Periodico delle Tecnologie dell'Informazione e della
Comunicazione per l'Istruzione e la Formazione
A+ A A-

Diritto e informatica forense

IL NUOVO REGOLAMENTO ePRIVACY di Benedetto Fucà

Il Nuovo Regolamento ePrivacy di Benedetto Fucà1

1-Business Analyst - Laurea in Giurisprudenza e Master in Cyber security - Digital Forensic & Computer Crime

Abstract - Il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione della Direttiva 2002/58/CE (detta Direttiva ePrivacy). La Direttiva sarà sostituita da un Regolamento che si pone come normativa speciale, nella materia del trattamento dei dati personali: quello delle comunicazioni elettroniche, rispetto al G.D.P.R. L’articolo analizza gli aspetti fondamentali di questo rapporto, le materie oggetto della normativa nonché i possibili sviluppi negli ecosistemi digitali composti da device Internet of Things

Un nuovo importante tassello alla definizione di un quadro normativo, a livello europeo, che riguarda la privacy sta per essere deliberato. Si tratta del nuovo Regolamento ePrivacy, che va a sostituire la Direttiva 2002/58/CE (detta Direttiva ePrivacy). Infatti, il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione di una normativa che ormai da tempo richiedeva un necessario aggiornamento.

Si tratta di un aggiornamento necessario sia dal punto di vista tecnologico che anche normativo. Dal punto di vista tecnologico, negli ultimi anni, l’evoluzione di tecnologie digitali già presenti e di nuovi asset tecnologici, che hanno visto la luce in questi anni, rendevano la Direttiva attuale ormai obsoleta. Inoltre, la necessità di armonizzare il quadro normativo anche alla luce dell’entrata in vigore del General Data Protection Regulation rende necessario regolamentare questo ambito con un apposito Regolamento (in sostituzione della Direttiva che per sua natura non è direttamente applicabile dagli Stati membri) che recepisce le importanti novità del G.D.P.R.

Va innanzitutto, chiarito il rapporto tra questi due Regolamenti: il G.D.P.R. può essere visto come la legge generale, la vera pietra miliare in ambito di protezione dei dati personali; il Regolamento ePrivacy, invece, è una normativa speciale che va a specificare un settore determinato del trattamento dei dati personali: quello relativo alle comunicazioni elettroniche. In particolare, le comunicazioni di dati che avvengono tramite dispositivi dell’Internet delle cose (IoT), le attività di direct marketing e telecomunicazioni effettuate dalle società attive nel digitale. A differenza del G.D.P.R. il nuovo Regolamento è applicabile non solo alle persone fisiche ma anche alle persone giuridiche. La tutela riguarda l’utente finale, indipendentemente dalla sua natura giuridica.

L’importanza di questa nuova normativa è fondamentale nella misura in cui la Direttiva che verrà sostituita è del 2002 e risulta necessario avere un testo normativo aggiornato rispetto all’evoluzione tecnologica; fondamentale per garantire un trattamento e una comunicazione dei dati in linea con quanto già stabilito dal G.D.P.R.

Il lungo percorso, ormai giunto alle battute finali, che sta portando alla nascita di questo Regolamento, si intreccia con quanto già previsto dal G.D.P.R. Inizialmente, l’approvazione e la successiva entrata in vigore dei due Regolamenti doveva avvenire contestualmente. Così non è stato, in quanto individuare norme specifiche sul trattamento dei dati ha richiesto un esame più approfondito e un coinvolgimento maggiore degli stakeholder (aziende, Stati, portatori di interessi diffusi) proprio perché va a dettare regole specifiche e speciali su un settore peculiare.

Questo rapporto lex generalis / lex specialis risulta specificamente menzionato nel richiamo dell’art. 95 del G.D.P.R.: “Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.” L’articolo, richiamando la Direttiva (presto sostituita dal Regolamento) nei fatti afferma l’applicabilità di quest’ultima nei servizi di comunicazione. Tuttavia, come si è avuto modo di vedere, dall’entrata in vigore del G.D.P.R., spesso è stato proprio quest’ultimo che in via sussidiaria ha offerto una tutela normativa in capo alle persone fisiche in questo materia. Sussidiarietà sostenuta anche dall’European Data Board Protection (E.P.D.B.) per coprire l’obsolescenza normativa rispetto allo sviluppo tecnologico digitale[1].

Questo rapporto è stato chiarito, infatti anche dal Parere 5/2019[2], rilasciato dal E.P.D.P. su richiesta dell’Autorità belga per la Protezione dei Dati. Il Board, ribadendo il rapporto tra le due normative, ha chiarito che nel caso in cui il trattamento dei dati personali non è disciplinato in modo specifico dalla Direttiva e-Privacy (o laddove la direttiva e-privacy non disciplina una “regola speciale”), si applica il GDPR.

Come accennato sopra, oggetto di questo Regolamento saranno in primis i dati delle comunicazioni elettroniche che dovranno rimanere riservati. Qualsiasi interferenza, compreso l’ascolto, il monitoraggio e l’elaborazione dei dati da parte di chiunque non sia l’utente finale, sarà vietata, salvo quanto verrà consentito dalla normativa ePrivacy. Altra materia oggetto di tale normativa saranno i cookie, ovvero frammenti di dati sugli utenti memorizzati sul computer e utilizzati, da parte dei player digitali, per migliorare la navigazione. Metadati di comunicazione che vanno ad incidere, inoltre, sulla profilazione dell’utente finale. Mediante la profilazione, le aziende per scopi di business vanno implementare la data monetization ovvero lo scambio dei dati dell’utente finale verso un’altra organizzazione dietro un compenso, creando accordi commerciali che hanno ad oggetto proprio i dati ceduti dall’utente finale.

Inoltre, l’E.P.D.P., per cercare di allineare la regolamentazione all’uso della data monetization ha emanato le Linee Guida 5/2020[3] in cui vengono stabilite, alla luce dell’evoluzione digitale, due principi fondamentali:

  1. L’utente finale dovrebbe avere la possibilità di scegliere se accettare i cookie o identificatori simili.
  2. Rendere l’accesso a un sito web dipendente dal consenso all’uso dei cookie per scopi aggiuntivi in alternativa a un paywall sarà consentito se l’utente è in grado di scegliere tra tale offerta e un’offerta equivalente dello stesso fornitore che non comporta il consenso ai cookie.

In questo contesto, l’approvazione del nuovo Regolamento ePrivacy risulta fondamentale anche per gli ecosistemi dell’Internet of Things (IOT). La regolamentazione delle comunicazioni e del trattamento dei dati di questi dispositivi è uno dei punti salienti della normativa, infatti, si stabilisce che nella maggior parte dei casi i produttori di device potrebbero contare solo sul consenso dell’utente finale per trasmettere i dati da un dispositivo ad un altro dispositivo collegato, non potendo fondare il trattamento sull’esecuzione del rispettivo contratto con l’utente finale.

Gli impatti che il Regolamento potrebbe apportare anche in relazione alle nuove tecnologie, nello specifico IoT e Intelligenza Artificiale, si ricollegano in maniera particolare alla tecnologia blockchain. Immaginando, per esempio un ecosistema di Smart City, fortemente incentrato su device IoT e alimentati da una blockchain che certifica gli scambi, si pone il tema di come questo Regolamento può creare un fenomeno di trust che va ad alimentare la fiducia da parte dei cittadini nei confronti della Smart City. Andando ad alimentare un processo virtuoso che da un lato riesce a cogliere in pieno i vantaggi di questo ecosistema e dall’altro pone le basi per un ulteriore sviluppo tecnologico integrativo.

La valenza dell’entrata in vigore del Regolamento, che si pone come prima normativa speciale rispetto al G.D.P.R. apre una seria riflessione anche su un quadro normativo in grado di poter agganciare lo sviluppo tecnologico con altrettante normative speciali in grado di mantenere alta, all’interno dell’Unione Europea, una tutela normativa di alto livello.

 Benedetto Fucà

 Business Analyst 

Laurea in Giurisprudenza e Master in Cyber security

Digital Forensic & Computer Crime

[1] Si veda sul tema anche Sicurezza dei dati personali negli smart vehicles di Benedetto Fucà e Antonello Cassano, link abstract link abstract: https://www.ictedmagazine.com/images/Riviste_2020/Aprile_2020_abstract.pdf – 2020)

[2]Testo del parere: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_it.pdf

[3] Testo del Parere: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

0
0
0
s2sdefault

Covid-19 e presidi di sicurezza. I rischi nascosti dei c.d. body temperature checks. di Antonello R. Cassano[1] e Flavia Salvatore[2]

di Antonello R. Cassano[1] e Flavia Salvatore[2]

Abstract

È innegabile che la pandemia causata dalla diffusione dell’ormai noto virus Covid-19 abbia impattato considerevolmente sulla vita quotidiana di milioni di persone. Infatti, indipendentemente dallo Stato di appartenenza o residenza, il cittadino è costantemente oggetto di misure di cautela e prevenzione – a tutela propria e della collettività – implementate in forme tanto diverse quanto disparate e, molto spesso, non percepite. Tuttavia, nel furore di preservare la salute mondiale, altre forme di rischio potrebbero passare inosservate, sicuramente meno gravi in termini di bene giuridico tutelato. Basti pensare al trattamento dei dati connessi allo spostamento dei cittadini, volto a verificare l’assenza di contatti con località o individui infetti, astrattamente in grado di delineare i movimenti di milioni di individui. Conseguenze non dissimili si avrebbero in tema di dati sanitari, raccolti da organizzazioni private e pubbliche a seguito di massicce campagne di prevenzione condotte tramite l’uso di test medicali, in grado di tracciare profili diagnostici di larghe sacche sociali.

 

Il Legislatore italiano, nell’ideare le linee guida da implementare durante la fase critica della pandemia, il c.d. Protocollo condiviso dalle Parti Sociali, mise in guardia sull’accorto uso dei dati che si sarebbero così generati. Nello specifico, il detto Protocollo alludeva alla misurazione della temperatura corporea, che – per sua stessa ammissione – assurgeva a “trattamento di dati personali”, da avvenire “ai sensi disciplina privacy vigente”.

In proposito, suggeriva altresì diversi escamotage per operare efficientemente su tale piano, bilanciando, da un lato, la tutela dei cittadini, e garantendo, dall’altro, presidi minimi di sicurezza, in un crescendo di difese via via più complesse e gravose.

In primo luogo, infatti, proponeva una soluzione alquanto agile ed elastica: non registrare il dato acquisito, o quantomeno farlo esclusivamente per “documentare le ragioni che hanno impedito l’accesso ai locali dei locali aziendali”; così facendo problematiche giuridiche connesse al trattamento e alla conservazione dei dati raccolti non sarebbero mai sorte, se non in casi limite, comunque sporadici. In alternativa, consigliava di “fornire l’informativa sul trattamento dei dati” o, altrimenti, di “definire le modalità di sicurezza e organizzative adeguate a proteggere i dati”. Va da sé che un simile intervento presuppone una documentazione del dato, seguita da una conservazione a lungo termine; insomma, entrambe circostanze che presuppongono un trattamento rilevante ai sensi della disciplina vigente.

Solo successivamente l’attenzione dedicata dal Legislatore italiano alla privacy ha ottenuto un avvallo, peraltro autorevole, a livello europeo, grazie alle guidelines recentemente diffuse dall’European Data Protection Supervisor[3], il c.d. Garante Europeo.

In apertura di argomento è doveroso precisare che il documento in parola affronta il tema dei presidi di sicurezza adottati dai “Union institutions, bodies, offices and agencies (EUIs)”, investigando dunque un settore – quello pubblico europeo – non coincidente con l’ambito del Protocollo nazionale; tuttavia, vi sono numerosi punti di contatto che, con i dovuti distinguo, consentono di ritenere le osservazioni ivi riportate attuali e praticabili anche per il settore privato.

Da ciò ne deriva che l’approccio metodologico del presente testo – volto, come visto, a verificare l’applicabilità dei principi europei all’ambito privato – vedrà continui richiami e parallelismi fra la normativa citata dal Garante, Regolamento 2018/1725 “sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati”, e il più noto GDPR[4].

Facendo un passo indietro, è interessante rilevare che il background di partenza del Legislatore italiano è del tutto identico a quello del Supervisor europeo, seppur non può tacersi una maggiore finezza argomentativa dell’ente sovranazionale nella rappresentazione delle ragioni a fondamento della propria posizione. Entrambi, infatti, rilevano che la registrazione dei dati raccolti assurge a elemento minimo e necessario per l’applicazione della normativa europea, ragione per cui una sua assenza comporta la non applicazione della normativa di interesse, Regolamento 2018/1725 o GDPR che sia.

Il Supervisor, infatti, apre illustrando la necessaria distinzione fra a) “controllo semplice della temperatura” – volto unicamente a rilevare la temperatura corporea, senza che questa venga registrata, documentata o che ci sia un qualche processo avente ad oggetto i dati personali del soggetto –  e b) “altri sistemi di controllo della temperatura”, che invece prevedono processi di registrazione e documentazione dei dati personali del soggetto, o l’utilizzo di strumenti automatizzati di rilevazione.

Alla luce di quanto detto, è evidente che l’operazione sub a) non ricade né nell’ambito del Regolamento 2018/1725 – dal momento che, come espressamente previsto dall’art. 2, paragrafo 5, la normativa è da applicarsi solo “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” – né in quello dell’art. 2, paragrafo 1, GDPR, che ricalca parola per parola la citata norma.

In effetti, è evidente l’assenza di qualsiasi elemento che potrebbe giustificare l’applicazione dell’una o dell’altra disciplina: non è presente né un trattamento automatizzato, né – in caso di uno manuale – un archivio destinato a conservare le informazioni raccolte. Non a caso, come precisa lo stesso Garante Europeo, “the use by a security officer of an analogue or digital thermometer results only in displaying the temperature, allowing the security officer to read the temperature value with this eyes”.

Resta dunque la sola fattispecie sub b) a delimitare l’ambito di operatività delle normative, formulazione sicuramente coerente e coincidente con i dispositivi normativi richiamati (Regolamento 2018/1725 e GDPR). Dato ciò per assodato, è ora il caso di formulare alcune osservazioni che coinvolgono il solo GDPR.

In primo luogo, si noti che è esso stesso a individuare un secondo motivo che potrebbe escluderne l’applicabilità ai casi di specie. Infatti, l’art. 2, paragrafo 2, lett. d), prevede espressamente che il detto Regolamento non è da applicarsi ai trattamenti di dati “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali, incluse la salvaguardia contro minacce alla salute pubblica e la prevenzione delle stesse”. In proposito, se gli atti di contenimento eseguiti da privati persone fisiche o giuridiche (controllo della temperatura all’ingresso dei locali) sembra certamente ricadere nella clausola aperta di cui sopra senza alcuna forzatura – basti pensare alla “prevenzione” – dubbi persistono in riferimento all’ambito soggettivo. In effetti, non vi è dubbio che tramite la raccolta di dati concernenti gli spostamenti e/o le condizioni di salute degli interessati possano essere prevenuti, accertati o anche perseguiti reati connessi al contenimento della pandemia in corso.

Tuttavia, come anticipato, perplessità emergono con riguardo all’ambito soggettivo. La norma, infatti, allude ad Autorità pubbliche, e non anche ai privati cittadini che raccolgono dati circa l’affluenza presso i proprio locali. In proposito, a nulla sembra servire l’osservazione che vuole i detti controlli eseguiti in conformità a disposizioni legislative, di fonte statale o regionale; in effetti, una simile affermazione di certo non altera la natura di un privato in pubblico, vieppiù in “autorità competente” che, stando alla formula legislativa, sembra essere circoscritta al solo ambito penale.

Accantonando il presente il tema, che meriterebbe una discussione decisamente più approfondita, occorre ora soffermarsi su un secondo profilo, concernente questa volta il solo “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Si è detto a buon diritto che in mancanza di registrazione dei dati si è al di fuori del campo di applicazione del GDPR (e in questo caso anche  del Regolamento 2018/1725); ma come conciliare il presente dispositivo con quanto previsto dal Considerando 15 secondo cui “non dovrebbero rientrare nell'ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”?

In un caso del genere, infatti, sorgono dubbi sulla tenuta del sistema qualora i detti sussidi cartacei vengano organizzati su base temporale, riportando, ad esempio, le ore di accesso ed uscita degli interessati dai locali aziendali, e dunque il tempo di permanenza. In effetti, una simile registrazione è idonea a individuare alcune caratteristiche tipiche dell’agenda di vita dell’interessato, che variano a seconda dell’organizzazione che ne effettua la raccolta e il tipo di servizio offerto. Esemplificando, in caso di un centro sportivo, potrebbero emergerne dati sulle abitudini atletiche, o invece informazioni attinenti all’ambito sanitario qualora trattasi di centri clinici o diagnostici specializzati in una data area medicale, o anche in più.

Detto altrimenti, basta la sola indicazione di dati minimali quali la data e le ore di ingresso ed uscita a estrapolare il caso di specie dalla previsione del Considerando 15, e dunque ad obbligare il curatore del fascicolo ad applicare il GDPR? Molto probabilmente sì.

Infatti, si tenga presente che è lo stesso Supervisor a precisare nelle guidelines che quando i controlli della temperatura, anche operati manualmente, vengono registrati o associati a un soggetto identificato o identificabile, essi rientrano nell’ambito di applicazione del Regolamento 2018/1725, in quanto agilmente assimilabili ai c.d. sistemi di archiviazione[5].

Vale questa affermazione per i trattamenti privati che, ricordiamo, affondano le proprie radici nel GDPR e non nel Regolamento 2018/1725, dal quale parte il Supervisor? Sicuramente sì.

Infatti, i presupposti logico-giuridici che sono a fondamento del detto Regolamento sono rinvenibili nello stesso GDPR: la riconducibilità del dato a una persona fisica individuata o individuabile ne è una delle pietre angolari, come stabilisce positivamente la lettera normativa (art. 4, paragrafo 1, lett. a) e i Considerando di supporto. Di particolare interesse a tal riguardo è il n. 26, il quale riconosce che “è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”. Insomma, vi è un’identità di ratio, circostanza che giustifica l’applicazione del principio di analogia.

Terminati i presenti approfondimenti, torniamo al cuore della discussione. Si è detto che l’ambito di applicazione delle due normative, pubblica e privata, è, in entrambi i casi, la fattispecie sub b) di cui sopra. Aggiungiamo ora un ulteriore tassello al mosaico: le informazioni raccolte tramite l’uso di dispositivi di misurazione della temperatura corporea sono c.d. “data concerning health”, e perciò disciplinati dall’art. 9 del GDPR, relativo al trattamento dei dati c.d. “dati particolari”, che ne vieta il trattamento al di fuori dei casi previsti[6].

A questo punto della trattazione occorre riprendere il discorso interrotto sulle guidelines, e a tal proposito è interessante riportare alcune delle seguenti osservazioni ivi presenti. In particolare, il Supervisor – partendo dagli ormai noti processi “interamente automatizzati” – osserva che, implementando strumenti altamente tecnologici, può a buon diritto ricadersi nell’alveo di cui all’art. 24 del Regolamento 2018/1725, rubricato alla voce “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che altro non sta a indicare che un processo privo di qualsiasi coinvolgimento umano.

In effetti, come non manca di sottolineare, “controlli della temperatura basati esclusivamente su processi automatizzati, come l’uso di scan o camere termiche, che potrebbero impedire a un dato soggetto di fare ingresso in una struttura, possono essere assimilati a processi decisionali individuali e automatizzati produttivi di effetti giuridici”, ragion per cui non ci si può sottrarre dall’applicare la relativa disciplina legislativa.

Prima di procedere, tuttavia, è bene ricordare che il Regolamento in parola ricalca ancora una volta quanto previsto sul punto anche dal GDPR: infatti, la citata disposizione (art. 24) trova un lampante corrispettivo nell’art. 22 di quest’ultimo, rubricato anch’esso secondo la medesima nomenclatura; pertanto, ancora una volta quanto osservato per una vale anche per l’altra. Entrambe le norme, dunque, prevedono che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Ciò detto, sono presenti delle esclusioni al successivo paragrafo, però inoperanti per i famosi “dati particolari” nei quali ricadono i sanitari; dati disciplinate rispettivamente dall’art. 10 del Regolamento 2018/1725 e dall’art. 9 GDPR. Tuttavia, l’ultimo paragrafo di entrambe le norme prevede una sorta di eccezione all’esclusione, in quanto stabilisce che “le decisioni di cui al paragrafo 2 - le esclusioni - non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, [o 10, paragrafo 1, Regolamento 2018/1725] a meno che non sia d’applicazione [gli] articol[i] 9 [e 10], paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato”.

Giunti a questo punto, per districare la matassa sembra opportuno citare il Garante Europeo, il cui ragionamento è valido anche per il settore privato per i motivi già illustrati. Questi infatti afferma che “attualmente non esiste una legge dell’Unione Europea [o nazionale, bisogna aggiungere], ai sensi dell'articolo 24, paragrafo 4, [e dell’articolo 22, paragrafo 4, GDPR] che autorizzi i controlli della temperatura basati esclusivamente sul trattamento automatizzato per consentire o negare l’accesso ai locali […] per motivi di salute e sicurezza. Pertanto, un sistema completamente automatizzato di controlli della natura sarebbe lecito solo su base volontaria, con il consenso esplicito degli interessati ai sensi dell'articolo 10 [o 9 GDPR], paragrafo 2, lettera a)” dei Regolamenti.

Terminati i profili di particolare interesse, si segnala in chiusura che nel prosieguo delle guidelines sono suggeriti dal Supervisor alcuni accorgimenti tecnici sulle modalità di raccolta dei dati – sì da garantire il rispetto dei principi di privacy by design e by default – e ultime raccomandazioni generali per qualsiasi tipo di “temperature checks”. Esemplificando, si consiglia di informare con chiarezza qualsiasi interessato del fatto che è in atto un sistema di controllo della temperatura, fornendone i motivi ed eventuali altre informazioni aggiuntive (es. responsabili della decisione). Inoltre, avvisi e segnali recanti informazioni sui controlli dovrebbero essere posti presso tali punti, ed essere sufficientemente grandi da poter essere notati e letti senza difficoltà. Infine, è consigliato ai corpi europei – e quindi anche ai privati – di implementare procedure di revisione continua al fine di verificare costantemente la necessità e, se del caso, la proporzionalità delle misure alla luce dell’evoluzione pandemica.

In conclusione, alla luce di quanto scritto, è evidente che le osservazioni formulate dal Garante Europeo sono applicabili anche ai privati. Tuttavia, preme evidenziare che la loro osservanza – che trova comunque un conforto su di un piano giuridico, come si è tentato di evidenziare – dovrebbe scaturire in primo luogo dall’attenzione che i privati pongono nella prevenzione e nel contenimento della pandemia. Ciò presuppone, soprattutto per organizzazioni di grandi dimensioni e spiccata complessità, la collaborazione di diverse funzioni di controllo interne – compliance, risk management e RSPP, per citare le più note – secondo una catena di poteri e responsabilità che consenta la proficua circolazione delle informazioni, l’efficace implementazione delle misure di sicurezza e l’adeguato controllo sul loro rispetto. Detto altrimenti, il buonsenso dovrebbe essere la prima ragione a spingere tali soggetti a una maggiore attenzione.

 

[1] Avvocato del Foro di Roma e collaboratore di FC Law Firm, studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalente nei settori della privacy, assicurativo, bancario e finanziario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale e societario, nella gestione e organizzazione dei sistemi di controllo interno e nella corporate governance (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).

[2] Dottoressa in Giurisprudenza, si sta specializzando in protezione dei dati e cybersecurity.

[3]Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis”, European Data Protection Supervisor, 1° settembre 2020.

[4] In proposito, peraltro, si noti che tanto l’art. 2, paragrafo 5, del Regolamento 2018/1725 quanto l’art. 2 GDPR condividono il medesimo ambito di applicazione, come si avrà modo di evidenziare nel prosieguo.

[5] Tale ricostruzione è riconfermata quando si afferma che “to remain outside the scope of the Regulation, temperature measurements may not be followed by registration, documentation or other processing allowing to link such temperature checks to a data subject (such as an identity check that would form part of a filing system)”. 

[6] Tuttavia, è interessante rilevare che la pandemia da Covid-19 costituisce una lampante eccezione alla regola generale, talmente grave nella sua portata da poter essere ricompresa molteplici cause di esclusione. In primo luogo, infatti, ricade nell’ambito della lettera b), secondo cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,  nella  misura  in  cui  sia  autorizzato  dal  diritto  dell'Unione  o  degli  Stati  membri  o  da  un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”; in aggiunta, si tenga a mente anche la lettera g), che contempla il caso in cui “il  trattamento  è  necessario  per  motivi  di  interesse  pubblico  rilevante  sulla  base  del  diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza  del  diritto  alla  protezione  dei  dati  e  prevedere  misure  appropriate  e  specifiche  per tutelare i diritti fondamentali e gli interessi dell'interessato”; infine, si ricordi la lettera i), a mente della quale “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri  che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale”.

0
0
0
s2sdefault

GAMING ON-LINE: ATTIVITÀ ILLECITE E RISCHI PER GLI UTENTI

Abstract

I criminali informatici sono presenti lì dove fiutano grosse somme di denaro miste a grandi numeri di utenti, portatori sani di vulnerabilità.

Dal Ransomware alla Sextortion, dal furto di identità al riciclaggio di denaro, passando per il cyberbullismo fino a giungere al proselitismo ed agli attentati terroristici trasmessi in diretta, attraverso piattaforme dedicate ai videogame online.

Gli ultimi dati di Akamai (piattaforma di monitoraggio h24 che raccoglie ed analizza dati sugli attacchi in rete) stimano oltre 16 miliardi di attacchi per l'anno 2019, finalizzati ad una serie di crimini informatici che spazia in lungo ed in largo, o sarebbe più appropriato dire, che i crimini spaziano dal web in superficie fino al deepweb e trovano la loro esaltazione nel darknet.

L’attività principale pare essere proprio il furto di credenziali, dati personali o account di gioco, da siti e servizi del settore in questione, finalizzato alla vendita nel darkweb.  

La spiegazione ai dati pubblicati nel rapporto Akamai è presto data, ossia è da imputare principalmente ad una scarsa percezione del rischio da parte dell’utente, la quale sfocia conseguentemente in atteggiamenti poco accorti, vale a dire, per fare un esempio lampante, il banale utilizzo della medesima password su più siti e per più account.

 

 

 

 

Il Cybercrime ha puntato il Gaming on-line

Il mondo dei videogame online è oramai una realtà consolidata, grazie a numeri rilevanti in termini di presenze e conseguente giro d’affari, per queste ragioni il cybercrime ha puntato tale settore con forza e decisione.

Miliardi di utenti che popolano un contenitore virtuale, in cui riversano al suo interno dati personali, dati di carte di credito e quindi denaro, il quale “investito” ai fini dell’esperienza di gioco, di virtuale risulta avere ben poco.

Inoltre, se questo non bastasse, è doveroso sottolineare come tutto ciò avvenga in un contesto per cui l’interazione tra sconosciuti, compagni di giocata, è pressoché senza filtri, con pochissimi controlli da parte delle autorità e delle stesse società di gaming.

Il mondo dei videogame, con particolare attenzione alle chat delle piattaforme che li ospitano, diviene il luogo ideale dove porre in essere azioni criminose, attraverso metodologie classiche,  che, se traslate nel mondo virtuale, risultano essere molto più efficaci e prive dell’esposizione al rischio di essere intercettati.

La storia ci insegna che qualsiasi luogo, dove sia presente una grande quantità di persone, comporta come naturale conseguenza un generoso giro d’affari, se a questo aggiungiamo che il luogo in questione, risulta privo di barriere e difficilmente controllabile,  e che anzi favorisce e facilita lo scambio di informazioni tra sconosciuti, si capisce bene come questo possa diventare terreno fertile per ogni tipo di malintenzionato e si presti agevolmente ad una serie di attività illecite difficilissime da monitorare e contrastare in tale contesto.

 

CYBERTERROISMO, HACKING, VENDITA DI DATI NEL DARK WEB, RICICLAGGIO, CYBERBULLISMO, REATI A SFONDO SESSUALE sono macro-aree di crimini informatici in cui le ramificazioni e le distorsioni messe in atto dai criminali e non, sono all’ordine del giorno.

 

Il gaming non conosce età

Un fattore da tenere in considerazione, al fine di avere una visione ancora più completa di quello che si andrà ad analizzare in seguito, emerge dalle statistiche del rapporto AESVI (Associazione Editori Sviluppatori Videogiochi Italiani) 2018, da cui si evince che il settore del gaming non conosce età o distinzione di genere. Giocano tutti!

Sono 16,3 milioni le persone che hanno giocato in Italia ai videogiochi negli ultimi 12 mesi, ovvero il 37% della popolazione italiana tra i 6 e i 64 anni e dato ancora più sorprendente è che non esiste distinzione di genere poiché di questi 16,3 milioni il 54% è composto da uomini e il restante 46% sono donne, a dispetto di quello che può essere l’immaginario comune per cui i soggetti attaccati ai videogame siano prevalentemente adolescenti maschi.

 

 

Consapevolezza – percezione dei rischi – responsabilizzazione

Prima di procedere con l’analisi delle singole fattispecie criminose, è doveroso prendere in esame il contesto con cui l’utente si trova ad interagire e le relative vulnerabilità in cui può imbattersi, così da veder trasformata, in pochi attimi, un’innocente avventura ludica in un’esperienza poco piacevole, spesso dannosa, sia economicamente quanto emotivamente.

 

I giochi online rilevano alcune caratteristiche tecniche che, a prima vista, sembrerebbero essere innovazioni necessarie, volte ad apportare migliorie sia per quanto concerne l’esperienza di gioco, quindi parliamo di azioni come la personalizzazione di ambienti o personaggi, che stimolano ad esempio la creatività del giocatore, ma anche l’interazione sociale o il teamworking, molti giochi prevedono la collaborazione (l’interazione live in chat) e il raggiungimento di obiettivi in team.

Purtroppo, o per fortuna, se ci si ferma a guardare con un occhio più attento, si può notare con facilità che ad ogni positività corrisponde una vulnerabilità potenzialmente dannosa per i giocatori.

 

Giocare gratis o pagamento con Dati Personali?

La stragrande maggioranza dei giochi viene pubblicizzata con modalità freemium, ossia per giocare non è necessario pagare con euro o criptovalute (bitcoin, ethereum etc..), almeno inizialmente, e a meno che la raccolta di dati personali, necessari a creare un account, non sia considerata metodo alternativo di pagamento, al fine di usufruire di un servizio, basta compilare qualche pagina di informazioni personali e siamo catapultati nel gioco.

Oramai però, è acclarato che i nostri dati personali, i nostri gusti, le nostre passioni, hanno un valore commerciale per chi li incamera e se ne serve oppure li vende a terzi per trarne un profitto, il tutto con (ma è capitato spesso anche senza) il nostro consenso, purtroppo neanche questa consapevolezza frena il giocatore nel perseguire la sua fame di avventura.

 

Come detto in precedenza, almeno inizialmente, non sarà necessario pagare per poter iniziare a giocare, ma una volta dentro, dopo aver speso ore del nostro tempo ed energie di fronte al PC, dopo aver cambiato almeno un paio di tastiere o mouse, ed essere arrivati ad un livello che ci è costato tempo e fatica, ecco: quello sarà il momento in cui saremo pronti a spendere pur di andare avanti nel gioco.

Oramai assuefatti pagheremo, al fine di rendere l’esperienza di gioco più customizzata che mai, personalizzare il nostro avatar, fornirlo di gadget accattivanti oppure armi più potenti.

Per effettuare i pagamenti saremo ben disposti ad esporre in rete i dati della nostra carta di credito.

 

Dipendenza e Ingegneria Sociale

Sessioni di gioco live, altro fattore apparentemente intrigante, il gioco inizia, si può essere in 2 o in 100 persone, ma ci sono anche giochi che consentono a migliaia di giocatori di poter partecipare contemporaneamente.

Tutti connessi nello stesso frangente, anche da paesi agli antipodi, magari intenti a scrivere in chat e fare amicizia o deridere l’avversario, ma non sempre consapevoli del pericolo, perché non sempre potremo avere la finita certezza che dietro quel nome e/o foto della tipica ragazza inglese o americana, ci sia in realtà un esperto criminale informatico che ci sta studiando e ci sta estorcendo informazioni utili al fine di creare una zona di confort, un’atmosfera di fiducia tessendo la tela nella quale farci rimanere intrappolati.  

Questa pratica viene definita ingegneria sociale, molto diffusa in questi ambienti proprio perché fa leva su un mix tra contesto favorevole e vulnerabilità, ossia il giocatore, persone che non prendono le dovute contromisure, la giusta attenzione che useremmo se uno sconosciuto ci fermasse per strada. A parte questo, la sessione live ha di bello che è in diretta e per tale ragione non è previsto lo stop, non è possibile mettere pausa, il gioco finisce se si perde oppure quando termina la sessione, quando inizi non puoi smettere se non decidi deliberatamente di perdere, e chi vorrebbe perdere dopo aver investito tempo, fatica e adesso anche denaro?

In Gran Bretagna è stato appurato che, soprattutto negli ultimi anni, molteplici cause di divorzio sono state intentate come diretta conseguenza dalla dipendenza da videogame.

 

Riciclaggio e Hacking

Diversi giochi, alla luce di quanto esposto in precedenza, si sono inventati una propria moneta virtuale, da poter usare ai fini del gioco per gli acquisti e la customizzazione del proprio account, questo aspetto oltre a rendere più avvincente il gioco, conferisce agli account dei giocatori un valore, diventando merce appetibili, a tal punto da accendere l’interesse dei criminali informatici.

Le fattispecie criminose poste in essere possono spaziare a seconda della fantasia e delle competenze del malintenzionato.

Si va dall’attacco informatico, tramite ransomware ad esempio, volto ad impossessarsi degli account più facoltosi (alcuni valgono svariate migliaia di euro), per poi chiedere un riscatto prima di restituirli, cosa che non avviene mai.

I numeri dicono sia statisticamente provato che una volta sferrato l’attacco informatico e che questo sia andato a buon fine riuscendo nell’intento di prendere il controllo del nostro account, è utopia credere che pur pagando, il criminale possa decidere di restituirlo al legittimo proprietario.  

Oltre al ransomware, sono documentati casi tra i più disparati, i quali comprendono il riciclaggio attraverso la creazione di account e la rivendita di questi nel darkweb,  oppure vere e proprie frodi come quelle delle finte giftcard, le quali regalano moneta virtuale del gioco in questione, in cambio della compilazione di form, che si riveleranno pagine fasulle create ad hoc per estorcere informazioni (credenziali di accesso), quindi vere e proprie trappole, in cui viene richiesto ad esempio l’inserimento di dati quali e-mail e password dell’account di gioco.

I criminali che operano nel settore verticale del gaming spesso prendono di mira gli utenti dei giochi più popolari nell'intento di trovare account da poter compromettere.

Una volta entrati in possesso delle credenziali necessarie, gli autori degli attacchi possono scambiare o vendere l'account compromesso, rendendo redditizia l'economia sommersa del darkweb basata sul commercio di credenziali.

 

Nuova figura professionale: Il Gamer

Un tempo giocare ai videogiochi era visto come un semplice passatempo per adolescenti e per “nerd”, appassionati compulsivi di nuove tecnologie, insignificanti nel mondo sociale. Oggi, invece, i videogiochi rappresentano uno dei settori in maggior espansione sia in termini di pubblico che di sponsorizzazioni e di introiti economici. In tutto il mondo si stanno moltiplicando le competizioni e i tornei di videogiochi e di eSports, alcuni dei quali garantiscono dei montepremi milionari, paragonabili alle competizioni sportive più popolari e più pagate. La diffusione degli sport elettronici e dei videogiochi competitivi è così ampia che si sta ipotizzando di introdurli anche nei Giochi Olimpici di Parigi 2024. Il Comitato Olimpico sarà chiamato a decidere dopo Tokyo 2020, intanto gli appassionati di videogames possono godersi centinaia di tornei e gare a livello internazionale, sia online che offline.

Un caso che non è passato inosservato, anche se non è il primo, è stato quello di Jordan Herzog adolescente americano che ha scelto di abbandonare gli studi per tentare di inseguire una carriera nel mondo degli eSports. Un fenomeno che, negli ultimi anni, ha visto tanti giovani appassionati di videogames dare l'addio al liceo per dedicare anima e corpo ai videogiochi, fino a trasformare una semplice passione in un vero e proprio lavoro.

Su consiglio di suo padre David, Jordan ha smesso di frequentare le scuole superiori per avere più tempo da dedicare a Fortnite, il battle royale di Epic Games che finora gli ha fruttato qualcosa come 60mila dollari. "L'ho allevato per questo", ha confidato il 49enne sulle pagine del Boston Globe, che nel futuro del figlio vede "fama, prestigio e un conto da un milione di dollari".

 

Il movimento del gaming ha una portata ancora non percepita dalle masse, i numeri però parlano chiaro, tra sponsorizzazioni, contratti, e montepremi dei tornei, per i quali sono stati edificati veri e propri stadi, si parla di un giro d’affari miliardario. Quindi non può sorprendere il fatto che i cybercriminali abbiano puntato questo settore.

 

Le chat, le giocate live, l’interazione facilitata, e la modalità collaborativa dei giochi, fanno sì che si possa entrare in contatto, anche troppo facilmente, con persone di cui non si conosce l’identità e soprattutto le intenzioni.

L’ingegneria sociale, i pedofili, criminali che volessero porre in essere frodi o azioni illecite di ogni tipo, in questo modo hanno la strada spianata, poiché possono camuffarsi da chiunque ben protetti dalla rete, dietro un pc ed una tastiera, armi potentissime nelle mani di chi sa usarle.

 

Alla luce delle criticità fin qui elencate, che caratterizzano il contesto del gaming on-line, possiamo andare ad analizzare, con una visione più razionale e completa, quale siano le attività illecite ed i pericoli che corrono in rete gli utenti, attraverso questo mezzo apparentemente innocente.

 

CYBERTERROISMO, HACKING, VENDITA DI DATI NEL DARK WEB, RICICLAGGIO, CYBERBULLISMO, REATI A SFONDO SESSUALE sono macro-aree di crimini informatici in cui le ramificazioni e le distorsioni messe in atto dai criminali e non, sono all’ordine del giorno.

 

Cyberterrorismo

Abbiamo già sottolineato come nel gaming online sia facilitata l’interazione tra sconosciuti, giocatori che condividono le piattaforme, grazie alla modalità di gioco live sia singolarmente che a squadre, possono instaurarsi anche rapporti confidenziali, i quali possono sfociare a lungo andare in armi a doppio taglio.

Chat di giochi utilizzati per fare propaganda e proselitismo, giochi come i famigerati “spara tutto” utilizzati per il reclutamento o addirittura l’addestramento delle milizie, fino a giungere alle pagine più buie della storia recente, che narrano dell’organizzazione di attentati proprio attraverso le chat dei giochi, difficilissime da intercettare.

Uno degli esempi più eclatanti è l’attentato al Bataclan di Parigi la notte del 13 novembre 2015. Secondo le informazioni dell’epoca in possesso dell’intelligence belga, rese pubbliche dall’allora ministro degli Interni del Belgio Jan Jambon, per l’organizzazione dell’attentato sarebbe stata  utilizzata una famosa console dagli attentatori per comunicare tra loro e pianificare gli attacchi, poiché questa consentiva tramite connessione internet di giocare online e quindi anche di comunicare attraverso la chat del gioco.

Altro episodio molto più recente è stato l'attacco terroristico alla sinagoga di Halle, in Germania, nella giornata di mercoledì 9 ottobre 2019, la sparatoria è stata ripresa e trasmessa su Twitch dall’attentatore.

L'attentatore ha infatti trasmesso in diretta la sparatoria sul proprio account ufficiale Twitch, una piattaforma di live streaming per videogame. Questo portale nasce con lo scopo di permettere ai propri utenti di condividere in tempo reale con i loro follower i video delle loro sessioni di gioco con i videogame più conosciuti e apprezzati.

 

Cyberbullismo

Il cyberbullismo può rappresentare il tipo più dannoso di attacco online, dato che sfrutta le insicurezze personali e le vulnerabilità delle vittime per causare loro umiliazioni e danni psicologici, mentre i responsabili si nascondono dietro avatar virtuali. Come spesso documentato nei fatti di cronaca, gli effetti del cyberbullismo possono essere devastanti e perfino mortali.

Chat, forum, piattaforme dedicate o canali YouTube dove caricare le giocate al fine di rivederle ma soprattutto commentarle.

Le dinamiche anche in questi casi sono facilmente intuibili, tante persone connesse che giocano, tantissime altre che fungono da spettatori, spesso paganti, con facoltà di interagire, dire la propria, incitare o inveire contro chi sbaglia giocata, contro chi perde, o semplicemente contro chi tifa per qualche altro giocatore.

Vere e proprie arene virtuali, dove i gamers sono come gladiatori, e gli utenti connessi fungono da pubblico.

Fazioni di tifoserie virtuali in cui gli animi possono accendersi a tal punto da sfociare in atteggiamenti al limite delle regole e al limite del vivere civile.

Il Cyberbullismo nel gaming è, dunque, una cyber-violenza dalle molteplici forme, suddivisibili in diverse tipologie, di seguito esaminate.

 

CyberStalking

Da quando Internet è entrato nelle nostre vite come spazio virtuale dove intessere relazioni, si sono manifestati nuovi potenziali rischi, tra cui il cyber stalking, cioè la versione online del reato di stalking, con cui si indicano quei comportamenti molesti e persecutori posti in essere attraverso i nuovi mezzi di comunicazione, nel caso specifico, tutto può iniziare da una giocata on line e continuare poi sui socialnetwork, fino a giungere alla vita reale.
Il cyber stalker approfitta dell’effetto cassa di risonanza offerto dal web, per tormentare e denigrare la vittima. La finalità è quella di indurre uno stato di costante ansia e paura nell’altro. Le offese, minacce, insulti, ricatti, possono minare seriamente il benessere psicologico della vittima, anche qualora il cyber stalker esista "solo" nella realtà virtuale. Le ripercussioni sono però reali.
Il persecutore può essere sia uomo che donna, di qualsiasi età ed estrazione sociale.
La sicurezza sul web dipende soprattutto da chi lo utilizza: gli atti persecutori online si possono prevenire attraverso l’utilizzo di qualche accorgimento tecnico e con la consapevolezza che deve sempre accompagnare la navigazione nel web.

Flaming: messaggi online violenti e volgari indirizzati con lo scopo di suscitare vere e proprie battaglie verbali, tra due o più soggetti, all’interno di forum, chat room e gruppi online.

Harassment: messaggi offensivi e molesti inviati ripetutamente alla stessa persona. In questo caso la persona che riceve gli insulti rientra a tutti gli effetti nella categoria di vittima, perché indifesa e del tutto incapace di reagire alle molestie subite;

Denigration: diffusione, da parte del molestatore, di pettegolezzi, calunnie e offese all’interno di comunità virtuali allo scopo di danneggiare la reputazione della vittima.

Impersonation: vera e propria sostituzione di persona che consiste nel violare l’identità virtuale della vittima con l’obiettivo di darle una cattiva immagine e danneggiarne la reputazione

Outing and Trickery: pubblicazione e diffusione di informazioni riservate e/o imbarazzanti estorte alla vittima con l’inganno, dopo aver instaurato con lei un clima di fiducia al solo scopo di danneggiarla.

Exclusion: esclusione deliberata di una persona da un gruppo online allo scopo di suscitare in essa un sentimento di emarginazione

Doxing: diffusione pubblica via internet di dati personali e sensibili.

Trolling: messaggi provocatori, irritanti, fuori tema o semplicemente senza senso, con l’obiettivo di disturbare la comunicazione e fomentare gli animi, con provocazioni gratuite e accuse infondate.

Cyber Sex Crime nel Gaming

Anche nel gaming possiamo trovare distorsioni tanto fantasiose quanto pericolose, è il caso dei reati a sfondo sessuale, che diventano tali solo in un secondo momento e spesso hanno origine anche inconsapevolmente da parte di chi le pone in essere.

In moltissimi casi, la volontà di fare del male, attraverso pubblicazione o minaccia di pubblicazione di foto o video intimi, può essere premeditata, ma è stato appurato che in altrettante occasioni la fattispecie si configura tramite fattori quali la poca attenzione della vittima e la natura ludica del contesto.

Difatti quello che sarà reato nasce spesso come scommessa persa, come un pegno da pagare o ancora come un premio per chi è più bravo nel gioco e vince una partita.

 

Curioso è il caso di un famoso gioco “sparatutto” per cui si è catapultati in un ambiente ostile, insieme ad altri giocatori e vince chi resta vivo, la distorsione arriva nel momento in cui, il gamer durante la partita ha una telecamera puntata su di sé e di fianco vi è seduta una bella ragazza, la quale ad ogni avversario eliminato dal suo gamer dovrà togliersi un pezzo di indumento, il tutto in diretta mentre spettatori paganti  guardano e commentano.

Il passo successivo è il reato, ossia il Sexting, cioè l’invio di messaggi, foto o video con contenuti sessuali particolarmente offensive per chi le riceve.

Sextortion, vale a dire le estorsioni sessuali, basti pensare ad un soggetto che si finge donna, adesca e riesce a farsi inviare dalla vittima foto intime, ricattandone poi la diffusione se non verranno assecondate le sue richieste, spesso economiche con pagamenti in bitcoin o ricariche da effettuare su account di gioco rivenduti quasi istantaneamente nel darkweb.

Il Grooming e cioè l’adescamento, naturalmente, la pedofilia e la pedopornografia, ricordando che dalle statistiche si evince che la fascia di età dei giocatori spazia dai 7 ai 64 anni.

Cyberexploitation pubblicazione di materiale foto/video dell’intimità della vittima, diretta conseguenza magari del mancato pagamento di una sextortion.

 

 

Alla rivoluzione digitale si risponde con l’educazione digitale

L’analisi del fenomeno gaming, non fa che confermare quello che già avremmo potuto immaginare, ossia che tutte le dinamiche descritte, anche con nomi accattivanti ed innovativi, non sono altro che fattispecie di vita comune  traslata in un contesto virtuale.

Una volta si insegnava a giocare ai propri figli nel salotto di casa, cercando di educare su quali fossero le azioni lecite o meno. A parere di chi scrive prima di perdere completamente il controllo di un mezzo tanto potente, prezioso ma al contempo pericoloso se mal gestito, sarebbe il caso di regolamentarlo, di arginarne quanto più possibile le distorsioni.

Come tutte le innovazioni, anche i videogame possono essere una grande occasione di crescita personale, collettiva e perfino sociale, basta riflettere sul concetto di gamification applicato oramai in diversi campi di business come il marketing, le human resources in particolare nei processi di selezione, reclutamento o formazione aziendale, ma affinché questa potenziale risorsa si riveli  tale e non un mero vettore di pericoli incontrollabili, sarebbe bene attuare, fin dalla scuola primaria, un programma che preveda  l’educazione digitale dei più piccoli, così da formare una popolazione digitale consapevole e accorta, in quanto i diversi aspetti che caratterizzano la nostra vita quotidiana non sono mutati, bensì è semplicemente differente l’ambito in cui essi si attuano.

Carlo Mercurio

Dottore in Giurisprudenza

Junior Cyber Security

Consultant 

0
0
0
s2sdefault

Criptovalute. Gli approcci normativi di Malta e Italia all’interno dell’Unione Europea di Bendetto Fucà

Abstract

Negli ultimi anni, mediante la tecnologia blockchain, sono nate le criptovalute le quali hanno dimostrato di essere un metodo alternativo di pagamento in grado di sostituirsi alle valute tradizionali. Tutto ciò spinge ad alcuni punti di chiarezza: la differenza tra blockchain e criptovalute,il loro rapporto, l’utilizzo di quest’ultime e i tentativi di approccio normativo da parte dei legislatori nazionali e sovranazionali. Vengono analizzati gli approcci normativi di Malta, molto attenta ad essere un punto di riferimento per i player economici in questo ambito mediante una robusta e matura produzione normativa; dall’altro l’Italia con le indicazioni della Consob e della Banca d’Italia con studi e proposte normative che mettono al centro il risparmiatore. Due diversi approcci che si inseriscono in un progetto normativo e strategico da parte dell’Unione Europea rispetto a questo settore innovativo i cui confini appaiono non del tutto delineati.

Il termine blockchain negli ultimi anni è diventato abbastanza frequente, l’evoluzione e l’affermazione delle criptovalute (in primis i bitcoin) ha fatto che spesso i due termini si confondessero. Blockchain (tradotto letteralmente catena di blocchi) è una tecnologia che si basa su quattro principi: 1) l'immutabilità del registro,2) la trasparenza, 3) tracciabilità delle transazioni e 4) la sicurezza basata su tecniche crittografiche. Diversamente, le cripto-valute sono la rappresentazione digitale del valore che si basa sulla crittografia.  In altre parole, le criptovalute vengono generate o per meglio dire “minate” e attraverso la tecnologia della blockchain.

Quindi in prima battuta va fatta una differenziazione tra blockchain e cripto-valute: la blockchain è la tecnologia che fa da piattaforma alla creazione delle criptovalute, ma la tecnologia delle blockchain in realtà è utile in moltissimi altri campi: filiera agroalimentare, arte, sono a titolo esemplificato e non esaustivo alcuni degli ambiti in cui questa tecnologia sta iniziando ad apportare alcuni specifici benefici.

La storia delle criptovalute inizia con il white paper "Bitcoin: A Peer-to-Peer Electronic Cash System" il 31 ottobre 2008, firmato da Satoshi Nakamoto (la cui esistenza è sempre rimasta un mistero, tanto che si pensi che il realtà sia uno pseudonimo dietro cui si cela un collettivo). Dalla nascita di questo white paper si è andato a generare il fenomeno delle cripto-valute con la nascita dei bitcoin. A più di dieci anni da questo white paper esistono diverse criptovalute (secondo il censimento coinmarketcap sarebbero più di 5000) le quali essendo accumunate dallo sfruttamento della tecnologia della blockchain, tuttavia utilizzano modalità di diverse per essere generate.

Ad oggi le criptovalute stanno prendendo piede anche nell’economia reale e fisica, cosi è pur vero che esistono bar che iniziano ad accettare pagamenti con queste valute virtuali. Anche se l’uso primario di esse avviene attraverso la rete, non solo all’interno della porzione di web indicizzato ma anche nel dark web, dove gli unici pagamenti che vengono accettati per svolgere transazioni commerciali avvengono mediante l’utilizzo di valute virtuali. Tutto ciò avviene perché garantiscono l’anonimato della transazione, si tratta di uno dei vantaggi che essi apportano, vantaggi che possono essere sfruttati anche nel mondo reale per attività illecite e riciclaggio.

Rispetto a questo fenomeno, gli Stati stanno iniziando a prendere coscienza e piano piano si stanno avendo i primi provvedimenti di regolamentazione, anche l’Unione Europea ha iniziato il proprio percorso di regolamentazione mediante la direttiva 156 del 19/06/2018 che riconosce le monete virtuali come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”. Si tratta di riconoscimento giuridico importante che tiene conto di un fenomeno di innovazione digitale che rischia di mettere in crisi uno dei punti cardine della statualità moderna quale il potere esclusivo di stampare moneta. Tuttavia, siamo ben lontani da una definizione che riconosca le monete virtuali al pari della valuta tradizionale. Infatti, tra le righe della definizione si legge che non ha lo stesso status giuridico delle altre valute ma si riconosce la consuetudine sempre più massiccia dell’utilizzo delle valute virtuali.

Questa direttiva va letta all’interno di un progetto ben più ampio voluto dalla stessa Unione Europea di incorporarle insieme alla blockchain all’interno dei propri processi, la notizia come riportata dall’agenzia Reuters prevede, secondo i documenti in possesso, che "entro il 2024, l'UE dovrebbe mettere in atto un quadro completo che consenta l'adozione della tecnologia di registro distribuito (DLT) e delle cripto-attività nel settore finanziario". Questa spinta avviene anche alla luce della situazione emergenziale dovuta al Covid-19, la quale ha dimostrato che i pagamenti digitali hanno un ruolo sempre più preminente. Ma tale spinta viene anche dagli Stati membri in particolare da Italia, Francia, Spagna, Germania e Paesi Bassi.[1]

Sicuramente uno Stato che ha dimostrato un livello di maturità normativa sul tema è Malta. La Malta Financial Services Authority ha proposto una legge, deliberata dal Consiglio dei Ministri maltese (nel 2018) il cui obiettivo è stato quello di regolamentare le valute virtuali: il Virtual Financial Assets Act la quale si basa su tre principi cardine: 1) la certezza giuridica nella tassonomia e classificazione degli asset virtuali; 2) la regolamentazione di un modello di autorizzazioni ad hoc per svolgere test e certifica i virtual financial asset; 3) l’introduzione della figura del  gatekeeper (una figura di raccordo) tra intermediari ed intermittenti che si affianca e fa da filtro dinnanzi al procedimento autoritativo davanti alla Malta Financial Services Authority.

Con questa normativa, Malta si è posta l’obiettivo di essere uno degli Stati in grado recepire meglio il binomio tra cripto valute e blockchain anche con l’obiettivo di essere un punto di riferimento per tutto il settore digitale produttivo che si è generato, anche attraverso due altri riferimenti normativi che danno il senso di un quadro normativo all’avanguardia: Malta Digital Innovation Authority Act e l’Innovative Technological Arrangement and Services Act.

Un approccio normativo dettagliato ad hoc che si inquadra nelle ampie maglie regolamentari previste dalla normative dell’Unione Europea. Pertanto, il quadro normativo, sopra esposto, presenta due caratteristiche principali: 1) L’approccio ha un certo grado di flessibilità che permette alla normativa di adattarsi agli sviluppi tecnologici ed applicativi in tema di criptovalute e della tecnologia blockchain; 2) assicura l’assenza di conflitti normativi o interpretativi rispetto al contesto normativo europeo.