Periodico delle Tecnologie dell'Informazione e della
Comunicazione per l'Istruzione e la Formazione
A+ A A-

Diritto e informatica forense

Covid-19 e presidi di sicurezza. I rischi nascosti dei c.d. body temperature checks. di Antonello R. Cassano[1] e Flavia Salvatore[2]

di Antonello R. Cassano[1] e Flavia Salvatore[2]

Abstract

È innegabile che la pandemia causata dalla diffusione dell’ormai noto virus Covid-19 abbia impattato considerevolmente sulla vita quotidiana di milioni di persone. Infatti, indipendentemente dallo Stato di appartenenza o residenza, il cittadino è costantemente oggetto di misure di cautela e prevenzione – a tutela propria e della collettività – implementate in forme tanto diverse quanto disparate e, molto spesso, non percepite. Tuttavia, nel furore di preservare la salute mondiale, altre forme di rischio potrebbero passare inosservate, sicuramente meno gravi in termini di bene giuridico tutelato. Basti pensare al trattamento dei dati connessi allo spostamento dei cittadini, volto a verificare l’assenza di contatti con località o individui infetti, astrattamente in grado di delineare i movimenti di milioni di individui. Conseguenze non dissimili si avrebbero in tema di dati sanitari, raccolti da organizzazioni private e pubbliche a seguito di massicce campagne di prevenzione condotte tramite l’uso di test medicali, in grado di tracciare profili diagnostici di larghe sacche sociali.

 

Il Legislatore italiano, nell’ideare le linee guida da implementare durante la fase critica della pandemia, il c.d. Protocollo condiviso dalle Parti Sociali, mise in guardia sull’accorto uso dei dati che si sarebbero così generati. Nello specifico, il detto Protocollo alludeva alla misurazione della temperatura corporea, che – per sua stessa ammissione – assurgeva a “trattamento di dati personali”, da avvenire “ai sensi disciplina privacy vigente”.

In proposito, suggeriva altresì diversi escamotage per operare efficientemente su tale piano, bilanciando, da un lato, la tutela dei cittadini, e garantendo, dall’altro, presidi minimi di sicurezza, in un crescendo di difese via via più complesse e gravose.

In primo luogo, infatti, proponeva una soluzione alquanto agile ed elastica: non registrare il dato acquisito, o quantomeno farlo esclusivamente per “documentare le ragioni che hanno impedito l’accesso ai locali dei locali aziendali”; così facendo problematiche giuridiche connesse al trattamento e alla conservazione dei dati raccolti non sarebbero mai sorte, se non in casi limite, comunque sporadici. In alternativa, consigliava di “fornire l’informativa sul trattamento dei dati” o, altrimenti, di “definire le modalità di sicurezza e organizzative adeguate a proteggere i dati”. Va da sé che un simile intervento presuppone una documentazione del dato, seguita da una conservazione a lungo termine; insomma, entrambe circostanze che presuppongono un trattamento rilevante ai sensi della disciplina vigente.

Solo successivamente l’attenzione dedicata dal Legislatore italiano alla privacy ha ottenuto un avvallo, peraltro autorevole, a livello europeo, grazie alle guidelines recentemente diffuse dall’European Data Protection Supervisor[3], il c.d. Garante Europeo.

In apertura di argomento è doveroso precisare che il documento in parola affronta il tema dei presidi di sicurezza adottati dai “Union institutions, bodies, offices and agencies (EUIs)”, investigando dunque un settore – quello pubblico europeo – non coincidente con l’ambito del Protocollo nazionale; tuttavia, vi sono numerosi punti di contatto che, con i dovuti distinguo, consentono di ritenere le osservazioni ivi riportate attuali e praticabili anche per il settore privato.

Da ciò ne deriva che l’approccio metodologico del presente testo – volto, come visto, a verificare l’applicabilità dei principi europei all’ambito privato – vedrà continui richiami e parallelismi fra la normativa citata dal Garante, Regolamento 2018/1725 “sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati”, e il più noto GDPR[4].

Facendo un passo indietro, è interessante rilevare che il background di partenza del Legislatore italiano è del tutto identico a quello del Supervisor europeo, seppur non può tacersi una maggiore finezza argomentativa dell’ente sovranazionale nella rappresentazione delle ragioni a fondamento della propria posizione. Entrambi, infatti, rilevano che la registrazione dei dati raccolti assurge a elemento minimo e necessario per l’applicazione della normativa europea, ragione per cui una sua assenza comporta la non applicazione della normativa di interesse, Regolamento 2018/1725 o GDPR che sia.

Il Supervisor, infatti, apre illustrando la necessaria distinzione fra a) “controllo semplice della temperatura” – volto unicamente a rilevare la temperatura corporea, senza che questa venga registrata, documentata o che ci sia un qualche processo avente ad oggetto i dati personali del soggetto –  e b) “altri sistemi di controllo della temperatura”, che invece prevedono processi di registrazione e documentazione dei dati personali del soggetto, o l’utilizzo di strumenti automatizzati di rilevazione.

Alla luce di quanto detto, è evidente che l’operazione sub a) non ricade né nell’ambito del Regolamento 2018/1725 – dal momento che, come espressamente previsto dall’art. 2, paragrafo 5, la normativa è da applicarsi solo “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” – né in quello dell’art. 2, paragrafo 1, GDPR, che ricalca parola per parola la citata norma.

In effetti, è evidente l’assenza di qualsiasi elemento che potrebbe giustificare l’applicazione dell’una o dell’altra disciplina: non è presente né un trattamento automatizzato, né – in caso di uno manuale – un archivio destinato a conservare le informazioni raccolte. Non a caso, come precisa lo stesso Garante Europeo, “the use by a security officer of an analogue or digital thermometer results only in displaying the temperature, allowing the security officer to read the temperature value with this eyes”.

Resta dunque la sola fattispecie sub b) a delimitare l’ambito di operatività delle normative, formulazione sicuramente coerente e coincidente con i dispositivi normativi richiamati (Regolamento 2018/1725 e GDPR). Dato ciò per assodato, è ora il caso di formulare alcune osservazioni che coinvolgono il solo GDPR.

In primo luogo, si noti che è esso stesso a individuare un secondo motivo che potrebbe escluderne l’applicabilità ai casi di specie. Infatti, l’art. 2, paragrafo 2, lett. d), prevede espressamente che il detto Regolamento non è da applicarsi ai trattamenti di dati “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali, incluse la salvaguardia contro minacce alla salute pubblica e la prevenzione delle stesse”. In proposito, se gli atti di contenimento eseguiti da privati persone fisiche o giuridiche (controllo della temperatura all’ingresso dei locali) sembra certamente ricadere nella clausola aperta di cui sopra senza alcuna forzatura – basti pensare alla “prevenzione” – dubbi persistono in riferimento all’ambito soggettivo. In effetti, non vi è dubbio che tramite la raccolta di dati concernenti gli spostamenti e/o le condizioni di salute degli interessati possano essere prevenuti, accertati o anche perseguiti reati connessi al contenimento della pandemia in corso.

Tuttavia, come anticipato, perplessità emergono con riguardo all’ambito soggettivo. La norma, infatti, allude ad Autorità pubbliche, e non anche ai privati cittadini che raccolgono dati circa l’affluenza presso i proprio locali. In proposito, a nulla sembra servire l’osservazione che vuole i detti controlli eseguiti in conformità a disposizioni legislative, di fonte statale o regionale; in effetti, una simile affermazione di certo non altera la natura di un privato in pubblico, vieppiù in “autorità competente” che, stando alla formula legislativa, sembra essere circoscritta al solo ambito penale.

Accantonando il presente il tema, che meriterebbe una discussione decisamente più approfondita, occorre ora soffermarsi su un secondo profilo, concernente questa volta il solo “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Si è detto a buon diritto che in mancanza di registrazione dei dati si è al di fuori del campo di applicazione del GDPR (e in questo caso anche  del Regolamento 2018/1725); ma come conciliare il presente dispositivo con quanto previsto dal Considerando 15 secondo cui “non dovrebbero rientrare nell'ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”?

In un caso del genere, infatti, sorgono dubbi sulla tenuta del sistema qualora i detti sussidi cartacei vengano organizzati su base temporale, riportando, ad esempio, le ore di accesso ed uscita degli interessati dai locali aziendali, e dunque il tempo di permanenza. In effetti, una simile registrazione è idonea a individuare alcune caratteristiche tipiche dell’agenda di vita dell’interessato, che variano a seconda dell’organizzazione che ne effettua la raccolta e il tipo di servizio offerto. Esemplificando, in caso di un centro sportivo, potrebbero emergerne dati sulle abitudini atletiche, o invece informazioni attinenti all’ambito sanitario qualora trattasi di centri clinici o diagnostici specializzati in una data area medicale, o anche in più.

Detto altrimenti, basta la sola indicazione di dati minimali quali la data e le ore di ingresso ed uscita a estrapolare il caso di specie dalla previsione del Considerando 15, e dunque ad obbligare il curatore del fascicolo ad applicare il GDPR? Molto probabilmente sì.

Infatti, si tenga presente che è lo stesso Supervisor a precisare nelle guidelines che quando i controlli della temperatura, anche operati manualmente, vengono registrati o associati a un soggetto identificato o identificabile, essi rientrano nell’ambito di applicazione del Regolamento 2018/1725, in quanto agilmente assimilabili ai c.d. sistemi di archiviazione[5].

Vale questa affermazione per i trattamenti privati che, ricordiamo, affondano le proprie radici nel GDPR e non nel Regolamento 2018/1725, dal quale parte il Supervisor? Sicuramente sì.

Infatti, i presupposti logico-giuridici che sono a fondamento del detto Regolamento sono rinvenibili nello stesso GDPR: la riconducibilità del dato a una persona fisica individuata o individuabile ne è una delle pietre angolari, come stabilisce positivamente la lettera normativa (art. 4, paragrafo 1, lett. a) e i Considerando di supporto. Di particolare interesse a tal riguardo è il n. 26, il quale riconosce che “è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”. Insomma, vi è un’identità di ratio, circostanza che giustifica l’applicazione del principio di analogia.

Terminati i presenti approfondimenti, torniamo al cuore della discussione. Si è detto che l’ambito di applicazione delle due normative, pubblica e privata, è, in entrambi i casi, la fattispecie sub b) di cui sopra. Aggiungiamo ora un ulteriore tassello al mosaico: le informazioni raccolte tramite l’uso di dispositivi di misurazione della temperatura corporea sono c.d. “data concerning health”, e perciò disciplinati dall’art. 9 del GDPR, relativo al trattamento dei dati c.d. “dati particolari”, che ne vieta il trattamento al di fuori dei casi previsti[6].

A questo punto della trattazione occorre riprendere il discorso interrotto sulle guidelines, e a tal proposito è interessante riportare alcune delle seguenti osservazioni ivi presenti. In particolare, il Supervisor – partendo dagli ormai noti processi “interamente automatizzati” – osserva che, implementando strumenti altamente tecnologici, può a buon diritto ricadersi nell’alveo di cui all’art. 24 del Regolamento 2018/1725, rubricato alla voce “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che altro non sta a indicare che un processo privo di qualsiasi coinvolgimento umano.

In effetti, come non manca di sottolineare, “controlli della temperatura basati esclusivamente su processi automatizzati, come l’uso di scan o camere termiche, che potrebbero impedire a un dato soggetto di fare ingresso in una struttura, possono essere assimilati a processi decisionali individuali e automatizzati produttivi di effetti giuridici”, ragion per cui non ci si può sottrarre dall’applicare la relativa disciplina legislativa.

Prima di procedere, tuttavia, è bene ricordare che il Regolamento in parola ricalca ancora una volta quanto previsto sul punto anche dal GDPR: infatti, la citata disposizione (art. 24) trova un lampante corrispettivo nell’art. 22 di quest’ultimo, rubricato anch’esso secondo la medesima nomenclatura; pertanto, ancora una volta quanto osservato per una vale anche per l’altra. Entrambe le norme, dunque, prevedono che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Ciò detto, sono presenti delle esclusioni al successivo paragrafo, però inoperanti per i famosi “dati particolari” nei quali ricadono i sanitari; dati disciplinate rispettivamente dall’art. 10 del Regolamento 2018/1725 e dall’art. 9 GDPR. Tuttavia, l’ultimo paragrafo di entrambe le norme prevede una sorta di eccezione all’esclusione, in quanto stabilisce che “le decisioni di cui al paragrafo 2 - le esclusioni - non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, [o 10, paragrafo 1, Regolamento 2018/1725] a meno che non sia d’applicazione [gli] articol[i] 9 [e 10], paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato”.

Giunti a questo punto, per districare la matassa sembra opportuno citare il Garante Europeo, il cui ragionamento è valido anche per il settore privato per i motivi già illustrati. Questi infatti afferma che “attualmente non esiste una legge dell’Unione Europea [o nazionale, bisogna aggiungere], ai sensi dell'articolo 24, paragrafo 4, [e dell’articolo 22, paragrafo 4, GDPR] che autorizzi i controlli della temperatura basati esclusivamente sul trattamento automatizzato per consentire o negare l’accesso ai locali […] per motivi di salute e sicurezza. Pertanto, un sistema completamente automatizzato di controlli della natura sarebbe lecito solo su base volontaria, con il consenso esplicito degli interessati ai sensi dell'articolo 10 [o 9 GDPR], paragrafo 2, lettera a)” dei Regolamenti.

Terminati i profili di particolare interesse, si segnala in chiusura che nel prosieguo delle guidelines sono suggeriti dal Supervisor alcuni accorgimenti tecnici sulle modalità di raccolta dei dati – sì da garantire il rispetto dei principi di privacy by design e by default – e ultime raccomandazioni generali per qualsiasi tipo di “temperature checks”. Esemplificando, si consiglia di informare con chiarezza qualsiasi interessato del fatto che è in atto un sistema di controllo della temperatura, fornendone i motivi ed eventuali altre informazioni aggiuntive (es. responsabili della decisione). Inoltre, avvisi e segnali recanti informazioni sui controlli dovrebbero essere posti presso tali punti, ed essere sufficientemente grandi da poter essere notati e letti senza difficoltà. Infine, è consigliato ai corpi europei – e quindi anche ai privati – di implementare procedure di revisione continua al fine di verificare costantemente la necessità e, se del caso, la proporzionalità delle misure alla luce dell’evoluzione pandemica.

In conclusione, alla luce di quanto scritto, è evidente che le osservazioni formulate dal Garante Europeo sono applicabili anche ai privati. Tuttavia, preme evidenziare che la loro osservanza – che trova comunque un conforto su di un piano giuridico, come si è tentato di evidenziare – dovrebbe scaturire in primo luogo dall’attenzione che i privati pongono nella prevenzione e nel contenimento della pandemia. Ciò presuppone, soprattutto per organizzazioni di grandi dimensioni e spiccata complessità, la collaborazione di diverse funzioni di controllo interne – compliance, risk management e RSPP, per citare le più note – secondo una catena di poteri e responsabilità che consenta la proficua circolazione delle informazioni, l’efficace implementazione delle misure di sicurezza e l’adeguato controllo sul loro rispetto. Detto altrimenti, il buonsenso dovrebbe essere la prima ragione a spingere tali soggetti a una maggiore attenzione.

 

[1] Avvocato del Foro di Roma e collaboratore di FC Law Firm, studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalente nei settori della privacy, assicurativo, bancario e finanziario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale e societario, nella gestione e organizzazione dei sistemi di controllo interno e nella corporate governance (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).

[2] Dottoressa in Giurisprudenza, si sta specializzando in protezione dei dati e cybersecurity.

[3]Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis”, European Data Protection Supervisor, 1° settembre 2020.

[4] In proposito, peraltro, si noti che tanto l’art. 2, paragrafo 5, del Regolamento 2018/1725 quanto l’art. 2 GDPR condividono il medesimo ambito di applicazione, come si avrà modo di evidenziare nel prosieguo.

[5] Tale ricostruzione è riconfermata quando si afferma che “to remain outside the scope of the Regulation, temperature measurements may not be followed by registration, documentation or other processing allowing to link such temperature checks to a data subject (such as an identity check that would form part of a filing system)”. 

[6] Tuttavia, è interessante rilevare che la pandemia da Covid-19 costituisce una lampante eccezione alla regola generale, talmente grave nella sua portata da poter essere ricompresa molteplici cause di esclusione. In primo luogo, infatti, ricade nell’ambito della lettera b), secondo cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,  nella  misura  in  cui  sia  autorizzato  dal  diritto  dell'Unione  o  degli  Stati  membri  o  da  un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”; in aggiunta, si tenga a mente anche la lettera g), che contempla il caso in cui “il  trattamento  è  necessario  per  motivi  di  interesse  pubblico  rilevante  sulla  base  del  diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza  del  diritto  alla  protezione  dei  dati  e  prevedere  misure  appropriate  e  specifiche  per tutelare i diritti fondamentali e gli interessi dell'interessato”; infine, si ricordi la lettera i), a mente della quale “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri  che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale”.

0
0
0
s2sdefault

Criptovalute. Gli approcci normativi di Malta e Italia all’interno dell’Unione Europea di Bendetto Fucà

Abstract

Negli ultimi anni, mediante la tecnologia blockchain, sono nate le criptovalute le quali hanno dimostrato di essere un metodo alternativo di pagamento in grado di sostituirsi alle valute tradizionali. Tutto ciò spinge ad alcuni punti di chiarezza: la differenza tra blockchain e criptovalute,il loro rapporto, l’utilizzo di quest’ultime e i tentativi di approccio normativo da parte dei legislatori nazionali e sovranazionali. Vengono analizzati gli approcci normativi di Malta, molto attenta ad essere un punto di riferimento per i player economici in questo ambito mediante una robusta e matura produzione normativa; dall’altro l’Italia con le indicazioni della Consob e della Banca d’Italia con studi e proposte normative che mettono al centro il risparmiatore. Due diversi approcci che si inseriscono in un progetto normativo e strategico da parte dell’Unione Europea rispetto a questo settore innovativo i cui confini appaiono non del tutto delineati.

Il termine blockchain negli ultimi anni è diventato abbastanza frequente, l’evoluzione e l’affermazione delle criptovalute (in primis i bitcoin) ha fatto che spesso i due termini si confondessero. Blockchain (tradotto letteralmente catena di blocchi) è una tecnologia che si basa su quattro principi: 1) l'immutabilità del registro,2) la trasparenza, 3) tracciabilità delle transazioni e 4) la sicurezza basata su tecniche crittografiche. Diversamente, le cripto-valute sono la rappresentazione digitale del valore che si basa sulla crittografia.  In altre parole, le criptovalute vengono generate o per meglio dire “minate” e attraverso la tecnologia della blockchain.

Quindi in prima battuta va fatta una differenziazione tra blockchain e cripto-valute: la blockchain è la tecnologia che fa da piattaforma alla creazione delle criptovalute, ma la tecnologia delle blockchain in realtà è utile in moltissimi altri campi: filiera agroalimentare, arte, sono a titolo esemplificato e non esaustivo alcuni degli ambiti in cui questa tecnologia sta iniziando ad apportare alcuni specifici benefici.

La storia delle criptovalute inizia con il white paper "Bitcoin: A Peer-to-Peer Electronic Cash System" il 31 ottobre 2008, firmato da Satoshi Nakamoto (la cui esistenza è sempre rimasta un mistero, tanto che si pensi che il realtà sia uno pseudonimo dietro cui si cela un collettivo). Dalla nascita di questo white paper si è andato a generare il fenomeno delle cripto-valute con la nascita dei bitcoin. A più di dieci anni da questo white paper esistono diverse criptovalute (secondo il censimento coinmarketcap sarebbero più di 5000) le quali essendo accumunate dallo sfruttamento della tecnologia della blockchain, tuttavia utilizzano modalità di diverse per essere generate.

Ad oggi le criptovalute stanno prendendo piede anche nell’economia reale e fisica, cosi è pur vero che esistono bar che iniziano ad accettare pagamenti con queste valute virtuali. Anche se l’uso primario di esse avviene attraverso la rete, non solo all’interno della porzione di web indicizzato ma anche nel dark web, dove gli unici pagamenti che vengono accettati per svolgere transazioni commerciali avvengono mediante l’utilizzo di valute virtuali. Tutto ciò avviene perché garantiscono l’anonimato della transazione, si tratta di uno dei vantaggi che essi apportano, vantaggi che possono essere sfruttati anche nel mondo reale per attività illecite e riciclaggio.

Rispetto a questo fenomeno, gli Stati stanno iniziando a prendere coscienza e piano piano si stanno avendo i primi provvedimenti di regolamentazione, anche l’Unione Europea ha iniziato il proprio percorso di regolamentazione mediante la direttiva 156 del 19/06/2018 che riconosce le monete virtuali come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”. Si tratta di riconoscimento giuridico importante che tiene conto di un fenomeno di innovazione digitale che rischia di mettere in crisi uno dei punti cardine della statualità moderna quale il potere esclusivo di stampare moneta. Tuttavia, siamo ben lontani da una definizione che riconosca le monete virtuali al pari della valuta tradizionale. Infatti, tra le righe della definizione si legge che non ha lo stesso status giuridico delle altre valute ma si riconosce la consuetudine sempre più massiccia dell’utilizzo delle valute virtuali.

Questa direttiva va letta all’interno di un progetto ben più ampio voluto dalla stessa Unione Europea di incorporarle insieme alla blockchain all’interno dei propri processi, la notizia come riportata dall’agenzia Reuters prevede, secondo i documenti in possesso, che "entro il 2024, l'UE dovrebbe mettere in atto un quadro completo che consenta l'adozione della tecnologia di registro distribuito (DLT) e delle cripto-attività nel settore finanziario". Questa spinta avviene anche alla luce della situazione emergenziale dovuta al Covid-19, la quale ha dimostrato che i pagamenti digitali hanno un ruolo sempre più preminente. Ma tale spinta viene anche dagli Stati membri in particolare da Italia, Francia, Spagna, Germania e Paesi Bassi.[1]

Sicuramente uno Stato che ha dimostrato un livello di maturità normativa sul tema è Malta. La Malta Financial Services Authority ha proposto una legge, deliberata dal Consiglio dei Ministri maltese (nel 2018) il cui obiettivo è stato quello di regolamentare le valute virtuali: il Virtual Financial Assets Act la quale si basa su tre principi cardine: 1) la certezza giuridica nella tassonomia e classificazione degli asset virtuali; 2) la regolamentazione di un modello di autorizzazioni ad hoc per svolgere test e certifica i virtual financial asset; 3) l’introduzione della figura del  gatekeeper (una figura di raccordo) tra intermediari ed intermittenti che si affianca e fa da filtro dinnanzi al procedimento autoritativo davanti alla Malta Financial Services Authority.

Con questa normativa, Malta si è posta l’obiettivo di essere uno degli Stati in grado recepire meglio il binomio tra cripto valute e blockchain anche con l’obiettivo di essere un punto di riferimento per tutto il settore digitale produttivo che si è generato, anche attraverso due altri riferimenti normativi che danno il senso di un quadro normativo all’avanguardia: Malta Digital Innovation Authority Act e l’Innovative Technological Arrangement and Services Act.

Un approccio normativo dettagliato ad hoc che si inquadra nelle ampie maglie regolamentari previste dalla normative dell’Unione Europea. Pertanto, il quadro normativo, sopra esposto, presenta due caratteristiche principali: 1) L’approccio ha un certo grado di flessibilità che permette alla normativa di adattarsi agli sviluppi tecnologici ed applicativi in tema di criptovalute e della tecnologia blockchain; 2) assicura l’assenza di conflitti normativi o interpretativi rispetto al contesto normativo europeo.

In Italia, la Consob ha pubblicato, ad inizio anno, il rapporto “Le offerte iniziali e gli scambi di cripto-attività-Rapporto finale” il quale “vuole essere un contributo al dibattito, elaborato in vista dell’eventuale definizione di un regime normativo in ambito nazionale che disciplini lo svolgimento di offerte pubbliche di cripto-attività e delle relative negoziazioni” in altre parole si tratta di una proposta di legge che abbia quale obiettivo primario la tutela degli investitori.

Il rapporto chiude una consultazione pubblica che ha coinvolto gli operatori di mercato di questo settore. Il documento analizza complessivamente le cripto-attività, e approfondisce il ruolo delle piattaforme per l’offerta di cripto-assets di nuova emissione, i sistemi di scambio e i “servizi di portafoglio digitale” per la custodia e il trasferimento delle cripto-attività.

Ma la Consob non è la sola Authority italiana che si è occupata del tema, già nel 2019 la Banca d’Italia aveva pubblicato l’occassional paper “N. 484 - Aspetti economici e regolamentari delle «cripto-attività”. Questo lavoro offre una tassonomia delle "cripto-attività" e una breve descrizione delle initial coin offerings (ICOs) e aspetti correlati ma allo stesso tempo le differenzia dagli strumenti tradizionali, in quanto non sono legate ad un oggetto economico dal prezzo di equilibrio determinato. Si comprende la posizione prudente della Banca d’Italia nostro avviso è preoccupante, poiché un eventuale crollo del sistema bitcoin o “cripto-attività” similari trascinerebbe con sé gli strumenti finanziari sucui sono basati, siano essi per il settore al dettaglio o per gli investitori professionali[1]”.

La posizione dell’Italia, dalla lettura di questi due documenti appare molto meno aperta rispetto a quella maltese; da una parte l’attenzione verso la tutela del risparmiatore, dall’altra una visione che si pone di essere il rifermento geografico dell’innovazione finanziaria tecnologica. Due posizioni che possono essere motivo di confronto nella produzione normativa europea.

di Benedetto Fucà

Business Analyst, laurea in Giurisprudenza e master in Cyber security, digital forensic e computer crime.

 

[1] Pag 16

[1] https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/criptovalute-gli-stati-ora-vogliono-regole-piu-rigide-i-problemi/

0
0
0
s2sdefault

La rilevanza penale del commercio on line

INTRODUZIONE

Il commercio elettronico è sicuramente il servizio con le maggiori prospettive di crescita tra quelli messi a disposizione dell’utente su Internet. Tale fenomeno rivoluziona le dinamiche economiche sia dal punto di vista delle imprese (produttori, commercianti, consumatori e banche) che dal lato del consumatore, implicando un abbattimento delle barriere fisiche. Perciò vengono ridotti i costi, si migliorano la qualità dei prodotti e dei servizi e si riducono i tempi di consegna.

Ciò comporta instaurare un rapporto di fiducia e confidenza tra le parti in gioco, soprattutto per quanto riguarda l´identità dei soggetti, l´individuazione della sede del fornitore, l´integrità e la sicurezza dei messaggi scambiati, la protezione dei dati personali, la validità e l´efficacia del contratto stipulato per via telematica o informatica, la sicurezza nei pagamenti.

 La criminalità informatica è stata facilitata soprattutto dall’astrattezza e dalla immaterialità del cyberspazio, che, impedendo un contatto diretto con gli utenti, favoriscono la commissione di condotte a profilo fraudolento, il che si traduce in una crescita esponenziale delle aggressioni al patrimonio e all’autodeterminazione a danno degli utenti di Internet.

Il quadro normativo nazionale odierno tutela gli operatori economici avveduti, consentendo un’efficace repressione delle condotte criminose compiute a mezzo di strumenti informatici. 

 

Il COMMERCIO ELETTRONICO

Nel 1997, nel "The Content Challenge", la Commissione Europea dà la seguente definizione di commercio elettronico:

“Il commercio elettronico ha come oggetto lo svolgimento degli affari per via elettronica. Esso si basa sull’elaborazione e la trasmissione elettronica delle informazioni, incluso testi, suoni e video immagini. Il commercio elettronico comprende molte attività diverse, quali la compravendita di beni e servizi per via elettronica, la distribuzione in linea di contenuti digitali, il trasferimento elettronico di fondi, le contrattazioni elettroniche di borsa, le polizze di carico elettroniche, le gare d’appalto e le vendite all’asta, il design e la progettazione in collaborazione, la selezione in linea dei fornitori, il marketing diretto dei beni e servizi per il consumatore, nonché l’assistenza post-vendita. Nel commercio elettronico rientrano tanto prodotti (ad esempio, beni di consumo, attrezzature sanitarie), quanto servizi (ad esempio, servizi di informazione, finanziari e legali), tanto attività tradizionali (come assistenza sanitaria e istruzione), quanto nuova attività come ad esempio i negozi virtuali”.

Sono diversi i profili dei diversi mercati possono essere così sintetizzati:

  1. business-to-business (ossia operazioni commerciali sviluppate in rete fra aziende, è attualmente l'area maggiormente sviluppata del commercio elettronico);
  2. business-to-consumer (cioè quello che ha come protagonisti le aziende e i consumatori finali identifica lo stereotipo tipico dell'e-commerce, ovvero l'azienda che vende su internet qualsiasi bene o servizio).
  3. Intra-business (sono cioè imprese di grandi dimensioni che svolgono la loro attività utilizzando Intranet, ovvero reti locali di telecomunicazioni ad accesso regolato che si avvale della tecnologia internet e permette di condividere risorse. È generalmente posseduta e gestita da un'impresa ed è infatti accessibile solo a chi lavora all'interno dell'azienda).
  4. business-to-administration (si tratta di un nuovo scenario di rapporti di comunicazione e di interessi che emerge con evidenza all'interno della società dell'informazione. Si intende il mercato di beni/servizi prodotti dalle imprese e rivolti alle Pubbliche Amministrazioni).
  5. consumer-to-administration (ovvero, ll mercato di beni/servizi scambiati fra cittadini privati e Pubblica amministrazione).

Inoltre, dobbiamo fare delle precisazioni tecniche sulla natura del commercio on -line. Le operazioni di pagamento on line sono state rese più sicure da protocollo SET (Secure Electronic Transaction) nato dalla collaborazione di Visa e Mastercard con maggiore segretezza e sicurezza dei dati.

La maggior parte dei siti e-commerce moderni utilizzano modelli di crittografia cioè un sistema pensato per rendere illeggibile un messaggio a chi non possiede la chiave di decodifica come il Trasport Layer Security (SLL- TLS). L’abbinamento di questo protocollo a quello HTTP (Hyper Text Transfer Protocol), struttura portante di Internet (World Wide Web), ha permesso un nuovo protocollo: l’HTTPS, garantendo una maggiore integrità e trasmissione confidenziale dei dati. Le sue pagine sono facilmente riconoscibili perché sono contrassegnate da un lucchetto visibile nella parte inferiore del browser (motore di ricerca) utilizzato.

 

NORMATIVA E IPOTESI DI REATO

Viene recepita la direttiva europea sul commercio elettronico n. 2000/31/CE e trova la sua attuazione sul territorio italiano con il D.lgs. n. 70/2003.

Lo scopo di questa direttiva è quello di garantire e consentire lo sviluppo dei servizi della società dell’informazione. Il nostro legislatore italiano ha cercato di disciplinare secondo la direttiva particolari ambiti quali: la disciplina giuridica dello stabilimento dei prestatori di beni o servizi della società dell'informazione, il regime delle comunicazioni commerciali, la disciplina dei contratti per via elettronica, la responsabilità degli intermediari, i codici di condotta, la composizione extragiudiziaria delle controversie, i ricorsi giurisdizionali e la cooperazione tra Stati membri.

Le condotte relative alle truffe perpetrate mediante l´impiego di piattaforme virtuali riconducono ad una serie di tipologie ben definite riassumibili nelle seguenti ipotesi:

  • la descrizione di un oggetto nel quale si fa esplicito riferimento a un modello o una marca più pregiata, nel tentativo di ingannare il compratore o comunque di influenzarlo indebitamente;
  • vendita di un oggetto dichiarando caratteristiche non vere, ad esempio un oggetto in pessime condizioni che viene descritto come "praticamente nuovo";
  • mancato recapito della merce legittimante acquistata;
  • mancato invio di compenso spettante al venditore.

Il rischio di frode è in funzione della scarsa prudenza degli operatori, ad esempio spesso accade che i dati della carta di credito non vengano carpiti mentre viaggiano su Internet ma in altri momenti.

Le tecniche più comuni secondo le testimonianze della polizia, utilizzate dai criminali sono le seguenti:

  • Agire come "merchant account" cioè offrire un servizio di intermediazione, per poi riutilizzare, illecitamente, i numeri di carta di credito di cui si è entrati in possesso.
  • Utilizzare software che generano numeri di carta di credito.
  • Avere complici all´interno delle strutture finanziarie che si occupano della gestione delle carte di credito.

Appare evidente, quindi, che qualsiasi titolare di carta di credito risulta vulnerabile a questo tipo di attacchi, anche se non ha mai usato la carta su Internet.

Altra tematica rilevante è quella relativa al bitcoin, sistema elettronico di pagamento, che ha consentito la creazione del cosiddetto ‘contante digitale” consente sia di effettuare pagamenti a distanza, sia di essere anonimo e di non supportare commissioni di intermediazione, nessuna autorità centrale emette nuova moneta

Bitcoin, come sistema di pagamenti, a differenza dei sistemi e circuiti di credito finora presenti, non consente di trasferire euro, dollari o altre valute, ma solo bitcoin.  Il Bitcoin code utilizza la crittografia a chiave pubblica, cioè un algoritmo crittografico asimmetrico che si serve di due chiavi, generate matematicamente: la chiave privata, impiegata per ‘crittografare’ o firmare digitalmente il documento, il “denaro digitale”, e la chiave pubblica, che viene usata per “decrittografare” il messaggio o per verificare la firma. Molti sono i dubbi che circondano il Bitcoin: in particolare i rischi di riciclaggio e i cyber attacchi, la forte volatilità, l’inquadramento normativo e fiscale sono gli aspetti che destano le maggiori perplessità. L’assenza di intermediari finanziari, rischia di dar luogo a operazioni di riciclaggio e finanziamento ad attività per lo più illecite principalmente nel deep web, l’area di internet che si nasconde al di sotto del web in cui si navigare al fine di operazioni illecite, in primis nel dark web!

In conclusione, causa dell’inesistenza o della precarietà di trattati di collaborazione internazionale fra le autorità giudiziarie dei vari Stati tali reati si verificano in toto – o in parte – su un server estero, e nel mondo esistono dei Paesi ove i criminali possono compiere reati informatici senza essere perseguiti. É un problema non solo di giurisprudenza, o di esecuzione dei provvedimenti, ma anche e soprattutto di possibilità in concreto di condurre indagini e di principio di effettività nella ricerca della prova.

 

Giovanna Brutto

Dott.ssa in Scienze politiche e sociali

 

BIBLIOGRAFIA E SITOGRAFIA

  • AMATO, L. FANTACCI, Per un pugno di bitcoin. Rischi e opportunità delle valute virtuali, EGEA Università Bocconi Editore, Milano 2016.
  • Lorusso Piero L'insicurezza dell'era digitale. Tra cybercrimes e nuove frontiere dell'investigazione (Confini sociologici), Ed. Franco Angeli, 2012.
  • http://www.tecnoteca.it
  • https://eur-lex.europa.eu
  • sicurezzanazionale.gov
  • http://www.altalex.com/
0
0
0
s2sdefault

GAMING ON-LINE: ATTIVITÀ ILLECITE E RISCHI PER GLI UTENTI

Abstract

I criminali informatici sono presenti lì dove fiutano grosse somme di denaro miste a grandi numeri di utenti, portatori sani di vulnerabilità.

Dal Ransomware alla Sextortion, dal furto di identità al riciclaggio di denaro, passando per il cyberbullismo fino a giungere al proselitismo ed agli attentati terroristici trasmessi in diretta, attraverso piattaforme dedicate ai videogame online.

Gli ultimi dati di Akamai (piattaforma di monitoraggio h24 che raccoglie ed analizza dati sugli attacchi in rete) stimano oltre 16 miliardi di attacchi per l'anno 2019, finalizzati ad una serie di crimini informatici che spazia in lungo ed in largo, o sarebbe più appropriato dire, che i crimini spaziano dal web in superficie fino al deepweb e trovano la loro esaltazione nel darknet.

L’attività principale pare essere proprio il furto di credenziali, dati personali o account di gioco, da siti e servizi del settore in questione, finalizzato alla vendita nel darkweb.  

La spiegazione ai dati pubblicati nel rapporto Akamai è presto data, ossia è da imputare principalmente ad una scarsa percezione del rischio da parte dell’utente, la quale sfocia conseguentemente in atteggiamenti poco accorti, vale a dire, per fare un esempio lampante, il banale utilizzo della medesima password su più siti e per più account.

 

 

 

 

Il Cybercrime ha puntato il Gaming on-line

Il mondo dei videogame online è oramai una realtà consolidata, grazie a numeri rilevanti in termini di presenze e conseguente giro d’affari, per queste ragioni il cybercrime ha puntato tale settore con forza e decisione.

Miliardi di utenti che popolano un contenitore virtuale, in cui riversano al suo interno dati personali, dati di carte di credito e quindi denaro, il quale “investito” ai fini dell’esperienza di gioco, di virtuale risulta avere ben poco.

Inoltre, se questo non bastasse, è doveroso sottolineare come tutto ciò avvenga in un contesto per cui l’interazione tra sconosciuti, compagni di giocata, è pressoché senza filtri, con pochissimi controlli da parte delle autorità e delle stesse società di gaming.

Il mondo dei videogame, con particolare attenzione alle chat delle piattaforme che li ospitano, diviene il luogo ideale dove porre in essere azioni criminose, attraverso metodologie classiche,  che, se traslate nel mondo virtuale, risultano essere molto più efficaci e prive dell’esposizione al rischio di essere intercettati.

La storia ci insegna che qualsiasi luogo, dove sia presente una grande quantità di persone, comporta come naturale conseguenza un generoso giro d’affari, se a questo aggiungiamo che il luogo in questione, risulta privo di barriere e difficilmente controllabile,  e che anzi favorisce e facilita lo scambio di informazioni tra sconosciuti, si capisce bene come questo possa diventare terreno fertile per ogni tipo di malintenzionato e si presti agevolmente ad una serie di attività illecite difficilissime da monitorare e contrastare in tale contesto.

 

CYBERTERROISMO, HACKING, VENDITA DI DATI NEL DARK WEB, RICICLAGGIO, CYBERBULLISMO, REATI A SFONDO SESSUALE sono macro-aree di crimini informatici in cui le ramificazioni e le distorsioni messe in atto dai criminali e non, sono all’ordine del giorno.

 

Il gaming non conosce età

Un fattore da tenere in considerazione, al fine di avere una visione ancora più completa di quello che si andrà ad analizzare in seguito, emerge dalle statistiche del rapporto AESVI (Associazione Editori Sviluppatori Videogiochi Italiani) 2018, da cui si evince che il settore del gaming non conosce età o distinzione di genere. Giocano tutti!

Sono 16,3 milioni le persone che hanno giocato in Italia ai videogiochi negli ultimi 12 mesi, ovvero il 37% della popolazione italiana tra i 6 e i 64 anni e dato ancora più sorprendente è che non esiste distinzione di genere poiché di questi 16,3 milioni il 54% è composto da uomini e il restante 46% sono donne, a dispetto di quello che può essere l’immaginario comune per cui i soggetti attaccati ai videogame siano prevalentemente adolescenti maschi.