Secondo la Commissione Europea, parrebbe di si (V. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_it).Eppure… chi avesse interpretato che da solo un Indirizzo IP è “dato personale” ha forse preso una cantonata?

Si considerano dati personali tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali”. Notare il raccolte insieme.
Dopo la premessa, segue una lista esemplificativa di (possibili?) dati personali, fra cui spicca: “un indirizzo IP”.

Le informazioni della lista d’esempio sono individualmente “dati personali”? O sono tali quando sono informazioni che assemblate fra loro identificano una persona fisica? (v. ancora il raccolte insieme).

La tesi dell’autore è che da solo un indirizzo IP non identifica una persona fisica. Nella migliore delle ipotesi, e non sempre, identifica una macchina o meglio un sistema (PC, Server, Stampante, Disco di Rete, Router, qualunque cosa). Di per sé l’indirizzo IP non ci dice nulla della “persona” (fisica!) dietro al o ai sistemi… quando c’è una persona! (v. IoT, domotica ed altro).

Legare un IP pubblico ad un interessato (persona fisica, individuo appartenente alla specie homo-sapiens) richiede molti altri dati da correlare fra loro temporalmente e logicamente. E non sempre oltre ogni ragionevoli dubbio. Molti di questi altri dati sono accessibili solo alle c.d. “LEA” (Law Enforcemente Agencies) a fronte di specifiche circostanze e mandati. Da notare che le “LEA” sono escluse dal campo di applicazione (o “scope”) del GDPR.

Anche per un’azienda di qualunque dimensione è difficile legare con assoluta certezza un IP privato delle proprie reti interne ad una persona fisica. Anche quando si raccolgano a norma i log.

In sintesi: un indirizzo IP da solo non è dato personale: difficile da esso identificare univocamente una persona fisica. Servono altri dati.

A supporto di questa tesi occorre una spiegazione tecnica: che si spera d’aver reso il più possibile accessibile anche ai meno tecnici. Un indirizzo IP è la proprietà di un sistema o più “sistemi”. Non è una proprietà dell’interessato, se c’è, che forse sta usando il
sistema. NB: è la proprietà di un “sistema” e neanche della o delle macchine che compongono il “sistema”. E spesso è una proprietà volatile, non fissa nel tempo (i c.d. “ip dinamici”). Per parafrasare: sarebbe come sostenere che la “targa”, e non necessariamente permanente, di una automobile identifichi il suo guidatore. O, peggio, sostenere che la targa, mutevole, di un autobus identifichi tutti i suoi passeggeri (quando più sistemi condivisi da più persone condividono lo stesso IP).

Per esemplificare e semplificare, prendete il vostro PC (ma vale per qualunque “macchina”: un server, una WebCam, un Televisore, ecc.).

Fig. A – la “pila”

Fate riferimento alla figura A. Pensate al PC o qualunque altro oggetto di rete. Da spenta la macchina è un letterale “pezzo di ferro”, senza alcuna proprietà; men che meno un indirizzo IP. Da acceso il pezzo di ferro diventa sistema grazie al Sistema Operativo “OS” installato sulla macchina, non importa quale OS, anzi,
una singola macchina potrebbe diventare più sistemi (questione qui non approfondita) che condividono lo stesso indirizzo IP.
Fra le tante cose che fa, l’OS inizializza la c.d. Scheda di Rete (NIC=”Network = Interface Card”), di qualunque natura: wifi, cablata o altro.
Per i puristi: la NIC ha, anzi avrebbe, una proprietà UNICA di fabbrica chiamata MAC-Address, peccato che esso sia riprogrammabile dall’OS e serva solo alla rete locale, quindi è un’informazione che va perduta oltre il primo router: quindi la NIC non identifica neanche il pezzo di ferro. Finita di inizializzare la NIC, il Sistema Operativo (forse!) associa alla NIC un “indirizzo IP” della rete locale, ma anche due, tre o dieci indirizzi IP: nulla lo impedisce. Concluso tutto questo processo, il sistema (non la macchina, non i suoi utenti!) ha uno o più indirizzi IP. Che sia stato o meno riprogrammato, il MAC-Address è “informazione perduta”: non arriva ad InterNet. È probabile che il sistema o sistemi della rete locale subiscano il c.d. “NATting”: tutto e tutti si presentano ad internet con un solo indirizzo IP (pubblico). Le informazioni MAC-Address e IP address della rete locale sono andate perdute.

In conclusione. Organizzazioni con uno o migliaia di sistemi “dentro” la propria rete locale si presentano ad Internet con un unico indirizzo IP: come si lega quell’indirizzo al o agli umani, se ce ne sono, che stanno usando quell’indirizzo? Come anticipato, si può fare: ma è un esercizio difficile… proprio come provare a legare la targa (mutevole!) di un autobus a tutti i suoi passeggeri! O, peggio, tentare di legare il codice radio di una nave traghetto che trasporta più autobus prima agli autobus e poi ai passeggeri di ogni autobus.

In realtà, la parafrasi è imperfetta. È più facile per una “LEA” (Law Enforcement Agency”) legare il codice radio della nave traghetto agli autobus attraverso il manifesto di carico della nave e con qualche altro passaggio arrivare ai passeggeri degli autobus. Il codice radio del traghetto e le targhe degli autobus sono statici. Invece gli indirizzi IP (le targhe e codici radio della parafrasi) sono spesso volatili: rendendo l’esercizio ben più complicato.

di Alessandro Bottonelli

L’overflow del buffer può essere attivato nei chip Wi-Fi Realtek

Qualsiasi Software, allo stato attuale delle cose, presenta delle vulnerabilità. Per vulnerabilità, si intendono delle debolezze che vengono (spesso) inconsapevolmente create dagli sviluppatori e che possono essere utilizzate da parte di malintenzionati per entrare all’interno di un sistema.

Questo è noto agli sviluppatori, per cui le case di software si preoccupano, nei loro reparti di ricerca e sviluppo, di miigliorare gli aspetti di sicurezza e in generale di andare ad eliminare mano a mano le vulnerabilità e in generale qualsiasi tipo di “bug” che si sia manifestato o sia stato rilevato, in fase di testing, così come a seguito delle segnalazioni da parte dei Clienti/utilizzatori.

I “bug” sono ancora più pericolosi nei sistemi di connettività o di networking, in quanto, vista la loro funzione di apparati per l’interconnessione di computer, possono consentire di aprire delle porte che dovrebbero restare chiuse.

Questo è il motivo per cui è fondamentale tenere aggiornati tutti i sistemi ad ogni livello, dai BIOS o firmware dei Computer e dei vari dispositivi di networking, ai Sistemi Operativi, a tutti gli applicativi utilizzati sui computer, fino agli ERP o sistemi gestionali.

Oggi ci occupiamo del problema del mancato aggiornamento degli apparati Wi-FI con CHIP Realtek.

Le reti Wi-Fi sono una grande comodità, ma spesso ci dimentichiamo che anche questi apparati sono dotati di software per funzionare. A bordo hanno un sistema operativo (Linux) sul quale vengono implementati dei software per l’implementazione degli standard di comunicazione e per la gestione delle regole di connettività.

E’ stato verificato che gli Access Point con CHIP Realtek non patchati possono essere attaccati sfruttando le onde Wi-Fi, causando l’overflow nel buffer del nucleo (kernel) del Sistema Operativo Linux e creando il blocco o il controllo totale da parte dell’attaccante, dei computer connessi.

Il bug rilevato, si trova nel driver RTLWIFI, che viene utilizzato per gestire i chip Wi-Fi Realtek. La vulnerabilità causa un overflow del buffer nel kernel Linux quando una macchina con un chip Wi-Fi Realtek si trova nel raggio di azione di un dispositivo “malevolo”.

E’ stato verificato che come minimo, gli exploit possono causare un arresto anomalo del sistema operativo e possono consentire a un hacker di ottenere il controllo completo del computer connessi. Il difetto risale alla versione 3.10.1 del kernel Linux rilasciato nel 2013.

Purtroppo sappiamo bene che ci sono molti dispositivi che non vengono aggiornati, per cui potremmo avere nei nostri uffici o nelle nostre case dispositivi con questo bug.

‘Il problema è serio’, ha detto ad Ars Nico Waisman, un ingegnere capo della sicurezza presso Github. ‘È una vulnerabilità che, nei sistemi che utilizzano il driver Realtek (RTLWIFI), attiva un overflow in remoto tramite Wi-Fi sul kernel Linux.

La vulnerabilità è stata denominata CVE-2019-17666. Gli sviluppatori hanno proposto una correzione intorno alla metà del mese di Ottobre 2019, che probabilmente verrà incorporata nel kernel del sistema operativo nei prossimi giorni o settimane. Solo dopo ciò la correzione si farà strada in varie distribuzioni Linux.

 

di Paolo Montali

Il GDPR è stata una norma, per molti aspetti, molto mal compresa che ha destato una significativa ed ingiustificata paura e incomprensione fra titolari e responsabili del trattamento nonché fra gli stessi consulenti ed operatori del diritto.

Si è assistito, infatti, a prassi poco virtuose – per usare un eufemismo – fra cui spiccano consulenze difensive finalizzate a creare inutili e vuoti scudi di carta e inutile formazione, nonché terrorismo psicologico operato al solo fine di lucrare sulla paura innestata da questa nuova norma. Molti hanno anche sospeso trattamenti pienamente legittimi per paura di improbabili sanzioni.

Questa paura è frutto, principalmente, di una cattiva interpretazione e, soprattutto, del temutissimo art. 83 GDPR il quale stabilisce che le sanzioni derivanti da una violazione della normativa possono raggiungere cifre molto significative che possono ammontare fino a 20 Milioni di Euro oppure al 4% del fatturato mondiale annuo.

Molti hanno interpretato la disposizione nel senso che anche la PMI con un fatturato annuo di qualche milione di Euro che si limita a trattare i dati dei propri dipendenti su scala non elevata potrebbe essere sanzionata per milioni e milioni di Euro in caso di violazione del GDPR e pertanto: “Guai a voi che non vi adeguate!”.

Giusto?” In realtà non può esserci un’interpretazione peggiore della disposizione in esame e, è doveroso precisarlo, una veloce lettura delle Guidelines on Fines dell’EPBD (ai tempi Working Party 29) e una comprensione sommaria del case based aproach alla base dell’applicazione della sanzione avrebbe dovuto condurre chiunque a giungere a differenti conclusioni.

Come si evince da una lettura, sempre superficiale dei considerando al GDPR, emerge come la norma sia espressione di un basilare principio di civiltà e sia nata per garantire la circolazione del dato personale nel rispetto dei diritti fondamentali della persona fisica in una società sempre più tecnologica che si basa sempre di più su uno scambio di dati personali contro servizi.

Tenuto conto di queste coordinate interpretative è autoevidente come non sia la sanzione pecuniaria il principale pericolo che corrono titolari e responsabili di trattamento posto che il GDPR, evidentemente, non è nato per punire imprenditori ed operatori economici che trattano dati personali.

Del resto, è evidente come sia facile per grandi realtà e per operatori OTT accantonare fondi e risorse per fare fronte ad eventuali sanzioni oppure rincarare il prezzo di alcuni dei loro beni o servizi senza subire un grande danno.

Se, da un lato, l’art. 83 GDPR è sopravvalutato; dall’altro, si parla troppo poco dell’art. 58 GDPR e dei poteri conformativi e inibitori di cui sono dotate le Autorità Garanti che possono anche imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

Una sanzione di questo tipo, al contrario di una sanzione pecuniaria, ha un effetto letteralmente paralizzante sul business e può determinare un vero e proprio fallimento di società e startup che si basano su un trattamento illecito dei dati personali.

Si pensi, ad esempio, ad un’applicazione che raccoglie online dati di natura medica senza chiedere il consenso per il trattamento di dati idonei a rivelare la salute dell’interessato e senza informare adeguatamente gli interessati (magari addirittura omettendo un’informativa in lingua italiana) e senza valutare in alcun modo i rischi per i soggetti coinvolti nel trattamento.

Inutile dire come nessuna sanzione economica potrebbe essere adeguatamente punitiva e come solo un divieto di trattamento, con conseguente chiusura del business, potrebbe tutelare adeguatamente gli interessati. Ugualmente, un eventuale ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale può avere conseguenze disastrose per un’organizzazione aziendale.

Si pensi, in secondo luogo a un grosso gruppo che perde il controllo dei dati dei propri clienti rischia di perdere la fiducia di questi e di vedere pregiudicata la sua immagine e reputazione se i clienti arrivano a percepire che le loro informazioni personali non sono adeguatamente protette.

Un pregiudizio reputazionale e una perdita di clientela, sicuramente, rappresenta un pregiudizio per il business più significativo di una qualunque sanzione pecuniaria.

 

 

di Giacomo Conti

Forse non tutti sanno che vi è un fenomeno crescente di creazione di pagine malevole che sfruttano il Single Sign-On (SSO) per rubare le credenziali degli utenti.
Questa forma di attacco di phishing è cresciuta con la popolarità e la semplificazione del processo di login tra i siti Web che utilizzano il Single Sign-On, sempre più ampiamente utilizzati.

Ma che cos’è il Single Sign-On?
Il Single Sign-On (SSO) è appunto un sistema per semplificare il processo di login, consentendo agli utenti di utilizzare un’unica credenziale per accedere a più applicazioni.
Il SSO non richiede all’utente di ricordare più credenziali di account diversi (ognuna per accedere ad ogni applicazione). Questo sistema consente di eliminare la necessità di introdurre userid e password per ogni applicazione durante una sessione, migliorando la user experience.
IL sistema SSO viene realizzato autenticando l’utente rispetto ad una Directory, un DB che lega lo User e le sue authority relativamente alle applicazioni a cui può accedere. Questo tipo di repository viene definito Lightweight Directory Access Protocol (più brevemente LDAP).
Google, Facebook e Twitter sono tra le applicazioni popolari che offrono sistemi SSO agli utenti.
Il sistema di SSO può anche essere esteso a servizi di terze parti. Ad esempio, molte applicazioni consentono agli utenti di accedere al proprio account utilizzando l’autenticazione di Google o Facebook.

Ma come può essere utilizzato in modo fraudolento il sistema SSO?
La disponibilità di SSO è in costante aumento tra le applicazioni, il che ha portato molti hacker a tentare di sfruttarne le potenzialità. In pratica sono state realizzate delle pagine dannose che fingono di essere le pagine di accesso di applicazioni come Dropbox o la stessa Google, Facebook o altro sito / social.
Quando gli utenti immettono le proprie credenziali, i dati vengono raccolti dalla pagina malevole anziché essere utilizzati nell’applicazione desiderata.
Prima dell’avvento del sistema di SSO, gli hacker dovevano creare una pagina separata per ogni servizio del quale volevano rubare le credenziali. Invece con il SSO possono creare un’unica pagina di phishing.

Cosa si può fare per essere più al sicuro?
Per il momento il modo migliore per proteggersi dagli attacchi di phishing SSO è di abilitare l’autenticazione a due fattori. Questo tipo di autenticazione secondaria, rende più difficile agli hacker, l’accesso al vostro account. Questo oggi sembra essere il sistema migliore che però non è comunque sicuro al 100% e a seconda di come viene implementato può essere più o meno sicuri. Tra i tanti sistemi di dual factor authentication vi sono soluzioni che utilizzano il canale SMS per ricevere i codici di validazione. Questo tipo di soluzione sconsigliare, poiché non è sicuro come altri metodi.

di Paolo Montali

Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Fondare un trattamento sul consenso fa, inoltre, sorgere l’obbligo in capo al titolare di mettere l’interessato nelle condizioni di poterlo liberamente revocare in ogni momento.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

 

di Giacomo Conti

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

 

di Nadia Zabbeo

 

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra

Per gestire a norma di Legge un servizio di e-commerce è necessario essere trasparenti verso i consumatori ed evitare comportamenti che possono realizzare pratiche commerciali scorrette, ossia idonee a indurre il consumatore “medio” ad operare scelte che commerciali e di consumo che, laddove l’informazione fosse stata completa e trasparente, non avrebbe preso.

I professionisti sono tenuti a mantenere standard di diligenza particolarmente elevati, tali da consentire al consumatore di determinarsi consapevolmente e liberamente in un mercato concorrenziale.

L’omessa indicazione nel prezzo pubblicizzato all’inizio del contatto, di tutti gli oneri non evitabili che sono successivamente addebitati al consumatore è sicuramente una pratica commerciale scorretta.

Ugualmente, integrano pratiche commerciali scorrette l’aver fornito ai consumatori informazioni non veritiere sui tempi di consegna dei prodotti offerti, l’aver consegnato prodotti diversi da quelli ordinati, ovvero giunti a destinazione oltre i tempi pattuiti, l’aver opposto ostacoli all’esercizio di diritti contrattuali da parte dei consumatori come la difficoltà di contattare i fornitori del servizio o la mancata sostituzione del prodotto diverso da quello ordinato, l’avere invitato all’acquisto di prodotti a un determinato prezzo senza rivelare l’esistenza di prevedibili ragioni che avrebbero impedito la consegna degli stessi a quel prezzo.

Ugualmente, la semplice indicazione “composizione tipo”, se non indicata in tutti i suoi elementi e in più accostata ad una illustrazione fotografica che raffigura una composizione completa può essere considerata una pratica commerciale scorrettezza.

Se al consumatore non vengono fornite informazioni puntuali, precise e concrete il consumatore può essere indotto a credere che la composizione tipo si riferisca all’immagine in foto ed essere, conseguentemente, indotto ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso.

Integra pratica commerciale scorretta, quindi, anche il non essere in grado di fare fronte a tutte le richieste di acquisto da parte dei consumatori.

Per contro, la scelta del metodo di adesione del consumatore all’offerta mediante meccanismo opt out anziché opt in, dato che la prassi non incide in misura apprezzabile sul comportamento economico del consumatore, non è, invece, una pratica scorretta in quanto non incide sulla possibilità del consumatore di autodeterminarsi.

Nell’ottica di tentare di massimizzare i profitti è facile incorrere, anche inconsapevolmente, in comportamenti scorretti che comportano significative conseguenze per l’operatore economico che le ha realizzate.

di Giacomo Conti

La Cassazione ha, in una recente pronuncia, ritenuto che integra il reato di sostituzione di persona (494 Cod. Pen.) la condotta di colui che crei ed utilizzi un account ed una casella di posta elettrica o si iscriva ad un sito e-commerce servendosi dei dati anagrafici di un diverso soggetto.

Nel caso affrontato, il soggetto sostituito era inconsapevole del fatto che il reato era stato commesso ai suoi danni per fare ricadere le conseguenze derivanti dall’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete o altri strumenti contrattuali.

Questa pronuncia, senza essere particolarmente innovativa, rispecchia un consolidato orientamento della Suprema Corte secondo il quale la partecipazione di un soggetto ad aste on-line con l’uso di uno pseudonimo attribuendosi falsamente le generalità di un diverso soggetto integra il reato di sostituzione di persona.

Peraltro, la creazione e l’utilizzo di account falso e la conseguente realizzazione del reato può comportare, nei casi più gravi, anche lo sfruttamento abusivo dell’immagine reale e delle sembianze di un terzo soggetto.

Sotto il profilo soggettivo, infine, il dolo specifico del reato di sostituzione di persona viene integrato quando vi è coscienza e volontà di sostituirsi a un terzo con l’ulteriore scopo di arrecare a questi un danno o di assicurarsi un vantaggio anche non necessariamente economico.

 

di Giacomo Conti