Categoria: In evidenza

I modelli ex d.lgs. 231/2001: la struttura e l’adozione

Posted on by Chiara Danielli

Dopo aver affrontato alcuni temi generali relativi al D.Lgs 231/2001 , passiamo ora ad analizzare più nello specifico i modelli di organizzazione e gestione.

I modelli di organizzazione e gestione (di seguito anche “MOG”) svolgono una serie di importanti funzioni sia durante il procedimento, sia successivamente quando si tratta di quantificare l’eventuale sanzione.

Infatti, ai sensi dell’art. 6 del D.Lgs. 231/2001 (di seguito anche il “Decreto”), nel caso di reato commesso dai vertici dell’azienda, affinché questa vada esente da responsabilità è necessario che sia stato adottato un modello idoneo a prevenire il rischio della commissione di reati, e che questo possieda una serie di caratteristiche specifiche che vedremo nel corso di questo articolo.

Nel caso invece di reato commesso da soggetti sottoposti all’altrui controllo, per l’art. 7 del Decreto è sufficiente, più genericamente, l’aver adottato efficacemente un modello.

Dal punto di vista sanzionatorio, invece, l’adozione di un MOG a valle della commissione del reato determina, ai sensi dell’art. 12 del Decreto, una riduzione delle sanzioni pecuniarie in misura compresa fra un terzo e la metà, oltre ad altri consistenti benefici che esamineremo prossimamente.

È quindi ovvio che, pur non essendo l’adozione di un MOG obbligatoria, la maggior parte degli enti – ed in particolare quelli aventi una certa complessità organizzativa – intraprendano questa scelta per cercare di andare esenti da sanzioni o comunque mitigare la portata delle stesse. A fronte dei dubbi e delle perplessità che spesso accompagnano le decisioni sull’adozione di un modello di organizzazione e gestione, lo Studio Legale Princivalle Apruzzi Danielli è in grado di assistere e guidare i suoi clienti nell’adozione del MOG.

Forti della nostra esperienza in tale campo, in questo articolo cercheremo di rispondere ad alcune delle domande più frequenti che ci sono state sottoposte dai nostri clienti: cosa deve contenere un modello di gestione ed organizzazione per essere ritenuto idoneo? E quali sono gli step da seguire per adottarlo efficacemente?

I contenuti del modello di organizzazione e gestione

Anzitutto, occorre tenere presente che il testo degli artt. 6 e 7 del Decreto si limita a disegnare lo scheletro del MOG e quali siano gli scopi che esso deve conseguire.

Tuttavia, nel tempo la giurisprudenza ha individuato alcuni principi, stabilendo ad esempio che il MOG debba essere innanzitutto specifico, attuale e dinamico. Il canone della specificità impone di tener conto della tipologia, delle dimensioni, dell’attività dell’ente e della sua storia. L’attualità comporta il costante aggiornamento del MOG alle mutate esigenze. La dinamicità assicura il continuo controllo del sistema prevenzionale, mediante il ricorso a sistematiche procedure di ricerca e identificazione dei rischi e controlli periodici sulle attività aziendali sensibili.

Ma come è fatto e come è strutturato un MOG?

In linea generale e cercando di semplificare il più possibile la risposta a questa domanda, possiamo dire che un MOG si divide in due parti: una generale ed una speciale.

La parte generale è tendenzialmente costituita in primis da un richiamo alla normativa di riferimento, ossia al Decreto stesso, dal modello di governance e dai sistemi organizzativi e di controllo interno adottati dall’ente.

Il secondo elemento che figura nella parte generale del modello è il sistema delle procure e delle deleghe, il quale disegna la ripartizione dei poteri e dei doveri all’interno della società.

Altro contenuto fondamentale della parte generale è dato dal Codice Etico, una sorta di tavola dei valori che permeano la cultura d’impresa e della quale i protocolli contenuti nel modello devono costituire concreta attuazione.

La parte generale del MOG deve anche fare riferimento alle modalità di emersione e rilevamento delle violazioni dello stesso, essenziali affinché il modello sia considerato adeguato ed efficace. Un simile sistema (su cui si tonerà più specificamente in un successivo articolo) è detto anche whistleblowing, e dovrebbe prevedere l’obbligo per tutti i soggetti legati all’ente di denunciare le violazioni di cui sono a conoscenza al proprio superiore o ad un apposito organismo.

Il modello deve successivamente menzionare il sistema disciplinare e sanzionatorio previsto in risposta alle violazioni delle prescrizioni in esso contenute, al fine di assicurarne l’effettività.

Infine, la parte generale deve “chiudere” il quadro disciplinando minuziosamente l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza. Per il ruolo fondamentale che questo elemento riveste nel sistema 231, verranno ad esso dedicati degli articoli a parte, per ora anticipiamo soltanto che tale Organismo ha il compito di vigilare sul funzionamento e sull’osservanza del modello, e di curarne anche l’aggiornamento.

La parte speciale del MOG è invece dedicata all’individuazione e alla regolamentazione delle specifiche attività esposte al rischio della commissione di reati. Più dettagliatamente, la parte speciale del modello deve innanzi tutto fornire una descrizione della struttura dei reati-presupposto della responsabilità dell’ente.

La seconda “tappa” fondamentale è la mappatura delle attività a rischio-reato, anche detta risk assesment, che nelle organizzazioni complesse come un’azienda si sostanzia in una serie di interventi: individuazione delle aree potenzialmente a rischio-reato; selezione delle attività il cui espletamento è connesso al rischio di commissione dei reati, con indicazione delle direzioni e dei ruoli aziendali coinvolti; valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere.

L’ultimo elemento essenziale della parte speciale del MOG è un richiamo, nei loro contenuti essenziali, ai protocolli di gestione del rischio-reato che si è mappato. I protocolli devono essere altamente tassativi, e contenere regole iper-descrittive, che traducano in pratica i principi definiti dal Codice etico. Oltre alla tassatività, i protocolli devono anche essere efficacemente attuati, e non limitarsi ad essere “messi su carta”.

Ulteriori fattori di grande importanza sono le attività d’informazione e di formazione sui contenuti del Modello e dei protocolli di gestione del rischio reato. Infatti, all’interno degli enti, specialmente di grandi dimensioni, è opportuno che vengano attuate iniziative di formazione qualificate e continue sul piano di prevenzione aziendale.

L’adozione del MOG

Sempre per semplificare, si possono quindi distinguere cinque fasi procedimentali che portano alla redazione e all’adozione del modello di organizzazione e gestione.

La fase iniziale consiste in un’analisi conoscitiva della società, che deve riguardare: il tipo di attività da essa svolta; la dimensione della società; la struttura organizzativa; i presidi già in essere all’interno della stessa; i rapporti della società con la Pubblica Amministrazione; l’ambiente di lavoro, per verificare se la società si conformi o meno, e quanto, alle norme anti-infortunistiche e di sicurezza sul lavoro.

Il passo successivo è l’identificazione delle attività sensibili, ossia attività nell’ambito delle quali potenzialmente potrebbero essere commessi i reati presupposto. Questa è una fase estremamente complessa e delicata, in quanto ogni caratteristica specifica dell’organizzazione genera rischi differenti all’interno dei singoli enti. Ciononostante, è possibile trarre alcuni principi generali dalle linee guida delle associazioni di categoria, fra le quali le più rilevanti in relazione al d.lgs. 231/2001 sono quelle pubblicate da Confindustria, che, pur non essendo la regola esaustiva, forniscono comunque utili informazioni circa questa fase della mappatura del rischio.

Il passaggio successivo è la classificazione del rischio in ordine decrescente: in primis i rischi critici, determinati da un danno elevato e da una significativa probabilità di accadimento, i quali non sono prevedibili o controllabili, seguono poi i rischi rilevanti, che presentano una entità del danno e una probabilità di accadimento minori rispetto ai rischi critici, ma che necessitano comunque di essere controllati, infine vi sono i rischi trascurabili, che per la modestia del danno o la scarsa probabilità di accadimento possono essere ignorati.

A questo punto si può procedere all’analisi ed individuazione del sistema di controllo e dei protocolli già esistenti nelle aree a rischio, per valutare la loro capacità di rispondere ai criteri delineati dal d.lgs. 231/2001. Solo dopo aver svolto accuratamente questa analisi, si giunge alla vera e propria predisposizione del modello di organizzazione, gestione e controllo, che dovrà successivamente ricevere l’approvazione da parte dell’organo dirigente.

È evidente che il percorso verso l’adozione ed implementazione di un MOG che risulti adeguato e specifico per il singolo ente, non è esattamente “semplice”.

Nel prossimo articolo andremo quindi ad affrontare la domanda che forse più di tutte preme a chi si appresta ad allinearsi ai dettami del d.lgs. 231/2001: che vantaggi trae l’ente dall’adozione ed efficace implementazione di un MOG?

L’autonomia della responsabilità dell’ente

Posted on by Chiara Danielli

La natura della responsabilità ex 231/01

Come abbiamo anticipato nell’articolo precedente, la responsabilità dell’ente dipendente da reato è definita dal D.Lgs 231/01 come “amministrativa”, ma in realtà è tale solo formalmente, poiché presenta anche molte caratteristiche di una vera e propria responsabilità penale.

I motivi di questa scelta del legislatore vanno ricercati nel testo della Costituzione; infatti, l’articolo 27 stabilisce che “la responsabilità penale è personale”, e che “le pene (…) devono tendere alla rieducazione del condannato”. Questa previsione negherebbe la possibilità di una estensione del diritto penale alle persone giuridiche, da qui la necessità di qualificare la responsabilità degli enti come amministrativa.

Negli anni si è molto dibattuto sulla natura giuridica della responsabilità ex 231/01, finché la Cassazione non ha raggiunto, tramite varie sentenze susseguitesi negli anni, un orientamento abbastanza consolidato. La Suprema Corte è infatti dell’opinione che la responsabilità degli enti derivante da reato costituisca una forma “ibrida” di responsabilità, che nasce dalla combinazione della responsabilità amministrativa con i principi ed i concetti propri dell’ambito penale. Le Sezioni Unite hanno parlato di “evidenti ragioni di contiguità con l’ordinamento penale (…) quale che sia l’etichetta che si voglia imporre su tale assetto normativo.” (Cass., sez. un., 18 settembre 2014, n.38343).

Chiarita quindi la natura della responsabilità dell’ente, riteniamo opportuno segnalare un’altra peculiarità di tale responsabilità: la responsabilità “amministrativa” delle persone giuridiche è aggiuntiva ed autonoma rispetto a quella in capo all’autore materiale dell’illecito penale. Infatti, quando all’interno di un ente viene compiuto uno dei reati-presupposto elencati nel d.lgs. 231/2001, vengono iscritte presso la Procura della Repubblica competente territorialmente due separate notizie di reato in due appositi registri: una ascrivibile alla persona fisica autrice dell’illecito, ed un’altra in capo all’ente.

Inoltre, la responsabilità ex 231/01 può, in alcuni casi, permanere anche se il processo penale nei confronti della persona fisica che ha commesso il reato non può avere corso.

Ciò può accadere nei casi indicati nell’art. 8, comma 1, d.lgs. 231/2001, ossia quando:

  1. l’autore del reato non è stato identificato o non è imputabile;
  2. il reato si estingue per una causa diversa dall’amnistia.

Entrambe queste fattispecie fanno sorgere nella pratica alcune problematiche che andremo ora ad analizzare, mettendo in luce quali sono state le risposte fornite dalla giurisprudenza.

 

Le vicende estintive e il problema posto dalla prescrizione

Come accennato sopra, l’art. 8, comma 1, lett. b) stabilisce che la responsabilità dell’ente sussiste anche nel caso in cui il reato subisca una vicenda estintiva, con l’unica eccezione rappresentata dall’amnistia (il legislatore ha ritenuto che le valutazioni politiche sottostanti ad un provvedimento di questo tipo valgano anche nei confronti degli enti).

L’autonomia della responsabilità dell’ente rispetto alle vicende estintive del reato presupposto crea dubbi con riguardo alla prescrizione. Infatti, ai sensi dell’art. 60 d.lgs. 231/2001, non si può procedere alla contestazione di cui all’art. 59 (vale a dire la contestazione nei confronti dell’ente, effettuata da parte del Pubblico Ministero, dell’illecito amministrativo dipendente da reato) quando il reato da cui dipende l’illecito amministrativo dell’ente è estinto per prescrizione. Si deduce quindi che, viceversa, il potere di contestazione nei confronti dell’ente permane quando la prescrizione matura invece a contestazione avvenuta.

Parrebbe fin qui un ragionamento piuttosto lineare, sennonché i dubbi in questo ambito sorgono dal fatto che la disciplina della prescrizione dell’illecito dell’ente è diversa da quella penalistica: ai sensi dell’art. 22, infatti, il termine di prescrizione è di cinque anni dalla consumazione del reato, e per effetto dell’interruzione inizia a decorrere un nuovo periodo di prescrizione la cui durata massima non è però prevista. In questo la disciplina della prescrizione dell’illecito dell’ente si discosta da quanto stabilisce l’art. 160, comma 3, del Codice penale, ai sensi del quale invece sono previsti dei termini massimi per l’aumento del periodo di prescrizione dovuto all’interruzione della stessa.

Vi sarebbe quindi il rischio che il processo penale nei confronti dell’ente prosegua, e di conseguenza che la responsabilità dell’ente possa eventualmente venire affermata, anche senza la verifica della colpevolezza della persona fisica autrice materiale del reato.

Sul punto è intervenuta la Cassazione che ha stabilito che in tema di responsabilità degli enti, nel caso di declaratoria di prescrizione del reato presupposto, il giudice deve sì “procedere all’accertamento autonomo della responsabilità amministrativa della persona giuridica nel cui interesse e nel cui vantaggio l’illecito fu commesso”, ma senza che questo accertamento possa “prescindere da una verifica, quantomeno incidentale, della sussistenza del fatto di reato” (Cass. pen., Sez. VI, 25 gennaio 2013, n. 21192).

In altre parole, il giudizio sulla responsabilità dell’ente deve comunque mirare alla pienezza dell’accertamento della sussistenza del reato, nelle sue componenti oggettiva e soggettiva.

Si tratta di un ragionamento solo in apparenza esclusivamente teorico, poiché in realtà ha dei risvolti pratici per l’ente. Nella sostanza, infatti, confermando che si deve trattare comunque di un giudizio che mira ad un accertamento pieno, il chiarimento della Cassazione implica che l’ente possa avere la possibilità, in giudizio, di chiedere l’ammissione e produrre prove utili per escludere o far dubitare della sussistenza del fatto di reato, essendo quest’ultimo una componente fondamentale della fattispecie da cui discende la responsabilità dell’ente.

 

La mancata identificazione dell’autore del reato

Per quanto riguarda l’art. 8, lett. a), mentre l’ipotesi di autore non imputabile, cioè incapace di intendere e di volere, resta sicuramente un caso tendenzialmente teorico, la mancata identificazione della persona fisica che ha commesso il reato è un fenomeno quasi tipico nell’ambito della responsabilità d’impresa. In effetti, si può dire che sia un’evenienza insita nella difficoltà di attribuire responsabilità personali soprattutto nell’ambito di organizzazioni articolate o comunque piuttosto complesse.

Ad esempio, basta pensare ai cosiddetti casi di imputazione soggettivamente alternativa, cioè quelle ipotesi in cui il reato è senz’altro riconducibile ai vertici dell’ente, ossia due o più amministratori, ma manchi la prova della loro responsabilità individuale.

Secondo la lettera dell’art. 8, comma 1, lett. a) del d.lgs. 231/2001, la conseguenza per l’ente è che, anche nei casi in cui per la complessità dell’assetto organizzativo interno non sia possibile riferire la responsabilità penale ad un determinato soggetto, ma risulti comunque accertata la commissione di un reato, l’ente ne dovrà rispondere sul piano della responsabilità amministrativa. Questo, naturalmente, a condizione che comunque sia imputabile all’impresa una colpa organizzativa, una negligenza consistente nell’aver adottato un modello organizzativo carente, o addirittura nel non averlo adottato affatto (tema su cui torneremo approfonditamente nel prossimo articolo).

Questa è la conclusione a cui è giunta la Cassazione in svariate sentenze. Nella sentenza n. 20060 del 4 aprile 2013, ad esempio, la Sezione V della Cassazione penale ha affermato che l’autonomia della responsabilità dell’ente non si riferisce tanto ad una indipendenza dell’illecito amministrativo a suo carico rispetto al reato presupposto: lo dice il termine stesso, l’illecito amministrativo presuppone, e quindi dipende, da quello penale. Piuttosto, la disposizione di cui all’art. 8 segnala l’autonomia delle due condanne sotto il profilo processuale. Nella prassi, quindi, perché vi sia responsabilità dell’ente è necessario che venga compiuto un reato da parte di un soggetto riconducibile all’ente stesso, ma non anche “che tale reato venga accertato con individuazione e condanna del responsabile.”

Tuttavia, come vedremo prossimamente, l’imputazione dell’illecito all’ente si fonda su parametri differenti a seconda che autore materiale del reato presupposto sia un soggetto apicale oppure sottoposto. Per questo motivo, sempre la Cassazione ha delimitato l’autonomia della responsabilità dell’ente ex 231. Infatti, pur ribadendo il principio dell’autonomia della responsabilità dell’ente e della tendenziale irrilevanza della mancata individuazione dell’autore del reato, la Suprema Corte ha affermato che è quantomeno necessario stabilire se l’autore sia un soggetto apicale oppure subordinato (Cass. pen., Sez. VI, sentenza n. 28299 del 7 luglio 2016).

Web scraping: Meta sospende i suoi progetti sull’IA in Europa dopo i reclami sulla privacy

Posted on by Valentina Apruzzi

META sospende il programma e il diritto di opposizione

Il 26 giugno 2024 scadeva il termine, per i cittadini dell’Unione Europea, per presentare opposizione all’utilizzo da parte di Meta dei dati personali dei propri utenti ai fini di web scraping, esercitando il proprio diritto ex art. 18 GDPR.

È recentissima la notizia che Meta abbia però sospeso questo progetto, almeno per quanto riguarda l’Unione Europea e lo Spazio economico europeo, a seguito di una richiesta in tal senso da parte dell’Autorità irlandese di autoregolamentazione della privacy.

Il colosso social aveva infatti poco tempo fa comunicato che i dati personali, contenuti nei post pubblicati dagli utenti su Facebook ed Instagram, sarebbero stati utilizzati da fine giugno in poi per attività di web scraping. Per quanto gli utenti europei di Meta più sensibili in tema di privacy possano per ora tirare un sospiro di sollievo, occorre sottolineare che non si tratta dell’unico operatore del web che ha intenzione di utilizzare dati, anche personali, per simili finalità.

Web scraping: cosa si intende?

Ma in cosa consiste l’attività di web scraping? E per quale motivo dev’essere data agli utenti la possibilità di opporvisi? Proveremo a spiegarlo brevemente con questo articolo.

Il web scraping è, sinteticamente, la raccolta massiva di dati, anche personali, pubblicati nei siti web e nelle piattaforme online, da parte di chi sviluppa sistemi di Intelligenza Artificiale Generativa, o IAG.

Più nello specifico, esso consiste nella combinazione di tecniche di web crawling, vale a dire scansione sistematica della rete da parte di bot al fine di raccogliere ed indicizzare i dati contenuti nelle pagine web per garantire il funzionamento dei motori di ricerca, con un’attività di conservazione e memorizzazione dei dati raccolti, per successive mirate analisi, elaborazioni ed utilizzi. Fra queste rientrano anche le finalità di addestramento di algoritmi di IAG.

Il Provvedimento dell’Autorità Garante

Di recente il Garante per la protezione dei dati personali ha denunciato, con la Nota Integrativa al Provvedimento n. 329 del 20 maggio 2024, che nella misura in cui il web scraping implica la raccolta di informazioni riconducibili a una persona fisica identificata o identificabile, si pone un problema di protezione dei dati personali.

Nella stessa Nota Integrativa il Garante suggerisce ai gestori di siti web e piattaforme online, operanti in Italia quali titolari del trattamento di dati personali resi disponibili al pubblico attraverso piattaforme online, alcune possibili cautele per mitigare gli effetti del web scraping di terze parti, finalizzato all’addestramento di sistemi di IAG, laddove tale attività sia considerata dal singolo titolare incompatibile con le finalità e le basi giuridiche della messa a disposizione del pubblico dei dati personali.

Queste possibili misure cautelative vanno dalla creazione di aree riservate, cui gli utenti possono accedere solo tramite registrazione, all’inserimento all’interno dei termini di servizio del sito web l’espresso divieto di utilizzare tecniche di web scraping. È evidente che tali misure hanno una efficacia limitata poiché facilmente aggirabili, ma pongono le basi per definire gli ambiti di responsabilità, e potenziale danno, cui si espongono gli operatori dell’IAG.

Dal punto di vista dell’utente, invece, nel caso in cui ad essere raccolti siano dati personali viene in soccorso l’art. 13 del GDPR, par.2 lett. b ai sensi del quale il titolare deve fornire all’interessato le informazioni sull’esistenza del diritto ad opporsi al trattamento.

Ed è proprio questo che Meta stava facendo, sebbene non in maniera particolarmente trasparente o agevole.  Infatti, per poter esercitare il diritto di opposizione alla specifica finalità del web scraping, gli utenti avrebbero dovuto ricercare, all’interno delle impostazioni del proprio profilo social, l’informativa sulla privacy, che a sua volta rimandava alla possibilità di esercitare il diritto ex art. 18 GDPR, e dopodiché, senza farsi scoraggiare dalla necessità di motivare la richiesta, dichiarare la propria opposizione.

L’appello di NOYB a seguito del quale META sospende il progetto di IA in Europa

Pare però che, almeno per ora, non sarà più necessario (o possibile) intraprendere questo iter.  A seguito di una serie di denunce (di cui potete trovare qui il testo di quella presentata al Garante) ed un appello del gruppo NOYB (“None of Your Business”) alle autorità di svariati paesi dell’Unione Europea, che segnalavano l’illegalità delle finalità di addestramento di una forma indefinita di IAG, la Commissione irlandese per la protezione dei dati ha presentato ufficialmente richiesta affinché Meta sospenda questo progetto, richiesta che pare sia stata accolta dall’azienda.

dott.ssa Rebecca Busi

Avv. Valentina Apruzzi

Il diritto alla riparazione dei beni: approvata la direttiva UE

Posted on by Maria Cecilia Bonino

Approvata la direttiva UE che stabilisce il diritto alla riparazione dei beni.

Il Parlamento Europeo ha infatti approvato il testo definitivo della direttiva il 23 aprile 2024, poi approvato dal Consiglio il 30 maggio 2024.

Mancano solo gli ultimi step:

  • la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea;
  • l’entrata in vigore della direttiva il ventesimo giorno successivo alla sua pubblicazione;
  • il recepimento da parte degli Stati Membri mediante la normativa interna di attuazione entro i 24 mesi successivi all’entrata in vigore.

Viene sancito un nuovo diritto per i consumatori: il diritto a fare riparare i beni in modo più semplice, a vantaggio di una maggiore sostenibilità ambientale.

Lo Studio Legale Princivalle Apruzzi Danielli, che già aveva affrontato il tema con un precedente articolo a seguito degli ultimi sviluppi, sta analizzando l’effetto pratico di tale normativa per gli operatori delle vendite di determinate categorie di beni di consumo.

  1. I principi fissati dal testo definitivo della direttiva

Fine principale della direttiva è la promozione e la facilitazione della riparazione dei beni di consumo, incentivando i consumatori a fare riparare il bene anche al di fuori della garanzia legale.

Il tutto parte dalla necessità di promuovere un consumo più sostenibile, agevolando la riparazione dei prodotti rispetto alla loro sostituzione, e quindi riducendo i rifiuti.

Non è infatti un caso che l’approvazione del testo definitivo della direttiva sia avvenuta quasi contestualmente all’adozione, da parte del Consiglio europeo, del Regolamento sulla Progettazione Ecocompatibile (Ecodesign for Sustainable Products Regulation), ad oggi in attesa di pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.

Tale Regolamento definisce in maniera aggiornata e strutturata i requisiti  per la progettazione di beni nel rispetto dei tre principi fondamentali della durabilità, riparabilità e riutilizzabilità. Principi, questi ultimi, che costituivano gli obiettivi in parte già fissati nella Direttiva UE 2019/771 relativa a determinati aspetti dei contratti di vendita dei beni, al fine di favorire il mantenimento di un ciclo di vita dei prodotti che comprenda il riutilizzo, la riparazione e il ricondizionamento.

Ed è proprio il richiamo alla Direttiva UE 2019/771 a definire l’ambito di applicazione della direttiva in esame a favore dei consumatori. La direttiva sul “diritto alla riparazione” ha a oggetto qualsiasi bene mobile materiale autonomo nonché qualsiasi bene materiale che incorpora o è interconnesso con un contenuto digitale o un servizio digitale.

Dunque, interessati all’applicazione della direttiva sul “diritto alla riparazione” sono, per esempio, gli operatori esercenti nell’ambito della produzione e del commercio dei beni di elettronica di consumo, di elettrodomestici, di prodotti di telefonia e dell’erogazione di servizi di assistenza tecnica a questi accessori.

  1. Le principali novità introdotte

Quali le principali novità che verranno introdotte con l’entrata in vigore della direttiva del right to repair?

La direttiva impone l’obbligo in capo al fabbricante di riparare il bene, su richiesta del consumatore, agevolando allo stesso tempo il consumatore nella scelta dei servizi di riparazione da parte di altri riparatori.

Infatti, al fine di agevolare la scelta, è previsto un Modulo Europeo di informazioni sulla riparazione standard che verrà fornito gratuitamente da parte dei riparatori ai consumatori, recante le informazioni sul riparatore e sulle condizioni di riparazione, la natura del difetto e il tipo di riparazione proposta e relative tempistiche.

Tale obbligo di informativa è previsto in capo anche allo stesso fabbricante, all’importatore o al distributore, i quali saranno tenuti a mettere a disposizione le condizioni sui loro servizi di riparazione, tenuto conto dell’obbligo di riparazione a richiesta del consumatore previsto a loro carico ad eccezione del caso in cui la riparazione sia impossibile.

Dunque, il fabbricante non potrà più rifiutare la riparazione per motivi esclusivamente economici, così come non potrà rifiutare la riparazione per il solo fatto che precedentemente sia stata eseguita una riparazione da parte di altri riparatori.

L’obbligo di riparazione, quindi, viene imposto ai fabbricanti – dietro pagamento di un prezzo da parte del consumatore o a titolo gratuito – anche in riferimento a difetti che non sono causati dalla non conformità dei beni al contratto di vendita. Il tutto secondo condizioni chiare e ragionevoli al fine di non disincentivare la scelta del consumatore alla riparazione del bene.

Infine, tra le novità di maggiore interesse, la direttiva propone la modifica alla Direttiva UE 2019/771 in merito alle tutele al consumatore in caso di vizi e difetti di conformità, stabilendo l’estensione della responsabilità del venditore per un periodo di dodici mesi successivi alla riparazione avvenuta per rendere conforme il bene.

  1. Considerazioni finali

La normativa comunitaria sul “diritto alla riparazione” avrà importanti ripercussioni pratiche per tutti gli operatori del settore della vendita dei beni di consumo e della fornitura di servizi di assistenza tecnica.

Molti gli adeguamenti previsti nei confronti dei consumatori, altrettante le opportunità di business che ne possono derivare per gli operatori.

Saranno necessarie ulteriori e approfondite analisi e  valutazioni a seguito della pubblicazione del testo sulla Gazzetta Ufficiale dell’Unione Europea e quando verrà trattato il recepimento nell’ambito della normativa nazionale.

Lo Studio Legale Princivalle Apruzzi Danielli assiste costantemente gli operatori del settore per lo sviluppo di ogni adeguamento del proprio business tenendo in considerazione i prossimi sviluppi normativi nell’ambito del mercato interno.

 

 

La responsabilità amministrativa degli enti

Posted on by Chiara Danielli

Con il d.lgs. 231 dell’8 giugno 2001 è stata introdotta nell’ordinamento italiano la responsabilità amministrativa degli enti collettivi per fatti di reato.

Tale istituto mira a colpire le condotte illecite, commesse all’interno di un’impresa, che non sono soltanto il frutto di un’iniziativa privata del singolo, bensì rientrano in una più ampia e diffusa politica aziendale, tanto che si parla di corporate crime.

Spinta decisiva per l’introduzione di tale forma di responsabilità è stata sicuramente una serie di fonti sovranazionali che si sono espresse in materia. Fra queste, basta pensare alle numerose direttive del Parlamento europeo e del Consiglio, e alle relative decisioni quadro al Protocollo n. 2 della Convenzione per la tutela degli interessi finanziari delle Comunità europee del 1997, e alla Convenzione Ocse dello stesso anno sulla lotta alla corruzione dei funzionari pubblici stranieri nelle operazioni economiche internazionali.

Il d.lgs. 231 del 2001 ha introdotto una particolare responsabilità per gli enti, definita solo lessicalmente “amministrativa”, derivante da reato e ricollegata al fatto della commissione di un illecito penale da parte di una persona fisica, nell’interesse o a vantaggio della società. Una responsabilità, peraltro, non sostitutiva di quella della persona fisica, bensì aggiuntiva, e collegata alla commissione di determinate fattispecie di reato espressamente previste dal decreto stesso, i cosiddetti “reati-presupposto”.

Destinatari della normativa, secondo la lettera della legge, sono tutti gli enti forniti di personalità giuridica, le società e le associazioni anche prive di personalità giuridica, vale a dire a titolo esemplificativo: le società di capitali, le cooperative, le associazioni, le fondazioni e ogni altra istituzione, non finalizzata allo svolgimento di attività economica, che acquista la personalità giuridica in base al d.p.r. 10 febbraio 2001, n. 236.

Per l’ente “virtuoso” che voglia provare ad evitare di incorrere in tale responsabilità, il legislatore ha previsto un utile strumento: l’adozione dei modelli organizzativi e di gestione, che fungono sia da criterio di esclusione della punibilità, che da criterio di attenuazione delle loro eventuali conseguenze sanzionatorie. La loro predisposizione ed efficace implementazione non è per le imprese un obbligo, ma è certamente indispensabile laddove gli enti vogliano essere tutelati sotto il profilo della responsabilità ex d.lgs.. 231 nella deprecata ipotesi della commissione di un reato-presupposto al loro interno.

A vigilare sulla corretta implementazione e sull’efficacia del modello organizzativo, il d.lgs. 231 prevede l’istituzione all’interno dell’ente di un organo ad hoc. Si tratta dell’organismo di vigilanza, che deve essere dotato di tutti i poteri necessari per assicurare una efficiente vigilanza sul funzionamento ed il rispetto del modello organizzativo adottato dall’ente: esso deve verificare l’efficacia del modello ed il rispetto delle modalità e procedure previste in esso, nonché formulare proposte all’organo dirigente per eventuali aggiornamenti e adeguamenti del modello stesso.

Adottare un modello di organizzazione e gestione può a prima vista significare per l’impresa ingenti costi e lunghi e laboriosi processi di mappatura dei rischi e predisposizione di adeguate cautele, il tutto in un panorama giurisprudenziale dove i criteri di valutazione dei giudici circa l’adeguatezza di questi modelli non sono sempre chiari e ben definiti in partenza. Inoltre, dotarsi di un modello di organizzazione e gestione implica istituire un organismo di vigilanza, il che a sua volta comporta ulteriori costi, dato che tale organo deve disporre delle risorse finanziarie necessarie a svolgere i suoi compiti.

Lo Studio Legale Princivalle Apruzzi Danielli è in grado di seguire i propri clienti in tutto l’iter necessario alla adozione – o eventuale implementazione – del modello ex d.lgs.. 231 del 2001, nonché nell’assistenza alla istituzione dell’organismo di vigilanza o nella formazione obbligatoria in tale ambito. Infatti gli Avvocati dello Studio Legale Princivalle Apruzzi Danielli fanno parte degli organismi di vigilanza di varie società, forniscono consulenza relativamente a tale normativa, e svolgono corsi periodici di formazione su tale tematica.

Occorre infatti tenere a mente che il catalogo dei reati-presupposto, in un primo momento limitato ad illeciti tipici dell’attività economica, va via via sempre più espandendosi, ricomprendendo reati sempre diversi, la prevenzione dei quali richiede conoscenze tecniche specifiche dei più disparati campi.

Per questi motivi, lo Studio Legale Princivalle Apruzzi Danielli ha deciso di fare chiarezza sull’argomento, con una serie periodica di articoli (consultabili anche sul sito internet dello Studio), che esamineranno il d.lgs. 231 del 2001 nei suoi vari elementi e le problematiche che possono presentarsi nella sua applicazione pratica. Non mancheranno anche aggiornamenti sulle più recenti novità in materia di responsabilità amministrativa degli enti dipendente da reato, il tutto per fornire un pratico ed agevole strumento a chi dovesse avere necessità o dubbi su una materia così fondamentale per chiunque si muova nel mondo dell’impresa.

Sicurezza dei prodotti: nuove regole in vigore dal 13 dicembre 2024

Posted on by Lorenzo Princivalle

Si avvicina la data in cui si applicheranno in Italia e sul territorio dell’Unione Europea le nuove regole in materia di sicurezza dei prodotti.

Infatti, il Regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativo alla sicurezza generale dei prodotti (Regolamento 2023/988), entrerà in vigore il prossimo 13 dicembre 2024.

Il Regolamento abroga e sostituisce la Direttiva 2001/95/CE sulla sicurezza generale dei prodotti e la Direttiva 87/357/CEE sulla sicurezza dei prodotti che imitano prodotti alimentari.

A differenza di una direttiva, che necessita di essere trasposta e recepita nella legislazione nazionale, il Regolamento 2023/988 troverà diretta applicazione in tutti gli stati membri.

Obiettivi e ambito di applicazione

Il Regolamento 2023/988 intende fornire un elevato livello di tutela dei consumatori e condizioni di parità per le imprese, migliorando in tal modo il funzionamento del mercato interno dell’Unione europea.

A tal fine, stabilisce norme essenziali in materia di sicurezza dei prodotti di consumo immessi o messi a disposizione sul mercato, laddove si intende:

  • per “messa disposizione”, la distribuzione, il consumo o l’uso sul mercato dell’Unione nel quadro di un’attività commerciale, a titolo oneroso o gratuito;
  • per “immissione sul mercato”, la prima messa a disposizione di un prodotto sul mercato interno

Esso si applicherà nella misura in cui non esistano altre disposizioni specifiche riguardanti la sicurezza applicabili a specifici prodotti e riguarderà prodotti nuovi, usati, riparati o ricondizionati.

Tuttavia, non si applicherà ai prodotti da riparare o ricondizionare prima dell’uso immessi o messi a disposizione sul mercato e chiaramente contrassegnati in quanto tali.

Inoltre, sono esclusi dall’ambito di applicazione del Regolamento 2023/988 i seguenti prodotti:

  1. medicinali per uso umano o veterinario;
  2. alimenti;
  3. mangimi;
  4. piante e animali vivi, organismi geneticamente modificati, microorganismi geneticamente modificati a impiego confinato;
  5. sottoprodotti e prodotti derivati di origine animale;
  6. prodotti fitosanitari;
  7. attrezzature su cui i consumatori circolano o viaggiano se tali attrezzature sono gestite direttamente da un prestatore di servizi nel contesto della prestazione di un servizio di trasporto e non sono gestite dai consumatori stessi;
  8. aeromobili la cui progettazione, produzione, manutenzione e funzionamento comportano un basso rischio per la sicurezza;
  9. oggetti d’antiquariato.

Soggetti interessati

Il Regolamento 2023/988 prevede obblighi specifici per diverse categorie di operatori economici fra cui i principali sono:

  • fabbricanti
  • importatori
  • distributori
  • fornitori di mercati online
  • fornitori di servizi di logistica

Per tutti questi soggetti sono previsti diversi gradi di responsabilità quando siano coinvolti nella messa a disposizione di prodotti nel mercato interno dell’Unione.

Tali obblighi e responsabilità coinvolgono, fra l’altro, le regole di etichettatura, l’analisi dei rischi legata all’uso dei prodotti, la redazione di istruzioni sulla sicurezza, gli obblighi di richiamo dei prodotti in caso di difetti che ne compromettano la sicurezza, eccetera.

 

Quanto precede è chiaramente un brevissimo e primo sguardo d’insieme sulle disposizioni del Regolamento 2023/988, sul quale torneremo con ulteriori articoli di approfondimento.

Nel frattempo, per qualsiasi domanda e per ulteriori informazioni, vi invitiamo a contattare i professionisti del nostro Studio che saranno lieti di fornirvi la loro consulenza.

La firma digitale in Italia: dubbi e quesiti

Posted on by Chiara Danielli

Nonostante l’ampissima diffusione delle sottoscrizioni per mezzo della firma digitale, spesso quando si presenta per la prima volta la necessità di firmare elettronicamente un documento sono parecchi i dubbi che sorgono: che differenza c’è fra firma elettronica e firma digitale? Come si fa ad essere certi che il servizio di firma elettronica che stiamo utilizzando sia valido? E soprattutto: il documento sottoscritto con la firma elettronica avrà valore legale come quelli firmati manualmente? In questo articolo, cercheremo di rispondere alle domande pratiche più frequenti che si presentano nel momento in cui ci si trova a dover utilizzare servizi di firma elettronica.

 

Quali fonti normative regolano la firma elettronica?

Quando parliamo di firma elettronica, le leggi di riferimento più importanti sono sicuramente due: a livello nazionale il d.lgs. n. 82 del 2005, o Codice dell’Amministrazione Digitale e a livello europeo il regolamento UE n. 210 del 2014, ossia il regolamento eIDAS.

Come normativa di riferimento va sicuramente citato anche Il D.P.C.M. n. 117 del 2013 che detta le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, nonché per la validazione temporale, ed è quindi destinato ai certificatori qualificati, per i quali costituisce una sorta di “manuale tecnico”.

 

Quanti tipi di firma elettronica ci sono?

Il regolamento eIDAS delinea e riconosce, nella Sezione 4, tre tipi di firma elettronica:

  • la firma elettronica semplice (o SES): si tratta del tipo di firma elettronica più basilare, la quale, in base al suo grado di sicurezza e complessità può essere legalmente applicabile ed ammissibile come prova in giudizio;
  • la firma elettronica avanzata (o AES), che ha un livello di sicurezza più avanzato e deve soddisfare quattro requisiti:
  1. deve essere connessa unicamente al firmatario;
  2. deve essere idonea a identificare il firmatario;
  3. il titolare della firma ne deve avere l’esclusivo controllo;
  4. deve essere collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
  • la firma elettronica qualificata (o QES), che è una firma elettronica avanzata creata da un dispositivo per la creazione di firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.

 

Perché in Italia parliamo di firma digitale? Che cos’è?

La firma digitale altro non è che un particolare tipo di firma elettronica qualificata, basato su una specifica tecnologia di chiavi crittografiche asimmetriche. Il termine “firma digitale” viene utilizzato in Italia, spesso a fianco o in sostituzione della più generale espressione “firma elettronica qualificata”, perché è stato introdotto dal CAD, che è antecedente di nove anni rispetto al regolamento eIDAS. Il CAD definisce la firma digitale all’art. 24, stabilendo che:

“1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.

  1. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
  2. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
  3. Attraverso il certificato qualificato si devono rilevare, secondo le Linee guida, la validità del certificato stesso, nonché gli elementi identificativi del titolare di firma digitale e del certificatore e gli eventuali limiti d’uso. Le linee guida definiscono altresì le modalità, anche temporali, di apposizione della firma”.

 

Chi può emettere firme elettroniche qualificate?

Affinché una firma elettronica si possa definire come tale, bisogna che i certificati qualificati siano rilasciati dai Qualified trust service providers, vale a dire da fornitori di servizi fiduciari accreditati dalle autorità locali designate da ogni Stato Membro UE (in Italia, l’autorità a ciò deputata è l’Agenzia per l’Italia Digitale o AgID).

ll regolamento eIDAS disciplina i Qualified trust service providers nella Sezione 3, stabilendo che, per poter essere tali, i certificatori devono rientrare negli “Elenchi di fiducia” tenuti dagli Stati membri dell’UE. Quando un certificatore è accreditato dall’Autorità di un paese membro dell’Unione Europea, e dunque è presente nel suo elenco, esso può emettere firme elettroniche qualificate valide per tutta l’Unione, ai sensi dell’art. 4 del regolamento eIDAS. Quindi, per verificare se il provider dei cui servizi ci si vuole avvalere sia abilitato o meno ad emettere QES, sarà sufficiente controllare che sia presente in uno degli elenchi pubblici di certificatori accreditati tenuti dalle varie autorità dei singoli Stati, reperibili sul sito web di eIDAS (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home), e che sia abilitato a fornire il servizio esatto di cui si ha bisogno, informazione sempre rinvenibile sul sito di eIDAS.

 

Qual è il valore legale di un documento sottoscritto con firma digitale?

Con riferimento alla validità dei documenti firmati digitalmente, il CAD stabilisce quanto segue all’art. 21, commi 1 e 2:

“Il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, ha altresì l’efficacia prevista dall’articolo 2702 del Codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria. Restano ferme le disposizioni concernenti il deposito degli atti e dei documenti in via telematica secondo la normativa anche regolamentare in materia di processo telematico”.

Il documento sottoscritto con una firma elettronica qualificata o avanzata soddisfa quindi il requisito della forma scritta, ha valore di scrittura privata e fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. Invece, l’idoneità delle SES a soddisfare tale requisito deve essere valutata dal giudice, sulla base delle caratteristiche della firma elettronica utilizzata in termini di sicurezza, integrità e immodificabilità.

Si è espressa in questo senso anche la Cassazione civile nella sentenza n. 5523 del 2018, la quale, riferendosi nel caso specifico alle e-mail, ha affermato che:

“In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (cd. e-mail) privo di firma elettronica non ha l’efficacia della scrittura privata prevista dall’art. 2702 c.c. quanto alla riferibilità al suo autore apparente, attribuita dall’art. 21 del d.lgs. n. 82 del 2005 solo al documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso è liberamente valutabile dal giudice, ai sensi dell’art. 20 del medesimo decreto, in ordine all’idoneità a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità”.

 

Disposizioni BankIt per i fornitori di servizi di crowdfunding

Posted on by Lorenzo Princivalle

Il provvedimento di Banca d’Italia

Banca d’Italia ha recentemente concluso la procedura di consultazione sulla bozza di Disposizioni di attuazione dell’articolo 4-sexies.1 del TUF in materia di fornitori di servizi di crowdfunding per le imprese, pubblicando sul proprio sito gli esiti e il provvedimento in forma definitiva (link al provvedimento).

Ricordiamo che i servizi di crowdfunding dedicati alle imprese possono essere forniti, previa autorizzazione da parte dell’autorità competente, da:

  • intermediari vigilati (banche, intermediari finanziari ex art. 106 del Testo Unico Bancario, istituti di pagamento, istituti di moneta elettronica e SIM)
  • dai “fornitori specializzati di servizi di crowdfunding”

I primi sono autorizzati dalla Banca d’Italia, a eccezione delle SIM che sono autorizzate, con i secondi, dalla Consob.

Sono destinatari del provvedimento tutti i soggetti anzidetti, con le modalità indicate nel provvedimento stesso.

Comunicazioni agli organi di Vigilanza

Il primo paragrafo del provvedimento è dedicato alle comunicazioni da effettuare agli organi di vigilanza e, in particolare:

  • entro il 25 gennaio di ogni anno, gli intermediari autorizzati dalla Banca d’Italia trasmettono a quest’ultima un elenco dei progetti finanziati attraverso la propria piattaforma di crowdfunding
  • gli intermediari trasmettono, senza ritardo alla Banca d’Italia e alla Consob, le date di avvio di utilizzo dell’autorizzazione, di interruzione e di riavvio della fornitura di servizi di crowdfunding, nonché ogni modifica sostanziale delle condizioni di autorizzazione
  • entro il 30 aprile di ogni anno, i fornitori specializzati di servizi di crowdfunding inviano alla Banca d’Italia informazioni circa le variazioni intervenute rispetto agli accordi di esternalizzazione in essere

Comunicazioni relative ai partecipanti al capitale

Il secondo paragrafo del provvedimento è dedicato ai partecipanti al capitale dei fornitori specializzati di servizi di crowdfunding.

Al fine di monitorare il rispetto delle norme in tema di detenzione di partecipazioni qualificate (pari o superiore al 20%) nel capitale dei fornitori specializzati di servizi di crowdfunding, questi ultimi comunicano alla Banca d’Italia:

  • l’acquisizione o l’incremento di una partecipazione che comporti il raggiungimento o il superamento della soglia del 20% del capitale o dei diritti di voto nel fornitore di servizi di crowdfunding, o che comporti la possibilità di esercitare il controllo sul fornitore specializzato di servizi di crowdfunding
  • la riduzione della partecipazione al di sotto delle soglie di cui al punto 1).

Il termine per la comunicazione è di soli 10 giorni dal verificarsi dell’acquisizione, dell’incremento o della riduzione della partecipazione o, se successivo, dal momento in cui il fornitore di servizi di crowdfunding ne viene a conoscenza.

Comunicazioni relative agli esponenti aziendali

Il terzo e ultimo paragrafo è dedicato agli esponenti dei fornitori di servizi specializzati di servizi di crowdfunding, intesi quali tutti i soggetti persone fisiche che svolgono attività di amministrazione, controllo o direzione dell’ente.

Ebbene, al proposito la Banca d’Italia ha disposto che si applichi, per quanto compatibile, quanto disposto dalle Sezione I, Sezione II, paragrafi 1.1, 1.2, 1.3, 1.4, 1.5, 1.7, 1.8, 1.9, 1.11, 2, 3, 5 e Sezione III, paragrafo 2, del Provvedimento della Banca d’Italia del 4 maggio 2021, recante “Disposizioni sulla procedura di valutazione dell’idoneità degli esponenti di banche, intermediari finanziari, istituti di moneta elettronica, istituti di pagamento e sistemi di garanzia dei depositanti” (link al provvedimento).

Visita anche la pagina dedicata all’area di diritto bancario di Princivalle Apruzzi Danielli Studio Legale.

Digital Markets Act: i destinatari della riforma

Posted on by Camilla Schiocchet

La riforma del mercato digitale

Il 5 luglio 2022 è stato approvato dal Parlamento europeo il Digital Markets Act (adottato con Regolamento EU 2022/1925) (DMA), il primo regolamento europeo sui mercati digitali che insieme al Digital Services Act (DSA) (Regolamento sui servizi digitali) è parte del più ampio pacchetto di riforme digitali finalizzato a rafforzare la regolamentazione delle grandi società tecnologiche.

L’obbiettivo primario del DMA è quello di promuovere la concorrenza equa e limitare le pratiche monopolistiche delle grandi piattaforme online, oltre quello di arginare il più possibile gli abusi e limitare le posizioni dominanti al fine di rafforzare la concorrenza sul mercato e dare maggiore spazio agli operatori “più piccoli”.

I destinatari della normativa

a) I gatekeepers

A seguito dell’entrata in vigore del DMA (1 novembre 2022) e del termine imposto dalla normativa europea per adeguarsi alle relative prescrizioni (entro il 6 marzo 2024), i destinatari cosiddetti gatekeepers hanno l’obbligo di rispettare precise direttive per non incorrere in pesanti sanzioni.

Per definizione, i gatekeepers sono quelle società che hanno il controllo di un determinato settore di mercato e che nel mondo digitale sono rappresentate dalle LOPsLarge Online Platforms.

Ai sensi degli artt. 2 e 3 del DMA, con il termine “gatekeeper” ci si riferisce alle imprese che forniscono un servizio di piattaforma di base tra cui:

  • motori di ricerca
  • servizi di intermediazione
  • servizi di social networking
  • piattaforme di condivisione video
  • sistemi operativi
  • servizi di comunicazione interpersonale
  • cloud computing e pubblicità.

b) I limiti dimensionali dei gatekeepers 

La normativa europea precisa quali siano le soglie dimensionali  per poter essere designati gatekeepers ai sensi del Regolamento DMA.

Innanzitutto, è necessario che le Big Tech abbiano registrato un fatturato annuo all’interno dello Spazio Economico Europeo (SEE) di almeno 7,5 miliardi di Euro (negli ultimi tre anni), o una capitalizzazione di mercato media di almeno 75 miliardi di Euro nell’ultimo anno, ma soprattutto che abbia erogato i propri servizi in almeno tre stati membri (art. 3, par. 2 lett a) Reg. DMA).

Altro requisito è la registrazione sulla piattaforma di base un numero di utenti UE attivi superiore ai 45 milioni e un numero di imprese UE attive di oltre 10.000, su base mensile (per la corretta individuazione degli utenti/imprese “attivi” al fine del calcolo dimensionale, il Regolamento stesso ha previsto un apposito allegato che individua i criteri di calcolo di questi indicatori) (art. 3, par. 2 lett. b) Reg. DMA).

Infine, la posizione sul mercato digitale deve essere “consolidata e duratura” (art. 3, par. 1 lett. c) DMA), ovvero che negli ultimi tre esercizi finanziari l’azienda abbia soddisfatto i precedenti due requisiti (mercato interno/fatturato e controllo del gateway e utenti/imprese attive su base mensile) (art. 3, par. 2 lett.c) DMA).

Le aziende potranno comunque contestare il risultato finale del calcolo adducendo eventuali circostanze eccezionali che possano giustificare l’esclusione dalla categoria suddetta.

c) Le imprese “emergenti”

La Commissione europea potrà designare come gatekeepers anche imprese cosiddette “emergenti”, ovvero che hanno tutti i requisiti per diventare un giorno dei veri e propri gatekeepers. A queste imprese verranno applicati solo una parte degli obblighi destinati ai gatekeepers “consolidati”.

Il compito della Commissione sarà quindi quello di monitorare periodicamente, e comunque ogni tre anni, lo status dei gatekeepers, con facoltà di richiedere in qualunque momento ad una Big Tech “tutte le informazioni che ritiene necessarie” in occasione di fusioni  o acquisizioni delle stesse società emergenti da parte di quelle che dominano il mercato digitale.

Scorrendo la normativa DMA si evince chiaramente che il fine dell’Unione Europea sia quello di ridurre il dominio delle grandi piattaforme digitali e promuovere un ambiente digitale più aperto, innovativo e competitivo per le imprese e i consumatori europei.

I gatekeepers secondo la Commissione UE

La Commissione Europea ha designato i primi sei gatekeepers (Meta, Amazon, Apple, Microsoft, Alphabet, ByteDance) e ha identificato i servizi di piattaforma di base (CPS, Core Platform Service) correlati:

  • 6 piattaforme di intermediazione (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
  • 4 social network (Facebook, Instagram, LinkedIn, TikTok)
  • 3 servizi pubblicitari online (Amazon, Google e Meta)
  • 3 sistemi operativi più diffusi (Google Android, iOS, SO Windows PC)
  • 2 browser Web (Chrome e Safari)
  • 2 grandi servizi di comunicazione (Facebook Messenger e WhatsApp, entrambi di proprietà di Meta)
  • 1 piattaforma di condivisione video (YouTube)
  • 1 motore di ricerca (Google)

Nuovi obblighi e divieti per i gatekeepers

Ai sensi della nuova normativa in materia, i gatekeepers dovranno adempiere ad una serie di doveri e rispettare i relativi divieti.

Tra gli obblighi imposti dal Regolamento vi è quello consentire agli utenti finali di annullare l’iscrizione ai servizi principali della piattaforma con la stessa facilità con cui si abbonano.

Tra i divieti vi è invece quello di non tracciare gli utenti finali al di fuori del servizio principale della piattaforma del gatekeeper per effettuare pubblicità mirata, senza tuttavia averne ottenuto il consenso dovuto. Si tratterà principalmente di ottenere un consenso valido da parte dell’utente prima che i dati personali vengano raccolti o utilizzati tramite le piattaforme o i servizi dei gatekeepers utilizzati da terze parti.

In molti casi, a queste aziende verrà richiesto di manifestare il consenso ai gatekeepers per mantenere l’accesso alle loro piattaforme, ad esempio tramite la modalità consenso di Google (Google Consent Mode che sarà sarà oggetto di approfondimento in un separato articolo prossimo all’uscita sul nostro sito).

Ed ancora, non mostrare preferenze di posizionamento o accesso ai propri prodotti e servizi rispetto agli altri operatori del web. Semplificare il trasferimento dei dati degli utenti dalle loro piattaforme verso altri servizi.

In definitiva, l’obbiettivo ambizioso che l’Unione Europea si è prefissata con questa riforma è quello garantire una maggiore apertura delle piattaforme digitali, consentendo anche ad imprese “minori” di avere uguale accesso alla platea di utenti web e ai relativi dati prodotti sulle piattaforme, nel tentativo di circoscrivere il più possibile le fattispecie di concorrenza sleale a posizione dominante che i colossi del web hanno esercitato sino ad oggi.

 

Cyber Security 2023: Analisi degli Attacchi e Tendenze Emergenti nel Rapporto Clusit 2024

Posted on by Valentina Apruzzi

Nel corso del periodo compreso tra gennaio 2019 e dicembre 2023, si è assistito a un aumento significativo degli attacchi informatici a livello globale. Secondo il recente rapporto pubblicato dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), si sono verificati complessivamente 10.858 cyber attacchi in tutto il mondo. Nel solo anno 2023, si è registrato un numero senza precedenti di 2.779 incidenti, evidenziando un’accelerazione preoccupante della minaccia cyber. La lettura del rapporto CLUSIT 2024 è sempre di grande stimolo per gli operatori della cybersecurity e della protezione dei dati, perché è importante capire il fenomeno a livello globale e imparare dalle minacce per poter gestire in modo più efficace la sicurezza delle informazioni.

Crescita quantitativa e qualitativa degli attacchi nel Rapporto CLUSIT 2024

L’analisi del Rapporto CLUSIT 2024, che anche quest’anno aspettavamo di leggere,  rivela una tendenza all’aumento sia in termini quantitativi che qualitativi degli attacchi informatici. Nel 2023, il numero di attacchi è aumentato dell’11% a livello globale, con un impressionante incremento del 65% in Italia. Questo fenomeno non solo dimostra un aumento della frequenza degli attacchi, ma anche un’escalation della loro gravità. Oltre l’81% degli attacchi rilevati nel 2023 sono stati classificati come “critici” o “gravi”, con un aumento significativo rispetto al 2019.

Integrazione tra criminalità online e offline

Gli analisti individuano una crescente commistione tra la criminalità “off-line” e “on-line”, con i proventi delle attività criminali reinvestiti nel business della cyber criminalità. Questa sinergia tra i due mondi criminali fornisce risorse aggiuntive ai perpetratori degli attacchi, alimentando ulteriormente la minaccia cyber. Il rapporto evidenzia la necessità di affrontare questo fenomeno in modo globale e coordinato.

Prevalenza del malware e del ransomware

Nel 2023, il malware ha continuato a essere la tecnica preferita dai cyber criminali, utilizzato nel 36% dei casi. Tra le varie tipologie di codici malevoli, il ransomware emerge come la principale minaccia e la più diffusa. Questo tipo di malware criptografico è stato responsabile di numerosi attacchi a livello globale, causando danni significativi a individui, aziende e istituzioni.

Conclusioni e risorse aggiuntive

Il rapporto completo, contenente analisi dettagliate, tendenze emergenti e consigli per la sicurezza informatica, è disponibile per il download al seguente link: Rapporto CLUSIT 2024. È essenziale che aziende, istituzioni e individui adottino misure proattive per proteggere le proprie reti e dati da minacce cyber sempre più sofisticate. Investimenti in tecnologie di sicurezza avanzate, formazione del personale e collaborazione internazionale sono fondamentali per contrastare efficacemente la minaccia cyber e proteggere l’infrastruttura critica e la privacy dei cittadini.

In conclusione, il rapporto CLUSIT del 2024 sottolinea l’urgenza di affrontare la crescente minaccia cyber in modo deciso e strategico. Solo attraverso un impegno collettivo e una consapevolezza diffusa delle sfide della sicurezza informatica possiamo sperare di mitigare gli effetti devastanti degli attacchi informatici e garantire un cyberspazio sicuro e affidabile per tutti.