Di Giacomo Conti

 

Secondo l’art. 13 comma 4 del Decreto Whistleblowing, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti di gestori dei canali di segnalazione, che sono da considerarsi, a rigor di norma, titolari del trattamento.

Se così fosse, sarebbero questi soggetti sono tenuti ad adottare le misure di organizzazione e sicurezza appropriate a tutela dei diritti e delle libertà degli interessati, mentre per eventuali violazioni della normativa o per data breach. Il tutto mentre, l’organizzazione che non ha implementato il canale o non ha adottato adeguate misure di sicurezza non dovrebbe rispondere per violazioni o data breach non essendo titolare del trattamento.

A livello sistematico appare evidente come questa norma non sia compatibile con quanto stabilito dal GDPR secondo cui i ruoli nell’ambito delle attività di trattamento di dati personali sono dettati dal principio di finalità del trattamento in ragione del quale il titolare è colui che determina le finalità del trattamento e ne individua la base giuridica.

Pertanto, secondo l’art. 4 numero 7 del GDPR, deve intendersi come titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quindi, l’organizzazione che ha predisposto il canale di segnalazione.

Seppure il GDPR stabilisca che quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri, la scrittura della norma appare non conforme con i principi generali in materia di protezione dei dati.

È, infatti, evidente come nel caso in cui la gestione dei canali di segnalazione si affidata a un ufficio interno all’ente le persone incaricate della gestione del canale di segnalazione saranno necessariamente autorizzate ai sensi dell’art. 29 GDPR. Peraltro, in ragione del principio di substance over form nella definizione dei ruoli GDPR non dovrebbe rilevare se questi soggetti sono professionisti autonomi o dipendenti dell’ente.

Il fatto che questi soggetti siano persone autorizzate e non titolari di trattamento è messo in evidenza dall’articolo 4 comma 2 del Decreto Whistleblowing secondo cui la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione. Questo comma è in evidente contraddizione e distonia con l’art. 13 della norma.

Il Decreto Whistleblowing contempla anche il caso in cui la gestione del canale sia affidata a un soggetto esterno e, come nel caso precedente, il personale preposto alla gestione della segnalazione che in questo caso è del gestore del canale esterno deve essere specificamente formato. In questo caso, l’ente esterno incaricato della gestione del canale potrebbe essere un data processor ai sensi dell’art. 28 GDPR e le persone che trattano i dati personali nell’ambito delle segnalazioni, ugualmente, dovrebbero ritenersi soggetti autorizzati che operano sotto l’autorità non del controller, ma del processor.

Seppure la normativa sia ancora troppo recente per avere prodotto giurisprudenza sul punto, si può attingere, almeno per analogia, ad alcuni precedenti del Garante che si è espresso in tema di ruolo GDPR dell’Organismo di Vigilanza.

In alcune ipotesi, infatti, il gestore del canale di segnalazione potrebbe anche essere un membro dell’organismo di vigilanza e il Garante si è già espresso sul punto con il “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231” in data 21 maggio 2020 reperibile in: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9347842

Il Garante ha ritenuto che l’OdV, nel suo complesso e a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato come parte integrante dell’ente. Per l’effetto, i singoli membri dell’OdV debbano considerarsi come soggetti autorizzati ai sensi dell’artt. 4, n. 10, 29, 32 par. 4 Regolamento e dell’art. 2-quaterdecies del Codice della Privacy.

La designazione dei membri dell’OdV, al pari dell’istituzione dell’ufficio preposto alla gestione del canale di segnalazione è, infatti, un atto di organizzazione e non negoziale e, pertanto, appare corretto qualificare questi soggetti come autorizzati (art. 29 GDPR) e non come responsabili di trattamento piuttosto che titolari (art. 28 GDPR).

Ne consegue che, anche nel caso di una violazione di dati derivante nell’ambito della gestione del canale di segnalazione affidata a un soggetto esterno, dovrà rispondere necessariamente l’ente. In quest’ultimo caso, per culpa in eligendo in ragione di una scelta di un soggetto non adeguato.

L’impostazione normativa, all’apparenza, sembra deresponsabilizzare le organizzazioni che, per legge sono tenute ad adottare il sistema di whistleblowing e, pertanto, è opportuno e necessario adottare un’interpretazione correttiva conforme al GDPR che vorrebbe che l’organizzazione fosse titolare di trattamento. Il tutto anche per assicurare un adeguato livello di protezione dei dati personali che il Decreto WhistleBlowing richiede essendo la protezione dei dati personali del segnalante uno dei principi cardini assieme alle misure di protezione della sua persona.

 

BREVE DESCRIZIONE DEL CONVEGNO

Convegno di studi avente ad oggetto: “L’informatica e il diritto dei contratti: Blockchain e Smart Contracts”

Data: Martedì 21 giugno 2023 – ore 14.30 – 18.30

Luogo del convegno: Sala Crociera di Giurisprudenza presso Università degli Studi di Milano in Via Festa del Perdono n. 7

RELATORI E INTERVENTI

15.00 – Introducono e coordinano
Prof. Lucio Camaldo – Presidente Algiusmi – Università degli Studi di Milano
Dott. Stefano Gazzella – Coordinatore Comitato scientifico AssoInfluencer
15.30 – Professione Influencer
Arianna Chieli, Creator Digitale e Content Strategist
16.00 – Il diritto dell’influencer: work in progress?
Prof. Pierluigi Perri, Docente di Informatica giuridica, Università degli Studi di Milano
16.30 – La tutela legale dei contenuti digitali
Prof.ssa Silvia Giudici, Docente di Diritto industriale, Università degli Studi di Milano
17.00 – Profili giuslavoristici dei creator
Avv. Paolo Iervolino, Vicecoordinatore Comitato scientifico AssoInfluencer, Assegnista di ricerca presso l’Università di Palermo
17.30 – Le nuove professioni digitali e non ordinistiche
Avv. Massimo Burghignoli, Past President Algiusmi
18.00 – I rapporti tra Piattaforma e Creator
Avv. Giacomo Conti, Socio Algiusmi e Patreon AssoInfluencer
18.30 – Interventi e dibattito

17.30 – Interventi programmati e dibattito

18.30 – Chiusura dell’incontro

BREVE DESCRIZIONE DELL’INTERVENTO DELL’AVV. GIACOMO CONTI

Il convengo si propone di esaminare i rapporti economici e giuridici nell’ambito dell’ecosistema delle piattaforme digitali.
Dopo avere fatto luce su cosa si intenda per Influencer e messo in luce i profili di professionalità dei creatori di contenuti, si affronteranno i profili relativi alla tutela dei contenuti digitali e giuslavoristici.

Per meglio comprendere la portata di questa nuova figura professionale, verranno esaminati i profili relativi alle nuove professioni digitali e non ordinistiche nonché i rapporti Platform2Business, con particolare riguardo ai rapporti fra creatore di contenuti e piattaforma.

L’intervento dell’avvocato Conti pone dapprima il focus sull’ecosistema di rapporti giuridici che le piattaforme digitali creano per mettere al centro la figura del creatore dei contenuti e dell’influencer, analizzando i rapporti fra queste importanti figure centrali nell’ambito dell’economia del web 2.0.
Successivamente, dopo averne analizzato i tratti distintivi della figura dell’influencer, si analizza come l’influencer sia al centro di una serie complessi di rapporti, ad esempio con la propria fanbase, con i propri sponsor ma anche con la piattaforma online.
Nonostante la centralità di questa figura, l’influencer può essere oggetto di comportamenti di abuso da parte delle grandi piattaforme digitali che, attraverso i propri poteri, possono penalizzarne fortemente l’attività, ad esempio demonitizzandone o rimuovendone i contenuti o bloccandone il canale. Ma anche con comportamenti più subdoli, come collocarlo ingiustificatamente in fondo ai risultati di ricerca facendogli perdere importanti visualizzazioni e, per l’effetto, occasioni di crescita e sviluppo professionale.
Pertanto, vengono analizzati i profili di tutela che l’ordinamento civilistico offre a questa figura partendo dai rimedi in house alla piattaforma per poi approfondire i profili di tutela giudiziale.

Il convegno nasce da una sinergia fra Algiusmi, Associazione dei Laureati di Giurisprudenza dell’Università di Milano, ed AssoInfluencer, associazione rappresentativa dei creatori di contenuti a livello nazionale

Scarica la locandina del convegno cliccando alla seguente risorsa: SAlgiusmi_AssoInfluencer 21-06-2023

Scarica le slide dell’intervento dell’Avv. Giacomo Conti: Rapporti Piattaforma2Influencer Conti

Per maggiori approfondimenti sul tema:

https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-1.html

https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-2.html

La sentenza 322/2023 del Tribunale di Milano rappresenta una pietra miliare in tema di responsabilità degli istituti di credito in materia di responsabilità da trattamento illecito di dati personali e per mancata prevenzione del rischio frodi e perdite finanziarie.

Le materie, infatti, presentano importanti punti di contatto e interferenza in quanto il considerando 75 al GDPR prevede espressamente le perdite finanziarie come uno dei rischi tipici derivanti da una violazione del GDPR.

La direttiva PSD2 impone a banche e istituti di credito stabilisce di adottare specifiche misure di protezione e sicurezza dei correntisti la cui efficace e corretta applicazione deve essere dimostrata secondo quanto richiede il principio di accountability.

La Corte Meneghina, nel caso in esame, ha tracciato un chiaro quadro giuridico in tema di responsabilità derivante da mancata gestione del rischio derivante dal trattamento di dati personali intervenendo chiaramente sui criteri di ripartizione dell’onere della prova.

Il Tribunale, applicando correttamente il principio di accountability, ha stabilito che grava in capo a questi l’onere di dimostrare di avere adottato adeguate misure di protezione della clientela per prevenire il rischio frodi e perdite finanziarie.

La pronuncia in esame dà atto di come la giurisprudenza di legittimità abbia già precedentemente inquadrato la responsabilità dell’istituto di credito nell’ambito della responsabilità per l’esercizio di attività pericolose. La Corte ha richiamato i precedenti in tema di disposizioni non autorizzate dal cliente su conto corrente mediante accesso abusivo a sistema di internet banking e conseguenti riflessi applicativi nell’ambito della responsabilità per trattamento dei dati personali (cfr. Cassazione, sez. I, 23 maggio 2016 n. 10638).

Secondo l’art. 15 del d.lgs. 196/2003 (Codice Privacy), citato dal Tribunale: “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, l’istituto di credito deve fornire la prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno. Da valutarsi secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del d.lgs. 196/2003.

Applicando in combinato disposto l’art 2050 c.c. e l’art. 15 del codice della privacy, l’istituto che svolge un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. La responsabilità è esclusa solo se il titolare prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del d.lgs. 11/2010 di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. L’art. 10 del d.lgs. 11/2010 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare, in caso di disconoscimento di una operazione l’onere di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento in caso di disconoscimento dell’operazione da parte del cliente.

Richiamando la Cassazione, il Tribunale di Milano argomenta che “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”.

Per l’effetto, il Tribunale ha ritenuto che tale onere non può venire assolto senza la dimostrazione dell’adozione di specifiche cautele antiphishing “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., Sez. I, 29.12.2017 n. 31199).

L’istituto di credito convenuto, nel caso in esame, non ha dimostrato e nemmeno specificamente allegato, secondo il Tribunale, quali cautele avrebbe adottato sia in generale per contrastare il fenomeno del phishing sia nello specifico per evitare il prodursi del danno patito dagli attori, con riguardo a ciascuno dei tre bonifici istantanei eseguiti senza l’autorizzazione degli attori.

Il Tribunale non ha, pertanto, ritenuto assolto l’onere della prova gravante sull’istituto di credito ai sensi dell’art. 1218 c.c. e la conseguente non imputabilità del danno.

Secondo la Corte meneghina, gli istituti di credito devono adottare in relazione a tali operazioni delle cautele e verifiche ulteriori rispetto a quelle predisposte per i bonifici standard, cautele e verifiche che devono essere preliminari all’esecuzione della disposizione, per evitare che la disposizione impartita da terzi non autorizzati provochi effetti irreversibili sul patrimonio del pagatore, cautele che, nel caso di specie la convenuta ha completamente pretermesso, non avendo compiuto alcuna specifica attività in tal senso.

Importantissimo è il principio affermato dalla Corte Territoriale secondo cui l’automatizzazione dei controlli bancari consentita dal progresso scientifico e tecnologico non può comportare una regressione del livello di tutela che deve essere garantito al singolo risparmiatore.

Tale soluzione, imposta dalla disciplina di cui agli artt. 10 ss. del d.lgs. 11/2010, appare del tutto coerente anche dal un punto di vista dell’analisi economica del diritto privato. Pertanto laddove gli istituti di credito omettano di adottare sistemi di controllo per evitare il perpetrarsi di frodi ai danni dei propri clienti dovranno risarcire il danno subito dai propri clienti derivante da questo inadempimento.

Infine, il Tribunale di Milano ha argomentato come l’istituto di credito convenuto non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell’operazione, il consenso alla revoca dell’operazione ai sensi dell’art. 17.5 d.lgs. 28/2010, e risulta, anzi, dimostrato dall’attrice che solo la denuncia all’autorità di polizia giudiziaria abbia consentito di recuperare, benché parzialmente, le somme oggetto delle disposizioni disconosciute.

 

In allegato, per maggiori approfondimenti, il testo integrale del provvedimento Sentenza n. 322-2023 BLIND

In allegato il Contratto tipo contitolartà 26 GDPR Baden Wuttermberg  Modello contrattuale ai sensi dell’art. 26 GDPR fra contitolari del trattamento elaborato dall’Autorità di controllo per la protezione dei dati personali del Baden-Württemberg, Germania.

 

Traduzione a cura di Christopher SCHMIDT, CIPP/E CIPM CIPT CBSA con il contributo di Giacomo Conti

 

Il testo in lingua originale è reperibile al seguente link: https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/.Non 

 

Nonostante la protezione del dato e la cultura della sicurezza delle informazioni abbiano compiuto dei significativi passi in avanti negli ultimi anni, ancora oggi, molte piccole-medie imprese trovano difficoltà nell’implementare modelli di gestione della privacy anche basilari.

Molti continuano, ingiustamente, ad avere paura delle sanzioni previste dal Regolamento Europeo con l’effetto di produrre inutile carta senza aumentare il livello di consapevolezza, accountability e sicurezza. Da qui si producono inutili consensi controfirmati, lettere di incarico senza formare le risorse e burocratizzazione inutile di processi che potrebbero essere lineari, semplici e paperless.

Non penso sia un caso, dunque, che la protezione del dato continui erroneamente ad essere abbinata a burocrazia inutile quando essa potrebbe essere agevolmente gestita con pochi essenziali adempimenti.

Non me ne voglia chi ci ha prosperato con la paura delle salatissime multe e prodotto carta inutile; ma molte volte, per raggiungere un grado sufficiente di compliance, è sufficiente dotarsi di pochi piccoli accorgimenti ed effettuare pochi piccoli investimenti mirati, principalmente in misure di sicurezza e formazione delle risorse umane.

Sperando di ripetere l’ovvio, ribadisco che la “paperless compliance for free… almost” non può trovare applicazione, ad esempio, per realtà molto particolari che effettuano trattamenti ad alto rischio, anche se poco strutturate così come per realtà che trattano dati su larga scala o presentano rischi maggiori rispetto alla media.

Per affrontare il discorso relativo alla paperless compliance, è necessario tenere presente che il GDPR va letto partendo dall’articolo 1 per poi scorrere verso gli articoli finali abbinando, se possibile, la lettura dei considerando alla norma.

È oramai opinione consolidata fra gli esperti che il GDPR chiede di affrontare con un approccio organico tutti i processi aziendali dove vengono coinvolti dati personali.

Ogni processo deve, dunque, essere originariamente configurato per garantire il rispetto principi generali previsti dall’art. 5: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione (o accountability per gli anglofili).  Non ci dilungheremo in questa sede su questi principi, limitandoci a citarli.

In secondo luogo, bisogna vedere se ricorre una o più delle basi di legittimità previste dal susseguente art. 6, fra cui è presente anche il consenso dell’interessato che però, è bene richiedere solo ove strettamente necessario (v. https://avvgiacomoconti.com/un-consenso-per-uno-e-uno-per-tutti-una-corretta-applicazione-del-principio-di-irresponsabilizzazione/ ).

Se l’organizzazione sa perché tratta il dato e partendo da quali basi, ad esempio un contratto o una norma di legge o un legittimo interesse, potrà approfondire la conformità del processo al GDPR, ma potrà con una certa ragionevolezza essere sicura che il processo è, in linea di massima, lecito.

Sorvolando sugli articoli seguenti ci troviamo all’art. 24 che menziona espressamente i rischi per i diritti e per le libertà degli interessati che sono indicati per sommi capi nel testo dell’articolo. La norma, senza richiedere nulla di trascendentale chiede semplicemente di tenere conto dei trattamenti che vengono operati all’interno dell’organizzazione e di adottare misure organizzative e di sicurezza adeguate e parametrate al rischio.

Senza pretesa di esaustività, basti pensare al fatto che il trattamento di dati personali apre una finestra sulla vita dell’interessato e a seconda del “peso specifico” del dato personale sarò in grado di conoscere certi aspetti della vita di una persona che sarà, conseguentemente, vulnerabile. Per questa ragione il GDPR distingue i dati in comuni (che permettono di identificare o prendere contatto con l’interessato) e particolari (che invece rilevano aspetti particolarmente delicati della vita privata altrui).  È bene abbinare la lettura dell’art. 24 agli artt. 9 e 10 del GDPR per meglio comprendere il concetto di “rischi per i diritti e per le libertà”.

Semplificando al massimo questo processo che è piuttosto complesso, è essenziale che ogni organizzazione sappia almeno in linea di massima quali dati tratta, per quale motivo e che effetto una violazione alla loro riservatezza, integrità e disponibilità può avere sulla vita personale del lavoratore, del cliente del fornitore e degli altri soggetti coinvolti nel trattamento.

Veniamo ora all’art. 29 che richiede di adottare misure organizzative adeguate. In questa sede ci limiteremo ad indicare le misure che ogni impresa dovrebbe adottare fra le quali, l’individuazione del designato/privacy officer che è un soggetto interno incaricato della gestione delle procedure di trattamento dei dati e per rispettare il GDPR, come garantire le richieste degli interessati o comunicare con l’autorità garante.

Questa figura dovrebbe essere interessata alla materia, adeguatamente formata e responsabilizzata per assicurare un adeguato livello di compliance interno all’organizzazione. L’attività di designazione del referente privacy è un processo a costo zero. Altrettanto gratuita potrebbe essere la creazione dell’organigramma aziendale dove vengono mappati funzioni e compiti dei soggetti designati dall’organizzazione.

Se si vuole che la designazione sia efficiente, tuttavia, sarebbe bene stanziare una somma – anche modesta – per la formazione dei referenti affinché questi siano in grado di mappare e gestire le procedure di cui sono incaricati e responsabilizzare anche gli altri soggetti autorizzati al trattamento.

Veniamo a questo punto ai registri disciplinati dall’art.30: questi altro non sono che un processo di mappatura dei trattamenti che l’azienda opera. Pertanto, i registri dovrebbero configurarsi più che come un documento, come una procedura da monitorare e tenere aggiornata con l’evolversi dei processi aziendali. Pertanto, essi possono essere tenuti senza particolari formalità e aggiornati, anche mediante stampa del file anche in PDF, all’occorrenza.

Più che la forma, è importante che questi strumenti siano tenuti da un soggetto competente che, verosimilmente, sarà il designato aziendale che conoscerà i processi aziendali ed avrà anche una discreta conoscenza normativa ove adeguatamente formato.

Oltre al registro delle attività di trattamento (art. 30), è opportuno che l’organizzazione si munisca anche di un registro della formazione per documentare l’attività svolta e un registro delle violazioni (art. 33) per documentare eventuali data breach e che è uno strumento di ausilio e responsabilizzazione fondamentale per valutare se e quali conseguenze la violazione potrà avere per gli interessati coinvolti.

Seppure i registri non siano richiesti a tutte le organizzazioni, l’adozione di questi è stata fortemente incoraggiata sia dalla nostra Autorità Garante che dal Comitato Europeo per la protezione dei dati personali, ma anche da autorità straniere.

Veniamo ora ai processi relativi alla sicurezza dei dati che possono avere natura fisica o logica.

La sicurezza fisica si articola in misure piuttosto banali come, ad esempio, l’apposizione di porte blindate agli ingressi, inferriate alle finestre, la presenza di estintori.

Apparentemente più complesso è il profilo della sicurezza informatica, ma anche qui, vedremo soluzioni a basso costo o gratuite che possono aiutare enormemente l’organizzazione ad aumentare il proprio livello di sicurezza.

Il primo problema comune a tutte le organizzazioni è la gestione delle Password. Avere password in giro non protette è come lasciare le chiavi della porta vicino allo zerbino di casa.

Rinviando all’apprezzabile vademecum elaborato dal Garante (v. https://www.garanteprivacy.it/temi/cybersecurity/password) è consigliabile adottare gestionali gratuiti come KeePass ( v. https://keepass.info/ ) che salvano i dati in locale criptati eliminando il rischio del cloud e attraverso la master password e i plugin consentono un’agile gestione delle password eliminando fogliettini, il rischio di perderle e altri rischi. Il dipendente dovrà ricordarsi solo la Master Password di accesso al servizio KeePass per accedere in sicurezza a tutte le proprie credenziali.

Altro problema che ogni organizzazione affronta è il backup e, per le organizzazioni più semplici, può bastare anche un piccolo investimento in un NAS o in un economico servizio di backup online scegliendo quello più adatto alle proprie esigenze. Senza dilungarci sulla gestione della backup policy in questa sede, si segnala Duplicati (v. https://www.duplicati.com/ ): una soluzione che rende più efficiente il processo di backup e aiuta a gestire il rischio di perdita dei dati trattati. Questo sistema, di default cripta i dati in formato criptato e permette di gestire la recovery dei dati in maniera intuitiva e semplice. Il gestionale è anche flessibile e permette all’utente di configurare i tempi, modi e livelli di sicurezza del backup.

Potrebbe essere auspicabile anche prevedere un programma formativo con oggetto la cybersecuirty awareness per sensibilizzare i dipendenti alle minacce informatiche. Per iniziare il percorso di sensibilizzazione si può iniziare con il fruire di risorse gratuite e accessibili online.

I problemi della sicurezza informatica, ça va sans dire, non si esauriscono a quelli indicati ed è auspicabile che buona parte delle organizzazioni si accerti, fra le altre cose, di:

  1. Installare solamente programmi originali da autori verificati e sempre aggiornati all’ultima versione
  2. Investire in un solido antivirus che implementi almeno un firewall logico e sistemi di rimozione di malware
  3. Differenziare la rete ad uso interna da quella data ad uso degli ospiti adottando processi di segmentazione

I più scrupolosi vorranno, altresì, adottare un firewall perimetrale integrato con un servizio di analisi dei file di log.

Pare, dunque, opportuno stanziare somme, anche modeste, per aumentare il proprio livello di sicurezza informatica in azienda investendo sulle risorse umane e sulle misure di protezione tecniche.

Un’azienda con un elevato grado di compliance al GDPR, dunque, saprà valutare in autonomia gli investimenti, a livello tecnico e sulle risorse umane, che dovrà operare e saprà gestirsi autonomamente evitando di spendere soldi in consulenze inutili e carte e agire in autonomia per rispettare la norma, nelle migliori ipotesi, con un costo tendente allo zero o con un investimento più che contenuto.

Il GDPR non richiede, dunque, di produrre carte, ma di implementare dei processi efficienti per una corretta gestione del dato e, per essere applicato efficacemente, richiede cultura, formazione e sensibilizzazione.

Di Jacopo Sabbadini

Negli ultimi anni abbiamo visto una crescita esponenziale delle minacce alla sicurezza informatica. Questo fenomeno si è acuito nell’ultimo periodo a causa della situazione dovuta alla pandemia mondiale, che ha portata ad un incremento del lavoro da remoto, accelerando di molto un fenomeno già in essere.

A seguito di questo trend molte realtà aziendali hanno cominciato ad implementare svariate soluzioni di sicurezza basate sull’analisi del traffico e dei pacchetti , sulle firme dei programmi , sul comportamento delle utenze.

 

 

Questa “presa di consapevolezza” da parte delle aziende non sembra però aver sortito effetto, praticamente ogni giorno si legge di un nuovo attacco a grandi infrastrutture, spesso strategiche (Colonial Pipeline, AXA, Glovo, solo per citarne alcune) dunque sorge spontanea una domanda: come è possibile che con l’aumento delle misure di protezione, vi sia un conseguente aumento degli attacchi riusciti contro le stesse infrastrutture che implementano questi sistemi?

Per rispondere a questa domanda, bisogna partire da un concetto che pare banale, ma è cardinale in questa analisi: nessun’azienda, nessuna realtà è un’isola. Maggiore è l’azienda, maggiore è il suo giro di affari, maggiore è la galassia di fornitori di beni e servizi che orbitano intorno all’azienda stessa.

Se l’azienda di riferimento è in grado di utilizzare un determinato budget per l’implementazione e il controllo delle misure di sicurezza informatica, è quasi matematico che almeno una parte dei suoi fornitori non abbiano accesso a simili risorse; e quindi, i fornitori stessi diventano il principale obiettivo di un attacco, non tanto per i dati che possono possedere, ma per gli accessi che si possono recuperare.

Un esempio emblematico su tutti è quanto successo con VMWare; la società si occupa di virtualizzazione, ed è leader di mercato per quanto riguarda il deploy di macchine virtuali su server di produzione, ricerca e sviluppo. Quanto accaduto è stato che, ad un certo punto, durante un controllo, il team di sicurezza di VMWare si è reso conto che vi era una API con all’interno del codice mai scritto da loro, che permetteva un accesso non autenticato ma con alti privilegi dall’esterno, e l’esecuzione di codice da remoto; in buona sostanza, era un rootkit inserito non si sa da chi o quando, con molta probabilità aggiunto a seguito di una violazione dei sistemi di un proprio fornitore, che non ne era neanche a conoscenza. Quello che però si sa di per certo sono state le conseguenze: l’attacco a SolarWinds che ha messo in ginocchio moltissime aziende che utilizzano i loro software; tutto è partito da un attacco ai fornitori di VMWare, ed si è arrivati alla crisi della gestione di Orion ed Exchange.

Come fare quindi in una realtà in cui chiunque può essere un bersaglio, e magari anche un veicolo inconsapevole di attacchi mirati?
È da ripensare completamente l’idea di cybersecurity e sicurezza in generale.

Ad oggi si utilizzano dei sistemi con una vulnerabilità lampante: un antivirus, per quanto complesso e “intelligente” si basa su delle firme, su qualcosa di già noto, oltre che su un costante aggiornamento delle proprie componenti di rilevazione.

Una simile soluzione è inadeguata a proteggere contro le odierne minacce, che spesso si declinano in zero days e potenziali attacchi che arrivano da utenti “fidati” all’interno del sistema.

Bisogna passare da una logica di controllo attivo, come quella degli antivirus, firewall e via discorrendo, ad una logica di zero-trust per la quale indifferentemente dal fatto che l’utente sia autenticato, che il processo sia considerato sicuro o in ogni caso non facente riferimento ad alcun database di malware, qualsiasi azione considerata potenzialmente pericoloso viene immediatamente interrotta e segnalata.

Vista l’evoluzione delle tecniche di attacco, la ampia superficie d’attacco disponibile, le classiche soluzioni hanno fatto il loro tempo.

 

 

[1] Application Program Interface, è un sistema di interrogazione di un’applicazione utilizzato per automatizzare dei processi in programmazione.

[1] Malware che permette l’accesso a un sistema, l’esecuzione di comandi e/o programmi, spesso con alti livelli di privilegio.

[1] Malware sconosciuti, di cui non esistono firme digitali in nessun database

di Giacomo Conti

Scegliere un certo social network perché rispetta la nostra privacy è come decidere di fumare una certa marca di sigaretta perché è attenta alla nostra salute o, almeno, più delle concorrenti.

Così come il fumo danneggia la nostra salute, i social network presentano rischi per la nostra vita privata e privacy di cui dobbiamo essere consapevoli.

Prima di scandalizzarci per la violazione della nostra privacy da parte delle piattaforme online, basti pensare come anche le nostre banche, ad eccezione dei sempre più rari pagamenti operati con contanti non tracciabili, siano in grado di conoscere a fondo i nostri acquisti e come possano profilarci, ugualmente, con agevolezza mediante ogni pagamento che effettuiamo con carta di credito o bancomat.

Ultimamente, si presta sempre più attenzione a quello che i social network fanno con i nostri dati personali e con le nostre vite. In questo senso, il GDPR che ha contribuito ad affermare una cultura basata sul dato personale e la recente apprensione sul tema è un effetto benefico nel medio termine del GDPR che ha fatto crescere la consapevolezza dell’utente medio nell’utilizzo dei servizi online.

Prima di comprendere appieno il fenomeno e per evitare di creare inutile e dannoso allarmismo è necessario comprendere come i social network operano e traggono i propri profitti. Del resto, è evidente che le grandi piattaforme come Google, Facebook e Clubhouse non sono onlus che operano con la speranza di lasciarci un mondo migliore.

I social network sono dei media e, come quotidiani e reti televisive, vendono spazi pubblicitari da cui traggono i propri profitti. Tuttavia, a differenza dei media tradizionali, i social network riescono a studiare l’utente e a vendere pubblicità mirate attraverso la cosiddetta profilazione. La pubblicità mirata e profilata ha, quindi, indubbiamente un valore maggiore rispetto alla pubblicità ordinaria in quanto raggiunge un target specifico sulla base di un preventivo studio di dati. Inoltre, maggiore è al crescere della base utenti, maggiore è il prezzo che gli inserzionisti pagano alla piattaforma per acquistare gli spazi di réclame virtuali.

Senza trovare definizioni metafisiche, l’art. 4 GDPR definisce profilazione come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica. In particolare, questo processo può venire utilizzato per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di una persona fisica.

Grazie a questa attività i social network non vendono generici spazi commerciali, ma una pubblicità mirata ritagliata sulla base della personalità tracciata dell’utente e dei suoi interessi e sulla base dei dati raccolti nell’ambito della fruizione del servizio. Ad esempio, sulla base dei contenuti visionati, dei like e condivisioni operate o, anche, sulla base del tempo dedicato al singolo contenuto o annuncio.

È, quindi, evidente come il fruire di un social network sia incompatibile con ogni concetto più basilare di privacy: quando accediamo al servizio permettiamo alla piattaforma online di conoscere i nostri gusti e la rendiamo partecipe di ogni aspetto della nostra vita che si articola all’interno del social. Quanto è apparentemente gratuito è pagato con la nostra attenzione, il nostro tempo e attenzione per permettere agli inserzionisti (i cosiddetti utenti commerciali) di inviarci pubblicità mirata studiata sulla base dei nostri interessi.

Al pari del fumo, i social network presentano dei rischi evidenti per la nostra vita, in quanto creano di vera e propria dipendenza da connessione e penetrano le nostre vite distraendoci dalla nostra attività e inducendoci, anche modificando il nostro comportamento, verso determinate scelte di acquisto. È sotto gli occhi di tutti come, grazie alle informazioni che raccolgono su di noi, le piattaforme online plasmano il servizio sulle nostre esigenze tenendoci appiccicati allo schermo il più possibile.

Tuttavia, sarebbe ipocrita negare che questi servizi possono apportare significativi benefici a noi tutti, a differenza del fumo.

È importante, però, capire se siamo disposti a pagarne il prezzo, ossia la nostra riservatezza con il rischio di possibile creazione di dipendenza, a fronte di quello che ci offrono.

Per pensare ai vantaggi, basti pensare ai vantaggi di creare una rete professionale attraverso LinkedIn, alla possibilità di rimanere in contatto con amici con cui avremmo poche possibilità di contatto attraverso Facebook o, ancora, di approfondire passioni e interessi attraverso YouTube che offre un patrimonio di conoscenza prima inimmaginabile anche al più dotto enciclopedico.

I social network in sé, pertanto, non sono un fenomeno da demonizzare, ma al più, da comprendere.

Posto che noi veniamo usati dalle grandi Big Tech a cui cediamo i nostri dati e informazioni che riguardano le nostre vite, è innegabile che riceviamo dei vantaggi dai servizi di cui siamo utenti e prodotti al tempo stesso.

Così come noi veniamo usati dalle piattaforme online, noi dobbiamo essere consapevoli e capire come usare il servizio a nostro vantaggio.

Prima di accedere a un servizio social network dobbiamo capire:

  1. in che modo i social network penetrano e interagiscono con le nostre vite e sfera personale,
  2. se siamo disposti a cedere i nostri dati personali a fronte del servizio che ci viene offerto,
  3. perché noi usiamo i social network e quali vantaggi possiamo trarre dal loro utilizzo se e ne sono,
  4. a quali rischi ci espone il loro utilizzo.

Solo dopo avere compreso questi aspetti saremo utenti consapevoli in grado di trarre tutti i vantaggi possibili dal servizio facendoci usare il meno possibile. In altri termini, dobbiamo trasformarci da prodotti inconsapevoli a prodotti consapevoli.

Autore: Giacomo Conti

Editore: Maggioli Editore

Pubblicazione: Ottobre 2020 (I Edizione)

ISBN / EAN 8891643452 / 9788891643452

Collana: Collana Legale

 

Prefazione: Il World Wide Web come la spezia di Dune. L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

Siamo nell’Universo di Dune creato da Frank Herbert nel 1965, ambientato nell’Anno Domini 10191: l’universo conosciuto è governato dall’imperatore Padishah Shaddam IV e, per l’umanità, la più preziosa e vitale sostanza dell’u-niverso è il Melange, la spezia.

La spezia allunga il corso della vita.

La spezia aumenta la conoscenza.

La spezia è essenziale per annullare lo spazio.

La potente Gilda spaziale e i suoi navigatori, che la spezia ha trasformato nel corso di oltre 4000 anni, usano il gas arancione della spezia che conferisce loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La spezia esiste su un solo pianeta nell’intero universo conosciuto. Un arido e desolato pianeta con vasti deserti.

Il pianeta Arrakis è conosciuto anche come Dune (1).”

Senza troppa speculazione e inventiva e togliendo l’aspetto esotico che caratterizza il celeberrimo romanzo: l’umanità, correva l’anno 1989, inventava quanto più di simile esiste alla spezia, ossia la Rete. Il World Wide Web, per come noi lo conosciamo, è al pari della spezia di Frank Herbert un formidabile strumento che in poche decadi ha rivoluzionato i rapporti economici e sociali, cambiando profondamente la società in cui viviamo.

A differenza della spezia, tuttavia, è estremamente facile accedere al World Wide Web: è, infatti, sufficiente munirsi di un dispositivo collegato alla Rete e di una connessione Internet offerta dagli operatori telefonici a costi sempre più economici.

Lungi dall’esistere su un solo remoto e desolato pianeta, sempre più persone sul globo terrestre hanno accesso a questa formidabile tecnologia da cui sono sempre più dipendenti.

La Rete, al pari del Melange, assuefà chi vi si connette che ne diventa sempre più dipendente, a prescindere dal fatto che la connessione al Web sia operata per esigenze personali oppure legate allo svolgimento di un’attività di impresa.

Nell’Universo di Dune, solamente la Gilda Spaziale detiene il monopolio sul commercio della spezia e anche questo dato si presta a un’analogia con il nostro universo.

Nel nostro universo, gli intermediari digitali, al pari della Gilda Spaziale, hanno un monopolio di fatto sui servizi della società dell’informazione nell’ambito dei quali dispensano benefici, punizioni ed erogano giustizia sulla base di termini e condizioni che loro stessi hanno stabilito. Si pensi a Google per i servizi di motori di ricerca, ad Amazon per l’E-commerce o, ancora, a Microsoft per i sistemi operativi e gestionali per consumatori e imprese.

La Rete ha cancellato precedenti confini e limiti dettati dallo spazio fisico e ha costruito modalità nuove di produzione e utilizzazione della conoscenza al pari della spezia. I rapporti di produzione, distribuzione e consumo sono stati, quindi, rivoluzionati dalle fondamenta proprio grazie alla possibilità che la Rete offre di condividere informazioni, abbattere spazi e creare occasioni di contatti fra persone fisiche e fra imprese.

L’annullamento dello spazio fisico ha dato luogo ai fenomeni, in contraddizione solo apparente, di disintermediazione e di intermediazione online e ha permesso la concentrazione di un potere economico prima inimmaginabile nelle mani di pochissimi cybermediary che gestiscono piattaforme online il cui utilizzo è diventato fondamentale nelle nostre vite.

Il potere economico di cui dispongono i cybermediary, lungi dal rappresentare sempre un’opportunità per i destinatari dei servizi, può essere utilizzato abusivamente in danno agli utenti commerciali e con effetti non necessariamente benefici per i consumatori. In questo quadro di sviluppo tecnologico ed economico è entrato in crisi il ruolo tradizionale dei cybermediary: prima fornitori passivi di un servizio tecnico, ora più che mai si trovano ad avere un ruolo attivo nella gestione dei contenuti caricati e condivisi dai propri utenti.

Il cybermediary, oltre ad avere un enorme potere economico, diventa anche giudice ultimo e supremo all’interno dei servizi che gestisce e le sue decisioni incidono significativamente sulle sfere personali e professionali degli utenti che si servono dei suoi servizi.

Inoltre, la Rete ha riequilibrato il rapporto a favore del consumatore, accordandogli un potere prima inimmaginabile: condividere feedback, recensioni, valutazioni in merito alle proprie esperienze di consumo.

Come la spezia ha mutato nel fisico e nella psiche i navigatori, i servizi basati sulla Rete hanno mutato profondamente la figura stessa del consumatore che non è più un mero acquirente passivo di beni o servizi.

Si è assistito, in questo quadro complesso, alla nascita della nuova figura del prosumer digitale, che è una persona fisica sempre più informata che acquista in rete beni e servizi e che condivide, tramite i servizi della società dell’informazione, le proprie esperienze di consumo, incidendo in maniera sostanziale sull’asimmetria informativa. Lo scambio di informazioni sul Web 2.0, infatti, opera sulla base di dinamiche che si fondano su una partecipazione attiva non solo dei fornitori di servizi della società dell’informazione o degli operatori economici, ma anche dei consumatori stessi.

Si aggiunga, peraltro, che di fronte alla velocità attraverso la quale le informazioni circolano in rete il rimedio giudiziale ha perso di centralità, essendo i formalismi del processo civile e della tutela giudiziale incompatibili con la necessità di tutela e presidio immediata dell’imprenditore in rete.

Molte vertenze sono, pertanto, affidate a strumenti di Alternative Dispute Resolution che presentano vantaggi in termini di costi ed efficienza rispetto al tradizionale rimedio giudiziale o vengono gestite con sistemi che il cybermediary ha creato e plasmato. Nonostante l’introduzione del Regolamento Platform2Business, la tutela apprestata dal Regolamento (UE) 2019/1150 risulta molto più formale rispetto al quadro dettato, ad esempio, in tema di tutela e protezione del consumato-re (2) o della persona fisica nell’ambito dei trattamenti di dati personali che la riguardano, avente un’ampia, corposa e sostanziale tutela all’interno del General Data Protection Regulation (3).

Pertanto, il nuovo impianto normativo risulta indicativo della persistente scarsa sensibilità delle Istituzioni europee alle esigenze di tutela delle imprese che si trovano in posizione di dipendenza economica verso i cybermediary.

Nel nostro universo come in quello di Dune, il potere non è quindi distribuito in ugual misura e, sebbene a differenza della spezia la Rete sia accessibile agevolmente, la distribuzione del potere attraverso i servizi online ha creato un vero e proprio feudalesimo digitale.

La rete allunga il corso della vita.

La rete aumenta la conoscenza.

La rete è essenziale per annullare lo spazio.

I potenti cybermediary e i loro navigatori, che la rete ha trasformato nel corso di poche decadi, usano i servizi basati sulla rete che conferiscono loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La rete esiste intorno a noi e siamo noi”.

Giacomo Conti

 

Per informazioni sul testo v. https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-1.html

 

(1) Si riporta la citazione della Principessa Irulan Corrino, figlia dell’imperatore Padi-shah Shaddam IV e futura sposa del protagonista del romanzo Paul Atreided Muad’Dhib. La citazione è tratta non dal testo, ma dal film di Dune scritto e diretto da David Linch nel 1984 e basato sul celeberrimo romanzo di Frank Herbert del 1965.

(2) V. direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio.

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

di Jacopo Sabbadini

Uno degli attacchi più semplici che si possono portare contro un database è sicuramente il cosiddetto SQLInjection, che consiste nel utilizzare il linguaggio SQL per accedere ai dati di un database.
Facciamo un attimo di chiarezza su cosa sia un form e come funzioni a livello di backend del database; in poche parole, il form è l’interfaccia che vede l’utente, in cui inserisce i propri dati (ad esempio nome, cognome, data di nascita, password e via discorrendo) al momento della registrazione su un sito, o al momento del login sul sito stesso. Questi dati inseriti dall’utente vengono trattati dal database ed inseriti all’interno dello stesso, utilizzando la sintassi propria del database in esame (nel nostro caso SQL per un database scritto in MySQL).
Appare immediatamente evidente un problema: come fa la macchina a distinguere nel momento in cui viene digitata una stringa nel campo del form, tra una stringa che deve inserire all’interno del database (ad esempio il nome) e un comando nel proprio linguaggio?
Qui è necessaria la corretta configurazione del form, vi sono vari tools che permettono di filtrare quanto viene scritto dall’utente, in modo tale che qualsiasi cosa scriva non verrà mai interpretata come un comando.
Se questa precauzione però non viene presa, si rende l’intero database vulnerabile ad un injection, cioè l’inserimento dall’esterno di un comando.
A titolo dimostrativo useremo una macchina virtuale appositamente costruita con questa vulnerabilità.
Iniziamo con registrare un nuovo utente, lo chiameremo Pippo, password Topolino, signature Paperino

 

Una volta creato il nostro nuovo utente, vediamo come normalmente risponde il database ad una query normale, cioè inserendo i corretti parametri per username e password

 

Come si può vedere, nulla di strano, mi viene restituito a video un riepilogo delle informazioni inserite.
Vediamo però cosa succede se cambiamo leggermente il nostro username, e aggiungiamo un ‘, cioè un apice, alla fine del nome. Se il form fosse correttamente settato, dovrebbe semplicemente restituirci un errore in quanto non esiste nessun utente con lo username Pippo’.

 

 

In realtà ci viene restituita una videata in cui ci dice che il codice che abbiamo inserito contiene un errore, nello specifico: Query: SELECT * FROM accounts WHERE username=’Pippo ” AND password=” (0) [Exception]
Questo ci fa capire che in realtà il form non era correttamente configurato, e il database va in errore in quanto il comando che gli è stato dato non era sintatticamente corretto.
A questo punto, possiamo provare a passare un comando che riconosca come sintatticamente corretto, ad esempio dicendogli di cercare tutti i campi in cui il nome utente sia Pippo, oppure di mostrare a video tutti i campi in cui una condizione che sappiamo essere sempre vera (nell’es 1=1) appaia; questa condizione sarà ovviamente vera per ogni riga del database, e questo è il risultato:

 

Andando in errore il database, stampa a video TUTTE le linee al suo interno, comprensive di username e password. Questa tecnica può essere utilizzata per carpire non solo informazioni dalle tabelle di un database, ma anche per portare ulteriori attacchi al server stesso; la prima linea che ci viene stampata è infatti un utente con username admin e password admin; si potrebbe provare a connettersi direttamente al server usando queste credenziali, per prenderne il controllo, e per iniziare un’escalation di permessi.

Per concludere quindi, sempre controllare che le interfacce utente siano correttamente settate, altrimenti il backend più sicuro al mondo può essere bypassato con estrema semplicità.

di Giacomo Conti e Anna Lucia Calò

Il GDPR è, indubbiamente, un pilastro indispensabile sia per la tutela dei nostri diritti e libertà fondamentali sia per la creazione di un mercato unico digitale: nell’era dell’informazione, per costruire la fiducia dei consumatori nel mercato online, è indispensabile garantire che i dati personali circolino liberamente e siano adeguatamente protetti. Pertanto, il GDPR si erge a buon diritto come il primo pilastro del mercato unico digitale e, forse, il più noto e conosciuto ai più.

Al pari del GDPR, il Regolamento (UE) n.1807/18, conosciuto come Free Flow Data Regulation o FFD Regulation, mira a garantire la libera circolazione dei dati diversi dai dati personali all’interno dell’Unione e, allo scopo, detta disposizioni relative agli obblighi di localizzazione, alla messa a disposizione dei dati alle autorità competenti e alla portabilità dei dati non personali per gli utenti professionali.

La norma che si pone come imprescindibile completamento del GDPR trova, pertanto, il suo naturale campo di applicazione nell’ambito dei più disparati servizi che vengono erogati online: dall’archiviazione, Infrastructure-as-a-Service – IaaS, al trattamento di dati su piattaforme, Platform-as-a-Service – PaaS, o in applicazioni, Software-as-a-Service – SaaS (Cons. 17 Reg. 2018/1807).  Al pari del GDPR, il Free Flow Data Regulation, si pone come ulteriore pilastro del mercato unico digitale.

Il combinato disposto dei due regolamenti, per quanto indispensabile e imprescindibile, non è sufficiente a completare la realizzazione del mercato unico digitale e, soprattutto, a contrastare adeguatamente le nuove forme di discriminazione geografiche che si declinano in un mercato digitalizzato: un imprenditore che opera in ambito digitale può, infatti, arrivare a discriminare i clienti sulla base della provenienza geografica, localizzandone ad esempio l’indirizzo IP, oppure arrivare a reindirizzarli, in via automatica, a una distinta e diversa interfaccia rispetto a quella iniziale, che ovviamente presenta delle offerte diverse.

Questa prassi prende il nome di geoblocking: neologismo basato su una crasi del termine gèo di origine greca, che significa terra, globo o superficie terrestre e dell’inglese blocking, dal verbo inglese to block, che vuol dire bloccare, impedire o ostruire.

Nell’era digitale, una parte sempre crescente di attività economiche avviene online all’interno dei servizi che il Web offre e che tutti noi conosciamo e usiamo quotidianamente. Pertanto, il Mercato Unico inteso come spazio economico e geografico aperto e senza frontiere interne, grazie al quale merci, persone, servizi e capitali possono circolare liberamente va riconsiderato nella sua dimensione concettuale e declinazione digitale.

Le barriere digitali poste da molti fornitori di servizi dell’informazione nell’era dell’informazione appaiono altrettanto e forse anche più lesive delle barriere fisiche che gli Stati possono ergere contro la concorrenza straniera erigendo muri e ponendo frontiere.

In questo contesto, di profonda e continua evoluzione sociale e tecnologica, interviene il Regolamento (UE) 2018/302, noto come Geoblocking Regulation, che pone un divieto di discriminazione ingiustificata dei clienti nel commercio online sulla base della provenienza geografic: pietra miliare di questo regolamento è l’introduzione del divieto dei blocchi geografici ingiustificati nell’ambito dell’erogazione di servizi basti sulla Rete.

Il considerando 1 del Geoblocking Regulation evidenzia come, per conseguire il pieno potenziale del mercato interno come spazio l’eliminazione degli ostacoli fisici e materiali non è sufficiente se, nella sostanza, vengono frapposte barriere digitali che ostacolano lo sviluppo del mercato interno.

L’e-commerce transazionale, pur essendo una colonna portante del Mercato Unico, presenta gravi rischi per la tenuta del mercato stesso e, uno dei principali, è rappresentato proprio dai geoblocking. Attraverso questa attività, gli imprenditori possono arrivare a segmentare artificialmente il mercato interno, ostacolando la libera circolazione delle merci e dei servizi, limitando i diritti dei clienti e impedendo loro di beneficiare di una scelta più ampia e di condizioni ottimali.

Il GeoBlocking Regulation, per contrastare questo fenomeno, disciplina compiutamente i seguenti aspetti alla base delle transazioni online:
• accesso alle interfacce online;
• accesso a beni o servizi;
• non discriminazione per motivi legati al pagamento;
• accordi sulle vendite passive;
• assistenza ai consumatori.

Pertanto, chiunque, attivi o gestisca un servizio di e-commerce, non deve rispettare solo il GDPR, ma deve anche garantire il rispetto del GeoBlocking Regulation che, nella sua essenzialità – 11 articoli e 43 considerando – detta una disciplina complessa e articolata.