Sicurezza dei prodotti: nuove regole in vigore dal 13 dicembre 2024

Si avvicina la data in cui si applicheranno in Italia e sul territorio dell’Unione Europea le nuove regole in materia di sicurezza dei prodotti.

Infatti, il Regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativo alla sicurezza generale dei prodotti (Regolamento 2023/988), entrerà in vigore il prossimo 13 dicembre 2024.

Il Regolamento abroga e sostituisce la Direttiva 2001/95/CE sulla sicurezza generale dei prodotti e la Direttiva 87/357/CEE sulla sicurezza dei prodotti che imitano prodotti alimentari.

A differenza di una direttiva, che necessita di essere trasposta e recepita nella legislazione nazionale, il Regolamento 2023/988 troverà diretta applicazione in tutti gli stati membri.

Obiettivi e ambito di applicazione

Il Regolamento 2023/988 intende fornire un elevato livello di tutela dei consumatori e condizioni di parità per le imprese, migliorando in tal modo il funzionamento del mercato interno dell’Unione europea.

A tal fine, stabilisce norme essenziali in materia di sicurezza dei prodotti di consumo immessi o messi a disposizione sul mercato, laddove si intende:

  • per “messa disposizione”, la distribuzione, il consumo o l’uso sul mercato dell’Unione nel quadro di un’attività commerciale, a titolo oneroso o gratuito;
  • per “immissione sul mercato”, la prima messa a disposizione di un prodotto sul mercato interno

Esso si applicherà nella misura in cui non esistano altre disposizioni specifiche riguardanti la sicurezza applicabili a specifici prodotti e riguarderà prodotti nuovi, usati, riparati o ricondizionati.

Tuttavia, non si applicherà ai prodotti da riparare o ricondizionare prima dell’uso immessi o messi a disposizione sul mercato e chiaramente contrassegnati in quanto tali.

Inoltre, sono esclusi dall’ambito di applicazione del Regolamento 2023/988 i seguenti prodotti:

  1. medicinali per uso umano o veterinario;
  2. alimenti;
  3. mangimi;
  4. piante e animali vivi, organismi geneticamente modificati, microorganismi geneticamente modificati a impiego confinato;
  5. sottoprodotti e prodotti derivati di origine animale;
  6. prodotti fitosanitari;
  7. attrezzature su cui i consumatori circolano o viaggiano se tali attrezzature sono gestite direttamente da un prestatore di servizi nel contesto della prestazione di un servizio di trasporto e non sono gestite dai consumatori stessi;
  8. aeromobili la cui progettazione, produzione, manutenzione e funzionamento comportano un basso rischio per la sicurezza;
  9. oggetti d’antiquariato.

Soggetti interessati

Il Regolamento 2023/988 prevede obblighi specifici per diverse categorie di operatori economici fra cui i principali sono:

  • fabbricanti
  • importatori
  • distributori
  • fornitori di mercati online
  • fornitori di servizi di logistica

Per tutti questi soggetti sono previsti diversi gradi di responsabilità quando siano coinvolti nella messa a disposizione di prodotti nel mercato interno dell’Unione.

Tali obblighi e responsabilità coinvolgono, fra l’altro, le regole di etichettatura, l’analisi dei rischi legata all’uso dei prodotti, la redazione di istruzioni sulla sicurezza, gli obblighi di richiamo dei prodotti in caso di difetti che ne compromettano la sicurezza, eccetera.

 

Quanto precede è chiaramente un brevissimo e primo sguardo d’insieme sulle disposizioni del Regolamento 2023/988, sul quale torneremo con ulteriori articoli di approfondimento.

Nel frattempo, per qualsiasi domanda e per ulteriori informazioni, vi invitiamo a contattare i professionisti del nostro Studio che saranno lieti di fornirvi la loro consulenza.

La firma digitale in Italia: dubbi e quesiti

Nonostante l’ampissima diffusione delle sottoscrizioni per mezzo della firma digitale, spesso quando si presenta per la prima volta la necessità di firmare elettronicamente un documento sono parecchi i dubbi che sorgono: che differenza c’è fra firma elettronica e firma digitale? Come si fa ad essere certi che il servizio di firma elettronica che stiamo utilizzando sia valido? E soprattutto: il documento sottoscritto con la firma elettronica avrà valore legale come quelli firmati manualmente? In questo articolo, cercheremo di rispondere alle domande pratiche più frequenti che si presentano nel momento in cui ci si trova a dover utilizzare servizi di firma elettronica.

 

Quali fonti normative regolano la firma elettronica?

Quando parliamo di firma elettronica, le leggi di riferimento più importanti sono sicuramente due: a livello nazionale il d.lgs. n. 82 del 2005, o Codice dell’Amministrazione Digitale e a livello europeo il regolamento UE n. 210 del 2014, ossia il regolamento eIDAS.

Come normativa di riferimento va sicuramente citato anche Il D.P.C.M. n. 117 del 2013 che detta le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, nonché per la validazione temporale, ed è quindi destinato ai certificatori qualificati, per i quali costituisce una sorta di “manuale tecnico”.

 

Quanti tipi di firma elettronica ci sono?

Il regolamento eIDAS delinea e riconosce, nella Sezione 4, tre tipi di firma elettronica:

  • la firma elettronica semplice (o SES): si tratta del tipo di firma elettronica più basilare, la quale, in base al suo grado di sicurezza e complessità può essere legalmente applicabile ed ammissibile come prova in giudizio;
  • la firma elettronica avanzata (o AES), che ha un livello di sicurezza più avanzato e deve soddisfare quattro requisiti:
  1. deve essere connessa unicamente al firmatario;
  2. deve essere idonea a identificare il firmatario;
  3. il titolare della firma ne deve avere l’esclusivo controllo;
  4. deve essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
  • la firma elettronica qualificata (o QES), che è una firma elettronica avanzata creata da un dispositivo per la creazione di firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.

 

Perché in Italia parliamo di firma digitale? Che cos’è?

La firma digitale altro non è che un particolare tipo di firma elettronica qualificata, basato su una specifica tecnologia di chiavi crittografiche asimmetriche. Il termine “firma digitale” viene utilizzato in Italia, spesso a fianco o in sostituzione della più generale espressione “firma elettronica qualificata”, perché è stato introdotto dal CAD, che è antecedente di nove anni rispetto al regolamento eIDAS. Il CAD definisce la firma digitale all’art. 24, stabilendo che:

“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.

  1. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
  2. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
  3. Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d’uso. Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma”.

 

Chi può emettere firme elettroniche qualificate?

Affinché una firma elettronica si possa definire come tale, bisogna che i certificati qualificati siano rilasciati dai Qualified trust service providers, vale a dire da fornitori di servizi fiduciari accreditati dalle autorità locali designate da ogni Stato Membro UE (in Italia, l’autorità a ciò deputata è l’Agenzia per l’Italia Digitale o AgID).

ll regolamento eIDAS disciplina i Qualified trust service providers nella Sezione 3, stabilendo che, per poter essere tali, i certificatori devono rientrare negli “Elenchi di fiducia” tenuti dagli Stati membri dell’UE. Quando un certificatore è accreditato dall’Autorità di un paese membro dell’Unione Europea, e dunque è presente nel suo elenco, esso può emettere firme elettroniche qualificate valide per tutta l’Unione, ai sensi dell’art. 4 del regolamento eIDAS. Quindi, per verificare se il provider dei cui servizi ci si vuole avvalere sia abilitato o meno ad emettere QES, sarà sufficiente controllare che sia presente in uno degli elenchi pubblici di certificatori accreditati tenuti dalle varie autorità dei singoli Stati, reperibili sul sito web di eIDAS (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home), e che sia abilitato a fornire il servizio esatto di cui si ha bisogno, informazione sempre rinvenibile sul sito di eIDAS.

 

Qual è il valore legale di un documento sottoscritto con firma digitale?

Con riferimento alla validità dei documenti firmati digitalmente, il CAD stabilisce quanto segue all’art. 21, commi 1 e 2:

“Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, ha altresì l’efficacia prevista dall’articolo 2702 del Codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico”.

Il documento sottoscritto con una firma elettronica qualificata o avanzata soddisfa quindi il requisito della forma scritta, ha valore di scrittura privata e fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. Invece, l’idoneità delle SES a soddisfare tale requisito deve essere valutata dal giudice, sulla base delle caratteristiche della firma elettronica utilizzata in termini di sicurezza, integrità e immodificabilità.

Si è espressa in questo senso anche la Cassazione civile nella sentenza n. 5523 del 2018, la quale, riferendosi nel caso specifico alle e-mail, ha affermato che:

“In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (cd. e-mail) privo di firma elettronica non ha l’efficacia della scrittura privata prevista dall’art. 2702 c.c. quanto alla riferibilità al suo autore apparente, attribuita dall’art. 21 del d.lgs. n. 82 del 2005 solo al documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso è liberamente valutabile dal giudice, ai sensi dell’art. 20 del medesimo decreto, in ordine all’idoneità a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità”.

 

Disposizioni BankIt per i fornitori di servizi di crowdfunding

Il provvedimento di Banca d’Italia

Banca d’Italia ha recentemente concluso la procedura di consultazione sulla bozza di Disposizioni di attuazione dell’articolo 4-sexies.1 del TUF in materia di fornitori di servizi di crowdfunding per le imprese, pubblicando sul proprio sito gli esiti e il provvedimento in forma definitiva (link al provvedimento).

Ricordiamo che i servizi di crowdfunding dedicati alle imprese possono essere forniti, previa autorizzazione da parte dell’autorità competente, da:

  • intermediari vigilati (banche, intermediari finanziari ex art. 106 del Testo Unico Bancario, istituti di pagamento, istituti di moneta elettronica e SIM)
  • dai “fornitori specializzati di servizi di crowdfunding”

I primi sono autorizzati dalla Banca d’Italia, a eccezione delle SIM che sono autorizzate, con i secondi, dalla Consob.

Sono destinatari del provvedimento tutti i soggetti anzidetti, con le modalità indicate nel provvedimento stesso.

Comunicazioni agli organi di Vigilanza

Il primo paragrafo del provvedimento è dedicato alle comunicazioni da effettuare agli organi di vigilanza e, in particolare:

  • entro il 25 gennaio di ogni anno, gli intermediari autorizzati dalla Banca d’Italia trasmettono a quest’ultima un elenco dei progetti finanziati attraverso la propria piattaforma di crowdfunding
  • gli intermediari trasmettono, senza ritardo alla Banca d’Italia e alla Consob, le date di avvio di utilizzo dell’autorizzazione, di interruzione e di riavvio della fornitura di servizi di crowdfunding, nonché ogni modifica sostanziale delle condizioni di autorizzazione
  • entro il 30 aprile di ogni anno, i fornitori specializzati di servizi di crowdfunding inviano alla Banca d’Italia informazioni circa le variazioni intervenute rispetto agli accordi di esternalizzazione in essere

Comunicazioni relative ai partecipanti al capitale

Il secondo paragrafo del provvedimento è dedicato ai partecipanti al capitale dei fornitori specializzati di servizi di crowdfunding.

Al fine di monitorare il rispetto delle norme in tema di detenzione di partecipazioni qualificate (pari o superiore al 20%) nel capitale dei fornitori specializzati di servizi di crowdfunding, questi ultimi comunicano alla Banca d’Italia:

  • l’acquisizione o l’incremento di una partecipazione che comporti il raggiungimento o il superamento della soglia del 20% del capitale o dei diritti di voto nel fornitore di servizi di crowdfunding, o che comporti la possibilità di esercitare il controllo sul fornitore specializzato di servizi di crowdfunding
  • la riduzione della partecipazione al di sotto delle soglie di cui al punto 1).

Il termine per la comunicazione è di soli 10 giorni dal verificarsi dell’acquisizione, dell’incremento o della riduzione della partecipazione o, se successivo, dal momento in cui il fornitore di servizi di crowdfunding ne viene a conoscenza.

Comunicazioni relative agli esponenti aziendali

Il terzo e ultimo paragrafo è dedicato agli esponenti dei fornitori di servizi specializzati di servizi di crowdfunding, intesi quali tutti i soggetti persone fisiche che svolgono attività di amministrazione, controllo o direzione dell’ente.

Ebbene, al proposito la Banca d’Italia ha disposto che si applichi, per quanto compatibile, quanto disposto dalle Sezione I, Sezione II, paragrafi 1.1, 1.2, 1.3, 1.4, 1.5, 1.7, 1.8, 1.9, 1.11, 2, 3, 5 e Sezione III, paragrafo 2, del Provvedimento della Banca d’Italia del 4 maggio 2021, recante “Disposizioni sulla procedura di valutazione dell’idoneità degli esponenti di banche, intermediari finanziari, istituti di moneta elettronica, istituti di pagamento e sistemi di garanzia dei depositanti” (link al provvedimento).

Visita anche la pagina dedicata all’area di diritto bancario di Princivalle Apruzzi Danielli Studio Legale.

Digital Markets Act: i destinatari della riforma

La riforma del mercato digitale

Il 5 luglio 2022 è stato approvato dal Parlamento europeo il Digital Markets Act (adottato con Regolamento EU 2022/1925) (DMA), il primo regolamento europeo sui mercati digitali che insieme al Digital Services Act (DSA) (Regolamento sui servizi digitali) è parte del più ampio pacchetto di riforme digitali finalizzato a rafforzare la regolamentazione delle grandi società tecnologiche.

L’obbiettivo primario del DMA è quello di promuovere la concorrenza equa e limitare le pratiche monopolistiche delle grandi piattaforme online, oltre quello di arginare il più possibile gli abusi e limitare le posizioni dominanti al fine di rafforzare la concorrenza sul mercato e dare maggiore spazio agli operatori “più piccoli”.

I destinatari della normativa

a) I gatekeepers

A seguito dell’entrata in vigore del DMA (1 novembre 2022) e del termine imposto dalla normativa europea per adeguarsi alle relative prescrizioni (entro il 6 marzo 2024), i destinatari cosiddetti gatekeepers hanno l’obbligo di rispettare precise direttive per non incorrere in pesanti sanzioni.

Per definizione, i gatekeepers sono quelle società che hanno il controllo di un determinato settore di mercato e che nel mondo digitale sono rappresentate dalle LOPsLarge Online Platforms.

Ai sensi degli artt. 2 e 3 del DMA, con il termine “gatekeeper” ci si riferisce alle imprese che forniscono un servizio di piattaforma di base tra cui:

  • motori di ricerca
  • servizi di intermediazione
  • servizi di social networking
  • piattaforme di condivisione video
  • sistemi operativi
  • servizi di comunicazione interpersonale
  • cloud computing e pubblicità.

b) I limiti dimensionali dei gatekeepers 

La normativa europea precisa quali siano le soglie dimensionali  per poter essere designati gatekeepers ai sensi del Regolamento DMA.

Innanzitutto, è necessario che le Big Tech abbiano registrato un fatturato annuo all’interno dello Spazio Economico Europeo (SEE) di almeno 7,5 miliardi di Euro (negli ultimi tre anni), o una capitalizzazione di mercato media di almeno 75 miliardi di Euro nell’ultimo anno, ma soprattutto che abbia erogato i propri servizi in almeno tre stati membri (art. 3, par. 2 lett a) Reg. DMA).

Altro requisito è la registrazione sulla piattaforma di base un numero di utenti UE attivi superiore ai 45 milioni e un numero di imprese UE attive di oltre 10.000, su base mensile (per la corretta individuazione degli utenti/imprese “attivi” al fine del calcolo dimensionale, il Regolamento stesso ha previsto un apposito allegato che individua i criteri di calcolo di questi indicatori) (art. 3, par. 2 lett. b) Reg. DMA).

Infine, la posizione sul mercato digitale deve essere “consolidata e duratura” (art. 3, par. 1 lett. c) DMA), ovvero che negli ultimi tre esercizi finanziari l’azienda abbia soddisfatto i precedenti due requisiti (mercato interno/fatturato e controllo del gateway e utenti/imprese attive su base mensile) (art. 3, par. 2 lett.c) DMA).

Le aziende potranno comunque contestare il risultato finale del calcolo adducendo eventuali circostanze eccezionali che possano giustificare l’esclusione dalla categoria suddetta.

c) Le imprese “emergenti”

La Commissione europea potrà designare come gatekeepers anche imprese cosiddette “emergenti”, ovvero che hanno tutti i requisiti per diventare un giorno dei veri e propri gatekeepers. A queste imprese verranno applicati solo una parte degli obblighi destinati ai gatekeepers “consolidati”.

Il compito della Commissione sarà quindi quello di monitorare periodicamente, e comunque ogni tre anni, lo status dei gatekeepers, con facoltà di richiedere in qualunque momento ad una Big Tech “tutte le informazioni che ritiene necessarie” in occasione di fusioni  o acquisizioni delle stesse società emergenti da parte di quelle che dominano il mercato digitale.

Scorrendo la normativa DMA si evince chiaramente che il fine dell’Unione Europea sia quello di ridurre il dominio delle grandi piattaforme digitali e promuovere un ambiente digitale più aperto, innovativo e competitivo per le imprese e i consumatori europei.

I gatekeepers secondo la Commissione UE

La Commissione Europea ha designato i primi sei gatekeepers (Meta, Amazon, Apple, Microsoft, Alphabet, ByteDance) e ha identificato i servizi di piattaforma di base (CPS, Core Platform Service) correlati:

  • 6 piattaforme di intermediazione (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
  • 4 social network (Facebook, Instagram, LinkedIn, TikTok)
  • 3 servizi pubblicitari online (Amazon, Google e Meta)
  • 3 sistemi operativi più diffusi (Google Android, iOS, SO Windows PC)
  • 2 browser Web (Chrome e Safari)
  • 2 grandi servizi di comunicazione (Facebook Messenger e WhatsApp, entrambi di proprietà di Meta)
  • 1 piattaforma di condivisione video (YouTube)
  • 1 motore di ricerca (Google)

Nuovi obblighi e divieti per i gatekeepers

Ai sensi della nuova normativa in materia, i gatekeepers dovranno adempiere ad una serie di doveri e rispettare i relativi divieti.

Tra gli obblighi imposti dal Regolamento vi è quello consentire agli utenti finali di annullare l’iscrizione ai servizi principali della piattaforma con la stessa facilità con cui si abbonano.

Tra i divieti vi è invece quello di non tracciare gli utenti finali al di fuori del servizio principale della piattaforma del gatekeeper per effettuare pubblicità mirata, senza tuttavia averne ottenuto il consenso dovuto. Si tratterà principalmente di ottenere un consenso valido da parte dell’utente prima che i dati personali vengano raccolti o utilizzati tramite le piattaforme o i servizi dei gatekeepers utilizzati da terze parti.

In molti casi, a queste aziende verrà richiesto di manifestare il consenso ai gatekeepers per mantenere l’accesso alle loro piattaforme, ad esempio tramite la modalità consenso di Google (Google Consent Mode che sarà sarà oggetto di approfondimento in un separato articolo prossimo all’uscita sul nostro sito).

Ed ancora, non mostrare preferenze di posizionamento o accesso ai propri prodotti e servizi rispetto agli altri operatori del web. Semplificare il trasferimento dei dati degli utenti dalle loro piattaforme verso altri servizi.

In definitiva, l’obbiettivo ambizioso che l’Unione Europea si è prefissata con questa riforma è quello garantire una maggiore apertura delle piattaforme digitali, consentendo anche ad imprese “minori” di avere uguale accesso alla platea di utenti web e ai relativi dati prodotti sulle piattaforme, nel tentativo di circoscrivere il più possibile le fattispecie di concorrenza sleale a posizione dominante che i colossi del web hanno esercitato sino ad oggi.

 

Cyber Security 2023: Analisi degli Attacchi e Tendenze Emergenti nel Rapporto Clusit 2024

Nel corso del periodo compreso tra gennaio 2019 e dicembre 2023, si è assistito a un aumento significativo degli attacchi informatici a livello globale. Secondo il recente rapporto pubblicato dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), si sono verificati complessivamente 10.858 cyber attacchi in tutto il mondo. Nel solo anno 2023, si è registrato un numero senza precedenti di 2.779 incidenti, evidenziando un’accelerazione preoccupante della minaccia cyber. La lettura del rapporto CLUSIT 2024 è sempre di grande stimolo per gli operatori della cybersecurity e della protezione dei dati, perché è importante capire il fenomeno a livello globale e imparare dalle minacce per poter gestire in modo più efficace la sicurezza delle informazioni.

Crescita quantitativa e qualitativa degli attacchi nel Rapporto CLUSIT 2024

L’analisi del Rapporto CLUSIT 2024, che anche quest’anno aspettavamo di leggere,  rivela una tendenza all’aumento sia in termini quantitativi che qualitativi degli attacchi informatici. Nel 2023, il numero di attacchi è aumentato dell’11% a livello globale, con un impressionante incremento del 65% in Italia. Questo fenomeno non solo dimostra un aumento della frequenza degli attacchi, ma anche un’escalation della loro gravità. Oltre l’81% degli attacchi rilevati nel 2023 sono stati classificati come “critici” o “gravi”, con un aumento significativo rispetto al 2019.

Integrazione tra criminalità online e offline

Gli analisti individuano una crescente commistione tra la criminalità “off-line” e “on-line”, con i proventi delle attività criminali reinvestiti nel business della cyber criminalità. Questa sinergia tra i due mondi criminali fornisce risorse aggiuntive ai perpetratori degli attacchi, alimentando ulteriormente la minaccia cyber. Il rapporto evidenzia la necessità di affrontare questo fenomeno in modo globale e coordinato.

Prevalenza del malware e del ransomware

Nel 2023, il malware ha continuato a essere la tecnica preferita dai cyber criminali, utilizzato nel 36% dei casi. Tra le varie tipologie di codici malevoli, il ransomware emerge come la principale minaccia e la più diffusa. Questo tipo di malware criptografico è stato responsabile di numerosi attacchi a livello globale, causando danni significativi a individui, aziende e istituzioni.

Conclusioni e risorse aggiuntive

Il rapporto completo, contenente analisi dettagliate, tendenze emergenti e consigli per la sicurezza informatica, è disponibile per il download al seguente link: Rapporto CLUSIT 2024. È essenziale che aziende, istituzioni e individui adottino misure proattive per proteggere le proprie reti e dati da minacce cyber sempre più sofisticate. Investimenti in tecnologie di sicurezza avanzate, formazione del personale e collaborazione internazionale sono fondamentali per contrastare efficacemente la minaccia cyber e proteggere l’infrastruttura critica e la privacy dei cittadini.

In conclusione, il rapporto CLUSIT del 2024 sottolinea l’urgenza di affrontare la crescente minaccia cyber in modo deciso e strategico. Solo attraverso un impegno collettivo e una consapevolezza diffusa delle sfide della sicurezza informatica possiamo sperare di mitigare gli effetti devastanti degli attacchi informatici e garantire un cyberspazio sicuro e affidabile per tutti.

La “targa prova”: al via le nuove regole.

Il 29 febbraio 2024 è entrato in vigore il Dpr 21 dicembre 2023, n. 229  in materia di semplificazione del procedimento di autorizzazione alla circolazione di prova dei veicoli. In attesa dell’emanazione delle istruzioni operative, il nostro Studio Legale ha il piacere di fornirvi un breve vademecum sulle principali novità.

Che cos’è la “targa prova”?

E’ una targa che viene utilizzata quando un veicolo necessita di prove, collaudi, trasferimenti, dimostrazioni o allestimenti; è uno strumento di identificazione temporaneo e il rilascio di tale targa non può essere richiesto da privati ma solo da soggetti che svolgono attività collegate al settore della locomozione (come ad esempio: concessionari, officine o aziende costruttrici di veicoli a motore e rimorchi).

Le principali novità

In attesa delle nuove istruzioni operative che verranno emanate vi segnaliamo le principali novità del Dpr 21 dicembre 2023, n. 229:

  • il numero di autorizzazioni alla prova che può essere rilasciato ad ogni azienda è ora contingentato in base al tipo di attività esercitata e al numero di addetti;
  • la targa prova ha validità annuale e non è rinnovabile decorsi sei mesi dalla sua scadenza;
  • i procedimenti di rilascio, rinnovo e revoca dell’autorizzazione sono gestiti esclusivamente in via telematica (secondo le modalità che verranno stabilite dalla Direzione generale per la motorizzazione e per i servizi ai cittadini e alle imprese in materia di trasporti e navigazione entro quattro mesi dall’entrata in vigore del Dpr n. 229/2023);
  • l’autorizzazione alla circolazione (che è un titolo personale e non cedibile) può essere utilizzata esclusivamente per la circolazione su strada nell’ambito del territorio italiano, salvo accordi di reciprocità con altri Stati;
  • in caso di smarrimento, sottrazione o distruzione dell’autorizzazione o della targa, il titolare deve farne denuncia entro 48 ore agli organi di Polizia;
  • l’autorizzazione alla circolazione su strada  è rilasciata non solo per i veicoli non ancora immatricolati, ma anche per quelli già immatricolati, anche se privi di revisione in corso di validità o di assicurazione sul veicolo (così come previsto dal D.L. 121/2021)

Particolarità e sanzioni

Quando la targa prova è collocata su un veicolo già immatricolato, deve essere posizionato nella parte posteriore del mezzo in maniera ben visibile e tale da non oscurare o rendere illeggibile la targa di immatricolazione.

Rimangono tra l’altro in vigore le sanzioni previste dal Codice della Strada per chiunque adibisca “un veicolo in circolazione di prova ad uso diverso” o nel caso in cui il veicolo circoli “senza che su di esso sia presente il titolare dell’autorizzazione o un suo dipendente munito di apposita delega“.

 

Le polizze assicurative nella cessione del quinto dello stipendio e delegazione di pagamento

Quando parliamo di finanziamenti contro cessione del quinto dello stipendio o delegazione di pagamento, non va trascurato un elemento tipico di tali istituti: le polizze assicurative accessorie al credito.

Parliamo delle coperture assicurative connesse alle cessioni del quinto dello stipendio o delegazioni di pagamento contro quegli eventi che possono sopravvenire nel corso della durata del finanziamento a danno del debitore.  Eventi, che ove sopraggiungano, potrebbero non consentire il rispetto dell’obbligo di pagamento delle rate mensili del finanziamento.

Lo Studio Legale Princivalle Apruzzi Danielli ha spesso assistito intermediari finanziari nell’analisi delle condizioni di tali polizze assicurative, nonché nella gestione delle relative controversie.

Un riepilogo sui finanziamenti in esame

I prestiti personali contro cessione del quinto dello stipendio e delegazione di pagamento, regolamentati dal DPR 180/1950, sono erogabili da intermediari finanziari e istituti bancari e vengono concessi  ai consumatori.

Nell’ambito di tali finanziamenti, il consumatore si obbliga verso il finanziatore al rimborso rateale dell’importo finanziato:

  1. mediante la cessione (per il caso di cessione del quinto dello stipendio), all’istituto finanziatore, del credito che il consumatore vanta nei confronti del proprio datore di lavoro, nella misura massima della quota di 1/5 del proprio stipendio mensile;
  2. delegando (per il caso di delegazione di pagamento) il proprio datore di lavoro a versare direttamente al finanziatore la quota mensile del proprio stipendio.

Pur con le dovute differenziazioni, sia per la cessione del quinto dello stipendio, sia per la delegazione di pagamento, è il datore di lavoro a trattenere le quote mensili dello stipendio, del cedente o delegante, e a versarle direttamente all’istituto finanziatore.

I prestiti personali contro cessione del quinto dello stipendio o delegazione di pagamento presentano quindi un livello di garanzia sull’adempimento maggiore rispetto ai semplici prestiti personali. Ciò, in quanto l’obbligazione di pagamento viene trasferita sul datore di lavoro.

Ma non solo.

Un’ulteriore garanzia prevista per legge

Il legislatore pone l’attenzione alle ipotesi in cui particolari eventi possano sopraggiungere nel corso della durata del rapporto e incidere negativamente sul regolare rispetto del piano di ammortamento contrattuale.

È così che il DPR 180/1950, all’art. 54 comma 1, stabilisce che le cessioni del quinto dello stipendio (e le delegazioni di pagamento in quanto istituti a queste ultimi assimilabili) devono avere la garanzia dell’assicurazione sulla vita e contro i rischi di impiego od altre malleverie che ne assicurino il recupero nei casi in cui, per cessazione o riduzione di stipendio, non sia possibile la continuazione dell’ammortamento o il recupero del residuo credito.

Dunque, abbiamo due tipologie di coperture assicurative obbligatorie: una a copertura dal rischio di decesso del soggetto finanziato; l’altra a copertura da rischi che portano a un unico evento ultimo: il mancato rispetto dell’obbligo di pagamento delle rate previste dal piano di ammortamento.

Le polizze assicurative accessorie al credito e il ramo assicurativo di appartenenza

Tralasciando in questa sede la polizza assicurativa sulla vita (a copertura dal rischio di decesso), analizziamo la copertura dal rischio di insolvenza non derivante dal decesso del soggetto finanziato.

Ai fini della sua definizione sono intervenute sia l’Istituto per la Vigilanza sulle Assicurazioni (Ivass) sia la Banca d’Italia.

– L’intervento dell’Ivass

L’Ivass (https://www.ivass.it/) mediante il Regolamento 29/2009, classifica, all’art. 14, in due rami distinti la macrocategoria delle assicurazioni prestate a fronte di finanziamenti con cessione del quinto dello stipendio (e delegazione di pagamento) a seconda:

  1. che si tratti del contratto di assicurazione stipulato direttamente dall’istituto finanziatore in qualità di contraente/assicurato per garantirsi dal rischio di mancato adempimento dell’obbligazione di pagamento da parte del debitore. In tal caso il contratto assicurativo rientra nel ramo 14. Credito, nell’ambito dei rischi “perdite patrimoniali derivanti da insolvenze”;
  2. che si tratti del contratto di assicurazione stipulato dal debitore/assicurato per garantirsi dall’impossibilità di adempiere all’obbligazione di pagamento a favore dell’istituto finanziatore a causa della perdita dell’impiego. In tal caso il contratto assicurativo rientra nel ramo 16. Perdite pecuniarie di vario genere, nell’ambito dei “rischi relativi all’occupazione”.

A seconda dell’una o dell’altra ipotesi cambiano la struttura contrattuale, le norme per il collocamento e l’adesione alla polizza, i diritti spettanti all’assicuratore, le posizioni dell’istituto finanziatore e del debitore cedente/delegante nei confronti della compagnia assicurativa. In entrambi i casi viene però raggiunto quel fine ultimo di garanzia, imposto dall’art. 54, comma 1, del DPR 180/1950, dal rischio di mancato adempimento dell’obbligazione di pagamento.

– L’Intervento della Banca d’Italia

Banca d’Italia (https://www.bancaditalia.it/), mediante i propri Orientamenti di Vigilanza in materia di cessione del quinto dello stipendio e operazioni assimilabili (Delibera 145/2018), ha ribadito che per la copertura del rischio di insolvenza non derivante da decesso del debitore sono in uso sul mercato due schemi contrattuali:

  1. la polizza “credito”
  2. la polizza “perdite pecuniarie”,

confermando la stessa classificazione dell’Ivass, ed evidenziando le distinzioni sul soggetto contraente le polizze, sulla sussistenza o meno del diritto di surroga della compagnia assicurativa nei confronti del debitore, sul soggetto beneficiario che ne sostiene i costi.

Considerazioni finali

In riferimento quindi alle macrocategorie di contratti assicurativi suddette, gli intermediari finanziari e bancari devono avere presenti le singole caratteristiche che distinguono una soluzione rispetto ad un’altra.

Ciò, in quanto la relativa scelta ha importanti ripercussioni sull’intera gestione del contratto di finanziamento con il cliente consumatore finale.

Lo Studio Legale Princivalle Apruzzi Danielli, con il suo team di banking law, in varie occasioni ha affiancato gli operatori del settore nell’analisi e nell’assistenza su tali tematiche, tenendo presenti le interpretazioni in merito fornite dalle Autorità di Vigilanza.

 

Whistleblowing: il 17 dicembre si avvicina!

Il 17 dicembre è il termine ultimo per adeguarsi alla normativa, e dato che qualche mese fa avevamo introdotto il tema whistleblowing focalizzando l’attenzione sui necessari adempimenti in materia di protezione dei dati, ripercorriamo brevemente insieme i punti salienti del D.lgs. n. 24/2023 (“Decreto“),  anche alla luce dei recenti contributi di ANAC  e Confindustria in tale ambito.

Ambito di applicazione soggettivo

I soggetti destinatari della normativa whistleblowing sono quelli elencati agli artt. 2 e 3 del Decreto. Per il settore pubblico si annoverano le amministrazioni pubbliche, le autorità amministrative indipendenti, gli enti pubblici economici, i concessionari di pubblico servizio, le imprese a controllo pubblico e le imprese in house, anche se quotate. Per il settore privato invece, come già accennato nel precedente articolo, rientrano le aziende che:

  • hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

In merito al computo della media annua dei lavoratori impiegati nel settore privato, le linee guida ANAC (“LG ANAC“) hanno precisato che bisognerà fare riferimento all’ultimo anno solare precedente a quello in corso, salvo per le imprese di nuova costituzione per le quali si farà riferimento all’anno 2023. Confindustria, tuttavia, ha ribadito in più occasioni (da ultimo anche nel manuale operativo) che la norma di riferimento per il computo dei lavoratori è l’art. 27 D.lgs. 81/2015 secondo il quale “ è necessario tenere conto del numero medio mensile di lavoratori a tempo determinato, compresi i dirigenti, impiegati negli ultimi due anni, sulla base dell’effettiva durata dei loro rapporti di lavoro“, adeguando in questo caso la durata da due anni, come prevede la norma citata, a un anno come invece prescritto dall’art. 2 comma 1, lett. q) n.1) del Decreto.

Ambito di applicazione oggettivo

Ai sensi dell’art. 1 del Decreto, oggetto di segnalazione sono tutte le violazioni di disposizioni normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza in un contesto lavorativo pubblico o privato. Per maggiori dettagli sulle diverse tipologie di violazione si rimanda all’elencazione presente nelle LG ANAC.

Sono escluse dall’ambito di applicazione della normativa le segnalazioni:

  • aventi ad oggetto le contestazioni a carattere personale del segnalante (quali ad esempio conflitti inerenti il rapporto di lavoro individuale, possibili discriminazioni, conflitti interpersonali tra colleghi o superiori ecc.);
  • in materia di sicurezza e difesa nazionale;
  • aventi ad oggetto violazioni già regolamentate  in via obbligatoria in alcuni settori speciali (servizi finanziari, prevenzione, riciclaggio, terrorismo, sicurezza nei trasporti, tutela dell’ambiente. Si rimanda alle LG ANAC sul punto.

Resta ferma la normativa in materia di informazioni classificate,  segreto medico e forense, segretezza delle deliberazioni degli organi giurisdizionali (art. 1, comma 3 del Decreto) e quella relativa alle norme di procedura penale sull’obbligo di segretezza delle indagini, disposizioni sull’autonomia e indipendenza della magistratura, difesa della nazione e di ordine e sicurezza pubblica, nonché di esercizio del diritto dei lavoratori di consultare i propri rappresentanti o i sindacati (art. 1, comma 4 del Decreto).

La segnalazione

Oggetto di segnalazione sono tutte quelle informazioni inerenti a fatti, atti o omissioni commessi o ancora da commettere cui il soggetto segnalante (whistleblower) viene a conoscenza nel contesto di lavoro, sia esso pubblico o privato. L’accezione “contesto di lavoro”  non deve essere però interpretata in senso restrittivo. La stessa normativa estende la tutela dei soggetti segnalanti anche ai seguenti soggetti:

  • collaboratori, liberi professionisti, consulenti, tirocinanti
  • azionisti (sul punto le LG ANAC chiariscono che rientrano in questa categoria “coloro che siano venuti a conoscenza di violazioni oggetto di segnalazione nell’esercizio dei diritti di cui sono titolari in ragione del loro ruolo di azionisti rivestito nella impresa”)
  • persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Il rapporto di lavoro può essere già terminato al momento della segnalazione, non essere ancora iniziato (come ad esempio nella fase preselettiva di nuovo personale) oppure trovarsi nel cosiddetto “periodo di prova”.

Circa il suo contenuto, il manuale operativo di Confindustria precisa che le informazioni contenute nella segnalazione devono essere il più possibile dettagliate. Dovranno quindi contenere le generalità del segnalante, le circostanze di tempo e luogo in cui si è verificato il fatto e ogni altra informazione utile ad individuare il soggetto che ha commesso l’illecito. Più circostanziate sono le informazioni, più è alta la probabilità di superare il vaglio di ammissibilità per la presa in carico e successiva lavorazione della segnalazione da parte del gestore.

Tipologie di segnalazioni

La normativa whistleblowing disciplina tre diversi canali di segnalazione:

  • un canale di segnalazione intern0 all’ente pubblico o privato;
  • un canale di segnalazione esterno alla struttura pubblica o privata e gestito dall’ANAC nei casi soli casi previsti dalla normativa;
  • la divulgazione pubblica.

Resta ferma la competenza dell’autorità giudiziaria in tutte le ipotesi in cui è richiesto o è possibile adire al suo intervento.

Il Decreto non prevede espressamente una priorità di utilizzo “tassativa” dei diversi canali di segnalazione. Tuttavia, le LG ANAC precisano che il canale di segnalazione interna deve essere quello da prediligere, ove presente. Infine, le LG specificano quali siano i presupposti per l’attivazione del canale di segnalazione esterna (residuale) e le condizioni necessarie per l’utilizzo della divulgazione pubblica.

Le sanzioni

Il regime sanzionatorio contemplato dal Decreto, già affrontato nel precedente scritto in materia di whistleblowing, prevede sanzioni da 10.000 a 50.000 euro, al verificarsi delle seguenti ipotesi:

  • mancata istituzione dei canali di segnalazione;
  • mancata adozione delle procedure per effettuare e gestire le segnalazioni;
  • adozione di procedure non conformi a quelle fissate dal Decreto;
  • mancato svolgimento dell’attività di verifica e dell’analisi delle segnalazioni ricevute;
  • comportamenti ritorsivi;
  • ostacoli alla segnalazione o tentativi di ostacolarla;
  • violazione dell’obbligo di riservatezza circa l’identità del segnalante (si veda nostro articolo “GDPR e la nuova normativa Whistleblowing“).
E’ prevista anche una sanzione da 500 a 2.500 euro che ANAC può applicare al segnalante, nei cui confronti venga accertata anche con sentenza di primo grado, la responsabilità civile per diffamazione o calunnia nei casi di dolo o colpa grave nei confronti del trasgressore.

Brevi cenni conclusivi

Con questo breve scritto, lo Studio Legale Princivalle Apruzzi Danielli ha voluto solo anticipare a grandi linee la normativa whistleblowing, con l’obbiettivo di approfondire ulteriori tematiche inerenti o anche solo connesse con tale materia, grazie alla pubblicazione di periodici contributi sul tema.

Stay tuned!

E-commerce = sicurezza Informatica, conformità GDPR ed etica del web

Nell’era digitale in cui viviamo, la gestione della sicurezza informatica, la conformità al GDPR e l’etica web sono elementi importanti per qualsiasi sito internet, ma se parliamo di offerta di prodotti e servizi diventano milestones.

Nel nostro studio assistiamo da anni aziende e professionisti che si approcciano all’e-commerce accompagnandoli in un percorso virtuoso verso la massima sicurezza dei dati, il rispetto della normativa sulla protezione dei dati e l’offerta di un’esperienza utente eticamente corretta, evitando l’utilizzo di dark patterns.

Sicurezza Informatica: La priorità assoluta

La sicurezza informatica è un pilastro fondamentale per proteggere il sito web, i dati personali e la reputazione del business. La progettazione del sito web per l’attività di e-commerce deve necessariamente fare i conti con una blindatura del sistema informatico sotteso alla piattaforma, front end incluso, attraverso alcuni fondamentali steps:

  • Studio del contesto: esame del progetto di vendita, studio del mercato e dei rischi attinenti noti nel mercato di riferimento.
  • Selezione di asset e fornitori di comprovata affidabilità.
  • Analisi funzionale del ciclo di offerta e delle vulnerabilità: valutazione approfondita per individuare possibili falle di sicurezza e i punti deboli del sito.
  • Pianificazione della sicurezza: creazione di strategie personalizzate per proteggere il sito da minacce online, dagli errori umani, dal rischio della supply chain.
  • Risposta agli incidenti: preparazione e assistenza in caso di violazioni dei dati o attacchi informatici.
  • Recovery: progettazione di un sistema di recupero rapido ed efficace del sito e dei suo contenuti in caso di incidente
  • Formazione per il personale: educazione e cultura alla sicurezza per garantire che tutti i membri del team siano a conoscenza delle best practices in materia di sicurezza informatica e restino sensibili ad ogni segnale di anomalia.

Conformità GDPR: proteggere i dati e rispettare la normativa è un obbligo ma anche un bel biglietto da visita!

Il GDPR è un obbligo legale che riguarda qualsiasi sito web che raccoglie, elabora o conserva dati personali dei cittadini europei. La non conformità, oltre ad esporre a pesanti sanzioni da parte delle autorità di controllo denota un atteggiamento di trascuratezza e mancanza di rispetto dei diritti degli utenti.

Il giusto approccio alla compliance passa attraverso:

  • Analisi del rischio specifico ed eventuale valutazione di impatto: quale che sia il metodo utilizzato, norme ISO, metodo ENISA o altro, il rischio connesso ai trattamenti effettuati dal sito internet è la base per l’adozione delle misure tecniche e organizzative adeguate.
  • Una valutazione della conformità: identificazione delle aree in cui il sito potrebbe non essere in linea con le disposizioni del GDPR e pianificazione delle attività da compiersi, anche sulla base degli sviluppi evolutivi del sito.
  • La documentazione legale: redazione delle informative sulla privacy, della privacy policy e degli accordi con i responsabili del trattamento.
  • La gestione dei cookies: individuazione e categorizzazione dei cookies, redazione della policy nel rispetto anche delle linee guida dell’Autorità di controllo.
  • Gestione dei consensi: corretta raccolta dei consensi degli interessati per le attività di marketing e profilazione e gestione della loro valida archiviazione o revoca.
  • Gestione delle violazioni: inclusione del sito nel perimetro dell’incident response report.

Etica Web: Addio ai Dark Patterns

L’attività di vendita on-line però non richiede “solo” il rispetto della legge, presuppone, ad avviso del nostro studio una progettazione etica quale requisito imprescindibile per costruire un rapporto di fiducia con gli utenti. I dark patterns, pratiche ingannevoli che influenzano negativamente l’esperienza dell’utente, danneggiano la reputazione del sito. Il supporto fornito dal nostro studio agli operatori promuove l’etica web nel tentativo di avere un approccio corretto, trasparente e rispettoso verso gli utenti che costituiscono il motore e il bene più prezioso del business on-line.

Dei dark patterns abbiamo già avuto modo di occuparci in precedenza, ma vale la pena ricordare che l’indirizzo tracciato dal legislatore europeo con il regolamento del 2022 è di netta denuncia di questi “sotterfugi” e il loro utilizzo non passa inosservato né agli utenti, né alle associazioni dei consumatori e tanto meno alle varie autorità di controllo, dal Garante per la protezione dei dati all’AGCM (Autorità Garante della Concorrenza e del Mercato).

In conclusione, la sicurezza informatica, la conformità GDPR e l’etica web sono i pilastri fondamentali sui quali si basa il successo di un sito web. Crediamo che la fiducia degli utenti sia il capitale più prezioso online, e seguire le best practices in sicurezza, compliance normativa ed etica sia il modo migliore per costruirla e preservarla.

Privacy dei minori e intelligenza artificiale

Oramai non si fa altro che parlare di intelligenza artificiale e di come un utilizzo consapevole di tale strumento possa migliorare e far progredire la nostra società, completamente proiettata verso un futuro sempre più digitalizzato.

Di recente gli esperti del settore hanno iniziato ad interrogarsi su come l’intelligenza artificiale debba essere disciplinata rispetto alla normativa privacy e alla tutela dei dati personali che inevitabilmente vengono trattati durante il suo utilizzo, soprattutto quando l’uso delle applicazioni ad essa connessa venga sfruttata da soggetti minori che non avrebbero la capacità giuridica (o limitata capacità) di farne uso in base alla legge nazionale e a quella europea.

Vediamo il perché.

Il contesto normativo

Quando si parla di minori è necessario partire dalla definizione contenuta nell’art. 2 del codice civile relativa alla cosiddetta capacità di agire, ovvero l’idoneità di un soggetto di porre in essere atti negoziali che producono effetti nella propria sfera giuridica e che si acquista con la maggiore età; il minore con età compresa tra 14 e 18 anni ha una capacità giuridica attenuata, mentre il minore di 14 anni non ha alcuna capacità giuridica.

In materia di data protection, la prima parte del Considerando (38) del Regolamento europeo 2016/679 (GDPR) precisa che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali.”

L’art. 8 GDPR contiene, infatti, specifici requisiti relativi al consenso dei minori rispetto al trattamento dei loro dati personali. Senza parlare di vera e propria capacità di agire, il Regolamento ha previsto che, nel caso in cui vi sia un’offerta diretta di servizi della società dell’informazione a soggetti minori, il trattamento dei dati è lecito, previo loro consenso, se questi hanno almeno 16 anni. In caso contrario sarà necessario che il consenso venga prestato o autorizzato dal titolare la responsabilità genitoriale (comma 1).

Allo stato attuale, come è facilmente intuibile, non è previsto un metodo univoco per verificare il consenso del minore, senza rischiare, da un lato, di introdurre sistemi di verifica eccessivamente burocratici, dall’altro, viceversa, aumentando il rischio di falsificazioni da parte dei minori stessi.

L’intervento dell’autorità di controllo italiana

Ed è proprio in un contesto come questo, di continua ascesa dell’era digitale, che il Garante della privacy ha concentrato maggiormente i suoi interventi. Nel 2022 l’Autorità di controllo italiana ha infatti emesso più di 400 provvedimenti collegiali, anche in considerazione del fatto che il  sistema socio-economico italiano è sempre più fondato sul trattamento dei dati personali e come tale necessita di essere adeguatamente guidato, istruito e alle volte addirittura sanzionato.

Da ciò deriva una maggiore attenzione da parte del Garante, anche e soprattutto, per la tutela dei minori che entrano a contatto con le grandi piattaforme, con le applicazioni che utilizzano l’intelligenza artificiale generativa, come ad esempio ChatGPT  (la famosa chatbot creata dalla società statunitense OpenAI), con il metaverso e le relative problematiche connesse allo sviluppo degli algoritmi.

Intelligenza artificiale e tutela dei minori: parla il Garante

Particolarmente significativi sono stati gli interventi del Garante sugli applicativi che utilizzano l’intelligenza artificiale: il più noto (provvedimento n. 112 del 30.03.2023) che ha portato alla sospensione provvisoria di ChatGPT di proprietà della software house americana Open AI, ha però permesso di indirizzarne lo sviluppo in una direzione più compatibile con la tutela dei diritti fondamentali delle persone, specialmente se minori.

Con il provvedimento cautelare d’urgenza, il Garante privacy ha evidenziato, per quanto qui di interesse, che:

  • il servizio di ChatGPT (secondo quanto indicato dagli stessi termini di servizio pubblicati sul sito della società sviluppatrice) è riservato esclusivamente alle persone che abbiano compiuto almeno 13 anni, ma manca qualunque sistema che permetta al titolare del trattamento di verificare l’effettiva età degli utenti;
  • l’assenza di tali strumenti di verifica dell’età effettiva degli utenti espone i soggetti minori di anni 13 al rischio di ricevere risposte dall’intelligenza artificiale dell’applicazione che siano del tutto inidonee rispetto al grado di sviluppo e alla autoconsapevolezza di detti soggetti.

Di risposta, OpenAI si è dimostrata da subito sensibile al rispetto della normativa in materia di data protection, anche rispetto a quella garantita ai soggetti minori. Nei mesi a seguire ha infatti implementato il sistema di verifica dell’età dell’utente al momento di accesso alla piattaforma online di ChatGPT sino ad introdurre un vero e proprio sistema di age verification.

All’atto della registrazione dell’utente, la piattaforma ha quindi inserito la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti minori di 13 anni e prevedendo, in caso di utenti maggiori di tredici anni, ma sempre minorenni, che debbano confermare di avere il consenso dei genitori all’uso del servizio.

Considerazioni finali

Recentemente, il Governo ha emanato il D.L. Caivano n. 123 del 15.09.2023 recante “Misure urgenti di contrasto al disagio giovanile, alla povertà educativa e alla criminalità minorile, nonché per la sicurezza dei minori in ambito digitale”, introducendo una serie di norme in materia di parental control (artt. da 13 a 15 del decreto legge).

In particolare, il controllo parentale prevede la possibilità di limitare e controllare, da parte dei genitori o di coloro che esercitano la responsabilità genitoriale, l’accesso ai contenuti e/o alla rete da parte dei minori, mediante la scelta degli spazi digitali e dei tempi di utilizzo.

L’intento del legislatore, di pari passo con l’autorità garante della privacy, sembrerebbe proprio quello di costruire un articolato sistema di protezione che tenga in seria considerazione anche  le categorie deboli di soggetti, come i minori, che potrebbero essere più facilmente colpite dal mondo digitale se non adeguatamente tutelate.