Normativa e-commerce: guida alle regole per vendere online nel 2025

Da anni il mercato dell’e-commerce registra una crescita esponenziale, consolidandosi come canale di vendita essenziale per imprese di ogni dimensione. Oggi la maggior parte degli imprenditori ha integrato il commercio elettronico nelle proprie strategie di business: attraverso l’apertura di un negozio online, o la partecipazione a marketplace, fino all’adozione di modelli di dropshipping.

Quando parliamo di normativa per e-commerce non ci riferiamo a un’unica legge, ma a un insieme articolato di disposizioni legali che regolamentano ogni aspetto della vendita online. La complessità della legislazione per gli ecommerce deriva dalla sua natura trasversale: abbraccia la tutela del consumatore, la protezione dei dati personali, le comunicazioni commerciali e numerosi obblighi informativi. Padroneggiare queste normative permette di trasformare semplici adempimenti legali in concreti vantaggi competitivi.

Con l’espansione del settore, anche il quadro normativo si evolve costantemente per garantire maggiore tutela ai consumatori e regole più chiare per i venditori. Il 2025 ha già introdotto due importanti aggiornamenti:

• L’abolizione della piattaforma ODR (Online Dispute Resolution), con il Regolamento UE 2024/3228 che dal 20 marzo 2025 impedirà la presentazione di nuovi reclami tramite questo strumento
• L’entrata in vigore del Regolamento UE 2023/988 sulla sicurezza dei prodotti (GPSR), che dal 13 dicembre 2024 ha introdotto standard più rigidi e maggiori responsabilità per marketplace e venditori online

Questi cambiamenti si aggiungono all’adeguamento alla Direttiva Omnibus, che dal 2023 ha rivoluzionato le regole su sconti, recensioni e trasparenza nelle vendite online.

Lo stesso AI Act può influenzare la gestione dell’e-commerce. Un e-commerce conforme alle normative non si limita a evitare sanzioni che possono raggiungere cifre considerevoli: costruisce fiducia nei clienti, rafforza la reputazione del brand e, in ultima analisi, aumenta conversioni e vendite. La compliance normativa rappresenta quindi un investimento strategico, non un semplice costo operativo.

Cosa si intende per e-commerce

Più precisamente, si parla di e-commerce quando l’intero processo di vendita avviene totalmente online in modo automatizzato. L’aspetto fondamentale è che i soggetti coinvolti nella compravendita non si incontrano personalmente, poiché tutto il processo di vendita si svolge in rete.

Questo comporta che il potenziale acquirente abbia conoscenza solo di ciò che il venditore mette a disposizione online, sia per quanto riguarda le informazioni sul prodotto, sia per il contratto di compravendita che viene impostato unilateralmente dal venditore.

Inoltre, la consegna del prodotto acquistato non avviene nel momento del pagamento: per un bene fisico è differita all’arrivo della spedizione (e-commerce indiretto), mentre per un servizio digitale è più rapida ma comunque non istantanea come in un negozio fisico (e-commerce diretto).

Cosa s’intende per normativa dell’ecommerce

Quando si parla di normativa e-commerce non ci si riferisce ad un’unica legge, ma si intende l’insieme delle leggi e degli adempimenti posti a carico del venditore che decide di aprire un’attività online.

La disciplina del negozio online cambia in funzione dei soggetti coinvolti nella transazione, con specifiche normative applicabili a ciascuna tipologia:

1. E-commerce B2B (Business to Business): transazioni tra imprese. Si applicano il D.lgs. 70/2003, che attua la Direttiva e-commerce, e le norme generali sui contratti del Codice Civile, ma non le tutele del Codice del Consumo.
2. E-commerce B2C (Business to Consumer): transazioni tra imprese e consumatori. Si applicano il D.lgs. 70/2003, il Codice del Consumo (diritto di recesso, obblighi informativi, tempi di consegna, trasparenza sugli sconti), il GDPR e il Regolamento UE 2023/988 sulla sicurezza dei prodotti.
3. E-commerce C2C (Consumer to Consumer): transazioni tra privati. Si applicano le norme del Codice Civile sulla compravendita, mentre le piattaforme intermediarie sono soggette agli obblighi del D.lgs. 70/2003.

Esistono anche altre tipologie come il B2PA (Business to Public Administration) e il C2B (Consumer to Business).

Un’azienda può operare contemporaneamente in diversi modelli, ma se un’impresa fa sia commercio B2B che B2C, dovrà dedicare sezioni separate del sito per le diverse tipologie di clientela, con condizioni contrattuali specifiche.

Normativa e-commerce: i requisiti per aprire un negozio online

Vediamo quali sono i principali passi da seguire per vendere online a norma di legge.

Adempimenti amministrativi per avviare un e-commerce

Per aprire un negozio online a norma di legge, è necessario adempiere alla normativa fiscale. Gli adempimenti amministrativi, sebbene possano sembrare burocratici, sono essenziali per operare legalmente. Ecco quelli essenziali: 

• Aprire una Partita IVA con il codice ATECO appropriato per il commercio elettronico. Con la normativa del 2025, si è passati da 1 a 96 codici ATECO per gli e-commerce
• Presentare la SCIA (Segnalazione Certificata di Inizio Attività) al comune di residenza o sede dell’impresa
• Iscriversi al Registro delle Imprese presso la Camera di Commercio competente, ottenendo il numero REA

La complessità di questi adempimenti varia in base alla forma giuridica scelta, che può essere ditta individuale società di persone o di capitali, e alla tipologia di prodotti venduti. Ragion per cui si consiglia vivamente di rivolgersi a un commercialista specializzato prima ancora di progettare il sito web.

Obblighi di identificazione del venditore online

Il D.lgs. 70/2003, che recepisce la direttiva europea sul commercio elettronico,  e si applica sia all’ambito B2B che B2C, richiede che ogni venditore online renda facilmente accessibili alcune informazioni fondamentali. 

In base all’art. 7, infatti, il venditore deve rendere facilmente accessibili i dati dell’azienda. Sul sito devono essere chiaramente visibili:

• Denominazione dell’azienda
• Sede legale dell’attività
• Contatti diretti: email e numero di telefono
• Partita IVA o codice fiscale
• Numero di iscrizione al Registro delle Imprese

Si consiglia di inserire queste informazioni nel footer del sito web, ovvero in una sezione visibile in ogni pagina, garantendo così che l’utente possa facilmente identificare con chi sta entrando in relazione commerciale.

Normative e-commerce specifiche per categorie di prodotti

Ogni categoria di prodotti ha le sue normative specifiche che si aggiungono a quelle generali dell’e-commerce. Si tratta di regolamentazioni che variano significativamente in base al settore, non di un elenco asettico di requisiti.

Ad esempio, per un e-commerce di giocattoli è fondamentale rispettare le normative sulla sicurezza dei prodotti per l’infanzia, compresa la marcatura CE e le informazioni sulla fascia d’età consigliata. 

Per i prodotti alimentari, invece, sono necessari requisiti professionali specifici, registrazioni sanitarie e precise informazioni sugli ingredienti e allergeni. 

Il nuovo Regolamento UE 2023/988 sulla sicurezza dei prodotti (GPSR), entrato in vigore a dicembre 2024, ha poi introdotto ulteriori obblighi per tutti i venditori online, con particolare attenzione ai marketplace e alle responsabilità lungo tutta la catena di distribuzione.

Regole per ecommerce: i termini e condizioni di vendita

I Termini e le Condizioni Generali di Vendita costituiscono l’accordo tra l’e-commerce e l’acquirente, sia esso persona fisica o azienda. Rappresentano il documento legale più importante per un sito di commercio elettronico.

Elementi essenziali dei termini e condizioni

Secondo il D.lgs. 70/2003, i Termini e Condizioni devono contenere alcune informazioni obbligatorie, che devono essere fornite in maniera chiara, comprensibile e inequivocabile. L’art. 12 disciplina specificamente le informazioni dirette alla conclusione del contratto, mentre l’art. 13 si occupa dell’inoltro dell’ordine.

Le informazioni obbligatorie riguardano:

• Il processo tecnico da seguire per la conclusione del contratto
• Il modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso
• I mezzi messi a disposizione dell’utente per individuare e correggere gli errori di inserimento dei dati prima di inoltrare l’ordine
• Gli eventuali codici di condotta cui si aderisce e come accedervi
• Le lingue a disposizione per concludere il contratto oltre all’italiano
• Il link agli strumenti scelti per la composizione delle controversie (se non si è aderito ad un organismo specifico, occorre inserire il link alla piattaforma europea per la risoluzione delle controversie)

Queste informazioni devono essere accessibili all’utente già prima dell’inoltro dell’ordine, poi devono essere aggiornate e deve esserne consentita la memorizzazione e la riproduzione.

Validità delle clausole vessatorie

Un aspetto delicato nella redazione dei termini e condizioni riguarda le clausole vessatorie, ovvero quelle che comportano per l’acquirente una cessione di diritti disponibili. 

Alcuni esempi tipici di clausole vessatorie negli e-commerce sono:

• Limitazioni di responsabilità per il venditore in caso di ritardi nella consegna
• Foro competente diverso da quello di residenza del consumatore.

Il Codice Civile, all’art. 1341, richiede che tali clausole siano approvate specificamente per iscritto con doppia firma.

Nel contesto digitale, questo requisito viene soddisfatto attraverso due elementi:

• La preventiva registrazione al sito con l’inserimento di dati personali e password, che integra i requisiti della firma elettronica semplice
• L’apposizione di uno specifico flag sulle clausole vessatorie, ulteriore rispetto al flag relativo all’accettazione generale dei termini e condizioni.

Modalità di presentazione all’utente

Secondo l’art. 12 del D.lgs. 70/2003 e la Direttiva UE 2011/83 (recepita nel Codice del Consumo), è fondamentale che:

• I termini e condizioni siano accessibili prima dell’acquisto
• Sia presente una checkbox specifica per l’accettazione (non preselezionata)
• Il pulsante per finalizzare l’ordine riporti chiaramente che si tratta di un “ordine con obbligo di pagare”.

Termini e condizioni per e-commerce B2C

Per gli e-commerce rivolti ai consumatori, esistono altre informazioni obbligatorie imposte dall’art. 49 del Codice del Consumo (D.lgs. 206/2005):

• Prezzi e tariffe dei beni e servizi, comprensivi di imposte
• Spese di spedizione, consegna e ogni altro costo aggiuntivo (attenzione a non confondere “spedizione” con “consegna”, due concetti diversi)
• Modalità di pagamento, di consegna (ed eventuali limitazioni), il termine entro il quale ci si impegna a consegnare i beni o a prestare i servizi, il trattamento dei reclami
• Informazioni relative al diritto di recesso, le condizioni, i termini e le procedure per esercitare tale diritto
• Un promemoria dell’esistenza della garanzia legale di conformità per i beni, che ha subito anche modifiche normative a partire dal 1° gennaio 2022

Attenzione: a partire dal 2025, con l’abolizione della piattaforma ODR, è necessario aggiornare i riferimenti alla risoluzione delle controversie nei termini e condizioni, indicando i nuovi strumenti alternativi disponibili.

I termini e condizioni di vendita sono documenti “vivi” che vanno periodicamente aggiornati in base alle evoluzioni normative e alle modifiche del proprio business. Un documento ben redatto non solo protegge legalmente il venditore, ma contribuisce anche a costruire un rapporto di fiducia con i clienti, chiarendo diritti e obblighi di entrambe le parti.

Normativa vendita online: informazioni obbligatorie sui prodotti

Anche la scheda prodotto di un e-commerce deve rispettare precisi obblighi informativi per essere a norma di legge. Le informazioni presentate non devono solo servire a scopi commerciali, ma anche a tutelare i diritti dei consumatori fornendo tutti gli elementi necessari per una scelta d’acquisto consapevole.

Requisiti legali per la scheda prodotto di un e-commerce

Il Codice del Consumo stabilisce che ogni scheda prodotto di un e-commerce deve riportare informazioni chiare e complete. In particolare, l’art. 49 prevede che siano indicati:

• Il prezzo e le condizioni di vendita
• La dicitura “IVA INCLUSA”
• Le caratteristiche principali del prodotto
• La disponibilità o meno del prodotto
• I tempi di consegna stimati

La mancata o incompleta indicazione di questi elementi può comportare sanzioni da parte dell’AGCM, l’Autorità Garante della Concorrenza e del Mercato, oltre a creare potenziali controversie con i clienti.

Trasparenza sui prezzi: la Direttiva Omnibus e le nuove regole sugli sconti

La Direttiva Omnibus, recepita in Italia con il D.lgs. 26/2023, ha modificato le norme sugli sconti online. Nella scheda prodotto va indicato il prezzo precedente, inteso come il prezzo più basso applicato negli ultimi trenta giorni, includendo:

• La tipologia di sconto applicato
• Il prezzo finale scontato
• La dicitura “da-a”

Queste regole mirano a impedire pratiche commerciali scorrette, come l’innalzamento artificioso dei prezzi prima di applicare uno sconto. .

Se vuoi approfondire questo argomento puoi leggere l’articolo dedicato: Come gestire gli sconti online a norma di Direttiva Omnibus. 

Obblighi informativi sulla garanzia legale e commerciale

Un altro elemento fondamentale da indicare nella scheda prodotto è l’informazione relativa alla garanzia legale di conformità, regolata dall’art. 128 e seguenti del Codice del Consumo. Questa garanzia:

• Ha una durata di 24 mesi dalla consegna del bene
• È obbligatoria per legge e non può essere esclusa o limitata
• Tutela il consumatore in caso di difetti di conformità del prodotto

Il D.lgs. 170/202, in vigore dal 2022, ha introdotto importanti modifiche alla disciplina della garanzia legale, ampliando i diritti dei consumatori e aumentando la responsabilità dei venditori.

Se, oltre alla garanzia legale, viene offerta anche una garanzia commerciale (o “convenzionale”), è necessario specificare chiaramente:

• La sua durata
• Le condizioni specifiche
• Le eventuali limitazioni
• Che questa si aggiunge e non sostituisce la garanzia legale

Normativa per informazioni precontrattuali obbligatorie

Prima della conclusione del contratto di acquisto, il venditore online deve fornire una serie di informazioni precontrattuali che, secondo l’art. 49 del Codice del Consumo, includono:

• L’identità del professionista
• Le caratteristiche essenziali del bene o servizio
• Il prezzo totale comprensivo di imposte e spese accessorie
• Le modalità di pagamento e consegna
• Il promemoria dell’esistenza della garanzia legale
• La durata del contratto e le condizioni di recesso
• La funzionalità e interoperabilità dei contenuti digitali

Queste informazioni devono essere fornite in modo chiaro e comprensibile, prima che il consumatore sia vincolato da un contratto a distanza.

Nel caso di prodotti digitali o servizi online, è inoltre necessario fornire informazioni sulla compatibilità con hardware e software e sulle eventuali restrizioni tecniche.

Per i prodotti soggetti al nuovo Regolamento UE 2023/988 sulla sicurezza (GPSR), la scheda prodotto deve contenere anche informazioni sulla provenienza del prodotto, sulla sua sicurezza e su eventuali rischi per la salute del consumatore.

L’accuratezza e la completezza delle informazioni presentate nella scheda prodotto rappresentano anche un elemento fondamentale per costruire la fiducia dei clienti e ridurre il tasso di resi, migliorando così le performance complessive dell’e-commerce.

Regolamentazione e-commerce: processo d’acquisto e pagamento

Il processo di acquisto e pagamento rappresenta la fase cruciale della transazione online. La normativa e-commerce prevede regole precise per garantire trasparenza e sicurezza sia per il venditore che per l’acquirente.

Procedure di check-out conformi alla legge

Il processo di check-out di un e-commerce deve essere progettato nel rispetto del D.lgs. 70/2003 e del Codice del Consumo. In particolare:

• Deve essere chiaramente identificabile il momento esatto in cui si conclude il contratto
• Il pulsante per l’inoltro dell’ordine deve riportare la dicitura “ordine con obbligo di pagare” o formulazioni equivalenti (come previsto dall’art. 51, comma 2 del Codice del Consumo)
• Prima della conferma definitiva, l’utente deve poter rivedere e modificare il contenuto del proprio carrello
• È necessario fornire un riepilogo dell’ordine che includa prodotti, quantità, prezzo totale e modalità di pagamento e consegna

Il mancato rispetto di queste disposizioni può comportare conseguenze impattanti per il tuo business: in particolare, se il pulsante d’ordine non indica chiaramente l’obbligo di pagamento, il consumatore non è vincolato dal contratto o dall’ordine, come stabilito dall’art. 51, comma 2 del Codice del Consumo.

Nelle pagine di check-out è inoltre necessario trattare con particolare attenzione i dati personali raccolti. Secondo il GDPR, questi dati devono:

• Essere trattati esclusivamente per la finalità di gestione dell’ordine
• Essere cancellati una volta esaurita la finalità (salvo obblighi di conservazione fiscali)
• Non essere utilizzati per attività di marketing senza uno specifico consenso

Normativa sulla conferma d’ordine e ricevuta d’acquisto

La mail di conferma dell’ordine deve contenere:

• Il riepilogo dell’ordine: prodotti/servizi, prezzo, spese, metodo di pagamento
• Informazioni sul diritto di recesso se applicabile
• Il testo delle condizioni di vendita in vigore al momento dell’ordine

Secondo l’art. 13 del D.lgs. 70/2003 e l’art. 51, comma 7 del Codice del Consumo, il venditore deve fornire la conferma del contratto su un “supporto durevole”, definito dall’art. 45 del Codice del Consumo come uno strumento che permetta di conservare e riprodurre le informazioni.

Le email sono considerate un supporto durevole. Per le condizioni di vendita, possono essere fornite come allegato o tramite un link permanente a una versione non modificabile. La Corte di Giustizia dell’UE, con una sentenza del 2012, ha chiarito che un link a un sito web è considerato supporto durevole solo se garantisce l’archiviazione, l’accesso e l’inalterabilità delle informazioni.

Regole sui tempi e costi di consegna

L’art. 61 del Codice del Consumo stabilisce chiaramente le regole relative alla consegna dei beni acquistati online:

• Il professionista è tenuto a consegnare i beni entro 30 giorni dalla data di conclusione del contratto, a meno che le parti non abbiano concordato un termine diverso
• In caso di mancata consegna entro il termine, il consumatore ha diritto di invitare il professionista a effettuare la consegna entro un termine supplementare appropriato alle circostanze
• Se il termine supplementare scade senza che i beni siano stati consegnati, il consumatore ha diritto di risolvere il contratto e ottenere il rimborso senza indebito ritardo.

Per quanto riguarda i costi di consegna, questi devono essere indicati chiaramente prima della conclusione dell’ordine. La Direttiva Omnibus ha rafforzato gli obblighi di trasparenza in merito, imponendo che tutte le spese accessorie siano mostrate in modo chiaro e non nascoste fino all’ultimo passaggio del processo di acquisto.

Legislazione e-commerce sui metodi di pagamento

L’offerta di metodi di pagamento vari è un elemento importante per un e-commerce, ma è soggetta a specifiche normative:

• Il Decreto Legislativo 11/2010, che ha recepito la Direttiva 2007/64/CE sui servizi di pagamento (PSD), stabilisce i diritti e gli obblighi relativi alla prestazione e all’utilizzo dei servizi di pagamento
• Il Regolamento UE 2015/751 impone un tetto alle commissioni interbancarie per i pagamenti tramite carta di credito e di debito
• Il Regolamento UE 910/2014 (eIDAS) fornisce un quadro normativo per le firme elettroniche, le transazioni elettroniche e i servizi fiduciari
• La PSD2 (Direttiva UE 2015/2366) che ha introdotto l’autenticazione forte del cliente (SCA) e misure di sicurezza avanzate

Secondo l’art. 62 del Codice del Consumo, i venditori non possono imporre spese per l’utilizzo di strumenti di pagamento che superino il costo effettivamente sostenuto.

Disciplina e-commerce: il diritto di recesso nel B2C

Il diritto di recesso rappresenta una delle tutele più importanti per il consumatore negli acquisti online. La sua corretta gestione è fondamentale per ogni e-commerce che intenda operare nel rispetto della normativa.

Normativa aggiornata 2025 sul diritto di recesso nell’e-commerce

Il diritto di recesso è disciplinato principalmente dagli articoli 52-59 del Codice del Consumo, che sono stati oggetto di continui aggiornamenti per adeguarsi alle evoluzioni del mercato digitale.

La normativa stabilisce che:

• Il consumatore dispone di un periodo di 14 giorni per recedere dal contratto senza dover fornire alcuna motivazione e senza sostenere costi diversi da quelli previsti dalla legge
• Il periodo di 14 giorni decorre:
  • Per i contratti di servizio: dal giorno della conclusione del contratto
  • Per i contratti di vendita: dal giorno in cui il consumatore acquisisce il possesso fisico dei beni
  • Nel caso di beni multipli ordinati in un solo ordine ma consegnati separatamente: dal giorno in cui il consumatore acquisisce il possesso fisico dell’ultimo bene

Nel 2022, con il D.lgs. 173/2021 che ha recepito la Direttiva UE 2019/2161 (parte del pacchetto “New Deal for Consumers”), sono state introdotte alcune modifiche alla disciplina del recesso, in particolare per quanto riguarda i contenuti digitali e i servizi digitali.

Come gestire il recesso: obblighi del venditore online

Il diritto di recesso è disciplinato dagli articoli 52-59 del Codice del Consumo e prevede che:

• Il consumatore dispone di 14 giorni per recedere senza motivazione e senza costi aggiuntivi
• Il periodo decorre dalla conclusione del contratto (servizi) o dall’acquisizione del possesso fisico del bene (prodotti)

Nel 2022, il D.lgs. 173/2021 (recepimento della Direttiva UE 2019/2161) ha introdotto modifiche alla disciplina, in particolare per contenuti digitali e servizi digitali.

Puoi approfindire l’argomento nel  nostro articolo sul diritto di recesso online.

Esclusioni dal diritto di recesso nella vendita online

Non tutti i prodotti e servizi venduti online sono soggetti al diritto di recesso. L’art. 59 del Codice del Consumo prevede una serie di eccezioni, tra cui:

• Beni confezionati su misura o chiaramente personalizzati
• Beni che rischiano di deteriorarsi o scadere rapidamente
• Beni sigillati che non si prestano ad essere restituiti per motivi igienici o connessi alla protezione della salute e che sono stati aperti dopo la consegna
• Contenuti digitali forniti su supporto non materiale se l’esecuzione è iniziata con l’accordo espresso del consumatore e con la sua accettazione del fatto che avrebbe perso il diritto di recesso
• Servizi la cui esecuzione è iniziata con l’accordo espresso del consumatore e con la sua accettazione di perdere il diritto di recesso a esecuzione completata
• Prodotti audiovisivi o software sigillati che sono stati aperti dopo la consegna
• Giornali, periodici e riviste ad eccezione dei contratti di abbonamento
• Contratti conclusi in occasione di un’asta pubblica
• Servizi di alloggio, trasporto, noleggio di autovetture, catering o servizi relativi ad attività di svago se il contratto prevede una data o un periodo di esecuzione specifici

È fondamentale che queste esclusioni siano chiaramente indicate al consumatore prima dell’acquisto, per evitare contestazioni successive.

Leggi e-commerce: sanzioni per mancato rispetto del diritto di recesso

Le conseguenze possono essere:

• Sanzioni amministrative dall’AGCM fino a 5 milioni di euro (art. 27 Codice del Consumo)
• Prolungamento del periodo di recesso a 12 mesi se non fornite le informazioni (art. 53 Codice del Consumo)
• Azioni inibitorie da associazioni dei consumatori
• Danni reputazionali

L’AGCM interviene regolarmente contro gli e-commerce che ostacolano il diritto di recesso, con casi emblematici come quello di YOOX NET-A-PORTER GROUP S.P.A., sanzionata dall’Autorità per pratiche commerciali scorrette, tra cui “ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori“. 

Normativa e-commerce Italia: privacy e protezione dati

La tutela dei dati personali è un aspetto fondamentale per gli shop online, che trattano quotidianamente un’ampia gamma di informazioni sui propri clienti. Questa tutela viene garantita attraverso la corretta impostazione di privacy policy e cookie policy.

GDPR per e-commerce: obblighi specifici per negozi online

Il Regolamento Generale sulla Protezione dei Dati impone obblighi specifici per gli e-commerce rispetto ad altri siti web:

• Principio di minimizzazione dei dati: gli e-commerce possono raccogliere solo i dati strettamente necessari alle finalità dichiarate. Ad esempio, nelle pagine di check-out devono essere richiesti esclusivamente i dati indispensabili per l’evasione dell’ordine.
  
• Base giuridica del trattamento: secondo l’art. 6 del GDPR, per le transazioni commerciali, la base giuridica principale è l’esecuzione del contratto. Per attività accessorie come il marketing, è invece necessario il consenso esplicito dell’interessato.
  
• Diritti degli interessati: gli e-commerce devono garantire ai clienti l’esercizio dei diritti previsti dagli artt. 15-22 del GDPR, tra cui accesso, rettifica, cancellazione e portabilità dei dati.
  
• Misure di sicurezza adeguate: è obbligatorio implementare misure tecniche e organizzative per proteggere i dati personali, come protocolli HTTPS, sistemi di pagamento sicuri e procedure per la gestione delle violazioni dei dati (data breach).
  
• Registro dei trattamenti: secondo l’art. 30 del GDPR, gli e-commerce che non sono piccole o medie imprese devono tenere un registro delle attività di trattamento.

Il mancato rispetto del GDPR può comportare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, se superiore.

Informativa privacy conforme per siti di vendita online

La Privacy Policy deve informare sulla tipologia di dati raccolti e sulle finalità e modalità di trattamento, includendo:

• Identità del titolare del trattamento
• Categorie di dati, modalità e finalità del trattamento
• Base giuridica
• Terzi destinatari dei dati
• Diritti degli utenti

Un e-commerce che opera in diversi paesi UE deve tenere conto delle differenze nella legislazione nazionale che integra il GDPR. Ad esempio, in Italia il Decreto Legislativo 101/2018 ha armonizzato il Codice Privacy con il GDPR, aggiungendo specifiche disposizioni.

Abbiamo dedicato un articolo alla privacy policy per e-commerce qui.

Gestione consensi marketing nell’e-commerce

La gestione dei consensi per attività di marketing è un argomento particolarmente delicato per gli e-commerce. Si distinguono due tipologie principali di trattamenti:

• Soft opt-in: secondo l’art. 130, comma 4 del Codice Privacy, per clienti già acquisiti è possibile inviare comunicazioni di marketing relative a prodotti analoghi a quelli già acquistati, senza necessità di un nuovo consenso specifico, purché sia offerta la possibilità di opporsi facilmente a tali comunicazioni.
  
• Opt-in esplicito: per tutte le altre attività di marketing come invio di newsletter a non clienti, marketing relativo a prodotti diversi da quelli acquistati, profilazione, cessione dei dati a terzi, è necessario il consenso esplicito, libero, specifico, informato e inequivocabile dell’interessato.

Il Garante Privacy italiano ha più volte sottolineato che:

• I checkbox per il consenso non possono essere pre-spuntati
• Ciascuna finalità di marketing deve avere il proprio checkbox separato, quindi no al consenso “cumulativo”
• Il consenso al marketing non può essere condizione per usufruire del servizio principale che in questo caso è l’acquisto
• È necessario conservare prova del consenso ottenuto

DPO per e-commerce: quando è obbligatorio secondo la normativa

La figura del Responsabile della Protezione dei Dati (DPO o Data Protection Officer) non è sempre obbligatoria per gli e-commerce. Secondo l’art. 37 del GDPR, la nomina del DPO è necessaria quando:

• Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (non applicabile agli e-commerce privati)
• Le attività principali del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
• Le attività principali consistono nel trattamento su larga scala di categorie particolari di dati personali (dati sensibili)

Un e-commerce deve quindi valutare se rientra nelle ultime due categorie. In particolare, elementi che possono richiedere la nomina di un DPO sono:

• Tracciamento estensivo degli utenti a fini di profilazione e marketing personalizzato
• Utilizzo di sistemi avanzati di riconoscimento delle preferenze d’acquisto
• Volume elevato di clienti e transazioni
• Trattamento di dati relativi alla salute (e-commerce di prodotti farmaceutici, integratori o dispositivi medici)

In caso di dubbio sulla necessità di nominare un DPO, è consigliabile documentare le valutazioni effettuate per dimostrare l’approccio responsabile dell’azienda, in base al principio di accountability.

Quando non obbligatorio, molti e-commerce scelgono comunque di nominare un DPO volontario o, in alternativa, il Privacy Manager, per garantire una corretta gestione della compliance al GDPR.

E-commerce leggi: cookie e tracciamento online

La tematica dei cookie è strettamente connessa alla vendita online di prodotti e servizi, ed è fondamentale per ogni e-commerce comprendere come gestirli correttamente.

Cookie policy per vendita online

La cookie policy per e-commerce deve informare l’utente su quali cookie il sito utilizza. I cookie sono piccoli file che vengono scaricati dagli utenti, in maniera inconsapevole, per diverse finalità.

Secondo la normativa vigente, aggiornata per il 2025, la cookie policy deve:

• Specificare quali tipi di cookie vengono utilizzati (tecnici, di profilazione, di terze parti)
• Indicare le finalità di ciascuna categoria di cookie
• Descrivere come l’utente può gestire le preferenze relative ai cookie
• Essere facilmente accessibile dal sito e-commerce
• Essere redatta in linguaggio chiaro e comprensibile

Nel 2025, con l’evoluzione delle tecnologie di tracciamento, la cookie policy deve anche contenere informazioni su tecniche di tracciamento alternative ai cookie, come il fingerprinting del browser o l’uso di localStorage e sessionStorage.

Il banner dei cookie e la raccolta del consenso

La Direttiva ePrivacy (2002/58/CE) richiede il consenso informato degli utenti per l’utilizzo di cookie di profilazione, raccolto attraverso il banner cookie. Nel 2023, le Linee Guida sui cookie e altri strumenti di tracciamento del Garante Privacy hanno stabilito che:

Nel 2023, le Linee Guida sui cookie e altri strumenti di tracciamento del Garante Privacy hanno confermato e rafforzato i principi chiave:

• Il banner cookie deve apparire alla prima visita dell’utente sul sito
• I cookie di profilazione devono essere bloccati fino a quando l’utente non ha espresso il consenso al loro rilascio
• Il banner deve consentire all’utente di rifiutare tutti i cookie con la stessa facilità con cui può accettarli
• Non sono ammessi banner con pulsanti di accettazione più evidenti di quelli di rifiuto
• È vietato il cosiddetto “scrolling consent” (consenso mediante scorrimento della pagina)

Regole e-commerce per tracciamento e profilazione

Per le attività di tracciamento e profilazione, gli e-commerce devono rispettare precisi obblighi legali:

• Raccogliere il consenso esplicito dell’utente (art. 6, paragrafo 1, lettera a del GDPR) come base giuridica
• Fornire un’informativa chiara e dettagliata sulle attività di profilazione
• Garantire il diritto di revoca del consenso in qualsiasi momento
• Limitare la conservazione dei dati di profilazione

Per gli e-commerce che utilizzano cookie di profilazione di terze parti, è necessario assicurarsi che anche queste terze parti operino in conformità con il GDPR, in particolare per quanto riguarda i trasferimenti di dati fuori dall’UE.

Per approfondire queste tematiche, ti consigliamo di consultare i nostri articoli specializzati su come riconoscere i cookie di profilazione e sulla corretta implementazione del cookie banner.

Best practice e-commerce del Garante Privacy

Vendere su internet a norma non significa solo rispettare le clausole previste dalla legge. Ci sono infatti tante indicazioni su come vendere a norma online che provengono direttamente dalle Autorità, note come “best practice”.

Il Garante Privacy italiano ha emesso numerosi provvedimenti che costituiscono un riferimento importante per gli e-commerce:

• Provvedimento sulle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, che ha stabilito regole precise su come presentare i banner cookie e gestire il consenso
• Provvedimento sull’utilizzo di Google Analytics del 9 giugno 2022, che ha evidenziato problematiche relative al trasferimento di dati verso gli USA
• Linee Guida sul marketing diretto del 2023, che forniscono indicazioni pratiche sulla gestione dei consensi per attività promozionali

Queste best practice delle Autorità rappresentano requisiti legali per e-commerce che, sebbene non sempre codificati in legge, sono vincolanti e la loro violazione può comportare sanzioni.

La messa a norma del sito di commercio elettronico passa quindi anche attraverso questi requisiti legali che solo avvocati esperti in diritto digitale ed e-commerce conoscono approfonditamente.

Regole per marketing e comunicazioni commerciali dei negozi online

Le comunicazioni commerciali rappresentano un aspetto fondamentale del business online, ma devono rispettare precise regole per tutelare i consumatori.

Normativa newsletter per e-commerce

L’invio di newsletter e comunicazioni commerciali è regolamentato da diverse normative:

• Il D.lgs. 70/2003 stabilisce all’art. 8 che le comunicazioni commerciali devono essere chiaramente identificabili come tali e indicare la persona fisica o giuridica per conto della quale vengono effettuate
• Il GDPR richiede che per l’invio di newsletter sia ottenuto un consenso specifico, libero, informato e inequivocabile
• Il Codice Privacy contiene ulteriori disposizioni sull’invio di comunicazioni commerciali all’art. 130

Le newsletter devono contenere, sin dal primo invio, in modo chiaro e inequivocabile, una specifica informativa, diretta a evidenziare:

• Che si tratta di comunicazione commerciale
• La persona fisica o giuridica per conto della quale è effettuata la comunicazione
• Eventuali offerte promozionali, sconti, premi, omaggi e relative condizioni di accesso
• Eventuali concorsi o giochi promozionali e relative condizioni di partecipazione

Inoltre, ogni newsletter deve includere un link per l’opt-out, ovvero per richiedere di non ricevere più le comunicazioni commerciali, come ad esempio per cancellarsi dalla newsletter.

Direttiva Omnibus: divieto di recensioni false e obblighi di trasparenza

Con l’implementazione della Direttiva Omnibus, recepita in Italia con il D.lgs. 26/2023, sono state introdotte importanti novità in materia di comunicazioni commerciali online:

• Divieto di recensioni false: è vietato dichiarare falsamente che le recensioni di un prodotto sono state pubblicate da consumatori che hanno effettivamente utilizzato o acquistato il prodotto. L’e-commerce deve:
  • Adottare misure ragionevoli per verificare che le recensioni provengano da consumatori reali
  • Indicare se e come viene verificata l’autenticità delle recensioni
  • Non pubblicare recensioni false o manipolate
• Trasparenza nei risultati di ricerca: se i risultati di ricerca all’interno di un e-commerce sono influenzati da pagamenti o altre forme di remunerazione, questo deve essere chiaramente indicato
• Trasparenza sui prezzi personalizzati: se il prezzo viene personalizzato sulla base di decisioni automatizzate e profilazione dell’utente, il consumatore deve esserne informato
• Trasparenza sui venditori terzi: per i marketplace, è necessario indicare se il venditore del prodotto è un professionista o un privato, in quanto questo influisce sui diritti dei consumatori

Le violazioni di queste disposizioni sono considerate pratiche commerciali scorrette ai sensi del Codice del Consumo e possono essere sanzionate dall’AGCM con multe fino a 10 milioni di euro. 

Ne abbiamo parlato in modo approfondito qui.

Normative per promozioni e offerte speciali online

Le promozioni e le offerte speciali online devono rispettare precise normative:

• Trasparenza sui prezzi e sugli sconti: con la nuova normativa introdotta dalla Direttiva Omnibus, quando si annuncia una riduzione di prezzo di un prodotto, è necessario indicare come prezzo precedente il prezzo più basso applicato nei 30 giorni precedenti l’applicazione della riduzione
• Regolamentazione delle vendite promozionali: in alcune regioni italiane, le vendite promozionali possono essere soggette a limitazioni temporali, da cui sono esenti le vendite online (ma solo se effettuate da operatori che vendono esclusivamente via internet)
• Regolamento UE 2022/612 sul roaming: per le comunicazioni commerciali inviate a utenti che si trovano in altri Paesi UE, è vietato applicare sovraprezzi
• Disposizioni specifiche per settori regolamentati: alcuni settori, come quello farmaceutico, finanziario o delle bevande alcoliche, hanno ulteriori limitazioni per le promozioni online

È importante notare che per i concorsi a premi e le operazioni a premio online valgono le stesse regole previste per quelli offline (DPR 430/2001):

• L’e-commerce deve predisporre un regolamento e depositarlo presso il Ministero delle Imprese e del Made in Italy
• Per i concorsi a premio è necessario prestare una cauzione
• Al termine del concorso o operazione a premio, deve essere redatto un verbale di chiusura

Sappiamo che le comunicazioni commerciali rappresentano uno strumento essenziale per il successo di un e-commerce, ma devono essere gestite nel pieno rispetto delle normative che tutelano i consumatori. La violazione di queste regole può comportare non solo sanzioni, ma anche danni reputazionali significativi.

Le regole per la risoluzione delle controversie con l’acquirente

Tra le novità del 2025, c’è anche l’abolizione della piattaforma ODR da marzo 2025. Prima era obbligatorio per gli ecommerce inserire nei termini e condizioni il riferimento alla piattaforma e il link per accedervi.

Fine dell’ODR da luglio 2025: cosa cambia per gli e-commerce

In data 31.12.2024 è stato pubblicato nella Gazzetta Ufficiale della Unione europea il Regolamento (UE) 2024/3228 del Parlamento e del Consiglio del 19 dicembre 2024 che abroga il Regolamento (UE) 524/2013 e modifica i regolamenti (UE) 2017/2394 e (UE) 2018/1724 per quanto riguarda la dismissione della piattaforma europea per la risoluzione delle controversie on-line (ODR).

Le disposizioni sono entrate in vigore il 19 gennaio 2025 e a partire dal 20 marzo 2025 non sarà più possibile presentare reclami sulla piattaforma.

Questo cambiamento normativo ha importanti implicazioni per gli e-commerce:

• Non sarà più obbligatorio inserire nei termini e condizioni di vendita il link alla piattaforma ODR
• Gli e-commerce dovranno aggiornare la documentazione legale del sito rimuovendo i riferimenti alla piattaforma ODR
• Sarà necessario indicare ai consumatori strumenti alternativi per la risoluzione delle controversie

La piattaforma ODR era stata istituita dal Regolamento UE 524/2013 con l’obiettivo di offrire uno strumento semplice ed efficace per risolvere le controversie relative agli acquisti online senza ricorrere alle vie giudiziarie tradizionali. La sua dismissione rappresenta un cambio di approccio nella gestione delle controversie transfrontaliere.

Strumenti di risoluzione controversie nel commercio elettronico

Con l’abolizione della piattaforma ODR, gli e-commerce dovranno fare riferimento ad altri strumenti di risoluzione alternativa delle controversie (ADR – Alternative Dispute Resolution):

• Organismi ADR nazionali: ogni Stato membro dell’UE dispone di organismi ADR settoriali che continueranno a operare anche dopo la dismissione della piattaforma ODR
• Mediazione: procedure di conciliazione gestite da organismi accreditati presso il Ministero della Giustizia
• Negoziazione paritetica: accordi tra aziende e associazioni dei consumatori per la gestione delle controversie
• Arbitrato: procedura in cui un terzo imparziale emette una decisione vincolante

L’Unione Europea sta lavorando a nuove soluzioni tecnologiche per facilitare la risoluzione delle controversie transfrontaliere, che potrebbero essere implementate dopo la dismissione della piattaforma ODR.

Obblighi normativi nella gestione dei reclami online

Indipendentemente dalla dismissione della piattaforma ODR, gli e-commerce hanno specifici obblighi nella gestione dei reclami:

• L’art. 49, comma 1, lett. h) del Codice del Consumo richiede che il professionista fornisca informazioni sulla procedura di reclamo
• L’art. 141-sexies del Codice del Consumo obbliga i professionisti a informare i consumatori sulla possibilità di ricorrere a meccanismi extragiudiziali di risoluzione delle controversie

Gli e-commerce devono:

• Fornire un servizio clienti adeguato e facilmente accessibile
• Rispondere ai reclami in modo tempestivo (preferibilmente entro 14 giorni)
• Documentare le comunicazioni con i clienti
• Indicare chiaramente le modalità con cui il consumatore può presentare un reclamo
• Informare i consumatori sugli organismi ADR competenti

Vendita online normativa: aspetti internazionali

E se l’e-commerce vende fuori dall’Italia? Vige il principio per cui deve essere tutelato il consumatore, in particolare se siamo nell’ambito del B2C. Quindi bisogna applicare la normativa del Paese di residenza degli acquirenti.

Normativa per vendita nei Paesi UE: adempimenti necessari

Per vendere online in altri paesi dell’Unione Europea, gli e-commerce italiani devono confrontarsi con un quadro normativo complesso:

• Principio del paese di destinazione: secondo il Regolamento Roma I (Regolamento CE 593/2008), nelle vendite B2C si applica generalmente la legge del paese in cui il consumatore ha la residenza abituale. Ciò significa che un e-commerce italiano che vende a consumatori francesi deve rispettare anche le norme imperative francesi a tutela dei consumatori.
• Armonizzazione parziale: sebbene molte normative siano armonizzate a livello UE (come il diritto di recesso di 14 giorni), esistono ancora differenze nazionali significative.
• Normativa linguistica: alcuni Stati membri richiedono che le informazioni precontrattuali e i termini di vendita siano disponibili nella lingua ufficiale del paese di destinazione.
• Specifiche normative settoriali: per prodotti regolamentati come medicinali, integratori, alimenti, cosmetici, dispositivi elettrici, è necessario rispettare le normative settoriali del paese di destinazione.
• Diritto di recesso: sebbene armonizzato a 14 giorni in tutta l’UE dal Codice del Consumo, le modalità pratiche di esercizio possono variare.

Un e-commerce che intende operare in più paesi UE deve quindi predisporre condizioni contrattuali specifiche per ogni Paese in cui opera, redatte nella lingua del Paese di riferimento.

Normativa per vendita extra-UE: adempimenti necessari

Vendere al di fuori dell’Unione Europea comporta ulteriori complessità normative:

• Legge applicabile e foro competente: è consigliabile specificare nei termini e condizioni quale sarà la legge applicabile e il foro competente, tenendo conto che alcune giurisdizioni potrebbero comunque ritenere applicabile la propria normativa a tutela dei consumatori.
• Norme doganali: è necessario rispettare le norme doganali del paese di destinazione, comprese eventuali restrizioni all’importazione, certificazioni specifiche e requisiti di etichettatura.
• Conformità dei prodotti: i prodotti devono essere conformi agli standard di sicurezza e qualità del paese di destinazione, che possono differire significativamente da quelli europei.
• Proprietà intellettuale: è importante verificare che marchi, brevetti e diritti d’autore siano adeguatamente protetti nel paese di destinazione.
• Fiscalità: è necessario comprendere e rispettare gli obblighi fiscali del paese di destinazione, incluse eventuali imposte sulla vendita.
• Privacy e protezione dei dati: è fondamentale considerare le normative sulla privacy del paese di destinazione e, se più restrittive del GDPR, adeguarsi ad esse.
• Sanzioni internazionali: verificare che il paese di destinazione non sia soggetto a sanzioni o restrizioni commerciali.

Per facilitare l’esportazione attraverso canali digitali, esistono piattaforme di e-commerce cross-border che gestiscono molti di questi aspetti per conto del venditore.

Sanzioni per e-commerce non conformi alle normative

Le sanzioni per gli e-commerce che non rispettano la normativa possono essere particolarmente severe:

• Sanzioni dell’AGCM: secondo l’art. 27 del Codice del Consumo, l’Autorità può irrogare sanzioni amministrative pecuniarie da un minimo di 5.000 euro fino a 5 milioni di euro. La misura della sanzione tiene conto della gravità e della durata della violazione, dell’opera svolta dall’impresa per eliminare o attenuare l’infrazione, della personalità dell’agente e delle condizioni economiche dell’impresa.
  
• Sanzioni del Garante Privacy: per violazioni del GDPR, le sanzioni possono arrivare fino a 20 milioni di euro oppure, nel caso di imprese, fino al 4% del fatturato mondiale annuo, se superiore. Le sanzioni vengono graduate in base a vari fattori, tra cui la natura e la gravità della violazione, il numero di soggetti coinvolti, le misure adottate per mitigare il danno e la cooperazione con l’autorità.
  
• Altre sanzioni:
  • Per violazioni fiscali, le sanzioni sono applicate dall’Agenzia delle Entrate
  • Per false comunicazioni di conformità CE, sono previste sanzioni penali
  • Per violazioni delle norme doganali, vengono comminate sanzioni dall’Agenzia delle Dogane

Oltre alle sanzioni pecuniarie, le autorità possono imporre:

• La cessazione della pratica commerciale scorretta
• La pubblicazione del provvedimento sanzionatorio (con ulteriore danno reputazionale)
• L’obbligo di adottare misure correttive specifiche

L’elevato numero di sanzioni comminate e la loro entità significativa evidenziano l’importanza di investire nella compliance normativa fin dalle prime fasi di progettazione di un e-commerce  applicando i principi di privacy by design e by default, oltre che di mantenere un monitoraggio costante sull’evoluzione della normativa.

La normativa e-commerce come leva strategica per le performance

Se gestisci un e-commerce o stai per lanciarne uno, c’è una domanda che devi porti seriamente: il tuo shop online è davvero a norma o èsemplicemente “ben fatto”?

Nel 2025, la conformità normativa non è solo una questione di obblighi, ma è anche una leva per distinguersi, per costruire fiducia, per convertire di più. Troppi imprenditori sottovalutano
il peso legale delle informazioni obbligatorie, delle policy, dei meccanismi di recesso o della gestione dei dati personali. Ma ogni dettaglio trascurato si traduce in un rischio concreto: perdita di clienti, sanzioni, reputazione danneggiata.

Legal For Digital affronta questi temi ogni giorno, dal 2018, affiancando centinaia di e-commerce, dai progetti appena nati ai brand già strutturati, e trasformando la compliance in un
vantaggio competitivo reale. Crediamo in un approccio chiaro e basato su una legalità che sia a sostegno delle performance. Se vuoi portare il tuo e-commerce ad un livello successivo, con una
struttura solida, performante e tenendolo al riparo da errori evitabili, possiamo lavorarci insieme.