, , , , , , , ,

Disaster recovery & business continuity

di Jacopo Sabbadini

 

Solo negli ultimi due mesi vi sono stati diversi attacchi alle aziende italiane. SIAE, Regione Lazio, San Carlo, solo per citarne alcuni.

Recente è lo studio di Trend Micro che dimostra come l’Italia sia, ad oggi, il terzo paese più colpito da malware, al mondo, secondo solo a Stati Uniti e Giappone.

 

Per queste ragioni diventa imperativo adoperarsi, non importa quanto grande sia la propria azienda, per avere delle efficaci politiche di disaster recovery e business continuity.

Partiamo da una rapida definzione:

  • Per disaster recovery si intende la possibilità di riprendersi in maniera efficace da un evento atto a distruggere o compromettere gravemente la propria infrastruttura.
  • Per business continuity si intendono quella serie di procedure atte a mantenere attiva la propria infrastruttura durante un evento atto a compromettere l’infrastruttura.

Pietra angolare di ogni procedura di disaster recovery è una corretta politica di backup; questa deve essere pensata per essere automatica e sicura, in modo tale da evitare da un lato la perdita potenziale di dati, dall’altro il backup della minaccia stessa.
Per questa ragione si consiglia sempre di eseguire backup asincroni, in ridondanza su più unità, e solo dei file effettivamente importanti, mai dell’intero sistema; questo proprio per evitare di portarsi dietro, con il backup, anche un potenziale malware, rendendo quindi inutile la procedura stessa.

In aggiunta, i sistemi su cui vengono eseguiti i backup dovrebbero trovarsi su una rete particolare, non raggiungibile dalle altre, se non nel momento della copia dei dati o, in alternativa, completamente scollegati dalla rete.

Per quanto riguarda le procedure di business continuity  invece, il concetto principale è la ridondanza. Vanno previsti più sistemi, ridondanti tra di loro, in modo tale che se uno di questi sistemi dovesse trovarsi sotto attacco, esso possa essere velocemente scollegato e rimpiazzato da un altro; in questo modo si può garantire la continuità dei servizi, anche durante un incidente.

 

Essenziale è anche testare le sopracitate procedure. Un po’ come per le procedure antincendio, se le procedure di backup, disaster recovery e business continuity non vengono mai testate, non importa quanto queste possano essere sicure ed efficaci sulla carta, non può esserci garanzia di reale efficacia e funzionalità.
Una buona prassi è quella di simulare quindi, periodicamente, questi scenari, in modo tale che tutti i membri dell’azienda, grande o piccola che essa sia, siano a conoscenza dei propri ruoli, e possano agire in maniera efficace quando sarà necessario.

/da
, , , , , , , , ,

GDPR for dummies. Il modello organizzativo minimo per una PMI – Paperless compliance for free… almost.

Nonostante la protezione del dato e la cultura della sicurezza delle informazioni abbiano compiuto dei significativi passi in avanti negli ultimi anni, ancora oggi, molte piccole-medie imprese trovano difficoltà nell’implementare modelli di gestione della privacy anche basilari.

Molti continuano, ingiustamente, ad avere paura delle sanzioni previste dal Regolamento Europeo con l’effetto di produrre inutile carta senza aumentare il livello di consapevolezza, accountability e sicurezza. Da qui si producono inutili consensi controfirmati, lettere di incarico senza formare le risorse e burocratizzazione inutile di processi che potrebbero essere lineari, semplici e paperless.

Non penso sia un caso, dunque, che la protezione del dato continui erroneamente ad essere abbinata a burocrazia inutile quando essa potrebbe essere agevolmente gestita con pochi essenziali adempimenti.

Non me ne voglia chi ci ha prosperato con la paura delle salatissime multe e prodotto carta inutile; ma molte volte, per raggiungere un grado sufficiente di compliance, è sufficiente dotarsi di pochi piccoli accorgimenti ed effettuare pochi piccoli investimenti mirati, principalmente in misure di sicurezza e formazione delle risorse umane.

Sperando di ripetere l’ovvio, ribadisco che la “paperless compliance for free… almost” non può trovare applicazione, ad esempio, per realtà molto particolari che effettuano trattamenti ad alto rischio, anche se poco strutturate così come per realtà che trattano dati su larga scala o presentano rischi maggiori rispetto alla media.

Per affrontare il discorso relativo alla paperless compliance, è necessario tenere presente che il GDPR va letto partendo dall’articolo 1 per poi scorrere verso gli articoli finali abbinando, se possibile, la lettura dei considerando alla norma.

È oramai opinione consolidata fra gli esperti che il GDPR chiede di affrontare con un approccio organico tutti i processi aziendali dove vengono coinvolti dati personali.

Ogni processo deve, dunque, essere originariamente configurato per garantire il rispetto principi generali previsti dall’art. 5: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione (o accountability per gli anglofili).  Non ci dilungheremo in questa sede su questi principi, limitandoci a citarli.

In secondo luogo, bisogna vedere se ricorre una o più delle basi di legittimità previste dal susseguente art. 6, fra cui è presente anche il consenso dell’interessato che però, è bene richiedere solo ove strettamente necessario (v. https://avvgiacomoconti.com/un-consenso-per-uno-e-uno-per-tutti-una-corretta-applicazione-del-principio-di-irresponsabilizzazione/ ).

Se l’organizzazione sa perché tratta il dato e partendo da quali basi, ad esempio un contratto o una norma di legge o un legittimo interesse, potrà approfondire la conformità del processo al GDPR, ma potrà con una certa ragionevolezza essere sicura che il processo è, in linea di massima, lecito.

Sorvolando sugli articoli seguenti ci troviamo all’art. 24 che menziona espressamente i rischi per i diritti e per le libertà degli interessati che sono indicati per sommi capi nel testo dell’articolo. La norma, senza richiedere nulla di trascendentale chiede semplicemente di tenere conto dei trattamenti che vengono operati all’interno dell’organizzazione e di adottare misure organizzative e di sicurezza adeguate e parametrate al rischio.

Senza pretesa di esaustività, basti pensare al fatto che il trattamento di dati personali apre una finestra sulla vita dell’interessato e a seconda del “peso specifico” del dato personale sarò in grado di conoscere certi aspetti della vita di una persona che sarà, conseguentemente, vulnerabile. Per questa ragione il GDPR distingue i dati in comuni (che permettono di identificare o prendere contatto con l’interessato) e particolari (che invece rilevano aspetti particolarmente delicati della vita privata altrui).  È bene abbinare la lettura dell’art. 24 agli artt. 9 e 10 del GDPR per meglio comprendere il concetto di “rischi per i diritti e per le libertà”.

Semplificando al massimo questo processo che è piuttosto complesso, è essenziale che ogni organizzazione sappia almeno in linea di massima quali dati tratta, per quale motivo e che effetto una violazione alla loro riservatezza, integrità e disponibilità può avere sulla vita personale del lavoratore, del cliente del fornitore e degli altri soggetti coinvolti nel trattamento.

Veniamo ora all’art. 29 che richiede di adottare misure organizzative adeguate. In questa sede ci limiteremo ad indicare le misure che ogni impresa dovrebbe adottare fra le quali, l’individuazione del designato/privacy officer che è un soggetto interno incaricato della gestione delle procedure di trattamento dei dati e per rispettare il GDPR, come garantire le richieste degli interessati o comunicare con l’autorità garante.

Questa figura dovrebbe essere interessata alla materia, adeguatamente formata e responsabilizzata per assicurare un adeguato livello di compliance interno all’organizzazione. L’attività di designazione del referente privacy è un processo a costo zero. Altrettanto gratuita potrebbe essere la creazione dell’organigramma aziendale dove vengono mappati funzioni e compiti dei soggetti designati dall’organizzazione.

Se si vuole che la designazione sia efficiente, tuttavia, sarebbe bene stanziare una somma – anche modesta – per la formazione dei referenti affinché questi siano in grado di mappare e gestire le procedure di cui sono incaricati e responsabilizzare anche gli altri soggetti autorizzati al trattamento.

Veniamo a questo punto ai registri disciplinati dall’art.30: questi altro non sono che un processo di mappatura dei trattamenti che l’azienda opera. Pertanto, i registri dovrebbero configurarsi più che come un documento, come una procedura da monitorare e tenere aggiornata con l’evolversi dei processi aziendali. Pertanto, essi possono essere tenuti senza particolari formalità e aggiornati, anche mediante stampa del file anche in PDF, all’occorrenza.

Più che la forma, è importante che questi strumenti siano tenuti da un soggetto competente che, verosimilmente, sarà il designato aziendale che conoscerà i processi aziendali ed avrà anche una discreta conoscenza normativa ove adeguatamente formato.

Oltre al registro delle attività di trattamento (art. 30), è opportuno che l’organizzazione si munisca anche di un registro della formazione per documentare l’attività svolta e un registro delle violazioni (art. 33) per documentare eventuali data breach e che è uno strumento di ausilio e responsabilizzazione fondamentale per valutare se e quali conseguenze la violazione potrà avere per gli interessati coinvolti.

Seppure i registri non siano richiesti a tutte le organizzazioni, l’adozione di questi è stata fortemente incoraggiata sia dalla nostra Autorità Garante che dal Comitato Europeo per la protezione dei dati personali, ma anche da autorità straniere.

Veniamo ora ai processi relativi alla sicurezza dei dati che possono avere natura fisica o logica.

La sicurezza fisica si articola in misure piuttosto banali come, ad esempio, l’apposizione di porte blindate agli ingressi, inferriate alle finestre, la presenza di estintori.

Apparentemente più complesso è il profilo della sicurezza informatica, ma anche qui, vedremo soluzioni a basso costo o gratuite che possono aiutare enormemente l’organizzazione ad aumentare il proprio livello di sicurezza.

Il primo problema comune a tutte le organizzazioni è la gestione delle Password. Avere password in giro non protette è come lasciare le chiavi della porta vicino allo zerbino di casa.

Rinviando all’apprezzabile vademecum elaborato dal Garante (v. https://www.garanteprivacy.it/temi/cybersecurity/password) è consigliabile adottare gestionali gratuiti come KeePass ( v. https://keepass.info/ ) che salvano i dati in locale criptati eliminando il rischio del cloud e attraverso la master password e i plugin consentono un’agile gestione delle password eliminando fogliettini, il rischio di perderle e altri rischi. Il dipendente dovrà ricordarsi solo la Master Password di accesso al servizio KeePass per accedere in sicurezza a tutte le proprie credenziali.

Altro problema che ogni organizzazione affronta è il backup e, per le organizzazioni più semplici, può bastare anche un piccolo investimento in un NAS o in un economico servizio di backup online scegliendo quello più adatto alle proprie esigenze. Senza dilungarci sulla gestione della backup policy in questa sede, si segnala Duplicati (v. https://www.duplicati.com/ ): una soluzione che rende più efficiente il processo di backup e aiuta a gestire il rischio di perdita dei dati trattati. Questo sistema, di default cripta i dati in formato criptato e permette di gestire la recovery dei dati in maniera intuitiva e semplice. Il gestionale è anche flessibile e permette all’utente di configurare i tempi, modi e livelli di sicurezza del backup.

Potrebbe essere auspicabile anche prevedere un programma formativo con oggetto la cybersecuirty awareness per sensibilizzare i dipendenti alle minacce informatiche. Per iniziare il percorso di sensibilizzazione si può iniziare con il fruire di risorse gratuite e accessibili online.

I problemi della sicurezza informatica, ça va sans dire, non si esauriscono a quelli indicati ed è auspicabile che buona parte delle organizzazioni si accerti, fra le altre cose, di:

  1. Installare solamente programmi originali da autori verificati e sempre aggiornati all’ultima versione
  2. Investire in un solido antivirus che implementi almeno un firewall logico e sistemi di rimozione di malware
  3. Differenziare la rete ad uso interna da quella data ad uso degli ospiti adottando processi di segmentazione

I più scrupolosi vorranno, altresì, adottare un firewall perimetrale integrato con un servizio di analisi dei file di log.

Pare, dunque, opportuno stanziare somme, anche modeste, per aumentare il proprio livello di sicurezza informatica in azienda investendo sulle risorse umane e sulle misure di protezione tecniche.

Un’azienda con un elevato grado di compliance al GDPR, dunque, saprà valutare in autonomia gli investimenti, a livello tecnico e sulle risorse umane, che dovrà operare e saprà gestirsi autonomamente evitando di spendere soldi in consulenze inutili e carte e agire in autonomia per rispettare la norma, nelle migliori ipotesi, con un costo tendente allo zero o con un investimento più che contenuto.

Il GDPR non richiede, dunque, di produrre carte, ma di implementare dei processi efficienti per una corretta gestione del dato e, per essere applicato efficacemente, richiede cultura, formazione e sensibilizzazione.

/da
, , , , , ,

LA PERGOTENDA NELLA GIURISPRUDENZA AMMINISTRATIVA FRA TESTO UNICO EDILIZIA E CODICE DEI BENI CULTURALI

Recentemente, si è assistito a un proliferare di installazioni di pergotende che sono sempre più comuni in centri tanto urbani quanto rurali.

Seppure manchi una disciplina normativa specifica per la pergotenda, la giurisprudenza ne ha individuato le caratteristiche essenziali sotto il profilo strutturale, funzionale ed estetico, tracciando un regime particolare sotto il profilo della disciplina edilizio-urbanistica.

Per giurisprudenza costante, la pergotenda consiste in una struttura leggera, diretta precipuamente a soddisfare esigenze che risultano funzionali ad una migliore vivibilità degli spazi esterni di un’unità già esistente come terrazzi oppure giardini. La pergotenda non deve, però necessariamente soddisfare esigenze temporanee e transitorie, ma può essere installata per realizzare una protezione dal sole e dagli agenti atmosferici anche in via permanente[1].

Parte della giurisprudenza, pertanto, ricomprende la pergotenda nell’ambito delle attività di edilizia libera per caratteristiche morfologiche, strutturali ed uso, con la conseguenza che la struttura è, quindi, da includersi nell’edilizia c.d. libera di cui all’art. 6 del D.P.R. n. 380/2001[2].

Solo al ricorrere di tali caratteristiche, in linea generale, pergotenda può ritenersi riconducibile agli interventi manutentivi liberi ai sensi dell’art. 6, comma 1, del D.P.R. n. 380 del 2001senza la necessità di acquisire il permesso di costruire, potendo essere ricondotta all’attività di edilizia libera. La pergotenda, infatti, è funzionale alla migliore fruizione temporanea dello spazio esterno all’unità a cui accede[3].

Per qualificare una struttura come pergotenda è dunque necessario soddisfare requisiti:

  1. strutturali, posto che l’opera prevalente deve essere la tenda e non la struttura della stessa,
  2. funzionali, nel senso che la tenda è funzionale a garantire la protezione da sole ed agenti atmosferici,
  3. ed anche estetici, considerando che la struttura incide anche sulla facciata di edifici, ove inserita in un contesto urbano, o sul paesaggio, ove si trovi in un cotnesto rurale.

Solo laddove vengano soddisfatti cumulativamente tutti questi requisiti, la struttura può essere qualificata come pergotenda e, per l’effetto, rientrare nelle opere sottoposte all’edilizia libera.

È possibile, infatti, individuare pergotende realizzate tanto in regime di edilizia libera quanto sottoposte alla necessità di acquisire un titolo edilizio abilitativo.

In questo senso, il Consiglio di stato ritiene che per configurare la cosiddetta “pergotenda”, non necessitante di titolo abilitativo, occorre che l’opera principale sia costituita non dalla struttura in sé, ma dalla tenda, quale elemento di protezione dal sole o dagli agenti atmosferici. Solo in questa ipotesi la struttura deve qualificarsi in termini di mero elemento accessorio, necessario al sostegno e all’estensione della tenda[4].

In queste particolari ipotesi, a prescindere dalla natura della pergotenda che potrebbe anche essere di edilizia libera, la struttura può comunque essere soggetta a ordine di demolizione. La pergotenda, a prescindere dalla sua natura e pure se ricompresa nell’ambito delle attività di edilizia libera ha, infatti, un significativo impatto paesaggistico che – come tale – richiede un’altra approfondita e diversa valutazione di tipo tecnico.

Ne consegue che risulta essere legittima l’ordinanza di demolizione basata sul presupposto dell’assenza del titolo paesaggistico ai sensi del D.Lgs. n. 42 del 2004 che riguarda una pergotenda che, in ragione delle sue dimensioni, è idonea ad alterare l’aspetto dell’edificio. In queste ipotesi, infatti, la struttura ha un impatto sull’estetica e sulla “fotografia” del paesaggio a prescindere infatti dalla sua natura precaria e amovibile.

Laddove il dato estetico e l’alterazione prodotta sia preponderante, risulta irrilevante per l’applicazione delle disposizioni dell’indicato Codice dei beni culturali e del paesaggio, il fatto che la pergotenda sia un’opera di edilizia libera non soggetta a permesso di costruire[5].

 

Per maggiori approfondimenti sul tema v. “Pergotenda: caratteristiche e disciplina edilizio-urbanistica” di Giacomo Conti e Massimo Cartone in Il Sole 24 ore – Consulente Immobiliare – numero 1115 del 15 giugno 2021

[1] Cons. Stato Sez. VI, 29/11/2019, n. 8190 L.D. S.r.l. e altri c. Roma Capitale.

[2] Sempre sopra cit Cons. St. 8190/2019.

[3] Cons. Stato Sez. VI, 12/03/2020, n. 1783 L.R.G. s.r.l. c. Roma Capitale e altri.

[4] Cons. Stato Sez. IV, 01/07/2019, n. 4472 Società O.E. s.r.l. c. Comune di Minerbio

[5] Cons. Stato Sez. VI, 12/10/2017, n. 4736 a conferma di T.A.R. Campania Napoli, Sez. VII n. 528/2017.

/da
, , , , , , , , , , ,

“Quanto apparteniamo alla rete?”

con l’Avv. Andrea Lisi, l’Avv. Giacomo Conti e il Dott. Alessandro Bottonelli

Lo ho-BIT ‖ Ep.16

Sospesi tra due realtà: il web non è più “altro” rispetto alla nostra realtà fisica. Al suo interno coesistono nuovi spazi “essenziali” per la società, quali servizi, piattaforme, app e strumenti di lavoro a distanza.

L’evoluzione tecnologica non riguarda più solo i modelli di business: l’enorme potere dei grandi player influenza anche le dinamiche individuali e il quadro dei rapporti sociali.

L’Avv. Andrea Lisi affronterà con l’Avv. Giacomo Conti, specializzato in nuove tecnologie e web reputation, e Alessandro Bottonelli, CEO & Lead Advisor di AxisNet, l’importanza di conoscere i meccanismi e imparare a utilizzare in modo consapevole il web “partecipativo”, anche per evitare di divenire a nostra volta oggetto di “utilizzo” da parte delle stesse piattaforme o di chi le gestisce.

 

Link al contenuto video: 🟣 Quanto apparteniamo alla rete? 🟣 Lo ho-BIT – Andrea Lisi – MRTV – YouTube

/da
, , , , , , , ,

LA RESPONSABILITA’ DELL’AGENTE IMMOBILIARE PER LA PRESENZA DI ABUSI EDILIZI

di Giacomo Conti

 

La funzione principale del mediatore immobiliare[1] è quella di mettere in relazione il venditore di un immobile con il compratore e di aiutare le parti nel determinare elementi essenziali del contratto come, ad esempio, il prezzo di vendita ed accessori, come il termine per la liberazione dell’immobile. Questo specifico obbligo è regolato dall’art. 1754 del Codice Civile.

Oltre ad avere funzioni operative, il mediatore, come ogni altro professionista, ha obblighi di informazione specifici nei confronti dei propri clienti: l’art. 1759 del Codice Civile obbliga, infatti, l’agente anche a comunicare alle parti le circostanze a lui note relative alla valutazione e alla sicurezza dell’affare, che possono influire sulla conclusione dello stesso.

La giurisprudenza è, a numerose riprese, intervenuta per definire la portata e l’estensione degli obblighi informativi del mediatore immobiliare valorizzando, di volta in volta, la natura professionale dell’agente immobiliare. Ne consegue che, al giorno d’oggi, il mediatore deve adottare un maggior grado di diligenza rispetto al buon padre di famiglia e deve operarsi attivamente per individuare anche eventuali abusi edilizi che potrebbero essere ostativi alla commerciabilità dell’immobile.

In questo senso, si è pronunciata la Cassazione civile, sez. II, 16/01/2020, n. 784, la quale ha statuito che: “La condotta del mediatore risponde a criteri di diligenza qualificata in osservanza dei quali egli è tenuto, pur in assenza di uno specifico incarico a svolgere accertamenti di natura tecnico giuridica sull’immobile, a riferire su irregolarità edilizie a lui note o, comunque, conoscibili con la diligenza mediamente richiesta in relazione al tipo di prestazione dovuta”.

Nel caso esaminato dalla Suprema Corte, l’agente immobiliare rivendicava il pagamento della propria provvigione nonostante l’immobile venduto presentasse diversi abusi edilizi. L’agente sosteneva come egli non fosse tenuto, in virtù del contratto di mediazione, ad informare le parti sull’esistenza di eventuali irregolarità urbanistiche alla stipula del definitivo.

La Corte di Cassazione ha affermato il principio secondo cui il mediatore immobiliare non può, per il solo fatto di non avere assunto l’espresso compito di effettuare accertamenti tecnico giuridici sull’immobile, ritenersi esentato dall’obbligo derivante dagli articoli 1176 e 1759 del Codice Civile. Quest’obbligo si articola in un dovere specifico di comunicare alle parti interessate, oltre alle circostanze a lui note, anche quelle conoscibili con la comune diligenza in relazione al tipo di prestazione dovuta[2]. Inoltre, è stata ritenuta irrilevante la circostanza che le parti fossero precedentemente a conoscenza degli abusi.

La Suprema Corte, applicando i principi di buona fede e correttezza contemplati agli artt. 1175 e 1375 c.c., interpreta estensivamente l’art. 1759 c.c. nel senso che il mediatore è tenuto a salvaguardare l’interesse delle parti informandole su ogni fatto rilevante ai fini della conclusione dell’affare che sia noto o, comunque, accessibile ad un professionista di medie capacità.

La portata dell’obbligo informativo riguarda circostanze desumibili dalla portata dell’incarico affidato al mediatore, dal contesto territoriale in cui lo stesso opera la propria attività nonché dalle divergenze tra la descrizione dell’immobile oggetto di vendita e l’effettivo stato dei luoghi[3].

Il mediatore, pur non essendo tenuto, in difetto di un incarico specifico, a svolgere nell’adempimento della sua prestazione particolari indagini di natura tecnico – giuridica, come l’accertamento della libertà da pesi dell’immobile oggetto del trasferimento, ad esempio richiedendo ad esempio visure catastali o ipotecarie allo scopo di individuare fatti rilevanti ai fini della conclusione dell’affare, è pur tuttavia gravato di obblighi informativi specifici verso le parti.

L’agente è, da un lato, gravato dall’obbligo positivo di comunicare le circostanze a lui note o comunque conoscibili con la comune diligenza qualificata e specifica in relazione al tipo di prestazione che gli è richiesta, nonché, in negativo, dal divieto di fornire  informazioni non veritiere o furovianti.

La portata negativa estende l’obbligo anche al divieto di divulgare informazioni su fatti dei quali non abbia consapevolezza e che non abbia controllato poiché il dovere di correttezza e quello di diligenza gli imporrebbero in tal caso di astenersi dal darle piuttosto che dal ricercare attivamente l’informazione che fornisce. Dunque e a maggior ragione, deve ritenersi inadempiente un agente immobiliare che, pur avendo individuato le irregolarità urbanistico-edilizie, abbia proposto alle parti soluzioni non adeguate al solo fine di addivenire alla conclusione dell’affare.

Ne consegue che, qualora il mediatore infranga tali regole di condotta, è legittimamente configurabile una sua responsabilità per tutti i danni sofferti dal cliente a causa del suo inadempimento derivante dalla violazione degli obblighi informativi a prescindere dalla conclusione dell’affare[4]. Questi danni possono concretarsi, ad esempio, in spese legali, riduzione del prezzo dell’immobile e anche nella perdita o restituzione delle caparre.

La responsabilità dell’agente non dovrebbe, però, arrivare a coprire anche il danno relativo alle spese per sanare gli abusi che possono essere imputati esclusivamente al tecnico che ha contribuito a realizzarlo e alla proprietà che ha alienato un immobile viziato, secondo i principi generali di garanzia per vizi del venditore.

La recente pronuncia si inserisce nella scia di un orientamento consolidato nel tempo che ha ampliato le responsabilità degli agenti immobiliari. In questo senso, già secondo la più risalente sentenza 16.7.2010, n. 16623, la mancata informazione del promissario acquirente sull’esistenza di una irregolarità urbanistica non ancora sanata relativa all’immobile oggetto della promessa di vendita, della quale il mediatore stesso doveva e poteva essere edotto legittimava il rifiuto del medesimo promissario di corrispondere la provvigione. Nel caso specifico, infatti, il vizio poteva agevolmente desumibile dal riscontro tra la descrizione dell’immobile contenuta nell’atto di provenienza e lo stato effettivo dei luoghi dopo un sopralluogo.

Ne consegue che l’agente immobiliare ha un obbligo specifico di verificare la conformità dello stato di fatto dell’immobile a quella urbanistico-edilizia servendosi, nel caso, anche di un tecnico qualificato come un geometra o un architetto.

[1] Giova precisare che la figura professionale che nel linguaggio comune è indicato come agente, nel codice civile è definito come mediatore. Il contratto di agenzia ha, infatti, natura e causa differenti. Nella narrativa del testo i termini mediatore e agente possono anche arrivare a sovrapporsi.

[2]V. in senso conforme, cfr. Cass., Sez. II, 21 febbraio 2017 n. 4415; Id., 16 settembre 2015 n. 18140; Id., 8 maggio 2012 n. 6926

[3] V. Cass., Sez. II, 16 luglio 2010 n. 16623.

[4] V. Cass. 16.7.2010, n. 16623.

/da
, , , , , ,

Attacchi informatici ai fornitori e crisi della supply chain. Da una difesa attiva a una logica di difesa zero-trust.

Di Jacopo Sabbadini

Negli ultimi anni abbiamo visto una crescita esponenziale delle minacce alla sicurezza informatica. Questo fenomeno si è acuito nell’ultimo periodo a causa della situazione dovuta alla pandemia mondiale, che ha portata ad un incremento del lavoro da remoto, accelerando di molto un fenomeno già in essere.

A seguito di questo trend molte realtà aziendali hanno cominciato ad implementare svariate soluzioni di sicurezza basate sull’analisi del traffico e dei pacchetti , sulle firme dei programmi , sul comportamento delle utenze.

 

 

Questa “presa di consapevolezza” da parte delle aziende non sembra però aver sortito effetto, praticamente ogni giorno si legge di un nuovo attacco a grandi infrastrutture, spesso strategiche (Colonial Pipeline, AXA, Glovo, solo per citarne alcune) dunque sorge spontanea una domanda: come è possibile che con l’aumento delle misure di protezione, vi sia un conseguente aumento degli attacchi riusciti contro le stesse infrastrutture che implementano questi sistemi?

Per rispondere a questa domanda, bisogna partire da un concetto che pare banale, ma è cardinale in questa analisi: nessun’azienda, nessuna realtà è un’isola. Maggiore è l’azienda, maggiore è il suo giro di affari, maggiore è la galassia di fornitori di beni e servizi che orbitano intorno all’azienda stessa.

Se l’azienda di riferimento è in grado di utilizzare un determinato budget per l’implementazione e il controllo delle misure di sicurezza informatica, è quasi matematico che almeno una parte dei suoi fornitori non abbiano accesso a simili risorse; e quindi, i fornitori stessi diventano il principale obiettivo di un attacco, non tanto per i dati che possono possedere, ma per gli accessi che si possono recuperare.

Un esempio emblematico su tutti è quanto successo con VMWare; la società si occupa di virtualizzazione, ed è leader di mercato per quanto riguarda il deploy di macchine virtuali su server di produzione, ricerca e sviluppo. Quanto accaduto è stato che, ad un certo punto, durante un controllo, il team di sicurezza di VMWare si è reso conto che vi era una API con all’interno del codice mai scritto da loro, che permetteva un accesso non autenticato ma con alti privilegi dall’esterno, e l’esecuzione di codice da remoto; in buona sostanza, era un rootkit inserito non si sa da chi o quando, con molta probabilità aggiunto a seguito di una violazione dei sistemi di un proprio fornitore, che non ne era neanche a conoscenza. Quello che però si sa di per certo sono state le conseguenze: l’attacco a SolarWinds che ha messo in ginocchio moltissime aziende che utilizzano i loro software; tutto è partito da un attacco ai fornitori di VMWare, ed si è arrivati alla crisi della gestione di Orion ed Exchange.

Come fare quindi in una realtà in cui chiunque può essere un bersaglio, e magari anche un veicolo inconsapevole di attacchi mirati?
È da ripensare completamente l’idea di cybersecurity e sicurezza in generale.

Ad oggi si utilizzano dei sistemi con una vulnerabilità lampante: un antivirus, per quanto complesso e “intelligente” si basa su delle firme, su qualcosa di già noto, oltre che su un costante aggiornamento delle proprie componenti di rilevazione.

Una simile soluzione è inadeguata a proteggere contro le odierne minacce, che spesso si declinano in zero days e potenziali attacchi che arrivano da utenti “fidati” all’interno del sistema.

Bisogna passare da una logica di controllo attivo, come quella degli antivirus, firewall e via discorrendo, ad una logica di zero-trust per la quale indifferentemente dal fatto che l’utente sia autenticato, che il processo sia considerato sicuro o in ogni caso non facente riferimento ad alcun database di malware, qualsiasi azione considerata potenzialmente pericoloso viene immediatamente interrotta e segnalata.

Vista l’evoluzione delle tecniche di attacco, la ampia superficie d’attacco disponibile, le classiche soluzioni hanno fatto il loro tempo.

 

 

[1] Application Program Interface, è un sistema di interrogazione di un’applicazione utilizzato per automatizzare dei processi in programmazione.

[1] Malware che permette l’accesso a un sistema, l’esecuzione di comandi e/o programmi, spesso con alti livelli di privilegio.

[1] Malware sconosciuti, di cui non esistono firme digitali in nessun database

/da
, , , ,

L’UTILIZZO DI ALGORITMI INFORMATICI PER I PROCESSI DI DECISIONE IN SENO ALLA PA FRA TRASPARENZA, RESPONSABILITA’ E CORRETTA APPLICAZIONE DEL GDPR

di Giacomo Conti

 

Sempre più sovente le pubbliche amministrazioni, al pari degli operatori di diritto privato adottano modelli predittivi automatizzati applicando criteri prestabiliti per raccogliere, selezionare, ordinare processare e strutturare i dati.

Nell’ambito dell’azione delle PA, l’utilizzo di suddetti strumenti è dettato da logiche di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90) che, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale.

L’automatizzazione dei processi minimizza il rischio di errori da un lato e permette di ridurre il costo del personale.

Lungi dall’essere una mera applicazione meccanica di protocolli, questi modelli spesso sono anche in grado di interpretare e formulare giudizi valoriali e arrivano ad incidere sulla sfera personale di persone fisiche e giuridiche che si trovano coinvolte in processi automatizzati. Pertanto, gli algoritmi vengono sfruttati nell’ambito di procedure seriali o standardizzate che richiedono l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale.

In certi contesti sono proprio questi algoritmi, infatti, ad operare le scelte e ad applicare, spesso in autonomia, i criteri selezionati elaborando i dati di riferimento utilizzati.

L’utilizzo di queste tecnologie, tuttavia, pone significativi problemi di trasparenza, anche con riferimento all’applicazione delle norme in materia di protezione dei dati personali, dove il procedimento amministrativo riguarda persone fisiche. Ad esempio, per la selezione di personale attraverso procedure concorsuali.

In materia di ricorso ad algoritmi per l’adozione di provvedimenti amministrativi, anche alla luce della disciplina di origine sovranazionale, assumono rilievo fondamentale due aspetti preminenti, quali elementi di minima garanzia per ogni ipotesi di utilizzo di algoritmi in sede decisoria pubblica: la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati e l’imputabilità della decisione all’organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all’algoritmo. Secondo una corretta applicazione della Legge 241/90 sul procedimento amministrativo e anche del GDPR[1].

Più specificatamente, è necessario, ai fini dell’ammissibilità del ricorso ad algoritmi informatici nel procedimento di formazione della decisione amministrativa, che vi sia la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati e l’imputabilità della decisione all’organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all’algoritmo. Questi rappresentano, infatti, elementi di garanzia minima per garantire la legittimità del procedimento e del provvedimento finale[2].

Al riguardo, giova richiamare anche la Carta della Robotica, approvata nel febbraio del 2017 dal Parlamento Europeo secondo cui  “l’autonomia di un robot può essere definita come la capacità di prendere decisioni e metterle in atto nel mondo esterno, indipendentemente da un controllo o un’influenza esterna; (…) tale autonomia è di natura puramente tecnologica e il suo livello dipende dal grado di complessità con cui è stata progettata l’interazione di un robot con l’ambiente; (…) nell’ipotesi in cui un robot possa prendere decisioni autonome, le norme tradizionali non sono sufficienti per attivare la responsabilità per i danni causati da un robot, in quanto non consentirebbero di determinare qual è il soggetto cui incombe la responsabilità del risarcimento né di esigere da tale soggetto la riparazione dei danni causati».

Una corretta applicazione dei predetti principi implica, dunque, che lo strumento automatizzato possa soltanto essere un ausilio alla PA procedente e non possa essere un mezzo di valutazione autonoma attraverso cui deresponsabilizzare i referenti del procedimento. Il principio di buon andamento implica, dunque, che vi sia comunque un responsabile umano per le decisioni prese dall’algoritmo.

Le implicazioni legali di questi strumenti, tuttavia, vanno oltre la sfera del buon andamento della pubblica amministrazione, ma riguardano anche diritti fondamentali della personalità, fra cui il diritto alla protezione dei dati personali che assume profili di portata sostanziale e di rilievo anche sovranazionale.

Il Regolamento Generale sulla Protezione dei Dati Personali, infatti, non si limita a dettare una disciplina formale attraverso l’informativa e il diritto di accesso, ma pone un espresso limite allo svolgimento di processi decisionali interamente automatizzati. L’articolo 22, paragrafo 1 GDPR riconosce, infatti, alla persona fisica il diritto di non essere sottoposta a decisioni automatizzate prive di un coinvolgimento umano e che, allo stesso tempo, producano effetti giuridici o incidano in modo analogo sull’individuo. Quindi occorre sempre l’individuazione di un centro di imputazione e di responsabilità, che sia in grado di verificare la legittimità e logicità della decisione dettata dall’algoritmo.

Mutatis mutandis, è facile applicare questa disposizione normativa anche con riferimento alle persone giuridiche – espressamente escluse dall’ambito di applicazione del GDPR – almeno nei confronti della pubblica amministrazione. Non si può negare, infatti, a questi enti una posizione di interesse legittimo al buon andamento della pubblica amministrazione e al diritto ad ottenere un riesame della decisione presa dall’algoritmo laddove la stessa risulti pregiudizievole delle posizioni giuridiche di questi.

 

[1] Cons. Stato Sez. VI, 13/12/2019, n. 8472 Ministero dell’Istruzione dell’Università e della Ricerca e altri c. P.C. a conferma di T.A.R. Lazio Roma, Sez. III, n. 9230/2018.

[2] Cons. Stato Sez. VI, 04/02/2020, n. 881 – Ministero dell’Istruzione dell’Università e della Ricerca c. O.B. e altri a conferma T.A.R. Lazio n. 6607 del 2019.

/da
, , , , , , , ,

LA RESPONSABILITÀ PROFESSIONALE DEL TECNICO PER PRATICHE SOTTOPOSTE A C.I.L.A.

di Giacomo Conti e di Massimo Cartone

 

La Comunicazione di Inizio Lavori Asseverata, o C.I.L.A., è una pratica edilizia molto comune che si caratterizza per il fatto di dover essere obbligatoriamente predisposta da un tecnico abilitato. La legge dispone, infatti, che l’interessato debba trasmettere all’amministrazione comunale l’elaborato progettuale e la comunicazione di inizio dei lavori asseverata da un tecnico abilitato.

Sono sottoposte a CILA tutte le attività che non rientrano nell’edilizia libera e disciplinate dall’art. 6 del Testo Unico Edilizia oppure che non sono soggette a permesso di costruire (art. 10 T.U.E.) o, ancora, che non sono sottoposti a S.C.I.A. (art. 22 T.U.E.). Una categoria di interventi minori che rientrano nella cosiddetta manutenzione straordinaria dell’immobile e che lasciano inalterata la struttura dell’edificio e la distribuzione interna della sua superficie. Ad esempio, l’avvenuto accorpamento di due unità immobiliari realizzato mediante l’apertura di una porta (T.A.R. Firenze, (Toscana) sez. III, 13/06/2017, n.824) e la realizzazione di opere che comportano una diversa distribuzione interna dell’attività senza interessamento delle parti strutturali dell’edificio (T.A.R. Salerno, (Campania) sez. II, 06/07/2018, n.1042) sono tutte attività soggette a CILA, purché non comportino mutamenti alla struttura dell’immobile.

A dispetto della grande responsabilità che la Legge sembra accordare al Tecnico, in concreto, la giurisprudenza ha fortemente ridimensionato la responsabilità del Professionista alla luce del fatto che la CILA riguarda, per l’appunto, interventi minori.

La sanzione che è più temuta dalla proprietà e anche dal Professionista è l’ordine di demolizione che colpisce le ipotesi più gravi di abusi edilizi ossia gli interventi eseguiti in assenza di permesso di costruire in totale difformità o con variazioni essenziali, con la conseguenza che il Tecnico può venire chiamato dalla proprietà a risarcire ogni danno derivante dall’applicazione di questa grave sanzione.

La presentazione di una CILA erronea non può, tuttavia, fare sorgere una responsabilità in capo al tecnico per l’irrogazione di un ordine di demolizione.

Ai sensi dell’art. 31 del Testo Unico dell’Edilizia, sono soggetti a demolizione gli interventi eseguiti in totale difformità dal permesso di costruire, quelli che comportano la realizzazione di un organismo edilizio integralmente diverso per caratteristiche tipologiche, planovolumetriche o di utilizzazione da quello oggetto del permesso stesso, ovvero l’esecuzione di volumi edilizi oltre i limiti indicati nel progetto e tali da costituire un organismo edilizio o parte di esso con specifica rilevanza ed autonomamente utilizzabile. Nessuna di queste pratiche può, evidentemente, essere realizzata attraverso la presentazione di una semplice CILA, che riguarda pratiche che lasciano inalterata la struttura dell’edificio e la distribuzione interna della sua superficie.

Sul punto, appare più che consolidata anche la più recente giurisprudenza amministrativa secondo la quale interventi sottoposti a CILA non possono essere colpiti da sanzione reale.

Ad esempio, l’ordine di demolizione non può essere disposto in caso di avvenuto accorpamento di due unità immobiliari realizzato mediante l’apertura di una porta e, quindi, senza opere ulteriori a modifica delle preesistenti unità abitative, non essendo sottoposto all’obbligo del previo rilascio di concessione edilizia, non è sanzionabile con l’ordinanza di demolizione” (T.A.R. Firenze, (Toscana) sez. III, 13/06/2017, n.824).

Ugualmente, secondo T.A.R. Salerno, (Campania) sez. II, 06/07/2018, n.1042: “È illegittimo l’ordine di demolizione di opere edilizie e di ripristino dello stato dei luoghi nel caso di interventi ascrivibili alle fattispecie assoggettate al regime della comunicazione di inizio lavori (c.i.l.a) di cui all’art. 6, comma 2, nonché 6 bis (c.i.l.a.) d.P.R. n. 380/2001, quando si sostanziano nella diversa distribuzione interna dell’attività commerciale senza interessamento delle parti strutturali dell’edificio, trattandosi sostanzialmente di operazioni di manutenzione straordinaria.”

Sempre secondo il TAR di Salerno sopra citato: “Quanto, poi, alla “diversa distribuzione interna all’attività commerciale, eseguita senza titolo autorizzativo”, pure contestata nell’ordinanza gravata, è pacifico che la stessa non possa essere sanzionata con la demolizione, giusta quanto unanimemente rilevato dalla giurisprudenza.

Giova richiamare, inoltre, il TAR Campania – Napoli, Sez. II, 22/08/2017, n. 4098) secondo cui: “La diversa distribuzione degli ambienti interni mediante eliminazione e spostamenti di tramezzature, purché non interessi le parti strutturali dell’edificio, costituisce attività di manutenzione straordinaria soggetta al semplice regime della comunicazione di inizio lavori, originariamente in forza dell’art. 6, comma 2, ed ora dell’art. 6 bis del d. p. r. n. 380/01, che disciplina gli interventi subordinati a c.i.l.a. In tali ipotesi, pertanto, l’omessa comunicazione non può giustificare l’irrogazione della sanzione demolitoria che presuppone il dato formale della realizzazione dell’opera senza il prescritto titolo abilitativo. Quando invece questo stesso intervento interessi parti strutturali del fabbricato, ai sensi dell’art. 22, comma 1, lett. a), del d. p. r. n. 380/2001, la disciplina applicabile è quella della segnalazione certificata di inizio attività, la cui mancanza comporta, parimenti, l’irrogazione della sola sanzione pecuniaria.”

La giurisprudenza appare consolidata, quindi, nell’escludere che il tecnico possa incorrere in responsabilità derivanti dall’esecuzione di un ordine di demolizione per questo di pratiche.

Giova, da ultimo osservare come una CILA non presentata nei termini o in difformità sia pienamente sanabile attraverso una nuova pratica detta CILA in sanatoria, disciplinate dal comma 5 dell’art. 6bis T.U.E

La disposizione in esame stabilisce che: “La mancata comunicazione asseverata dell’inizio dei lavori comporta la sanzione pecuniaria pari a 1.000 euro. Tale sanzione è ridotta di due terzi se la comunicazione è effettuata spontaneamente quando l’intervento è in corso di esecuzione”.

Ne consegue, quindi, che il Tecnico inadempiente potrà, al più rispondere nei confronti della proprietà per l’irrogazione di questa sanzione, ma non per conseguenze derivanti da un eventuale ordine di demolizione che sarebbe sicuramente illegittimo.

 

/da
, , , , , , , , ,

Social Network e privacy. Sigarette e salute.

di Giacomo Conti

Scegliere un certo social network perché rispetta la nostra privacy è come decidere di fumare una certa marca di sigaretta perché è attenta alla nostra salute o, almeno, più delle concorrenti.

Così come il fumo danneggia la nostra salute, i social network presentano rischi per la nostra vita privata e privacy di cui dobbiamo essere consapevoli.

Prima di scandalizzarci per la violazione della nostra privacy da parte delle piattaforme online, basti pensare come anche le nostre banche, ad eccezione dei sempre più rari pagamenti operati con contanti non tracciabili, siano in grado di conoscere a fondo i nostri acquisti e come possano profilarci, ugualmente, con agevolezza mediante ogni pagamento che effettuiamo con carta di credito o bancomat.

Ultimamente, si presta sempre più attenzione a quello che i social network fanno con i nostri dati personali e con le nostre vite. In questo senso, il GDPR che ha contribuito ad affermare una cultura basata sul dato personale e la recente apprensione sul tema è un effetto benefico nel medio termine del GDPR che ha fatto crescere la consapevolezza dell’utente medio nell’utilizzo dei servizi online.

Prima di comprendere appieno il fenomeno e per evitare di creare inutile e dannoso allarmismo è necessario comprendere come i social network operano e traggono i propri profitti. Del resto, è evidente che le grandi piattaforme come Google, Facebook e Clubhouse non sono onlus che operano con la speranza di lasciarci un mondo migliore.

I social network sono dei media e, come quotidiani e reti televisive, vendono spazi pubblicitari da cui traggono i propri profitti. Tuttavia, a differenza dei media tradizionali, i social network riescono a studiare l’utente e a vendere pubblicità mirate attraverso la cosiddetta profilazione. La pubblicità mirata e profilata ha, quindi, indubbiamente un valore maggiore rispetto alla pubblicità ordinaria in quanto raggiunge un target specifico sulla base di un preventivo studio di dati. Inoltre, maggiore è al crescere della base utenti, maggiore è il prezzo che gli inserzionisti pagano alla piattaforma per acquistare gli spazi di réclame virtuali.

Senza trovare definizioni metafisiche, l’art. 4 GDPR definisce profilazione come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica. In particolare, questo processo può venire utilizzato per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di una persona fisica.

Grazie a questa attività i social network non vendono generici spazi commerciali, ma una pubblicità mirata ritagliata sulla base della personalità tracciata dell’utente e dei suoi interessi e sulla base dei dati raccolti nell’ambito della fruizione del servizio. Ad esempio, sulla base dei contenuti visionati, dei like e condivisioni operate o, anche, sulla base del tempo dedicato al singolo contenuto o annuncio.

È, quindi, evidente come il fruire di un social network sia incompatibile con ogni concetto più basilare di privacy: quando accediamo al servizio permettiamo alla piattaforma online di conoscere i nostri gusti e la rendiamo partecipe di ogni aspetto della nostra vita che si articola all’interno del social. Quanto è apparentemente gratuito è pagato con la nostra attenzione, il nostro tempo e attenzione per permettere agli inserzionisti (i cosiddetti utenti commerciali) di inviarci pubblicità mirata studiata sulla base dei nostri interessi.

Al pari del fumo, i social network presentano dei rischi evidenti per la nostra vita, in quanto creano di vera e propria dipendenza da connessione e penetrano le nostre vite distraendoci dalla nostra attività e inducendoci, anche modificando il nostro comportamento, verso determinate scelte di acquisto. È sotto gli occhi di tutti come, grazie alle informazioni che raccolgono su di noi, le piattaforme online plasmano il servizio sulle nostre esigenze tenendoci appiccicati allo schermo il più possibile.

Tuttavia, sarebbe ipocrita negare che questi servizi possono apportare significativi benefici a noi tutti, a differenza del fumo.

È importante, però, capire se siamo disposti a pagarne il prezzo, ossia la nostra riservatezza con il rischio di possibile creazione di dipendenza, a fronte di quello che ci offrono.

Per pensare ai vantaggi, basti pensare ai vantaggi di creare una rete professionale attraverso LinkedIn, alla possibilità di rimanere in contatto con amici con cui avremmo poche possibilità di contatto attraverso Facebook o, ancora, di approfondire passioni e interessi attraverso YouTube che offre un patrimonio di conoscenza prima inimmaginabile anche al più dotto enciclopedico.

I social network in sé, pertanto, non sono un fenomeno da demonizzare, ma al più, da comprendere.

Posto che noi veniamo usati dalle grandi Big Tech a cui cediamo i nostri dati e informazioni che riguardano le nostre vite, è innegabile che riceviamo dei vantaggi dai servizi di cui siamo utenti e prodotti al tempo stesso.

Così come noi veniamo usati dalle piattaforme online, noi dobbiamo essere consapevoli e capire come usare il servizio a nostro vantaggio.

Prima di accedere a un servizio social network dobbiamo capire:

  1. in che modo i social network penetrano e interagiscono con le nostre vite e sfera personale,
  2. se siamo disposti a cedere i nostri dati personali a fronte del servizio che ci viene offerto,
  3. perché noi usiamo i social network e quali vantaggi possiamo trarre dal loro utilizzo se e ne sono,
  4. a quali rischi ci espone il loro utilizzo.

Solo dopo avere compreso questi aspetti saremo utenti consapevoli in grado di trarre tutti i vantaggi possibili dal servizio facendoci usare il meno possibile. In altri termini, dobbiamo trasformarci da prodotti inconsapevoli a prodotti consapevoli.

/da
, , , , , ,

Sulla pignorabilità delle criptovalute e sul conferimento delle stesse a capitale sociale.

di Marino Bianco

 

Le Criptovalute esistono dal 2008, anno in cui Satoshi Nakamoto lanciò il “manifesto” (whitepaper) del Bitcoin, il primo di tutte le Criptovalute. La caratteristica principale delle Criptovalute è la decentrazione, vale a dire non hanno altro governo che quello degli algoritmi di mining e della Blockchain. Sono quindi distaccate da ogni forma d’intervento della politica o di una qualche autorità centrale che rendono impossibile ogni fenomeno inflattivo.

Gli utilizzi delle criptovalute possono esseri vari, ma essenzialmente legati al valore, infatti, se i Bitcoin nei primi anni potevano essere utilizzati per acquistare beni e servizi come la moneta avente valore corrente , man mano il valore è cresciuto ha cominciato a farsi spazio l’uso di questo come strumento per speculazioni finanzarie e riserva di valore.

Ma questa crescita enorme ha avuto un effetto collaterale importante: le criptovalute sono estremamente volatili e possono perdere parte, anche importante, del loro valore nell’arco di brevissimo tempo.

Proprio questa volatilità, insieme alla decentralizzazione e al fatto che difficilmente questa possa raggiungere, almeno a breve, accettazione presso il pubblico rendono impossibile identificare le criptovalute come moneta avente valore corrente (ovvero fiat).

Con la conseguenza che, attualmente, v’è un’identificazione nell’alveo dei beni mobili immateriali alla stregua di strumenti finanziari.

Ed è proprio tale identificazione quella seguita anche dalla giurisprudenza, infatti il TAR del Lazio con la sent. 1077 del 20,01,2020 ha indicato che le criptovalute vadano indicate nel riquadro “RW” al momento della compilazione del 730  riquadro  appunto riservato agli investimenti finanziari. Ma ci sono anche pronunce da organi non giurisdizionali come ad esempio la CONSOB che hanno sottoposto le criptovalute alle regole esistenti per il mercato finanziario[1].

Questo è conseguenza del numero sempre maggiore di persone che investono e, in virtù di ciò, saranno sempre di più le controversie legali nelle quali il Bitcoin e le altre Criptovalute avranno un ruolo, anche in fase esecutiva. A riprova di ciò v’è un caso riguardante la conferibilità delle cripto nel patrimonio sociale.

Di tal caso s’è  occupato il Tribunale di Brescia, con il decreto di rigetto  7556/2018 del 18/07/2018 ad oggetto il conferimento di criptovalute in capitale sociale.

Leggendo il decreto si scoprono i motivi di tale rigetto:
In primis, il Tribunale rileva che oggetto di conferimento è  una criptovaluta presente in un unico mercato che fra l’altro è direttamente ricollegabile agli ideatori della stessa.

Altro motivo sarebbe nella difficoltà pratica del pignoramento, dal momento il livello di sicurezza tecnologia è tale da rendere impossibile l’esecuzione senza la cooperazione dell’esecutato.

Quanto decretato dal Tribunale di Brescia però ha  rilevanza limitabile esclusivamente al caso trattato, dal momento che la maggioranza degli investimenti avveiene su wallets i quali possono agire come veri e propri custodi ( cd. Custodial wallets) e riguarda delle criptovalute con un bacino di utilizzo notevolmente più esteso.

Dal punto di vista procedurare è importante citare l’art 514 cpc riguardante  le “cose mobili assolutamente impignorabili” e in questo le criptovalute non sono rintracciabili né direttamente, né indirettamente. Inoltre l’art 514 non può essere interpretato analogicamente e gli elementi in essi contenuto sono un numerus clausus, quindi non allargabile se non dal legislatore.

L’articolo 474 cpc indica come requisiti del diritto oggetto “liquidità, certezza ed esigibilità” dove per certezza ci si riferisce all’esistenza del diritto e alla sua facile identificazione, per esigibilità s’intende l’essere scevro da ogni condizione o impedimento. Per quanto riguarda ambedue gli attributi, essi possono essere presenti nel caso il diritto oggetto del titolo siano delle criptovalute dal momento che queste possono essere, nella maggior parte dei casi, liberamente convertite in euro in ogni momento.

Il requisito della liquidità, invece, afferisce alle esecuzioni con oggetto somme di danaro e richiede che queste siano individuabili “immediatamente o tramite semplice calcoli aritmetici” ed è qui che per le criptovalute possono sorgere dei problemi.

Questi possono derivare dal fatto che le criptovalute, al momento, non sono danaro e non possono esservi assimilate poiché, ai sensi dell’articolo 1277 codice civile, le obbligazioni in denaro vanno estinte mediante la moneta avente valore corrente.

Per quanto si possa escludere che la “liquidità” sussista per le criptovalute, non c’è risultato al di fuori dell’esclusione di queste dal novero delle “obbligazioni avente oggetto una somma di denaro denaro”. Per tutto il resto invece, sussistono.

Nel caso del conferimento, è il 2464 cc ad indicare che “Possono essere conferiti tutti gli elementi dell’attivo suscettibili di valutazione economica”, dictum che dà chiaramente la possibilità di conferire le criptovalute in quanto hanno valore economico e, come già detto, sono state messe, giudizialmente, sullo stesso piano degli strumenti dei mercati finanziari

Per concludere si può dire che a livello teorico, non c’è nulla che impedisca ad un creditore di agire in esecuzione sulle criptovalute così come di conferirle nel capitale sociale. Discorso diverso riguarda la praticità  di ambedue le cose, sempre a causa della volatilità. C’è il rischio che nel caso dell’esecuzione vi sia una perdita di valore tale da far perdere l’utilità dell’esecuzione stessa all’attore che ben farebbe ad azionare un sequestro conservativo.

Nel caso del conferimento questa mancanza di stabilità del valore può avere effetti nefasti sulla stabilità della società stessa.

[1]    https://www.consob.it/documents/10194/0/Articolo+su+rischi+criptovalute/10402b10-bc3b-4500-a0d4-81cec9a2db23

/da