anche dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione delle decisioni ed azioni intraprese.

Non essendo ovviamente possibile in questa sede descrivere tutti gli adempimenti privacy, ci limiteremo ad evidenziarne alcuni tra i più rilevanti.

Il sito web utilizzato dall’impresa per attività di e-commerce deve anzitutto contenere una adeguata privacy policy, che fornisca tutte le informazioni necessarie affinché i visitatori del sito possano decidere in modo consapevole se prestare il consenso al trattamento dei loro dati personali o meno. La privacy policy – notevolmente diversa da quella prevista in precedenza dal “vecchio” Codice Privacy – deve indicare chiaramente e in modo facilmente accessibile:

gli estremi del titolare e del responsabile del trattamento;
quali dati personali raccoglie il sito;
perché tali dati vengono raccolti e trattati;
da chi tali dati vengono raccolti e trattati;
con quali modalità tali dati vengono ottenuti;
le conseguenze di un eventuale rifiuto a fornire i propri dati personali;
come e per quanto tempo tali dati vengono conservati;
se tali dati saranno ceduti a soggetti terzi e, in caso positivo, a quali condizioni;
i diritti dell’interessato.

Devono inoltre essere inserite specifiche informative in relazione a trattamenti di dati di utenti per determinati richieste o servizi (si pensi, ad esempio, alla gestione di un’area riservata per monitorare gli ordini effettuati o al servizio di newsletter commerciale) e devono essere predisposte informative distinte per la tipologia di trattamento, a seconda che i dati vengano raccolti durante la navigazione sul sito o per procedere agli acquisti on line.

Occorre inoltre predisporre una Cookies policy, inserendo ad esempio un banner con opt-in che contenga i vari Cookies utilizzati, in modo da permettere all’Utente di poter fornire un consenso espresso. Infatti, dato che il consenso al trattamento dei dati deve essere prestato dall’utente in modo espresso ed inequivocabile, i moduli per le newsletter e in generale le preferenze di contatto inserite nel sito non possono più contenere il consenso dell’utente di default.

Deve essere pertanto inserita nel sito web una apposita casella di spunta per il consenso al trattamento dei dati personali, senza che la stessa possa essere precompilata. Inoltre, sia i messaggi sponsorizzati che i moduli funzionanti in modalità opt-out (cioè i moduli che appaiono quando il cursore del mouse si muove verso la parte superiore della pagina per chiuderla) devono essere riadattati in modalità opt-in opzionale.

A tal proposito, si evidenzia che nel luglio 2021 il Garante ha pubblicato le nuove “Linea Guida cookie e altri strumenti di tracciamento”, per un approfondimento in materia, clicca qui. È quindi necessario che tutte le imprese titolari di un sito di e-commerce verifichino attentamente quali cookies sono statti installati sul proprio sito web, valutino la conformità delle cookie policy e, soprattutto, valutino la conformità del “banner cookie”.

Il sito web deve inoltre essere dotato di un proprio database separato che faciliti la richiesta di cancellazione dei dati personali, e di un sistema di verifica dei dati degli utenti/visitatori, che renda possibile la notifica immediata nel caso in cui vengano violati i dati personali.

I dati personali raccolti devono essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione. Per garantire la sicurezza dei dati, il GDPR prevede una serie di misure, quali in particolare:

utilizzare nomi cifrati per i dati personali;
utilizzare sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento;
dotarsi di metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici;
adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati.

Il mancato adeguamento agli obblighi imposti dal GDPR può comportare sanzioni molto pesanti per le imprese, essendo previste multe fino a 20 milioni di Euro o fino al 4% del fatturato.

Inizialmente, a seguito dell’entrata in vigore del GDPR, il Garante Privacy ha mostrato una notevole tolleranza e indulgenza nei confronti delle imprese, dati i numerosi e importanti cambiamenti intervenuti in materia di privacy per effetto del GDPR. Ma oggi non è più così; sono state compiute e sono in corso numerose ispezioni (dati gli ampi poteri di cui dispone l’Autorità), a seguito delle quali sono state irrogate e sono corso di irrogazione sanzioni anche gravi.

Anche nel caso della privacy, quindi, è altamente sconsigliabile il ” fai da te” o copiare le privacy policies e cookies policies di altri siti ed è opportuno invece rivolgersi a studi legali specializzati nel settore.

Se siete interessati a scaricare un modello di condizioni generali di vendita on line, inviate una mail al seguente indirizzo: info@studio-pandolfini.it.

Per approfondire i nostri servizi di assistenza e consulenza in tema di e-commerce, visionate la pagina dedicata del nostro sito.

Avv. Valerio Pandolfini

Avvocato specializzato in E-commerce

Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.

Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

Cookie	Durata	Descrizione
_GRECAPTCHA		This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-154928096-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

E-commerce: come mettere in sicurezza il sito web ed evitare rischi legali

Indice