Periodico delle Tecnologie dell'Informazione e della
Comunicazione per l'Istruzione e la Formazione
A+ A A-

La responsabilità del dipendente in caso di attacco informatico di Benedetto Fucà*

Abstract - Secondo uno studio dell’Osservatorio Cyber Security e Data Protection del Politecnico di Milano, Il 2020 è stato uno dei peggiori anni in termini di crescita di attacchi informatici. Molte aziende hanno dovuto continuare ad erogare servizi, facendo lavorare il proprio personale dentro le proprie case. I dipendenti sono diventati il target principale d’attacco. In questo articolo si va ad analizzare la responsabilità di un dipendente qualora utilizzasse i dispositivi, messi a disposizione dall’azienda, per fini personali.

*  Business Analyst - Laurea in Giurisprudenza e Master in Cyber security - Digital Forensic & Computer Crime

La pandemia ha accelerato un processo che vede nell’innovazione, e in particolar modo nella sicurezza informatica, lo strumento per coniugare il nuovo modello nel mondo del lavoro. Infatti, le aziende hanno dovuto fare conti con il ricorso allo smart working che ha comportato un livello maggiore di sicurezza informatica. Questa è diventata sempre più vitale per garantire che il perimetro di sicurezza aziendale non venisse violato. In particolar modo è stato necessario permettere ai lavoratori di esercitare le proprie mansioni anche da casa. In alcune realtà strutturate, questa modalità di lavoro è diventato l’ordinario anche in uno scenario a medio periodo, fuori dall’emergenza pandemica.

Tuttavia, è necessario comprendere la responsabilità del lavoratore, laddove un attacco riuscisse per colpa anche del lavoratore. Secondo uno studio dell'“Osservatorio Cyber Security e Data Protection” del Politecnico di Milano, il 2020 è stato uno dei peggiori anni in termini di crescita degli attacchi informatici, difatti questi nell'ultimo anno sono aumentati di circa il 40%[1]. Un dato che, per l’appunto, va letto nel contesto di pandemia globale è il ricorso alla modalità dello smart working. Tutto ciò ha reso le aziende più esposte a tali minacce. Si considera, inoltre che questo dato che risulta essere più basso delle stime reali, sempre secondo lo studio citato, si presume che gli attacchi subiti dalle aziende siano quattro volte superiori a quanto dichiarato. Un dato allarmante che fa riflettere, sulla portata degli attacchi. Il motivo di questa sfasatura starebbe nel fatto che le aziende tendono a non denunciare l’attacco.  Sempre secondo lo studio, si stima che ogni undici secondi viene portato avanti un attacco cyber.

In questo contesto, le aziende devono attrezzarsi per realizzare una consapevolezza allorquando si ricorra allo smart working. Alcune azioni positive, che le aziende possono attuare, sono: redazione di policy e procedure, corsi di formazione per i dipendenti, comunicazioni. Da parte dei dipendenti è necessario un utilizzo consapevole dei dati da trattare per motivi di lavoro. In questo senso tocca comprendere quando si configura la responsabilità del dipendente qualora un attacco informatico si realizzasse a causa di un utilizzo non corretto e che allo stesso tempo non sia in linea con le mansioni che lo stesso deve svolgere.

Per non parlare del caso eventuale in cui il dipendente collabori fattivamente alla realizzazione dell’attacco (sia prendendo parte ad esso, sia collaborando esternamente con gli attaccanti), situazione che si configura quale condotta dolosa che può essere inquadrata negli articoli 615 ter[2] (accesso abusivo a sistema informatico) e 617 quater[3] (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche) del Codice penale e che, pertanto, delinea una responsabilità penale del lavoratore oltre a quella civile ordinaria e lavorativa che può avere ulteriori risvolti.

Il lavoratore che non rispetta le indicazioni date dall’azienda su un utilizzo corretto degli end point cosa rischia? La Corte d’Appello di Roma, con sentenza dell’ 11 marzo 2019[4] ha riconosciuto la legittimità del licenziamento di una lavoratrice, la quale aveva impugnato il licenziamento disciplinare per giusta causa mediante ricorso al rito Fornero (Legge n. 92 del 2012) chiedendo la reintegra previa declaratoria di illegittimità del provvedimento espulsivo. Il Tribunale di Roma, con ordinanza del 23 marzo 2017 del lavoro  ha respinto la domanda della lavoratrice, la quale ha poi fatto ricorso per l’appunto in Corte d’Appello.

La lavoratrice era stata licenziata dalla Fondazione presso cui lavorava, perché ritenuta responsabile di aver eseguito numerosi accessi alla posta elettronica personale e a siti non pertinenti all’attività lavorativa. Questa condotta aveva comportato che il proprio endpoint contraesse un virus di tipo ransomware che poi si è diffuso su tutta la rete dell’azienda, comportando la criptazione di buona parte dei file presenti in essa.

La fattispecie in esame, si inquadra perfettamente nel quadro della responsabilità del lavoratore che per una condotta non in linea con gli obblighi del rapporto di lavoro, ha generato un danno all’organizzazione tale da rendere inutilizzabili i file e i dati contenuti nella rete aziendale. Una situazione disastrosa per la Fondazione che ha dovuto effettuare una verifica ex post sul computer in utilizzo alla lavoratrice; mediante questa verifica è stato possibile scoprire l’utilizzo personale del computer dato in dotazione.

 L'Autorità Garante per la Protezione dei Dati Personali, pronunciandosi sul ricorso presentato ex art. 145 D.Lgs. n. 196 del 2003 dalla stessa lavoratrice, aveva ordinato all’organizzazione (nella fattispecie una Fondazione) di astenersi dall'effettuare qualsiasi ulteriore trattamento dei dati acquisiti dalla cronologia del browser Google Chrome del computer aziendale in uso alla ricorrente e relativi al periodo 16.10.2015 - 16.11.2015 "...eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte giudiziaria..."

Invero tali controlli, secondo il Garante, sarebbero in violazione degli artt. 4, comma 2, e 38, della L. 20 maggio 1970, n. 300 anche dagli artt. 114 e 171 del d.lgs. n. 196/2003, ponendo il divieto di controlli a distanza sui lavoratori.

La posizione della Corte d’Appello di Roma, si pone in contrasto con quanto statuito dal Garante, rigettando l’appello della lavoratrice. Riconoscendo l’illegittimità della violazione dell’articolo 4 della legge 300/1970. Secondo la Corte, infatti “l’applicazione è esclusa invece quando i comportamenti illeciti dei lavoratori non riguardino l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma piuttosto la tutela di beni estranei al rapporto stesso, secondo un non sempre agevole bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle irrinunziabili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto”.

Pertanto, la decisione della Corte d’Appello di Roma ha confermato quanto già deciso dal Tribunale di primo grado, confermando il licenziamento della lavoratrice da parte della Fondazione presso cui essa lavorava per giusta causa, derivante dall’utilizzo non corretto del computer che ha comportato l’infiltrazione del ransomware che propagatosi sulla rete della Fondazione, ne ha causato la criptazione dei file e dei dati contenuti in essa.

Alla luce di questa sentenza appare evidente che nell'utilizzo degli endpoint dati in dotazione ai lavoratori deve esserci, da parte di quest'ultimi, una responsabilizzazione nonché un rispetto degli obblighi lavorativi previsti dal contratto e dalle policy interne. Infatti, come si è analizzato all'interno della vicenda citata, talune leggerezze possono avere conseguenze gravi. Se da un lato le organizzazioni possono, attraverso corsi, esercitazioni oppure stress test, aiutare a far conoscere e a creare quella consapevolezza nei propri dipendenti riguardo le minacce informatiche, altresì è vero che sia cura dei dipendenti avere un atteggiamento professionale nell’utilizzo degli endpoint.

In questo contesto lo smart working, diventa uno scenario entro cui gli attaccanti sanno che i dipendenti, lavorando da casa possono abbassare la guardia, e che pertanto quest’ultimi diventano il target più facili a cui mirare per poter entrare all’interno di una rete aziendale. Come si è visto, le conseguenze per i dipendenti però possono costare la perdita del posto di lavoro.


Si riporta una breve e non esaustiva tabella delle principali tipologie d’attacco e delle azioni che le aziende possono introdurre per mitigare le possibilità di subirle.

 matrice attacco

 

[1] Fonte: https://www.ansa.it/sito/notizie/tecnologia/hitech/2021/02/03/nel-2020-aumento-attacchi-cyber-per-il-40-delle-imprese_6def5d79-64b9-4697-b3e1-a48e32a34d03.html

[2] Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

[3] Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

 

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di investigatore privato.

[4] Testo della sentenza consultabile al seguente link: https://images.go.wolterskluwer.com/Web/WoltersKluwer/%7B04043d6c-ebe1-4870-86c9-57c2c7d8c45c%7D_corte-di-appello-roma-sezione-lavoro-sentenza-22-marzo-2019.pdf

0
0
0
s2sdefault

Dati personali, asset patrimoniali e diritti degli interessati di Antonello R. Cassano - Flavia Salvatore*

Abstract - Nell’era dei social network siamo abituati a considerare i dati come entità pressoché astratte che lanciamo nell’etere senza farci troppi problemi e che dimentichiamo subito dopo l’ennesimo click. Quello che forse non abbiamo ancora del tutto compreso come collettività sta nel fatto che le informazioni così disseminate online sono dotate di un vero e proprio valore economico al quale le imprese tech sono interessate. La vicenda che ha coinvolto Facebook e l’Autorità Garante della Concorrenza e del Mercato può aiutarci a fare luce su qual è oggi, e quale potrà essere in un futuro non troppo lontano, il ruolo dei dati nell’economia.

* A. R. Cassano - Avvocato del Foro di Roma; F. Salavatore - Dott.ssa in GIurisprudenza

E’ noto che le attuali economie digitali fondano il proprio business sulla raccolta, con conseguente vendita, di dati a fini commerciali. La pratica appare alquanto semplice e lineare nel suo funzionamento, risolvendosi, nei fatti, nella fornitura di un servizio a fronte della raccolta dei dati degli utenti i quali, in un secondo momento, sono ceduti – dietro apposito consenso – a terze parti, che dipoi impiegheranno le informazioni così acquisite prevalentemente a scopo di marketing. Da ciò origina un vero e proprio flusso di informazioni che – a titolo esemplificativo – consentirà ad imprese e operatori del mercato di propinare online al consumatore finale l’offerta di un prodotto o di un servizio “ritagliato” sulle proprie esigenze e preferenze.

Dalla breve introduzione di cui sopra, appare già abbastanza chiaro come l’intero sistema di business si fondi su di una sorta di tacito accordo che sorge fra le imprese e gli utenti. Volendo scendere più nel dettaglio, le prime, infatti, consentono ai secondi di usufruire in maniera apparentemente gratuita dei servizi offerti tramite le loro piattaforme online; le imprese, dal canto loro, potranno acquisire una ingente quantità di dati e informazioni su una serie infinita di ambiti di intesse (preferenze culinarie, gusti estetici, passioni ludiche, etc.), la cui mole cresce in maniera direttamente proporzionale al numero e alla tipologia di interazioni che gli utenti hanno con le piattaforme. Un corollario che trova la sua piena espressione nella frase di apertura del presente contributo.

 

Un simile aspetto non è però passato inosservato alle Autorità di settore e agli organi giurisdizionali che, con una serie di pronunce collegate fra loro, hanno avuto il merito di puntare il focus su un tema probabilmente ancora troppo poco discusso, che ha in sé la potenzialità di rivoluzionare un comparto economico-commerciale non ancora adeguatamente regolamentato.

Il caso decisamente più eclatante vede come iniziali protagonisti il noto social network Facebook – nelle sue varie legal entities internazionali – e l’Autorità Garante della Concorrenza e del Mercato che, sul finire del 2018, aveva inizialmente sanzionato la big tech per pratiche commerciali scorrette in violazione degli artt. 21, 22 e 23 del Codice del Consumo (Provvedimento n. 27432 del 29 novembre). Nei fatti, l’Autorità Pubblica sosteneva che il social network aveva “ingannevolmente indotto gli utenti consumatori a registrarsi sulla Piattaforma Facebook, non informandoli adeguatamente e immediatamente, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti e, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network enfatizzandone la sola gratuità”.

Facebook, in effetti, all’epoca dell’avvio del procedimento a proprio carico, al momento della registrazione alla piattaforma mostrava uno slogan a tutti noto – “è gratis e lo sarà per sempre” – ritenuta ingannevole dall’AGCM per il suo contenuto – per così dire – più immediato. Infatti, a detta dell’Authority – induceva gli utenti a credere di non corrispondere alcuna controprestazione a fronte dei servizi offerti dal social network, andando a sfatare, nei fatti, l’assunto proposto in apertura di contributo.

La frase è stata successivamente modificata in “è veloce e facile”, ma nonostante questo secondo l’Autorità permaneva “l’assenza di qualunque indicazione che forni[sse] un’adeguata informativa agli utenti, con immediatezza ed efficacia, in merito alla raccolta che viene effettuata dei loro dati, al loro valore commerciale, alla loro centralità per il servizio di social network offerto e all’uso degli stessi a fini remunerativi. Il rinvio alle Condizioni d’Uso e alla Normativa sui dati non rappresenta una informativa immediata e chiara e il mero inserimento della frase “è veloce e semplice” al posto del precedente claim di gratuità non fornisce, ovviamente, chiarimenti sul valore economico dei dati personali.”

 

Già dalle prime battute, in sostanza, si evince che l’AGCM contesta al colosso americano una palese scorrettezza dovuta al silenzio mantenuto sull’intenzione lucrativa che sottende alla fornitura del servizio, addirittura mascherata dall’enfasi posta sulla gratuità dello stesso.

La vicenda è poi proseguita con il ricorso proposto dal social network contro il provvedimento dell’Autorità dinanzi al TAR del Lazio. Il Tribunale amministrativo ha sostanzialmente confermato quanto rilevato dall’AGCM, emettendo due sentenze gemelle – la n. 260 e la n. 261 del 2020 – l’una nei confronti di Facebook Ireland e l’altra nei confronti di Facebook Inc, che sono di particolare interesse in questa sede per la nitidezza e la lucidità con la quale chiariscono la funzione dei dati nell’economia contemporanea.

Il TAR Lazio, infatti, non lascia spazio a fraintendimenti laddove afferma che i dati “possono altresì costituire un ‘asset’ disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di ‘controprestazione’ in senso tecnico di un contratto”; proprio in virtù di questo aspetto, il TAR rimarca che “il fenomeno della ‘patrimonializzazione’ del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un ‘social network’”.

Cosa ci sta dicendo, per riassumere, il TAR con questa pronuncia? Esattamente questo: i dati sono ormai una vera e propria moneta di scambio ceduta come corrispettivo di un servizio, e che le imprese “reinvestono” a scopi remunerativi, rendendoli una vera e propria fonte di guadagno. Insomma, anche se la reciprocità delle prestazioni scambiate è molto più fumosa e meno consapevole rispetto a quanto lo sia in altre circostanze (es. pagamento online tramite le proprie credenziali bancarie), ciò non significa che il servizio debba essere considerato gratuito e che le imprese non debbano rispettare tutta quella serie di norme e prescrizioni che impongono obblighi di chiarezza e trasparenza a protezione del consumatore.

La sfida che ci si prospetta davanti è dunque quella di comprendere che il dato non va più tutelato esclusivamente in quanto diritto fondamentale – appendice concreta di quel diritto alla privacy che viene riconosciuto anche in molte carte dei diritti internazionali – ma anche come vero e proprio nucleo patrimoniale.

Tornando, dunque, a quanto detto in apertura circa la sussistenza di un accordo tacito tra imprese e utenti, dopo aver approfondito meglio l’uso che alcune imprese fanno dei dati che cediamo loro quotidianamente – in maniera più o meno consapevole – viene da domandarsi quanto effettivamente noi utenti abbiamo contezza di cosa stiamo scambiando, e del suo valore. In una fase storica complessa in cui Internet ha reso apparentemente gratuito qualsiasi tipo di servizio o prodotto – dalla musica al cinema, dall’informazione all’arte – è ingenuo dare per scontato che sia altrettanto gratuito produrre quei beni, e fornire quei servizi.

Naturalmente, questa è una percezione distorta: i processi produttivi continuano ad avere bisogno di investimenti di capitale, allo stesso modo in cui i servizi di cui usufruiamo richiedono un qualche corrispettivo; e quel corrispettivo sono i nostri dati, adeguatamente monetizzati secondo canoniche logiche di business. Pertanto, se la comunità divenisse effettivamente cosciente e consapevole del valore economico di un like o di un commento – valore che diventa giorno dopo giorno sempre più inestimabile – utilizzerebbe una moneta di scambio così preziosa per usufruire di contenuti a volte discutibili? Contenuti sui quali non vi è alcuna effettiva e reale forma di controllo o “regolamentazione pubblica” dalla cui mole spesso ci sentiamo sopraffatti.

 

 

 

0
0
0
s2sdefault

Covid-19 e presidi di sicurezza. I rischi nascosti dei c.d. body temperature checks. di Antonello R. Cassano[1] e Flavia Salvatore[2]

di Antonello R. Cassano[1] e Flavia Salvatore[2]

Abstract

È innegabile che la pandemia causata dalla diffusione dell’ormai noto virus Covid-19 abbia impattato considerevolmente sulla vita quotidiana di milioni di persone. Infatti, indipendentemente dallo Stato di appartenenza o residenza, il cittadino è costantemente oggetto di misure di cautela e prevenzione – a tutela propria e della collettività – implementate in forme tanto diverse quanto disparate e, molto spesso, non percepite. Tuttavia, nel furore di preservare la salute mondiale, altre forme di rischio potrebbero passare inosservate, sicuramente meno gravi in termini di bene giuridico tutelato. Basti pensare al trattamento dei dati connessi allo spostamento dei cittadini, volto a verificare l’assenza di contatti con località o individui infetti, astrattamente in grado di delineare i movimenti di milioni di individui. Conseguenze non dissimili si avrebbero in tema di dati sanitari, raccolti da organizzazioni private e pubbliche a seguito di massicce campagne di prevenzione condotte tramite l’uso di test medicali, in grado di tracciare profili diagnostici di larghe sacche sociali.

 

Il Legislatore italiano, nell’ideare le linee guida da implementare durante la fase critica della pandemia, il c.d. Protocollo condiviso dalle Parti Sociali, mise in guardia sull’accorto uso dei dati che si sarebbero così generati. Nello specifico, il detto Protocollo alludeva alla misurazione della temperatura corporea, che – per sua stessa ammissione – assurgeva a “trattamento di dati personali”, da avvenire “ai sensi disciplina privacy vigente”.

In proposito, suggeriva altresì diversi escamotage per operare efficientemente su tale piano, bilanciando, da un lato, la tutela dei cittadini, e garantendo, dall’altro, presidi minimi di sicurezza, in un crescendo di difese via via più complesse e gravose.

In primo luogo, infatti, proponeva una soluzione alquanto agile ed elastica: non registrare il dato acquisito, o quantomeno farlo esclusivamente per “documentare le ragioni che hanno impedito l’accesso ai locali dei locali aziendali”; così facendo problematiche giuridiche connesse al trattamento e alla conservazione dei dati raccolti non sarebbero mai sorte, se non in casi limite, comunque sporadici. In alternativa, consigliava di “fornire l’informativa sul trattamento dei dati” o, altrimenti, di “definire le modalità di sicurezza e organizzative adeguate a proteggere i dati”. Va da sé che un simile intervento presuppone una documentazione del dato, seguita da una conservazione a lungo termine; insomma, entrambe circostanze che presuppongono un trattamento rilevante ai sensi della disciplina vigente.

Solo successivamente l’attenzione dedicata dal Legislatore italiano alla privacy ha ottenuto un avvallo, peraltro autorevole, a livello europeo, grazie alle guidelines recentemente diffuse dall’European Data Protection Supervisor[3], il c.d. Garante Europeo.

In apertura di argomento è doveroso precisare che il documento in parola affronta il tema dei presidi di sicurezza adottati dai “Union institutions, bodies, offices and agencies (EUIs)”, investigando dunque un settore – quello pubblico europeo – non coincidente con l’ambito del Protocollo nazionale; tuttavia, vi sono numerosi punti di contatto che, con i dovuti distinguo, consentono di ritenere le osservazioni ivi riportate attuali e praticabili anche per il settore privato.

Da ciò ne deriva che l’approccio metodologico del presente testo – volto, come visto, a verificare l’applicabilità dei principi europei all’ambito privato – vedrà continui richiami e parallelismi fra la normativa citata dal Garante, Regolamento 2018/1725 “sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati”, e il più noto GDPR[4].

Facendo un passo indietro, è interessante rilevare che il background di partenza del Legislatore italiano è del tutto identico a quello del Supervisor europeo, seppur non può tacersi una maggiore finezza argomentativa dell’ente sovranazionale nella rappresentazione delle ragioni a fondamento della propria posizione. Entrambi, infatti, rilevano che la registrazione dei dati raccolti assurge a elemento minimo e necessario per l’applicazione della normativa europea, ragione per cui una sua assenza comporta la non applicazione della normativa di interesse, Regolamento 2018/1725 o GDPR che sia.

Il Supervisor, infatti, apre illustrando la necessaria distinzione fra a) “controllo semplice della temperatura” – volto unicamente a rilevare la temperatura corporea, senza che questa venga registrata, documentata o che ci sia un qualche processo avente ad oggetto i dati personali del soggetto –  e b) “altri sistemi di controllo della temperatura”, che invece prevedono processi di registrazione e documentazione dei dati personali del soggetto, o l’utilizzo di strumenti automatizzati di rilevazione.

Alla luce di quanto detto, è evidente che l’operazione sub a) non ricade né nell’ambito del Regolamento 2018/1725 – dal momento che, come espressamente previsto dall’art. 2, paragrafo 5, la normativa è da applicarsi solo “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” – né in quello dell’art. 2, paragrafo 1, GDPR, che ricalca parola per parola la citata norma.

In effetti, è evidente l’assenza di qualsiasi elemento che potrebbe giustificare l’applicazione dell’una o dell’altra disciplina: non è presente né un trattamento automatizzato, né – in caso di uno manuale – un archivio destinato a conservare le informazioni raccolte. Non a caso, come precisa lo stesso Garante Europeo, “the use by a security officer of an analogue or digital thermometer results only in displaying the temperature, allowing the security officer to read the temperature value with this eyes”.

Resta dunque la sola fattispecie sub b) a delimitare l’ambito di operatività delle normative, formulazione sicuramente coerente e coincidente con i dispositivi normativi richiamati (Regolamento 2018/1725 e GDPR). Dato ciò per assodato, è ora il caso di formulare alcune osservazioni che coinvolgono il solo GDPR.

In primo luogo, si noti che è esso stesso a individuare un secondo motivo che potrebbe escluderne l’applicabilità ai casi di specie. Infatti, l’art. 2, paragrafo 2, lett. d), prevede espressamente che il detto Regolamento non è da applicarsi ai trattamenti di dati “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzioni di sanzioni penali, incluse la salvaguardia contro minacce alla salute pubblica e la prevenzione delle stesse”. In proposito, se gli atti di contenimento eseguiti da privati persone fisiche o giuridiche (controllo della temperatura all’ingresso dei locali) sembra certamente ricadere nella clausola aperta di cui sopra senza alcuna forzatura – basti pensare alla “prevenzione” – dubbi persistono in riferimento all’ambito soggettivo. In effetti, non vi è dubbio che tramite la raccolta di dati concernenti gli spostamenti e/o le condizioni di salute degli interessati possano essere prevenuti, accertati o anche perseguiti reati connessi al contenimento della pandemia in corso.

Tuttavia, come anticipato, perplessità emergono con riguardo all’ambito soggettivo. La norma, infatti, allude ad Autorità pubbliche, e non anche ai privati cittadini che raccolgono dati circa l’affluenza presso i proprio locali. In proposito, a nulla sembra servire l’osservazione che vuole i detti controlli eseguiti in conformità a disposizioni legislative, di fonte statale o regionale; in effetti, una simile affermazione di certo non altera la natura di un privato in pubblico, vieppiù in “autorità competente” che, stando alla formula legislativa, sembra essere circoscritta al solo ambito penale.

Accantonando il presente il tema, che meriterebbe una discussione decisamente più approfondita, occorre ora soffermarsi su un secondo profilo, concernente questa volta il solo “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Si è detto a buon diritto che in mancanza di registrazione dei dati si è al di fuori del campo di applicazione del GDPR (e in questo caso anche  del Regolamento 2018/1725); ma come conciliare il presente dispositivo con quanto previsto dal Considerando 15 secondo cui “non dovrebbero rientrare nell'ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”?

In un caso del genere, infatti, sorgono dubbi sulla tenuta del sistema qualora i detti sussidi cartacei vengano organizzati su base temporale, riportando, ad esempio, le ore di accesso ed uscita degli interessati dai locali aziendali, e dunque il tempo di permanenza. In effetti, una simile registrazione è idonea a individuare alcune caratteristiche tipiche dell’agenda di vita dell’interessato, che variano a seconda dell’organizzazione che ne effettua la raccolta e il tipo di servizio offerto. Esemplificando, in caso di un centro sportivo, potrebbero emergerne dati sulle abitudini atletiche, o invece informazioni attinenti all’ambito sanitario qualora trattasi di centri clinici o diagnostici specializzati in una data area medicale, o anche in più.

Detto altrimenti, basta la sola indicazione di dati minimali quali la data e le ore di ingresso ed uscita a estrapolare il caso di specie dalla previsione del Considerando 15, e dunque ad obbligare il curatore del fascicolo ad applicare il GDPR? Molto probabilmente sì.

Infatti, si tenga presente che è lo stesso Supervisor a precisare nelle guidelines che quando i controlli della temperatura, anche operati manualmente, vengono registrati o associati a un soggetto identificato o identificabile, essi rientrano nell’ambito di applicazione del Regolamento 2018/1725, in quanto agilmente assimilabili ai c.d. sistemi di archiviazione[5].

Vale questa affermazione per i trattamenti privati che, ricordiamo, affondano le proprie radici nel GDPR e non nel Regolamento 2018/1725, dal quale parte il Supervisor? Sicuramente sì.

Infatti, i presupposti logico-giuridici che sono a fondamento del detto Regolamento sono rinvenibili nello stesso GDPR: la riconducibilità del dato a una persona fisica individuata o individuabile ne è una delle pietre angolari, come stabilisce positivamente la lettera normativa (art. 4, paragrafo 1, lett. a) e i Considerando di supporto. Di particolare interesse a tal riguardo è il n. 26, il quale riconosce che “è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”. Insomma, vi è un’identità di ratio, circostanza che giustifica l’applicazione del principio di analogia.

Terminati i presenti approfondimenti, torniamo al cuore della discussione. Si è detto che l’ambito di applicazione delle due normative, pubblica e privata, è, in entrambi i casi, la fattispecie sub b) di cui sopra. Aggiungiamo ora un ulteriore tassello al mosaico: le informazioni raccolte tramite l’uso di dispositivi di misurazione della temperatura corporea sono c.d. “data concerning health”, e perciò disciplinati dall’art. 9 del GDPR, relativo al trattamento dei dati c.d. “dati particolari”, che ne vieta il trattamento al di fuori dei casi previsti[6].

A questo punto della trattazione occorre riprendere il discorso interrotto sulle guidelines, e a tal proposito è interessante riportare alcune delle seguenti osservazioni ivi presenti. In particolare, il Supervisor – partendo dagli ormai noti processi “interamente automatizzati” – osserva che, implementando strumenti altamente tecnologici, può a buon diritto ricadersi nell’alveo di cui all’art. 24 del Regolamento 2018/1725, rubricato alla voce “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che altro non sta a indicare che un processo privo di qualsiasi coinvolgimento umano.

In effetti, come non manca di sottolineare, “controlli della temperatura basati esclusivamente su processi automatizzati, come l’uso di scan o camere termiche, che potrebbero impedire a un dato soggetto di fare ingresso in una struttura, possono essere assimilati a processi decisionali individuali e automatizzati produttivi di effetti giuridici”, ragion per cui non ci si può sottrarre dall’applicare la relativa disciplina legislativa.

Prima di procedere, tuttavia, è bene ricordare che il Regolamento in parola ricalca ancora una volta quanto previsto sul punto anche dal GDPR: infatti, la citata disposizione (art. 24) trova un lampante corrispettivo nell’art. 22 di quest’ultimo, rubricato anch’esso secondo la medesima nomenclatura; pertanto, ancora una volta quanto osservato per una vale anche per l’altra. Entrambe le norme, dunque, prevedono che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Ciò detto, sono presenti delle esclusioni al successivo paragrafo, però inoperanti per i famosi “dati particolari” nei quali ricadono i sanitari; dati disciplinate rispettivamente dall’art. 10 del Regolamento 2018/1725 e dall’art. 9 GDPR. Tuttavia, l’ultimo paragrafo di entrambe le norme prevede una sorta di eccezione all’esclusione, in quanto stabilisce che “le decisioni di cui al paragrafo 2 - le esclusioni - non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, [o 10, paragrafo 1, Regolamento 2018/1725] a meno che non sia d’applicazione [gli] articol[i] 9 [e 10], paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato”.

Giunti a questo punto, per districare la matassa sembra opportuno citare il Garante Europeo, il cui ragionamento è valido anche per il settore privato per i motivi già illustrati. Questi infatti afferma che “attualmente non esiste una legge dell’Unione Europea [o nazionale, bisogna aggiungere], ai sensi dell'articolo 24, paragrafo 4, [e dell’articolo 22, paragrafo 4, GDPR] che autorizzi i controlli della temperatura basati esclusivamente sul trattamento automatizzato per consentire o negare l’accesso ai locali […] per motivi di salute e sicurezza. Pertanto, un sistema completamente automatizzato di controlli della natura sarebbe lecito solo su base volontaria, con il consenso esplicito degli interessati ai sensi dell'articolo 10 [o 9 GDPR], paragrafo 2, lettera a)” dei Regolamenti.

Terminati i profili di particolare interesse, si segnala in chiusura che nel prosieguo delle guidelines sono suggeriti dal Supervisor alcuni accorgimenti tecnici sulle modalità di raccolta dei dati – sì da garantire il rispetto dei principi di privacy by design e by default – e ultime raccomandazioni generali per qualsiasi tipo di “temperature checks”. Esemplificando, si consiglia di informare con chiarezza qualsiasi interessato del fatto che è in atto un sistema di controllo della temperatura, fornendone i motivi ed eventuali altre informazioni aggiuntive (es. responsabili della decisione). Inoltre, avvisi e segnali recanti informazioni sui controlli dovrebbero essere posti presso tali punti, ed essere sufficientemente grandi da poter essere notati e letti senza difficoltà. Infine, è consigliato ai corpi europei – e quindi anche ai privati – di implementare procedure di revisione continua al fine di verificare costantemente la necessità e, se del caso, la proporzionalità delle misure alla luce dell’evoluzione pandemica.

In conclusione, alla luce di quanto scritto, è evidente che le osservazioni formulate dal Garante Europeo sono applicabili anche ai privati. Tuttavia, preme evidenziare che la loro osservanza – che trova comunque un conforto su di un piano giuridico, come si è tentato di evidenziare – dovrebbe scaturire in primo luogo dall’attenzione che i privati pongono nella prevenzione e nel contenimento della pandemia. Ciò presuppone, soprattutto per organizzazioni di grandi dimensioni e spiccata complessità, la collaborazione di diverse funzioni di controllo interne – compliance, risk management e RSPP, per citare le più note – secondo una catena di poteri e responsabilità che consenta la proficua circolazione delle informazioni, l’efficace implementazione delle misure di sicurezza e l’adeguato controllo sul loro rispetto. Detto altrimenti, il buonsenso dovrebbe essere la prima ragione a spingere tali soggetti a una maggiore attenzione.

 

[1] Avvocato del Foro di Roma e collaboratore di FC Law Firm, studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalente nei settori della privacy, assicurativo, bancario e finanziario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale e societario, nella gestione e organizzazione dei sistemi di controllo interno e nella corporate governance (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).

[2] Dottoressa in Giurisprudenza, si sta specializzando in protezione dei dati e cybersecurity.

[3]Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis”, European Data Protection Supervisor, 1° settembre 2020.

[4] In proposito, peraltro, si noti che tanto l’art. 2, paragrafo 5, del Regolamento 2018/1725 quanto l’art. 2 GDPR condividono il medesimo ambito di applicazione, come si avrà modo di evidenziare nel prosieguo.

[5] Tale ricostruzione è riconfermata quando si afferma che “to remain outside the scope of the Regulation, temperature measurements may not be followed by registration, documentation or other processing allowing to link such temperature checks to a data subject (such as an identity check that would form part of a filing system)”. 

[6] Tuttavia, è interessante rilevare che la pandemia da Covid-19 costituisce una lampante eccezione alla regola generale, talmente grave nella sua portata da poter essere ricompresa molteplici cause di esclusione. In primo luogo, infatti, ricade nell’ambito della lettera b), secondo cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,  nella  misura  in  cui  sia  autorizzato  dal  diritto  dell'Unione  o  degli  Stati  membri  o  da  un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”; in aggiunta, si tenga a mente anche la lettera g), che contempla il caso in cui “il  trattamento  è  necessario  per  motivi  di  interesse  pubblico  rilevante  sulla  base  del  diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza  del  diritto  alla  protezione  dei  dati  e  prevedere  misure  appropriate  e  specifiche  per tutelare i diritti fondamentali e gli interessi dell'interessato”; infine, si ricordi la lettera i), a mente della quale “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri  che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale”.

0
0
0
s2sdefault

IL NUOVO REGOLAMENTO ePRIVACY di Benedetto Fucà

Il Nuovo Regolamento ePrivacy di Benedetto Fucà1

1-Business Analyst - Laurea in Giurisprudenza e Master in Cyber security - Digital Forensic & Computer Crime

Abstract - Il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione della Direttiva 2002/58/CE (detta Direttiva ePrivacy). La Direttiva sarà sostituita da un Regolamento che si pone come normativa speciale, nella materia del trattamento dei dati personali: quello delle comunicazioni elettroniche, rispetto al G.D.P.R. L’articolo analizza gli aspetti fondamentali di questo rapporto, le materie oggetto della normativa nonché i possibili sviluppi negli ecosistemi digitali composti da device Internet of Things

Un nuovo importante tassello alla definizione di un quadro normativo, a livello europeo, che riguarda la privacy sta per essere deliberato. Si tratta del nuovo Regolamento ePrivacy, che va a sostituire la Direttiva 2002/58/CE (detta Direttiva ePrivacy). Infatti, il Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione di una normativa che ormai da tempo richiedeva un necessario aggiornamento.

Si tratta di un aggiornamento necessario sia dal punto di vista tecnologico che anche normativo. Dal punto di vista tecnologico, negli ultimi anni, l’evoluzione di tecnologie digitali già presenti e di nuovi asset tecnologici, che hanno visto la luce in questi anni, rendevano la Direttiva attuale ormai obsoleta. Inoltre, la necessità di armonizzare il quadro normativo anche alla luce dell’entrata in vigore del General Data Protection Regulation rende necessario regolamentare questo ambito con un apposito Regolamento (in sostituzione della Direttiva che per sua natura non è direttamente applicabile dagli Stati membri) che recepisce le importanti novità del G.D.P.R.

Va innanzitutto, chiarito il rapporto tra questi due Regolamenti: il G.D.P.R. può essere visto come la legge generale, la vera pietra miliare in ambito di protezione dei dati personali; il Regolamento ePrivacy, invece, è una normativa speciale che va a specificare un settore determinato del trattamento dei dati personali: quello relativo alle comunicazioni elettroniche. In particolare, le comunicazioni di dati che avvengono tramite dispositivi dell’Internet delle cose (IoT), le attività di direct marketing e telecomunicazioni effettuate dalle società attive nel digitale. A differenza del G.D.P.R. il nuovo Regolamento è applicabile non solo alle persone fisiche ma anche alle persone giuridiche. La tutela riguarda l’utente finale, indipendentemente dalla sua natura giuridica.

L’importanza di questa nuova normativa è fondamentale nella misura in cui la Direttiva che verrà sostituita è del 2002 e risulta necessario avere un testo normativo aggiornato rispetto all’evoluzione tecnologica; fondamentale per garantire un trattamento e una comunicazione dei dati in linea con quanto già stabilito dal G.D.P.R.

Il lungo percorso, ormai giunto alle battute finali, che sta portando alla nascita di questo Regolamento, si intreccia con quanto già previsto dal G.D.P.R. Inizialmente, l’approvazione e la successiva entrata in vigore dei due Regolamenti doveva avvenire contestualmente. Così non è stato, in quanto individuare norme specifiche sul trattamento dei dati ha richiesto un esame più approfondito e un coinvolgimento maggiore degli stakeholder (aziende, Stati, portatori di interessi diffusi) proprio perché va a dettare regole specifiche e speciali su un settore peculiare.

Questo rapporto lex generalis / lex specialis risulta specificamente menzionato nel richiamo dell’art. 95 del G.D.P.R.: “Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.” L’articolo, richiamando la Direttiva (presto sostituita dal Regolamento) nei fatti afferma l’applicabilità di quest’ultima nei servizi di comunicazione. Tuttavia, come si è avuto modo di vedere, dall’entrata in vigore del G.D.P.R., spesso è stato proprio quest’ultimo che in via sussidiaria ha offerto una tutela normativa in capo alle persone fisiche in questo materia. Sussidiarietà sostenuta anche dall’European Data Board Protection (E.P.D.B.) per coprire l’obsolescenza normativa rispetto allo sviluppo tecnologico digitale[1].

Questo rapporto è stato chiarito, infatti anche dal Parere 5/2019[2], rilasciato dal E.P.D.P. su richiesta dell’Autorità belga per la Protezione dei Dati. Il Board, ribadendo il rapporto tra le due normative, ha chiarito che nel caso in cui il trattamento dei dati personali non è disciplinato in modo specifico dalla Direttiva e-Privacy (o laddove la direttiva e-privacy non disciplina una “regola speciale”), si applica il GDPR.

Come accennato sopra, oggetto di questo Regolamento saranno in primis i dati delle comunicazioni elettroniche che dovranno rimanere riservati. Qualsiasi interferenza, compreso l’ascolto, il monitoraggio e l’elaborazione dei dati da parte di chiunque non sia l’utente finale, sarà vietata, salvo quanto verrà consentito dalla normativa ePrivacy. Altra materia oggetto di tale normativa saranno i cookie, ovvero frammenti di dati sugli utenti memorizzati sul computer e utilizzati, da parte dei player digitali, per migliorare la navigazione. Metadati di comunicazione che vanno ad incidere, inoltre, sulla profilazione dell’utente finale. Mediante la profilazione, le aziende per scopi di business vanno implementare la data monetization ovvero lo scambio dei dati dell’utente finale verso un’altra organizzazione dietro un compenso, creando accordi commerciali che hanno ad oggetto proprio i dati ceduti dall’utente finale.

Inoltre, l’E.P.D.P., per cercare di allineare la regolamentazione all’uso della data monetization ha emanato le Linee Guida 5/2020[3] in cui vengono stabilite, alla luce dell’evoluzione digitale, due principi fondamentali:

  1. L’utente finale dovrebbe avere la possibilità di scegliere se accettare i cookie o identificatori simili.
  2. Rendere l’accesso a un sito web dipendente dal consenso all’uso dei cookie per scopi aggiuntivi in alternativa a un paywall sarà consentito se l’utente è in grado di scegliere tra tale offerta e un’offerta equivalente dello stesso fornitore che non comporta il consenso ai cookie.

In questo contesto, l’approvazione del nuovo Regolamento ePrivacy risulta fondamentale anche per gli ecosistemi dell’Internet of Things (IOT). La regolamentazione delle comunicazioni e del trattamento dei dati di questi dispositivi è uno dei punti salienti della normativa, infatti, si stabilisce che nella maggior parte dei casi i produttori di device potrebbero contare solo sul consenso dell’utente finale per trasmettere i dati da un dispositivo ad un altro dispositivo collegato, non potendo fondare il trattamento sull’esecuzione del rispettivo contratto con l’utente finale.

Gli impatti che il Regolamento potrebbe apportare anche in relazione alle nuove tecnologie, nello specifico IoT e Intelligenza Artificiale, si ricollegano in maniera particolare alla tecnologia blockchain. Immaginando, per esempio un ecosistema di Smart City, fortemente incentrato su device IoT e alimentati da una blockchain che certifica gli scambi, si pone il tema di come questo Regolamento può creare un fenomeno di trust che va ad alimentare la fiducia da parte dei cittadini nei confronti della Smart City. Andando ad alimentare un processo virtuoso che da un lato riesce a cogliere in pieno i vantaggi di questo ecosistema e dall’altro pone le basi per un ulteriore sviluppo tecnologico integrativo.

La valenza dell’entrata in vigore del Regolamento, che si pone come prima normativa speciale rispetto al G.D.P.R. apre una seria riflessione anche su un quadro normativo in grado di poter agganciare lo sviluppo tecnologico con altrettante normative speciali in grado di mantenere alta, all’interno dell’Unione Europea, una tutela normativa di alto livello.

 Benedetto Fucà

 Business Analyst 

Laurea in Giurisprudenza e Master in Cyber security

Digital Forensic & Computer Crime

[1] Si veda sul tema anche Sicurezza dei dati personali negli smart vehicles di Benedetto Fucà e Antonello Cassano, link abstract link abstract: https://www.ictedmagazine.com/images/Riviste_2020/Aprile_2020_abstract.pdf – 2020)

[2]Testo del parere: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_it.pdf

[3] Testo del Parere: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

0
0
0
s2sdefault

Criptovalute. Gli approcci normativi di Malta e Italia all’interno dell’Unione Europea di Bendetto Fucà

Abstract

Negli ultimi anni, mediante la tecnologia blockchain, sono nate le criptovalute le quali hanno dimostrato di essere un metodo alternativo di pagamento in grado di sostituirsi alle valute tradizionali. Tutto ciò spinge ad alcuni punti di chiarezza: la differenza tra blockchain e criptovalute,il loro rapporto, l’utilizzo di quest’ultime e i tentativi di approccio normativo da parte dei legislatori nazionali e sovranazionali. Vengono analizzati gli approcci normativi di Malta, molto attenta ad essere un punto di riferimento per i player economici in questo ambito mediante una robusta e matura produzione normativa; dall’altro l’Italia con le indicazioni della Consob e della Banca d’Italia con studi e proposte normative che mettono al centro il risparmiatore. Due diversi approcci che si inseriscono in un progetto normativo e strategico da parte dell’Unione Europea rispetto a questo settore innovativo i cui confini appaiono non del tutto delineati.

Il termine blockchain negli ultimi anni è diventato abbastanza frequente, l’evoluzione e l’affermazione delle criptovalute (in primis i bitcoin) ha fatto che spesso i due termini si confondessero. Blockchain (tradotto letteralmente catena di blocchi) è una tecnologia che si basa su quattro principi: 1) l'immutabilità del registro,2) la trasparenza, 3) tracciabilità delle transazioni e 4) la sicurezza basata su tecniche crittografiche. Diversamente, le cripto-valute sono la rappresentazione digitale del valore che si basa sulla crittografia.  In altre parole, le criptovalute vengono generate o per meglio dire “minate” e attraverso la tecnologia della blockchain.

Quindi in prima battuta va fatta una differenziazione tra blockchain e cripto-valute: la blockchain è la tecnologia che fa da piattaforma alla creazione delle criptovalute, ma la tecnologia delle blockchain in realtà è utile in moltissimi altri campi: filiera agroalimentare, arte, sono a titolo esemplificato e non esaustivo alcuni degli ambiti in cui questa tecnologia sta iniziando ad apportare alcuni specifici benefici.

La storia delle criptovalute inizia con il white paper "Bitcoin: A Peer-to-Peer Electronic Cash System" il 31 ottobre 2008, firmato da Satoshi Nakamoto (la cui esistenza è sempre rimasta un mistero, tanto che si pensi che il realtà sia uno pseudonimo dietro cui si cela un collettivo). Dalla nascita di questo white paper si è andato a generare il fenomeno delle cripto-valute con la nascita dei bitcoin. A più di dieci anni da questo white paper esistono diverse criptovalute (secondo il censimento coinmarketcap sarebbero più di 5000) le quali essendo accumunate dallo sfruttamento della tecnologia della blockchain, tuttavia utilizzano modalità di diverse per essere generate.

Ad oggi le criptovalute stanno prendendo piede anche nell’economia reale e fisica, cosi è pur vero che esistono bar che iniziano ad accettare pagamenti con queste valute virtuali. Anche se l’uso primario di esse avviene attraverso la rete, non solo all’interno della porzione di web indicizzato ma anche nel dark web, dove gli unici pagamenti che vengono accettati per svolgere transazioni commerciali avvengono mediante l’utilizzo di valute virtuali. Tutto ciò avviene perché garantiscono l’anonimato della transazione, si tratta di uno dei vantaggi che essi apportano, vantaggi che possono essere sfruttati anche nel mondo reale per attività illecite e riciclaggio.

Rispetto a questo fenomeno, gli Stati stanno iniziando a prendere coscienza e piano piano si stanno avendo i primi provvedimenti di regolamentazione, anche l’Unione Europea ha iniziato il proprio percorso di regolamentazione mediante la direttiva 156 del 19/06/2018 che riconosce le monete virtuali come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”. Si tratta di riconoscimento giuridico importante che tiene conto di un fenomeno di innovazione digitale che rischia di mettere in crisi uno dei punti cardine della statualità moderna quale il potere esclusivo di stampare moneta. Tuttavia, siamo ben lontani da una definizione che riconosca le monete virtuali al pari della valuta tradizionale. Infatti, tra le righe della definizione si legge che non ha lo stesso status giuridico delle altre valute ma si riconosce la consuetudine sempre più massiccia dell’utilizzo delle valute virtuali.

Questa direttiva va letta all’interno di un progetto ben più ampio voluto dalla stessa Unione Europea di incorporarle insieme alla blockchain all’interno dei propri processi, la notizia come riportata dall’agenzia Reuters prevede, secondo i documenti in possesso, che "entro il 2024, l'UE dovrebbe mettere in atto un quadro completo che consenta l'adozione della tecnologia di registro distribuito (DLT) e delle cripto-attività nel settore finanziario". Questa spinta avviene anche alla luce della situazione emergenziale dovuta al Covid-19, la quale ha dimostrato che i pagamenti digitali hanno un ruolo sempre più preminente. Ma tale spinta viene anche dagli Stati membri in particolare da Italia, Francia, Spagna, Germania e Paesi Bassi.[1]

Sicuramente uno Stato che ha dimostrato un livello di maturità normativa sul tema è Malta. La Malta Financial Services Authority ha proposto una legge, deliberata dal Consiglio dei Ministri maltese (nel 2018) il cui obiettivo è stato quello di regolamentare le valute virtuali: il Virtual Financial Assets Act la quale si basa su tre principi cardine: 1) la certezza giuridica nella tassonomia e classificazione degli asset virtuali; 2) la regolamentazione di un modello di autorizzazioni ad hoc per svolgere test e certifica i virtual financial asset; 3) l’introduzione della figura del  gatekeeper (una figura di raccordo) tra intermediari ed intermittenti che si affianca e fa da filtro dinnanzi al procedimento autoritativo davanti alla Malta Financial Services Authority.

Con questa normativa, Malta si è posta l’obiettivo di essere uno degli Stati in grado recepire meglio il binomio tra cripto valute e blockchain anche con l’obiettivo di essere un punto di riferimento per tutto il settore digitale produttivo che si è generato, anche attraverso due altri riferimenti normativi che danno il senso di un quadro normativo all’avanguardia: Malta Digital Innovation Authority Act e l’Innovative Technological Arrangement and Services Act.

Un approccio normativo dettagliato ad hoc che si inquadra nelle ampie maglie regolamentari previste dalla normative dell’Unione Europea. Pertanto, il quadro normativo, sopra esposto, presenta due caratteristiche principali: 1) L’approccio ha un certo grado di flessibilità che permette alla normativa di adattarsi agli sviluppi tecnologici ed applicativi in tema di criptovalute e della tecnologia blockchain; 2) assicura l’assenza di conflitti normativi o interpretativi rispetto al contesto normativo europeo.

In Italia, la Consob ha pubblicato, ad inizio anno, il rapporto “Le offerte iniziali e gli scambi di cripto-attività-Rapporto finale” il quale “vuole essere un contributo al dibattito, elaborato in vista dell’eventuale definizione di un regime normativo in ambito nazionale che disciplini lo svolgimento di offerte pubbliche di cripto-attività e delle relative negoziazioni” in altre parole si tratta di una proposta di legge che abbia quale obiettivo primario la tutela degli investitori.

Il rapporto chiude una consultazione pubblica che ha coinvolto gli operatori di mercato di questo settore. Il documento analizza complessivamente le cripto-attività, e approfondisce il ruolo delle piattaforme per l’offerta di cripto-assets di nuova emissione, i sistemi di scambio e i “servizi di portafoglio digitale” per la custodia e il trasferimento delle cripto-attività.

Ma la Consob non è la sola Authority italiana che si è occupata del tema, già nel 2019 la Banca d’Italia aveva pubblicato l’occassional paper “N. 484 - Aspetti economici e regolamentari delle «cripto-attività”. Questo lavoro offre una tassonomia delle "cripto-attività" e una breve descrizione delle initial coin offerings (ICOs) e aspetti correlati ma allo stesso tempo le differenzia dagli strumenti tradizionali, in quanto non sono legate ad un oggetto economico dal prezzo di equilibrio determinato. Si comprende la posizione prudente della Banca d’Italia nostro avviso è preoccupante, poiché un eventuale crollo del sistema bitcoin o “cripto-attività” similari trascinerebbe con sé gli strumenti finanziari sucui sono basati, siano essi per il settore al dettaglio o per gli investitori professionali[1]”.

La posizione dell’Italia, dalla lettura di questi due documenti appare molto meno aperta rispetto a quella maltese; da una parte l’attenzione verso la tutela del risparmiatore, dall’altra una visione che si pone di essere il rifermento geografico dell’innovazione finanziaria tecnologica. Due posizioni che possono essere motivo di confronto nella produzione normativa europea.

di Benedetto Fucà

Business Analyst, laurea in Giurisprudenza e master in Cyber security, digital forensic e computer crime.

 

[1] Pag 16

[1] https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/criptovalute-gli-stati-ora-vogliono-regole-piu-rigide-i-problemi/

0
0
0
s2sdefault

Argomento