1. Premessa
La Legge 10 aprile 2026, n. 49, di conversione con modificazioni del decreto-legge 20 febbraio 2026, n. 21 (in G.U. n. 90 del 18 aprile 2026), introduce all’articolo 51 del Codice del consumo (d.lgs. 206/2005) tre nuovi commi (8-bis, 8-ter e 8-quater) che, decorsi sessanta giorni dall’entrata in vigore — dunque dal 19 giugno 2026 — vietano in via generale le sollecitazioni commerciali telefoniche e tramite messaggistica finalizzate alla proposta o conclusione di contratti di fornitura di energia elettrica e gas. Il provvedimento segna il superamento del modello opt-out fondato sul Registro pubblico delle opposizioni in favore di un regime di opt-in rafforzato, in linea con la cornice del Regolamento (UE) 2016/679 e della direttiva 2002/58/CE.
2. Eccezioni operative e nuovi oneri
Le eccezioni al divieto sono tassative: la richiesta diretta del consumatore tramite le interfacce informatiche del professionista (sito, app, area clienti) e il contatto rivolto a clienti già acquisiti che abbiano espresso “specifico consenso” a ricevere proposte commerciali. Il comma 8-ter pone in capo al professionista l’onere di provare l’avvenuto rilascio del consenso o la richiesta diretta, codificando in chiave settoriale il principio di responsabilizzazione di cui all’articolo 5, paragrafo 2, del GDPR. Il comma 8-quater impone l’utilizzo di numerazioni identificabili, in coerenza con la delibera AGCOM n. 21/26/CIR del 14 aprile 2026.
3. Riflessi in tema di data protection
Sul piano della protezione dei dati personali, la “specificità” del consenso — letta alla luce degli articoli 4, n. 11, e 7 del GDPR — si declina in tre dimensioni che il titolare deve presidiare contestualmente: la finalità (marketing energetico distinto dagli altri marketing), il canale (telefonico distinto da e-mail e SMS) e il settore merceologico (energia elettrica e gas). Tale lettura, conforme al provvedimento del Garante sui consensi “omnibus” a carico di Energia Pulita s.r.l. del marzo 2025 e al successivo provvedimento Enel Energia del 26 marzo 2026 (sanzione di 563.052 euro), suggerisce l’adozione del modello double opt-in quale buona prassi probatoria. La tesi prevalente, alla quale ci si conforma, ritiene che i consensi acquisiti prima della novella debbano essere verificati e, ove non rispondenti ai nuovi requisiti di specificità, riacquisiti; minoritaria appare l’opposta tesi della loro validità ultrattiva.
4. Le sanzioni
La sanzione più innovativa è la nullità del contratto concluso in violazione del divieto, qualificabile come nullità di protezione, azionabile dal consumatore e rilevabile d’ufficio dal giudice. A essa si affianca un’architettura sanzionatoria triadica che coinvolge AGCOM (sospensione delle linee), il Garante per la protezione dei dati personali (poteri correttivi e sanzionatori ex artt. 58 e 83 GDPR) e ARERA (sanzioni di settore). La sovrapposizione di competenze impone protocolli di coordinamento tra le autorità per evitare duplicazioni in violazione del principio del ne bis in idem.
5. I riflessi operativi
Sul piano operativo, le aziende del settore sono chiamate, entro la finestra dei sessanta giorni, a sei adeguamenti essenziali. In primo luogo, la mappatura completa dei trattamenti di telemarketing nel registro ex articolo 30 del GDPR, con identificazione di finalità, basi giuridiche, destinatari e tempi di conservazione. In secondo luogo, la revisione integrale dei moduli di consenso, garantendone granularità e separabilità, e l’aggiornamento delle informative ex articoli 13 e 14 del GDPR. In terzo luogo, il riallineamento degli accordi con i responsabili del trattamento ex articolo 28 del GDPR (call center, broker di liste, fornitori di CRM e dialer), con clausole specifiche su tracciabilità, audit e penali. In quarto luogo, l’aggiornamento delle DPIA ex articolo 35 del GDPR per recepire i nuovi rischi, incluso quello derivante dall’impatto della nullità contrattuale sul ciclo di vita dei dati. In quinto luogo, la conformazione delle infrastrutture tecniche di chiamata e di registrazione, con verifica delle numerazioni e dei sistemi di tracciabilità del consenso. In sesto luogo, la formazione documentata del personale e la strutturazione di programmi di audit secondo gli standard ISO/IEC 27001:2022 e ISO/IEC 27701:2025.
6. Uso di sistemi di I.A. in ambito telemarketing
Una specifica attenzione meritano i sistemi di intelligenza artificiale impiegati per la selezione algoritmica dei contatti, lo scoring e la profilazione delle propensioni di acquisto, che si intersecano con la disciplina del Regolamento (UE) 2024/1689 (AI Act) e con l’articolo 22 del GDPR in tema di processi decisionali automatizzati. La governance integrata di tali sistemi, sotto il coordinamento del Data Protection Officer, costituisce un terreno di compliance trasversale che eccede il perimetro tradizionale della disciplina privacy.
7. Le questioni interpretative
Restano aperte alcune questioni interpretative significative: il perimetro applicativo soggettivo (esclusione formale delle PMI), la sorte delle offerte di servizi accessori (caldaia, fotovoltaico, efficienza energetica), la disciplina dei contatti di win-back e la quantificazione dell’indebito conseguente alla nullità contrattuale, su cui si attendono chiarimenti del Garante, di AGCOM e di ARERA, oltre alle prime pronunce giurisprudenziali. La novella, al di là dei profili tecnici, riequilibra in modo strutturale gli incentivi economici degli operatori, spostando il fulcro della convenienza dal volume dei contatti alla qualità dei consensi: le aziende che sapranno cogliere tempestivamente la transizione costruiranno un vantaggio competitivo sostenibile, mentre quelle che persisteranno nelle prassi tradizionali troveranno nella nullità del contratto un argine economicamente più severo di quanto la disciplina dell’opt-out abbia saputo erigere in oltre quindici anni di applicazione.
