Adeguamento al Decreto Legislativo 138/2024 e Recepimento della Direttiva NIS2: la nostra TIMELINE per le aziende interessate

Il Decreto Legislativo 138 del 2024, che recepisce la Direttiva NIS2 (Direttiva UE 2022/2555), introduce nuove regole per migliorare la sicurezza informatica delle aziende e delle Pubbliche Amministrazioni (PA) essenziali o importanti per l’economia e la società. Il nostro studio è pronto per guidarvi nel processo di adeguamento e fornire chiarimenti sulla timeline NIS2 stabilita per conformarsi.

Tempistiche Chiave

Ecco le principali scadenze che le aziende e le PA devono tenere a mente per evitare sanzioni e garantire la conformità.

1. Valutazione preliminare: Entro il 31 dicembre 2024
Le aziende e le Pubbliche Amministrazioni devono valutare se rientrano tra i destinatari della normativa NIS2. Questa fase iniziale è essenziale per determinare se la vostra organizzazione è classificata come “essenziale” o “importante” ai sensi della legge.

2. Registrazione obbligatoria: Dal 1 gennaio 2025 al 28 febbraio 2025
Le aziende identificate come destinatari devono registrarsi sulla piattaforma digitale predisposta dall’Autorità per la Cybersicurezza Nazionale (ACN). Entro il 17 gennaio 2025, soggetti come fornitori di servizi cloud, data center, mercati online e social network, sono obbligati a completare questa registrazione.

3. Redazione elenco ACN: Entro il 31 marzo 2025
L’ACN redigerà un elenco ufficiale di tutti i soggetti considerati essenziali o importanti. Questo documento sarà fondamentale per identificare coloro che devono rispettare le misure di sicurezza rafforzate previste dalla normativa.

4. Comunicazione dell’ACN: Tra il 1 aprile e il 15 aprile 2025
I soggetti inseriti nell’elenco riceveranno una comunicazione ufficiale dall’ACN. A partire da questo momento, sarà necessario prendere provvedimenti per garantire il rispetto delle nuove norme.

5. Nomina del responsabile NIS2: Entro il 15 aprile 2025
Le aziende o le PA incluse nell’elenco dell’ACN devono nominare un Responsabile per la conformità alle regole della NIS2. Questa figura sarà incaricata di gestire la sicurezza informatica e di comunicare eventuali violazioni o incidenti all’ACN.

6. Obbligo di comunicazione degli incidenti: Dal 1 gennaio 2026
Dal 2026, diventerà obbligatorio per le aziende segnalare qualsiasi incidente informatico all’ACN, garantendo una risposta tempestiva alle minacce alla sicurezza.

Questa timeline è fondamentale per evitare ritardi o non conformità. Il nostro team di esperti vi accompagnerà in ogni fase del processo di adeguamento, assicurandovi di soddisfare tutti i requisiti legali e operativi.

Soggetti coinvolti

Per la valutazione di cui al punto 1 è indispensabile conoscere la classificazione dei soggetti coinvolti. Le aziende interessate dalla NIS 2 e dal relativo Decreto Legislativo 138/2024 si dividono in diverse categorie e settori ritenuti critici o altamente critici per la sicurezza nazionale e la stabilità economica. Il decreto si applica sia ai soggetti privati che pubblici, come indicato negli Allegati I, II, III e IV del decreto.

Scarica qui la Timeline di adeguamento NIS2 PDF

 

Web scraping: Meta sospende i suoi progetti sull’IA in Europa dopo i reclami sulla privacy

META sospende il programma e il diritto di opposizione

Il 26 giugno 2024 scadeva il termine, per i cittadini dell’Unione Europea, per presentare opposizione all’utilizzo da parte di Meta dei dati personali dei propri utenti ai fini di web scraping, esercitando il proprio diritto ex art. 18 GDPR.

È recentissima la notizia che Meta abbia però sospeso questo progetto, almeno per quanto riguarda l’Unione Europea e lo Spazio economico europeo, a seguito di una richiesta in tal senso da parte dell’Autorità irlandese di autoregolamentazione della privacy.

Il colosso social aveva infatti poco tempo fa comunicato che i dati personali, contenuti nei post pubblicati dagli utenti su Facebook ed Instagram, sarebbero stati utilizzati da fine giugno in poi per attività di web scraping. Per quanto gli utenti europei di Meta più sensibili in tema di privacy possano per ora tirare un sospiro di sollievo, occorre sottolineare che non si tratta dell’unico operatore del web che ha intenzione di utilizzare dati, anche personali, per simili finalità.

Web scraping: cosa si intende?

Ma in cosa consiste l’attività di web scraping? E per quale motivo dev’essere data agli utenti la possibilità di opporvisi? Proveremo a spiegarlo brevemente con questo articolo.

Il web scraping è, sinteticamente, la raccolta massiva di dati, anche personali, pubblicati nei siti web e nelle piattaforme online, da parte di chi sviluppa sistemi di Intelligenza Artificiale Generativa, o IAG.

Più nello specifico, esso consiste nella combinazione di tecniche di web crawling, vale a dire scansione sistematica della rete da parte di bot al fine di raccogliere ed indicizzare i dati contenuti nelle pagine web per garantire il funzionamento dei motori di ricerca, con un’attività di conservazione e memorizzazione dei dati raccolti, per successive mirate analisi, elaborazioni ed utilizzi. Fra queste rientrano anche le finalità di addestramento di algoritmi di IAG.

Il Provvedimento dell’Autorità Garante

Di recente il Garante per la protezione dei dati personali ha denunciato, con la Nota Integrativa al Provvedimento n. 329 del 20 maggio 2024, che nella misura in cui il web scraping implica la raccolta di informazioni riconducibili a una persona fisica identificata o identificabile, si pone un problema di protezione dei dati personali.

Nella stessa Nota Integrativa il Garante suggerisce ai gestori di siti web e piattaforme online, operanti in Italia quali titolari del trattamento di dati personali resi disponibili al pubblico attraverso piattaforme online, alcune possibili cautele per mitigare gli effetti del web scraping di terze parti, finalizzato all’addestramento di sistemi di IAG, laddove tale attività sia considerata dal singolo titolare incompatibile con le finalità e le basi giuridiche della messa a disposizione del pubblico dei dati personali.

Queste possibili misure cautelative vanno dalla creazione di aree riservate, cui gli utenti possono accedere solo tramite registrazione, all’inserimento all’interno dei termini di servizio del sito web l’espresso divieto di utilizzare tecniche di web scraping. È evidente che tali misure hanno una efficacia limitata poiché facilmente aggirabili, ma pongono le basi per definire gli ambiti di responsabilità, e potenziale danno, cui si espongono gli operatori dell’IAG.

Dal punto di vista dell’utente, invece, nel caso in cui ad essere raccolti siano dati personali viene in soccorso l’art. 13 del GDPR, par.2 lett. b ai sensi del quale il titolare deve fornire all’interessato le informazioni sull’esistenza del diritto ad opporsi al trattamento.

Ed è proprio questo che Meta stava facendo, sebbene non in maniera particolarmente trasparente o agevole.  Infatti, per poter esercitare il diritto di opposizione alla specifica finalità del web scraping, gli utenti avrebbero dovuto ricercare, all’interno delle impostazioni del proprio profilo social, l’informativa sulla privacy, che a sua volta rimandava alla possibilità di esercitare il diritto ex art. 18 GDPR, e dopodiché, senza farsi scoraggiare dalla necessità di motivare la richiesta, dichiarare la propria opposizione.

L’appello di NOYB a seguito del quale META sospende il progetto di IA in Europa

Pare però che, almeno per ora, non sarà più necessario (o possibile) intraprendere questo iter.  A seguito di una serie di denunce (di cui potete trovare qui il testo di quella presentata al Garante) ed un appello del gruppo NOYB (“None of Your Business”) alle autorità di svariati paesi dell’Unione Europea, che segnalavano l’illegalità delle finalità di addestramento di una forma indefinita di IAG, la Commissione irlandese per la protezione dei dati ha presentato ufficialmente richiesta affinché Meta sospenda questo progetto, richiesta che pare sia stata accolta dall’azienda.

dott.ssa Rebecca Busi

Avv. Valentina Apruzzi

Cyber Security 2023: Analisi degli Attacchi e Tendenze Emergenti nel Rapporto Clusit 2024

Nel corso del periodo compreso tra gennaio 2019 e dicembre 2023, si è assistito a un aumento significativo degli attacchi informatici a livello globale. Secondo il recente rapporto pubblicato dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), si sono verificati complessivamente 10.858 cyber attacchi in tutto il mondo. Nel solo anno 2023, si è registrato un numero senza precedenti di 2.779 incidenti, evidenziando un’accelerazione preoccupante della minaccia cyber. La lettura del rapporto CLUSIT 2024 è sempre di grande stimolo per gli operatori della cybersecurity e della protezione dei dati, perché è importante capire il fenomeno a livello globale e imparare dalle minacce per poter gestire in modo più efficace la sicurezza delle informazioni.

Crescita quantitativa e qualitativa degli attacchi nel Rapporto CLUSIT 2024

L’analisi del Rapporto CLUSIT 2024, che anche quest’anno aspettavamo di leggere,  rivela una tendenza all’aumento sia in termini quantitativi che qualitativi degli attacchi informatici. Nel 2023, il numero di attacchi è aumentato dell’11% a livello globale, con un impressionante incremento del 65% in Italia. Questo fenomeno non solo dimostra un aumento della frequenza degli attacchi, ma anche un’escalation della loro gravità. Oltre l’81% degli attacchi rilevati nel 2023 sono stati classificati come “critici” o “gravi”, con un aumento significativo rispetto al 2019.

Integrazione tra criminalità online e offline

Gli analisti individuano una crescente commistione tra la criminalità “off-line” e “on-line”, con i proventi delle attività criminali reinvestiti nel business della cyber criminalità. Questa sinergia tra i due mondi criminali fornisce risorse aggiuntive ai perpetratori degli attacchi, alimentando ulteriormente la minaccia cyber. Il rapporto evidenzia la necessità di affrontare questo fenomeno in modo globale e coordinato.

Prevalenza del malware e del ransomware

Nel 2023, il malware ha continuato a essere la tecnica preferita dai cyber criminali, utilizzato nel 36% dei casi. Tra le varie tipologie di codici malevoli, il ransomware emerge come la principale minaccia e la più diffusa. Questo tipo di malware criptografico è stato responsabile di numerosi attacchi a livello globale, causando danni significativi a individui, aziende e istituzioni.

Conclusioni e risorse aggiuntive

Il rapporto completo, contenente analisi dettagliate, tendenze emergenti e consigli per la sicurezza informatica, è disponibile per il download al seguente link: Rapporto CLUSIT 2024. È essenziale che aziende, istituzioni e individui adottino misure proattive per proteggere le proprie reti e dati da minacce cyber sempre più sofisticate. Investimenti in tecnologie di sicurezza avanzate, formazione del personale e collaborazione internazionale sono fondamentali per contrastare efficacemente la minaccia cyber e proteggere l’infrastruttura critica e la privacy dei cittadini.

In conclusione, il rapporto CLUSIT del 2024 sottolinea l’urgenza di affrontare la crescente minaccia cyber in modo deciso e strategico. Solo attraverso un impegno collettivo e una consapevolezza diffusa delle sfide della sicurezza informatica possiamo sperare di mitigare gli effetti devastanti degli attacchi informatici e garantire un cyberspazio sicuro e affidabile per tutti.

E-commerce = sicurezza Informatica, conformità GDPR ed etica del web

Nell’era digitale in cui viviamo, la gestione della sicurezza informatica, la conformità al GDPR e l’etica web sono elementi importanti per qualsiasi sito internet, ma se parliamo di offerta di prodotti e servizi diventano milestones.

Nel nostro studio assistiamo da anni aziende e professionisti che si approcciano all’e-commerce accompagnandoli in un percorso virtuoso verso la massima sicurezza dei dati, il rispetto della normativa sulla protezione dei dati e l’offerta di un’esperienza utente eticamente corretta, evitando l’utilizzo di dark patterns.

Sicurezza Informatica: La priorità assoluta

La sicurezza informatica è un pilastro fondamentale per proteggere il sito web, i dati personali e la reputazione del business. La progettazione del sito web per l’attività di e-commerce deve necessariamente fare i conti con una blindatura del sistema informatico sotteso alla piattaforma, front end incluso, attraverso alcuni fondamentali steps:

  • Studio del contesto: esame del progetto di vendita, studio del mercato e dei rischi attinenti noti nel mercato di riferimento.
  • Selezione di asset e fornitori di comprovata affidabilità.
  • Analisi funzionale del ciclo di offerta e delle vulnerabilità: valutazione approfondita per individuare possibili falle di sicurezza e i punti deboli del sito.
  • Pianificazione della sicurezza: creazione di strategie personalizzate per proteggere il sito da minacce online, dagli errori umani, dal rischio della supply chain.
  • Risposta agli incidenti: preparazione e assistenza in caso di violazioni dei dati o attacchi informatici.
  • Recovery: progettazione di un sistema di recupero rapido ed efficace del sito e dei suo contenuti in caso di incidente
  • Formazione per il personale: educazione e cultura alla sicurezza per garantire che tutti i membri del team siano a conoscenza delle best practices in materia di sicurezza informatica e restino sensibili ad ogni segnale di anomalia.

Conformità GDPR: proteggere i dati e rispettare la normativa è un obbligo ma anche un bel biglietto da visita!

Il GDPR è un obbligo legale che riguarda qualsiasi sito web che raccoglie, elabora o conserva dati personali dei cittadini europei. La non conformità, oltre ad esporre a pesanti sanzioni da parte delle autorità di controllo denota un atteggiamento di trascuratezza e mancanza di rispetto dei diritti degli utenti.

Il giusto approccio alla compliance passa attraverso:

  • Analisi del rischio specifico ed eventuale valutazione di impatto: quale che sia il metodo utilizzato, norme ISO, metodo ENISA o altro, il rischio connesso ai trattamenti effettuati dal sito internet è la base per l’adozione delle misure tecniche e organizzative adeguate.
  • Una valutazione della conformità: identificazione delle aree in cui il sito potrebbe non essere in linea con le disposizioni del GDPR e pianificazione delle attività da compiersi, anche sulla base degli sviluppi evolutivi del sito.
  • La documentazione legale: redazione delle informative sulla privacy, della privacy policy e degli accordi con i responsabili del trattamento.
  • La gestione dei cookies: individuazione e categorizzazione dei cookies, redazione della policy nel rispetto anche delle linee guida dell’Autorità di controllo.
  • Gestione dei consensi: corretta raccolta dei consensi degli interessati per le attività di marketing e profilazione e gestione della loro valida archiviazione o revoca.
  • Gestione delle violazioni: inclusione del sito nel perimetro dell’incident response report.

Etica Web: Addio ai Dark Patterns

L’attività di vendita on-line però non richiede “solo” il rispetto della legge, presuppone, ad avviso del nostro studio una progettazione etica quale requisito imprescindibile per costruire un rapporto di fiducia con gli utenti. I dark patterns, pratiche ingannevoli che influenzano negativamente l’esperienza dell’utente, danneggiano la reputazione del sito. Il supporto fornito dal nostro studio agli operatori promuove l’etica web nel tentativo di avere un approccio corretto, trasparente e rispettoso verso gli utenti che costituiscono il motore e il bene più prezioso del business on-line.

Dei dark patterns abbiamo già avuto modo di occuparci in precedenza, ma vale la pena ricordare che l’indirizzo tracciato dal legislatore europeo con il regolamento del 2022 è di netta denuncia di questi “sotterfugi” e il loro utilizzo non passa inosservato né agli utenti, né alle associazioni dei consumatori e tanto meno alle varie autorità di controllo, dal Garante per la protezione dei dati all’AGCM (Autorità Garante della Concorrenza e del Mercato).

In conclusione, la sicurezza informatica, la conformità GDPR e l’etica web sono i pilastri fondamentali sui quali si basa il successo di un sito web. Crediamo che la fiducia degli utenti sia il capitale più prezioso online, e seguire le best practices in sicurezza, compliance normativa ed etica sia il modo migliore per costruirla e preservarla.

L’uso dei sistemi di intelligenza artificiale e la protezione del diritto d’autore

L’Intelligenza artificiale (IA) sta rivoluzionando il modo in cui vengono creati, consumati e condivisi i  contenuti digitali. Tuttavia, questa evoluzione solleva rilevanti questioni di natura giuridica ed etica, in particolare per quanto riguarda il necessario bilanciamento tra l’uso dell’intelligenza artificiale e il diritto d’autore dei contenuti utilizzati per nutrire gli algoritmi e di quelli prodotti dall’algoritmo stesso o dal fruitore tramite l’algoritmo.

1. Breve inquadramento

L’intelligenza artificiale (IA), il cui primo regolamento è stata approvato in giugno  da parte del Parlamento UE,  è generalmente intesa come l’abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività.

Come noto, tra gli usi diffusi di questa tecnologia ci sono il riconoscimento di immagini, la traduzione automatica, la composizione musicale, la creazione di testi, calcoli, video, voci etc.

Questi sistemi utilizzano algoritmi, informazioni e dati per generare contenuti “originali”, ma ciò solleva due sostanziali domande: come sono tutelati gli autori dei contenuti utilizzati per nutrire il sistema di intelligenza artificiale? chi detiene i diritti d’autore su questi contenuti generati dall’IA?

Per questi temi, da qualche tempo, alcuni clienti si rivolgono al nostro team.

2. Creazione di contenuti da parte dell’IA

Un sistema di IA è in grado di generare una serie di contenuti, testi narrativi, disegni, composizioni musicali. Tuttavia, la legge sul diritto d’autore tradizionalmente assegna la titolarità del diritto d’autore relativo alle opere realizzate ad autori persone fisiche. Questo solleva una serie di questioni giuridiche di complessa soluzione.

2.1. IA Autore o macchina?

Uno dei principali dibattiti in ambito giuridico è se considerare l’IA un creatore “autonomo” dei contenuti o uno strumento (macchina) utilizzato dagli esseri umani per esprimere la propria creatività e realizzare opere degne di tutela.

2.2. Ruolo dell’uomo nell’addestramento dell’IA e uso dei data set

Molti sistemi di IA sono addestrati su enormi data set di opere protette da copyright. In questo processo, gli sviluppatori forniscono il materiale di addestramento attingendo o creando data set e l’IA sviluppa la sua capacità creativa. Ciò solleva la questione di chi debba essere considerato il vero creatore: l’umano che ha fornito il materiale o l’IA che ha prodotto l’opera finale? E ancora, chi garantisce che i data set non violino diritti di terze parti?

Esistono studi in rete che mettono in discussione anche legittimità dei modelli open source realizzati da noti provider USA e, a riprova di questo, arrivano da oltreoceano notizie di class actions intentate da alcuni autori.

2.3. Il possibile Opt-out degli autori

Ed è notizia degli ultimi giorni che il primo operatore di intelligenza artificiale generativa abbia messo a disposizione degli autori un form on-line per effettuare l’opt-out delle proprie opere dai data set utilizzati per addestrare il sistema. Non sono ancora noti dati rispetti all’efficacia di tale strumento, tuttavia, l’opt-out presuppone in ogni caso un precedente utilizzo non autorizzato dall’autore, circostanza che non previene né l’utilizzo illecito né la potenziale responsabilità e conseguente risarcimento del danno.

Ammesso che questo sistema possa divenire uno strumento di tutela utile da parte degli autori, dovrebbe per logica poter essere utilizzato da tutti i potenziali autori di un contenuto immesso sul web e utilizzato per addestrare l’intelligenza artificiale, incluse le piattaforme social popolate di un volume enorme di contenuti e informazioni personali e per i quali è già prevista una cessione dei diritti da parte degli utenti iscritti.

2.4. Diritto d’autore e creatività artificiale

Attualmente, il diritto d’autore protegge le opere creative umane per un lungo periodo di tempo (in Italia fino a 70 anni dopo la morte dell’autore). Dovremmo estendere queste protezioni alle opere generate artificialmente dall’IA? E, in caso affermativo, per quanto tempo dovrebbero durare questi diritti e a chi spetterebbero?

3. Il quadro normativo attuale

Attualmente, le normative  in molte giurisdizioni non affrontano direttamente la questione dell’intelligenza artificiale e diritto d’autore, non riconoscendo l’IA come possibile creatore. Tuttavia, esistono alcune leggi e regolamenti che possono essere applicati a questa situazione. Il Parlamento Ue nel 2019 ha approvato una Risoluzione sui diritti di proprietà intellettuale per lo sviluppo di tecnologie di intelligenza artificiale [P9_TA(2020)0277] con cui ha evidenziato la necessità di procedere ad una regolamentazione su base comunitaria, che possa superare la frammentazione legislativa dei singoli stati e giungere a distinguere tra le creazioni umane, ottenute con l’ausilio dell’IA, e quelle generate autonomamente dall’IA e regolare paternità e remunerazione.

3.1. L’Uso delle opere protette da copyright per l’addestramento dell’IA

L’addestramento degli algoritmi di IA utilizzando opere protette da copyright solleva da più parti preoccupazioni sulla possibile violazione dei diritti d’autore. Tuttavia, in alcune giurisdizioni, come gli Stati Uniti, esiste il concetto di “fair use” (uso equo) che potrebbe teoricamente consentire l’uso di tali opere a fini di addestramento, a condizione che sia rispettato un equilibrio tra gli interessi delle parti coinvolte (Sec.107 Copyright Act).

3.2. Protezione dei Dati dell’Utente

Nel contesto dell’IA, non dobbiamo neanche dimenticare che spesso vengono utilizzati anche dati personali per addestrare gli algoritmi. Le leggi sulla protezione dei dati personali, con particolare riferimento al GDPR in UE, possono limitare il modo il cui questi dati possono essere utilizzati e trattati. E’ di fondamentale importanza che le aziende che operano in questo settore, startup e società di grandi dimensioni, tengano nella dovuta considerazione gli obblighi nascenti dalla protezione dei dati personali, adottando un approccio basato sul rischio e sulla trasparenza.

3.3. Accordi di Licenza

Molti autori e aziende stipulano contratti e accordi di licenza che regolamentano l’uso dell’IA nella creazione di contenuti. Questi accordi possono definire chi detiene i diritti d’autore e come saranno distribuiti i proventi generati dalla vendita o dalla condivisione dei contenuti creati dall’IA. Tenendo in considerazione l’origine dei data set, è prevedibile che tali accordi siano stipulati anche con le GAFAM, che a loro volta introdurranno nelle condizioni generali d’uso licenze “gratuite” da parte degli utenti.

4. Soluzioni proposte per contemperare intelligenza artificiale e diritto d’autore

Di fronte a questa complessa situazione e alle questioni giuridiche e etiche scatenate dall’uso dell’IA, si sono velocemente formate alcune fazioni di giuristi, esperti e filosofi che hanno prospettato differenti scenari.

4.1. Riconoscimento dell’IA come creatore

Alcuni sostenitori dell’IA hanno proposto di riconoscere legalmente l’IA come un creatore autonomo, con diritti d’autore associati alle opere da essa generate. Questa posizione osteggiata da accademici e riviste scientifiche come Science e Nature solleva la questione di come gestire i diritti d’autore e i proventi in modo equo tra l’IA e gli esseri umani coinvolti nel processo creativo.

Lo stesso ChatGTP interrogata sul tema risponde in questo modo “No, io, come un modello di linguaggio AI, non reclamo né ho diritti d’autore su nessun testo o contenuto generato da me. Sono un programma creato da OpenAI per assistere con la generazione di testo e fornire informazioni, ma non ho personalità, proprietà intellettuale o capacità di rivendicare diritti d’autore su ciò che produco. Gli utenti sono liberi di utilizzare il testo o il contenuto generato da me come ritengono opportuno, ma devono prendere in considerazione le leggi sul diritto d’autore e le normative applicabili quando si tratta di questioni di proprietà intellettuale”

4.2. Creazione di un Registro di Opere Generate dall’IA

Alcune giurisdizioni stanno anche considerando l’idea di creare un registro dedicato per le opere generate dall’IA, con l’intento di aiutare a determinare chi detiene i diritti d’autore e a semplificare le questioni connesse alla tutela legale.

4.3. Esclusione delle Opere d’Arte dall’IA

In alcuni casi e contesti, c’è chi ritiene che sarebbe ragionevole escludere le opere d’arte create da/con l’IA dalla protezione del diritto d’autore. Questo potrebbe consentire un accesso più ampio e una condivisione libera di tali opere.

5. Considerazioni finali

Intelligenza artificiale e diritto d’autore non sembrano, al momento, andare a braccetto. La protezione del diritto d’autore correlata all’uso dei sistemi di Intelligenza Artificiale è una sfida complessa e in continua evoluzione poiché la tecnologia travalica i confini, genera nuovi modelli, impone una interpretazione delle norme esistenti e una riflessione attenta e ponderata da parte dei legislatori, degli sviluppatori e degli utenti.

La mancanza di una regolamentazione costituisce spesso un disincentivo all’utilizzo di questa tecnologia e un soffocamento delle sue innovative applicazioni che, a parere di chi scrive, la moderna società non può permettersi.

L’equilibrio tra la promozione dell’innovazione e la tutela dei diritti d’autore è essenziale per garantire che l’IA continui a contribuire positivamente alla nostra società.

Immagine mikemacmarketing, CC BY 2.0 <https://creativecommons.org/licenses/by/2.0>, via Wikimedia Commons

Facebook e la responsabilità degli Internet Service Provider per diffamazione: la sentenza Facebook Ireland Limited/Sanitech

Con sentenza del 15 febbraio 2023 n. 1208 il Tribunale di Milano ha stabilito la responsabilità di Facebook quale internet service provider e condannato la stessa al risarcimento dei danni patiti dalla società Snaitech S.p.A, insieme ai dottori GI. de SI. e AL. AM., per la mancata rimozione di post diffamatori pubblicati nelle pagine «Truffa Snaitech» e «Snaitech Truffa», a nulla rilevando la limitata esposizione e visione degli stessi.Facebook piattaforma social

La responsabilità nell’attività di memorizzazione di informazioni – hosting

Il caso rientra nella fattispecie disciplinata dall’articolo 16 del Decreto legislativo n. 70/2003, emesso in recepimento della Direttiva 2000/31/CE, nota come Direttiva E-commerce. La norma stabilisce che «il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che il prestatore:

  1. non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
  2. non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.»

Per comprendere il motivo sotteso alla riconosciuta responsabilità di Facebook quale internet service provider, questa disposizione deve essere interpretata alla luce dell’orientamento della Suprema Corte italiana (nelle sentenze gemelle n. 77087709, del 9 marzo 2019), ed europea (Sentenza della Grande Sezione del 22 giugno 2021, cause riunite C-682/18 e C-683/18). In tali pronunce l’hosting provider non è tenuto a effettuare un controllo diffuso dei contenuti sulle piattaforme di propria competenza, ad esclusione -fino a che non ne venga a conoscenza- della ricerca attiva di attività illecite.

Condotta commissiva mediante omissione

A prescindere dalla differenza in termini di definizione e relativa responsabilità tra l’Internet Service Provider (ISP) attivo, che la Cassazione civile nella sentenza n. 7708 individua nel «prestatore dei servizi della società dell’informazione che svolge un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo» e quello passivo, il Tribunale ha riconosciuto, sul piano oggettivo, la responsabilità di Facebook quale internet service provider sulla base di quella che ha definito: «condotta commissiva mediante omissione e, quindi, di aver concorso nel comportamento lesivo altrui a consumazione permanente», per non aver cancellato i post diffamatori dei quali fosse al  corrente.

Sotto il profilo soggettivo, la conoscenza dell’attività manifestamente illecita di cui non si impedisce la realizzazione connota la fattispecie come ipotesi di responsabilità per fatto proprio colpevole e non la diversa responsabilità oggettiva o per fatto altrui.

L’onere della prova (condotta, evento, nesso causale ed elemento soggettivo), va dunque a carico dei ricorrenti.

Il Tribunale si è focalizzato sulla conoscenza dell’evento da parte di Facebook e sulla manifesta illiceità.

La conoscenza dell’evento

Con riguardo al primo aspetto, nel caso concreto, la duplice segnalazione da parte della società lesa dei comportamenti illegittimi avvenuti sulla piattaforma è risultata decisiva.

Il successivo riscontro negativo da parte di Facebook ha reso incontrovertibile la sua conoscenza dell’esistenza dei post diffamatori, così questo primo aspetto è stato dimostrato.

La manifesta illiceità

Rispetto al carattere manifestamente illecito dell’attività, sopra abbiamo chiarito come, per essere manifestamente illecita, l’attività debba essere riconoscibile dal provider «senza particolare difficoltà, con riferimento all’esperienza, conoscenze tipiche e diligenza professionale esigibili».

In questo caso, l’illiceità della condotta è stata rinvenuta nel fatto che l’autore del contributo pubblicato ha asserito, sulla base di mere convinzioni personali, una responsabilità penale della Snaitech per la commissione di svariati illeciti, e questa affermazione era senza alcun fondamento rispetto a quanto risultante negli atti giudiziari.

In questo modo si è determinata la palese lesione dell’onore e della reputazione degli interessati.

La responsabilità di Facebook quale internet service provider per la divulgazione dei nomi

L’ulteriore circostanza per cui l’autore del contributo pubblicato sulla piattaforma social, al dichiarato fine di diffondere le false informazioni, ha volontariamente divulgato nomi e cognomi dei soggetti interessati, ha escluso l’applicazione della scriminante dell’esercizio del diritto di critica (quale espressione della libertà di manifestazione del pensiero ex art 21 Cost).

Si è osservato come, altrimenti, «si attribuirebbe a ciascuno il diritto di attribuire prima, e diffondere poi, anche tramite social network, notizie in merito alla perpetrazione di reati sulla base di mere intime convinzioni. Si comprende che consentire ciò avrebbe pervasivi effetti deleteri per l’onore e la reputazione dei soggetti esposti ad aggressione mediatica, anche in ragione dell’ampia capacità diffusiva dei contenuti che ospitano le piattaforme cd. Social».

Sicché, anche in ragione della struttura tecnica e organizzativa di cui Facebook dispone, il Tribunale ha ritenuto che potesse facilmente riconoscere la natura manifestamente diffamatoria dei contenuti oggetto di rimozione e conseguentemente la responsabilità di Facebook come internet service provider nella condotta.

Sussistenza del danno non patrimoniale

In ordine alla sussistenza del danno non patrimoniale e alla pretesa di risarcimento per € 100 mila per ogni attore, inoltrata dalla Snaitech -alla luce della richiamata sentenza di Cassazione civile sez. III, 18.11.2022 n.34026- nel caso di specie, l’allegazione di circostanze di fatto e di elementi costituitivi tali da determinare una lesione della sua reputazione fossero idonei a far sorgere questa pretesa e a nulla rileva la sua qualifica di persona giuridica.

Tuttavia, il Tribunale, pur imputando a Facebook la responsabilità e riconoscendo la potenzialità diffusivo-lesiva dell’informazione permessa dalla piattaforma nonostante l’esiguità dei post e lo scarso seguito degli stessi (in relazione ai ‘mi piace’ o ‘commenti’ registrati), ha quantificato e liquidato come danno l’esiguo importo di 5000 euro per ogni ricorrente, confinando il risarcimento del danno non patrimoniale alla fascia medio-bassa delle tabelle di calcolo proprie dell’Osservatorio sulla Giustizia civile di Milano.

I CLIENTI PREDILIGONO “LEGAL ON DEMAND”

Legal On Demand: La flessibilità nella consulenza legale 

Nel mondo degli affari, la consulenza legale è spesso un elemento essenziale per garantire il successo e la conformità alle leggi. Tuttavia, l’assunzione di un team legale interno può risultare costosa e poco pratica, specialmente per le piccole e medie imprese. Ecco perché lo Studio Legale Princivalle Apruzzi Danielli presenta “Legal On Demand”, una formula innovativa che offre consulenza legale specializzata solo quando il cliente ne ha bisogno, garantendo massima flessibilità e controllo sui costi.

Cosa è Legal On Demand?

Legal On Demand è una formula innovativa offerta dallo Studio Legale Princivalle Apruzzi Danielli che rivoluziona il modo in cui le aziende accedono alla consulenza legale. Con Legal On Demand, si può attingere alla vasta esperienza e competenza dei nostri professionisti solo quando è necessario, senza dover mantenere un team legale interno costoso.

Legal On Demand garantisce competenza e flessibilità

Una delle caratteristiche distintive di Legal On Demand è la sua flessibilità. Con questa formula, il cliente può sospendere e riattivare la consulenza legale a proprio piacimento. Questo implica che paga solo per ciò di cui ha bisogno, senza vincoli contrattuali a lungo termine. Per affrontare situazioni come riforme normative, complesse operazioni aziendali o affanni nella tua struttura interna, può contare sulla consulenza legale di cui ha bisogno attivando o sospendendo all’occorrenza.

Massima specializzazione

Lo Studio Legale Princivalle Apruzzi Danielli è noto per la sua competenza e specializzazione in una gamma settoriale di aree legali tutte focalizzate a supportare il cliente impresa. Con Legal On Demand, il cliente ha accesso a un team di professionisti altamente qualificati e specializzati che possono affrontare qualsiasi questione legale agendo come un consulente interno all’azienda.

Controllo dei costi

Con Legal On Demand, il cliente ha il controllo completo sui costi legali. Non deve preoccuparsi di stipendi, benefit o spese accessorie associate a un team legale interno; paga solo per le ore effettivamente utilizzate e l’assistenza ricevuta. Questo consente di allocare il budget in modo più efficiente e di concentrarsi sullo sviluppo del business, sapendo di avere a disposizione una consulenza legale multidisciplinare e di alta qualità ogni volta che ne ha bisogno.

Il futuro della consulenza legale

L’esperienza con i nostri clienti ci lascia pensare che la formula Legal On Demand rappresenti il futuro della consulenza legale. La sua flessibilità, specializzazione e controllo sui costi rendono questa modalità un’opzione ideale per le imprese di tutte le dimensioni, dalla start-up alla grande impresa, Legal On Demand può adattarsi alle esigenze specifiche.

Legal On Demand può migliorare la strategia legale di ogni impresa.