Diritto dell'Innovazione e dell'Intelligenza Artificiale, Sintesi del corso di Diritto Moderno

Scarica Diritto dell'Innovazione e dell'Intelligenza Artificiale e più Sintesi del corso in PDF di Diritto Moderno solo su Docsity! Dispensa ‘IL DIRITTO DELL'ERA DIGITALE” 2021/2022 Edoardo Carlo Raffiotta Le tecnologie dell’era Digitale Il termine digitale è un anglicismo: in inglese digit vuol dire numero. l'espressione digitale, quindi, individua un segnale una misurazione o una rappresentazione di un fenomeno attraverso numeri. a. Rappresentazione. la tecnologia digitale consente di rappresentare tutte le forme espressive in notazione binaria b. Elaborazione. il codice binario può essere facilmente trattato ed elaborato grazie a strumenti automatici come i computer. c. Comunicazione. l'era digitale si caratterizza per la convergenza tra le tecnologie informatiche e le tecnologie della comunicazione. d. Rappresentazione in forma digitale. alla possibilità di rappresentazione in forma digitale legata alla nascita dei documenti elettronici, dei contratti con connesse firme elettroniche, degli strumenti finanziari dematerializzati, della moneta elettronica di quella digitale e. Elaborare contenuti digitali f. Comunicare contenuti digitali. grazie ad Internet del web mera digitale ha rivoluzionato il mondo delle comunicazioni. la tecnologia ha favorito la convergenza tecnologica e propiziato attività come il commercio elettronico, il trading online, la tele medicina, la formazione a distanza. ALCUNE DEFINIZIONI DI BASE Computer Science: la branca della scienza della tecnologia che si occupa della lavorazione delle informazioni mediante computer. Computer: un'unità funzionale che può eseguire i calcoli sostanziali senza l'intervento umano, comprese operazioni aritmetiche e logiche. Algoritmo: Un insieme finito di regole ben definite per la soluzione di un problema in un numero finito di passaggi; ovvero una sequenza di operazione per eseguire un compito specifico; ovvero un insieme ordinato e finito di regole ben definite per la soluzione di un problema. Hardware: apparecchiature fisiche utilizzate per elaborare smettere programmi o dati informatici. Bit: un'unità di informazione che può essere rappresentata da zero o uno; ovvero un elemento di archiviazione del computer che può contenere un'unità di informazioni che può essere presentata zero o uno. Byte: un gruppo di bit adiacenti usati come unità; ovvero un elemento di memoria del computer che può contenere un gruppo di bit; ovvero una stringa composta da un numero di bit l'informazione: conoscenza scambiabile tra utenti su cose, fatti concetti virgola in un universo di discorso.7 programma: una combinazione di istruzioni per computer e definizione di dati che consentono all'hardware del computer di eseguire funzioni computazionali o di controllo. software: programmi o parte dei programmi, procedure, regole e documentazione associata di un sistema di elaborazione delle informazioni; programmi per far lavorare il computer. codice: dell'ingegneria del software, istruzioni informatiche e definizione dei dati espressi in un linguaggio di programmazione o in un formato prodotto da un assemblatore, compilatore o altro traduttore. File: una serie di record correlati trattati come unità. per le funzioni di dati, un gruppo di dati logicamente correlati. Sistema operativo: una raccolta di elementi software, firmware e hardware che controlla l'esecuzione di programmi per computer e fornisce servizi come allocazione delle risorse del computer, controllo del lavoro, controllo di input e output e gestione del file di un sistema informatico. DIRITTO NELL’ERA DIGITALE 2 IL GDPR: IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI Il regolamento 2016/679 (noto come General data Protection regulation GDPR), ha aggiunto un elemento alla tassonomia dei diritti delle persone fisiche. l'articolo uno comma due del regolamento, infatti, recita: il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali. A) le definizioni: i dati personali e il loro trattamento. Il GDPR definisce i termini utilizzati nell'articolato. A Cominciare dalla nozione di trattamento che ricomprende ogni accezione del ciclo di vita di un'informazione. Si considerano trattamento moltissime operazioni raggruppabili in quattro fasi che caratterizzano il ciclo di vita del dato: 1) la fase preliminare in cui rientrano la raccolta e la registrazione; 2) la fase dell'utilizzo dei dati in cui rientrano l'organizzazione la strutturazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso e raffronto e l'interconnessione, la limitazione. 3) la fase di circolazione dei dati in cui rientra la comunicazione la diffusione 4) La fase terminale in cui rientrano la conservazione, la cancellazione e la distruzione delle informazioni stesse. La definizione di dato personale svolge ovviamente un ruolo significativo. Il GDPR specifica che tale espressione comprende qualsiasi informazione riguardante una persona fisica identificata o identificabile. si considera Identificabile la persona fisica che può essere identificata, direttamente indirettamente con un identificativo come nome, dati relativi all'ubicazione, un identificativo online o più elemento caratteristico della sua identità fisica. E’ vietato trattare i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati relativi alla salute o la vita sessuale o all'orientamento sessuale della persona. B) /soggetti del trattamento. Il trattamento dei dati personali coinvolge diverse figure: - l'interessato è la persona fisica identificata o identificabile - il Titolare del trattamento ovvero la persona fisica o giuridica, l'autorità pubblica il servizio o altro organismo che singolarmente o insieme ad altri determina le finalità e mezzi trattamento dei dati personali. - ilresponsabile del trattamento ovvero la persona fisica o giuridica o altro organismo che tratta dati personali per conto del Titolare del trattamento -. ilrappresentante del titolare o del responsabile ovvero la persona fisica o giuridica stabilita dall'unione che ti segnato dal titolare o dal responsabile del trattamento di rappresenta per quanto riguarda gli obblighi rispettivi a norma del regolamento - Il responsabile per la protezione dei dati ho data Protection officer il soggetto designato dal titolare e responsabile del trattamento in talune ipotesi previsti dal regolamento a cui sono attribuiti compiti di informazione, consulenza, sorveglianza. - Il designato ovvero la persona fisica al quale il titolare responsabile possono attribuire specifici compiti e funzioni connesse al trattamento dei dati personali - i destinatari ossia la persona fisica, giuridica, l'autorità pubblica, il servizio, o un altro organismo che riceve comunicazione di dati personali che si tratti o meno di terzi. C) La base giuridica del trattamento. || trattamento illecito solo se ricorre almeno una delle seguenti condizioni (GDPRart 6): - l'interessato ha espresso il consenso al trattamento dei propri dati personali per uno più specifiche finalità - iltrattamento è necessario all'esecuzione di un contratto di cui interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso DIRITTO NELL’ERA DIGITALE 5 - iltrattamento è necessario per adempiere un obbligo legale il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica - iltrattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui ha investito il Titolare del trattamento - iltrattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi a condizione che non prevalgano gli interessi e i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dati personali. - l'articolo specifica anche in che modo le ipotesi possono essere disciplinata dal diritto dell'unione e degli Stati membri D) /principi del trattamento. le modalità di trattamento devono rispettare i seguenti principi: - liceità, correttezza e trasparenza - limitazione delle finalità - minimizzazione dei dati - esattezza - limitazione della conservazione - integrità e riservatezza E) /diritti dell'interessato. il regolamento riconosce all'interessato una serie di diritti. Essi sono: - diritto di informazione. nel momento in cui i dati vengono raccolti il Titolare del trattamento deve fornire una serie di informazioni che si articolano in maniera diversa a seconda che i dati vengono raccolti presso lo stesso interessato ovvero non dall'interessato. - diritto di accesso ai dati. L'interessato ha il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano - diritto di rettifica. ognuno ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo diritto alla cancellazione (diritto all'oblio articolo 17) in determinati casi si ha il diritto di ottenere dal Titolare del trattamento la cancellazione dati personali che ci riguardano - diritto di limitazione di trattamento - diritto a conoscere sono stati comunicati eventuali rettifiche, cancellazioni o limitazioni trattamento - diritto alla portabilità dei dati. l'interessato ha il diritto di ricevere in un formato strutturato di uso comune leggibile da dispositivo automatico i dati personali che lo riguardano forniti ha un Titolare del trattamento e ha il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti. - diritto di opposizione. l'interessato ha il diritto di opporsi in qualsiasi momento per motivi connessi alla sua situazione particolare al trattamento di dati personali che lo riguardano compresa la profilazione sulla base di tali disposizioni. - . diritto di non essere sottoposti una decisione basata unicamente su trattamenti automatizzati. F) L'autorità di controllo. Ogni Stato membro deve definire le autorità di controllo a cui attribuire il compito di sorvegliare l'applicazione del g di PR al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche. In Italia il ruolo di autorità di controllo viene svolto dal garante per la protezione dei dati personali. l'autorità di controllo ha una serie di compiti deve sorvegliare assicurare l'applicazione del GDPR, deve promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie ai diritti in relazione al trattamento con particolare attenzione all'attività destinate specificamente minori. Inoltre, ha numerosi poteri che sono: DIRITTO NELL’ERA DIGITALE 6 - di indagine - correttivi - autorizzativi e consultivi (ad esempio di lasciare pareri destinati al Parlamento al governo o altri organismi istituzioni) L’ENFASI SULLA SICUREZZA IL DATA BREACH Il GDPR impone al Titolare del trattamento di osservare alcuni obblighi atti a garantire la sicurezza punto in particolare l'articolo 32 prevede che e tenendo conto dello Stato dell'arte dei costi di attuazione nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento e gravità di diritti e libertà delle persone fisiche, il Titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendano: a) la pseudonimizzazione e la cifratura dei dati personali b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi dei servizi trattamento c) la capacità di ripristinare tempestivamente la disponibilità l'accesso dei dati personali in caso di incidente fisico tecnico d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza e il trattamento Con l'espressione Data breach, ovvero violazione di dati personali, si intende la violazione di sicurezza che comporta accidentalmente in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. quando si verifica un evento di questo tipo il titolare deve: e notificare la violazione autorità di controllo senza ritardo e ove possibile entro 72 ore dal momento in cui è venuto a conoscenza dell'evento; e comunicare la violazione dell'interessato senza ingiustificato ritardo, sempre che la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti di libertà delle persone fisiche. LA TECNOLOGIA MINACCIA: DALLA PROFILAZIONE ALLA MANIPOLAZIONE Conoscere i dati delle persone è importante per le aziende che vogliono vendere beni e servizi perché in questo modo attraverso una pubblicità mirata possono raggiungere non pubblico generico proprio i soggetti interessati a quello specifico bene o servizio. L'obiettivo non è discriminare ma servire meglio il cliente. L'evoluzione dei computer ha portato al decollo del commercio elettronico e ha la possibilità di monitorare tutte le attività che compaiono sulla rete così da creare dei profili dei gusti degli individui che diventano desideri che le aziende vogliono soddisfare la protezione dati personali per un verso fornisce il decollo del commercio elettronico perché quest'ultimo potrebbe essere ostacolato se i potenziali clienti dovreste sentirsi minacciati da imprecisi rischi derivanti dalla diffusione di informazioni riguardante la propria sfera privata. Spesso cioè sproporzione tra chi offre chi accetta servizi sulla rete. Ma in che modo aziende traggono vantaggio dal conoscere i dati personali delle persone? Niente gratis. Ad esempio, nelle Condizioni di utilizzo di Facebook si legge che anziché pagare per l'uso di Facebook, l'utente accetta che Facebook possa mostrare intersezioni la cui promozione avviene dietro pagamento da parte di aziende e organizzazioni; dunque, Facebook usa i dati personali dell'utente per mostrargli le inserzioni più pertinenti. Google utilizza le informazioni raccolte per creare servizi su misura per te. Il corrispettivo per l'uso di queste piattaforme sono nostri dati i nostri interessi ed essi hanno un valore economico. Tecnologie per raccogliere dei lavori dati. | principali meccanismi attraverso i quali è possibile monitorare l'attività computer rete sono i log, i cookie e i contenuti traccianti. DIRITTO NELL’ERA DIGITALE 7 LP] Io LINEA 7 0] (era Lo scopo è quello di verificare l’incidenza delle tecnologie digitali sul paradigma tradizionale di protezione delle opere dell'ingegno. In gioco c’è il progresso della conoscenza e con esso la libertà di espressione del pensiero, di informazione, la protezione dei dati personali e la libera iniziativa economica. ORIGINI E LINEAMENTI DEL DIRITTO D'AUTORE Con l'avvento della stampa a caratteri mobili, si abbattono i costi e i tempi della riproduzione e quindi i rischi per la stabilità del potere politico e religioso aumentano. Le prime forme di tutela delle opere sono i PRIVILEGI MONOPOLISTICI, concessi dai sovrani agli stampatori, che disponevano della tecnologia idonea, sulla produzione, riproduzione e commercializzazione dei libri in cambio della possibilità di controllare preventivamente i testi da pubblicare (es. bibbia di Lutero e riforma protestante). In questo modo era possibile esercitare il controllo, la censura e la tassazione. A partire dallo Statute of Anne, legge inglese 1970, si è passati a un DIRITTO DI ESCLUSIVA potenzialmente spettante in via originaria a qualsiasi autore e trasmissibile a terzi mediante contratto. Il diritto conferisce solo al suo titolare il potere di sfruttare economicamente l’opera. In questo periodo si assiste alla graduale affermazione della libertà di stampa. Inoltre, nasce la figura dell’editore, intermediario. Attraverso un contratto di edizione l’autore trasmette l'esclusiva sul bene immateriale all'editore, il quale a sua volta vede ai lettori, tramite ad es. librerie, copie tangibili dell’opera. Fondamentale è il bilanciamento, tra esclusiva privata e accesso pubblico, che limita temporalmente e in ampiezza l'esclusiva. Infatti, la prima legge, prevedeva una durata massima dell’esclusiva di 28 anni dalla registrazione dell’opera e riguardava solo libri e alcune attività come pubblicazione, riproduzione e distribuzione a fini commerciali. Oggi il diritto d'autore copre soltanto la forma espressiva dell’idea e non l’idea in sé, i fatti, i dati che compongono l’opera (forma vs contenuto). L’esclusiva e connessa solo agli autori che concepiscono opere ORIGINALI. Inoltre, la prima vendita della copia esaurisce il diritto del titolare dell’esclusiva di controllare l'ulteriore distribuzione (principio dell’esaurimento). L’ area non coperta dal diritto d'autore è detta PUBBLICO DOMINIO, quest’ultimo, secondo alcuni, è la regola mentre l’esclusiva è l'eccezione. Le odierne discipline riconoscono al creatore dell’opera un diritto di esclusiva sullo sfruttamento economico dell’opera che si articola in differenti facoltà quali la pubblicazione, la riproduzione, l'elaborazione, la distribuzione, l'esecuzione e la comunicazione (DIRITTO PATRIMONIALE O ECONOMICO D'AUTORE) fino al diritto a rivendicare la paternità (DIRITTO MORALE D'AUTORE). DIRITTO NELL’ERA DIGITALE 10 TECNOLOGIE DIGITALI La sfida che l’era digitale porta ai modelli tradizionali di tutela del diritto d'autore si sostanzia di 5 aspetti fondamentali: 1) Estrema facilità di riproduzione delle copie dell’opera (c.d. pirateria, ovvero la riproduzione non autorizzata, assume dimensioni notevoli); 2) Impossibilità di distinguere la copia del master sul piano qualitativo; 3) Dematerializzazione della copia; 4) Facilità di distribuzione e comunicazione delle opere; 5) Potere di apertura e chiusura dell’informazione. EVOLUZIONE DEL CONCETTO DI OPERA Il codice civile e la legge sul diritto d'autore non definiscono l’opera dell’ingegno. Le norme di riferimento (art.1, comma1, legge 633/1941 sul diritto d'autore, art. 2575 c.c.) si limitano a riconnettere le opere, qualunque sia il modo o la forma, a determinati campi di produzione dell'ingegno umano quali letteratura, musica, ecc. L’era digitale ha sollecitato un’estensione delle tipologie di opere dell’ingegno protette. Il software è destinato consentire all'uomo di comunicare con la macchina, al fine di far svolgere a quest’ultima determinate funzioni. Il valore del software è legato alla sua funzionalità. L’opera può mutare e accrescere in tempo reale (instabile) come nel caso degli ipertesti, reti di testi la cui consultazione segue i legami, o delle pagine web. EVOLUZIONE DEL CONCETTO DI AUTORE L’utilizzo di tecnologie informatiche nell'attività vede sempre più team o comunità di soggetti che ad esempio sviluppano software open source. In alcuni casi le tecnologie ridefiniscono il rapporto tra autore dell’opera e fruitore della stessa. Nell’ipertesto è il lettore a decidere percorsi, sequenze e gerarchie in base ai suoi interessi divenendo protagonisti. EVOLUZIONE DEI CONCETTI DI CREATIVITA’, ORIGINALITA’ E PLAGIO La digitalizzazione permette di creare nuovi contenuti e nuova conoscenza attraverso combinazioni diverse di elementi e dati noti, la cui possibilità è infinita, e quindi un continuo progresso dell'umanità. Esempio è il Text and Data Mining. FORME DI CREAZIONE COLLABORATIVA E DISTRIBUTIVA La diffusione di modelli innovativi di produzione della conoscenza è favorita da strumenti quali licenze c.d. non proprietarie o aperte e dall’affermarsi dei principi di condivisione della conoscenza tipici del software libero. Un esempio è Linux, un sistema operativo per personal DIRITTO NELL’ERA DIGITALE 11 computer, il cui codice sorgente è disponibile in rete, affinché qualsiasi informatico possa modificarlo o migliorarlo. Wikipedia è un'enciclopedia aperta sviluppata dai lettori. SAMPLING E REMIX Si ha Sampling (pratiche eterogenee) quando si genera, tramite computer, il codice digitale di un determinato brano musicale al fine di incorporare quel codice in una nuova composizione musicale ovvero al fine di combinare il codice binario per creare una nuova combinazione. Tra i due brani può esserci assonanza stretta o totale estraneità. | remix o mashup si basano sulla ricomposizione di sample, campioni, estratti da opere musicali di altri artisti. La generazione cresciuta con le tecnologie digitali non riesce a percepire il disvalore di alcune condotte ritenute illecite dalle leggi sul diritto d’autore delle tecnologie precedenti. PLAGIO E ANTIPLAGIO Le tecnologie digitali modificano anche il concetto di plagio. L'individuazione del confine tra originalità e plagio si presenta come un qualcosa di molto complesso, tant'è che il plagio resta una questione in gran parte etica. Un esempio sono i software antiplagio usati dalle università impiegato nei lavori scritti dagli studenti. MUTAMENTO DELLA STRUTTURA DEL MERCATO Le tecnologie che hanno permesso l’affermarsi delle odierne leggi sul copyright presuppongono l’esistenza di modelli di business che ricorrono a certi intermediari, (es. l'editore, l’impresario, l'impresa discografica, biblioteche pubbliche) il cui ruolo è stato modificato. Tuttavia, Internet rende non più necessario il ricordo agli intermediari tradizionali: l’autore può interagire direttamente o tramite Internet access providers con il fruitore negoziando le modalità di accesso all'opera. La rete ha ampliato il mercato delle opere creative sotto un duplice aspetto spaziale e qualitativo. SI ampliano così le possibilità di diffusione e di sfruttamento economico, ma la proprietà intellettuale accorda ai titolari degli interessi da proteggere una tutela governata dal principio di territorialità, tutela che può rivelarsi illusoria nella dimensione globale. Nel diritto d'autore è evidente il fenomeno della DETERRITORIALIZZAZIONE. La digitalizzazione delle opere ha introdotto nuove modalità di sfruttamento e quindi nuovi mercati. Ad esempio, lo scambio e la fruizione di file in modalità P2P è possibile grazie a nuovi intermediari es. il produttore del software P2P. Un altro esempio è il cloud, dove le funzioni di computazione e memorizzazione dei dati vengono dislocate dalla periferia al centro. QUALE è L’APPROCCIO MIGLIORE PER PROTEGGERE LE OPERE CREATIVE? Un modo sarebbe il DOMINIO PUBBLICO PAGANTE, in cui il titolare del copyright ha diritto al pagamento di un prezzo per la fruizione dell’opera, ma non può inibire la riproduzione della stessa. L’enforcement del diritto d'autore genera un impatto pesantissimo su alcuni diritti fondamentali come la privacy e la protezione dei dati personali. Assume rilevanza l’accesso alle opere o a porzioni specifiche grazie a modalità relative a rapporti negoziali e a standard DIRITTO NELL’ERA DIGITALE 12 dovuto contare su alcune libertà fondamentali che sono così espresse sul sito ufficiale di riferimento: -Libertà di eseguire il programma per qualsiasi scopo: - libertà di studiare come funziona il programma è adattarla alle proprie necessità; -l'accesso al codice sorgente né un prerequisito; -libertà di ridistribuire copie in modo da aiutare il prossimo; -libertà di migliorare il programma e distribuirne pubblicamente miglioramenti da voi a portati. c) Creative Commons licenses. La logica del copyleft si sta diffondendo anche alla produzione diffusione di contenuti digitali diversi dal software come l'iniziativa denominata Creative Commons, che una non-profit Corporation fondata Negli Stati Uniti grazie all'impulso di giuristi, scienziati informatici e altri rappresentanti del mondo della cultura dell'imprenditoria. lo scopo è quello di propiziare la condivisione e la rielaborazione di opere dell'ingegno nel rispetto del copyright. la peculiarità delle licenze Creative Commons non sta solo nella loro articolazione e modularità il fatto di essere espresso in tre forme differenti: 1. legal code, versione che dette i termini della licenza del linguaggio tecnico giuridico; 2. il Commons Deed che riassume in un linguaggio semplificato e per i simboli contenuti del documento negoziale; 3. il digital code, che identifica la licenza mediante metadati gestibili attraverso sistemi informatici. 3.2 Le norme sociali le norme sociali contano anche nell'ambito della proprietà intellettuale e del diritto d'autore. Le norme sociali contano anche nell'ambito dello scambio non autorizzato di file protetti da copyright sulle reti di file sharing peer to peer. In questo caso rileva il rapporto tra norma sociale forma di controllo dell'informazione digitale e legge forme di controllo dell'informazione digitale. malgrado la legge dichiara illecito questo tipo di file sharing, molte persone che lo pratico no sono convinte di essere nel giusto di rap presentare il comportamento della maggioranza. Nell'ambito del file sharing la sussistenza di norme sociali sembra influenzare gli effetti l'efficacia delle strategie di contrasto ai comportamenti illeciti. 3.3 La tecnologia come forma di controllo dell'informazione digitale Sono molte le tecnologie digitali impiegate nel campo del diritto d'autore: a) misure tecnologiche di protezione. Il controllo dell'informazione contenuta nelle opere dell'ingegno ha sempre fatto leva sulla tecnologia, tuttavia, la vera rivoluzione del DIRITTO NELL’ERA DIGITALE 15 controllo basato sulla tecnologia avviene con l'informatica. la crittografia digitale consente di costruire software per il controllo dell'accesso e dell'uso di qualsiasi opera espressa in codice binario punto la legislazione si riferisce a questo tipo di tecnologia come a misure tecnologiche di protezione (MTP) digital Rights management (DRM). È utilizzato come sinonimo di MTP digitali poste a protezione dell'accesso e dell'uso del contenuto punto un secondo significato identifica b la versione più moderna e sofisticata delle MTP, che sta nel fatto che esse sono innervate nell'architettura del sistema di trasmissione e fruizione dell'informazione digitale. Facendo leva soprattutto sulla crittografia providers possono distribuire proprio contenuti decidendo a Monte dove, come e quando essi possono essere fruiti. si può decidere che quel file può essere letto solo con alcuni apparecchi. Il DRM è ampiamente diffuso, mira a tradurre le regole contenute nelle licenze d'uso in un linguaggio che sia comprensibile le macchine punto si tratta in altri termini della più avanzata forma di automazione del contratto punto la violazione delle regole incorporate dal DRM è assistita da sofisticate protezione tecnologiche. La tutela giuridica è sostituita da un’autotutela tecnologica in grado di individuare, tracciare e punire coloro i quali violano le regole incorporate nella macchina. c) blockchain smart contract. entrambi possono incidere sulla registrazione delle opere un sistema aperto di DRM, sull’automazione delle licenze, sulla riduzione del ruolo delle società di gestione collettiva, è solo identificazione delle opere orfane, opere per le quali titolare dei diritti risultano non identificabili o non rintracciabili. 3.4 La legge in relazione con altre forme di controllo dell'informazione digitale Ridefinizione del diritto di esclusiva. la formulazione originaria dell'articolo 13 della legge 633/1941 era la seguente: il diritto esclusivo di riprodurre per oggetto la moltiplicazione in copie dell'opera con qualsiasi mezzo, come la copiatura a mano, la stampa, la litografia, la incisione, la fotografia, la fonografia, la cinematografia e ogni altro procedimento di riproduzione. La nuova formulazione, risultato dell'attuazione della direttiva 29/2001 è la seguente: il diritto esclusivo di riprodurre per oggetto la moltiplicazione in copia diretta o indiretta, DIRITTO NELL’ERA DIGITALE 16 temporanea o permanente virgola in tutto in parte dell'opera virgola in qualunque modo forma #####. Il rafforzamento del diritto di riproduzione rende problematica la disciplina delle eccezioni e limitazioni punto un esempio emblematico della difficoltà a disciplinare la materia viene dalla recente regolamentazione da parte degli articoli 3 e 4 della direttiva 2019/790 sul diritto d'autore nel mercato unico digitale dell'eccezione e limitazioni in materia di text e in data mining (TDM). Per questo per sgomberare il campo dai dubbi, il legislatore europeo ha inserito delle eccezioni e limitazioni riguardanti il TDM. una seconda via di rafforzamento del diritto di esclusiva riguarda la facoltà ho diritto di distribuzione. Nell'unione europea il par due dell'articolo quattro della direttiva 29/2001 così si esprime: il diritto di distribuzione dell'originale o di copia dell'opera non si esaurisce nella comunità, tranne nel caso in cui la prima vendita o il primo altro trasferimento di proprietà nella comunità di detto oggetto sia effettuata dal titolare del diritto o con il suo consenso. La questione dell'esaurimento del diritto non si pone nel caso di servizi, soprattutto di servizi online. Ciò vale anche per una copia tangibile di un'opera o di altri materiali protetti realizzata da un utente tale servizio con il consenso del titolare del diritto. Perciò lo stesso vale per il noleggio e il prestito dell'originario delle copie di opere o altri materiali protetti che sono prestazioni in natura. Diversamente dal caso decidi rom nel quale la proprietà intellettuale è incorporata in un supporto materiale, cioè in un bene, ogni servizio online è di fatto un atto che dovresti sottoposto ad autorizzazione se il diritto d'autore e diritti connessi lo prevedono. il quesito che si pone è se il principio dell'esaurimento sussista quando si acquistano copie digitali attraverso Internet. La Corte di giustizia conclude nel senso di ritenere sussistente il principio dell'esaurimento anche se si tratta di copie digitali trasmesse per via telematica punto la premessa è che al di là del nome licenza d'uso dato dal titolare del copyright al contratto, la sostanza negoziale corrisponde a quella della vendita: a fronte del pagamento del prezzo l'utente riceve un diritto di uso permanente sulla copia del software La Corte inoltre ricorda che l'obiettivo del principio dell'esaurimento del diritto di distribuzione delle opere protette dal diritto d'autore è quello di limitare le restrizioni alla distribuzione delle opere stesse quando necessario per proteggere l'oggetto specifico della proprietà intellettuale. La Corte di giustizia si è espressa recentemente in senso opposto con riferimento ai libri elettronici. si tratta del caso Tom Kabinet deciso a dicembre del 2019. in questa sentenza la Corte conclude affermando quanto segue: la fornitura al pubblico, mediante download virgola di un libro elettronico per un uso permanente rientra nella nozione di comunicazione al pubblico e più in particolare in quella di messa a disposizione del pubblico in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente. DIRITTO NELL’ERA DIGITALE 17 pubblicazione. non si applica agli utilizzi privati o non commerciali, ai collegamenti ipertestuali, o l'utilizzo di singole parole o di estratti molto brevi. e evidente il tentativo di riservare al titolare del diritto d'autore il maggior potere di controllo possibile. Diritto di credito relativo una percentuale del prezzo di rivendita di apparecchi e supporti (compenso per la riproduzione privata). si preferito introdurre un regime in base al quale ad autori editori competi un diritto di credito-indicato dalla nostra legge come diritto a un equo compenso-verso produttori e importatori di supporti di registrazione audio e video di apparecchi di registrazioni amministrato da società di gestione collettiva dei diritti come la SIAE. In particolare, una percentuale del prezzo di acquisto di apparecchi e supporti per la copia privata viene attribuita alla comunità degli autori e degli editori. La responsabilità degli Internet service providers (leggere sul libro pag 224) Il conflitto fra diritto d'autore protezione dati personali. Alcune imprese titolari di diritti d'autore su repertori di opere musicali si servono di altre imprese virgola che forniscono, mediante utilizzo di appositi software, servizi di monitoraggio delle reti P2P, al fine di individuare memorizzare elementi che comprovino le violazioni dei propri diritti e l'individuazione dei responsabili della rivelazione. tali software sono in grado di tracciare memorizzare una serie di informazioni, tra le quali gli indirizzi IP relative alle presunte attività illecite. una volta ottenute le informazioni le imprese titolari dei diritti d'autore richiedono agli Internet service providers coinvolti nel traffico P2P di rivelare l'identità l'indirizzo fisico delle persone titolari delle utenze telefoniche associabile agli indirizzi IP tracciati. In Europa queste azioni si basano sulla direttiva 2004/48/CE sul rispetto dei diritti di proprietà intellettuale. (approfondimento pagine 229) Il conflitto del diritto d'autore con la libertà di informazione di iniziativa economica. Nei casi Scarlett e Netlog la Corte di Lussemburgo ha stabilito che il quadro del diritto dell'unione europea deve essere interpretato nel senso che osta l'ingiunzione a un fornitore di accesso a Internet di predisporre un sistema di filtraggio: a) di tutte le comunicazioni elettroniche che transitano per i suoi servizi in particolare mediante programmi per; b) che si applica indistintamente tutta la sua clientela; c) a titolo preventivo; d) a sue spese esclusive; e) senza limiti nel tempo fino a identificare nella rete di tale fornitore la circolazione di file contenenti un'opera musicale, cinematografica o audiovisiva rispetto alla quale richiedendo e fermi di DIRITTO NELL’ERA DIGITALE 20 vantare diritti di proprietà intellettuale, onde bloccare il trasferimento di file scambio pregiudichi il diritto d'autore. La nuova direttiva sul diritto d'autore nel mercato unico digitale e la responsabilità di prestatori di servizi di condivisione di contenuti online. l'articolo 17 della direttiva 790/2019 costituisce la più rilevante la più contestata a disposizione dei nuovi interventi legislativi nel campo del diritto l'odore. si inserisce in un processo di inasprimento della responsabilità delle piattaforme che avviene sacrificando il divieto di monitoraggio generalizzato e la libertà di singoli individui di pubblicare i contenuti online. individua un'ampia categoria di prestatori di servizio di condivisione di contenuti online, bersaglio più grosso è rappresentato da YouTube e Facebook. la radio che dovrebbe giustificare l'inasprimento della responsabilità starebbe nel value gap, cioè il differenziale tra il valore che le piattaforme di condivisione estraggono dai contenuti creativi e i ricavi effettivamente introitati dai titolari dei contenuti. La norma stabilisce che il prestatore di servizi di condivisione di contenuti online effetti un atto di comunicazione al pubblico ho un atto di messa a disposizione del pubblico quando concede l'accesso al pubblico a opere protette dal diritto d'autore o altri materiali protetti caricati dai suoi utenti. di conseguenza pone una responsabilità diretta del provider per violazione del diritto d'autore escludendo l'applicabilità dell'esenzione di responsabilità previste dalla direttiva sul commercio elettronico per gli ISP. l'articolo 17 prevede che le piattaforme devono ottenere l'autorizzazione dei titolari oppure dimostrare di: a) aver compiuto i massimi sforzi per ottenere un'autorizzazione; b) aver compiuto secondo elevati standard diligenza professionale di settore i massimi sforzi per assicurare che non siano disponibili opere o altri materiali specifici per i quali abbiamo ricevuto le informazioni pertinenti e necessarie dai titolari di diritti; c) aver agito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente motivata dai titolari dei diritti, per disabilitare l'accesso a rimuovere dai loro siti web le opere o altri materiali oggetto di segnalazione e aver compiuto i massimi sforzi per impedirne il caricamento in futuro (conformemente alla lettera b) Tutela delle misure tecnologiche di protezione. La prima rilevante forma di tutela giuridica delle misure tecnologiche di protezione si deve ai World intellectual property Organization. i legislatori statunitensi ed europei hanno dato attuazione al mandato internazionale emandando rispettivamente il digital Millennium copyright Act del 1998 e la direttiva 2001/29/Ce. Semplificando, il nucleo comune delle norme sta nel triplice divieto: 1. delusione delle MTP delle opere; 2. di produzione diffusione di tecnologie principalmente finalizzate all'elusione delle MTP delle opere; DIRITTO NELL’ERA DIGITALE 21 3. di rimozione o alterazione delle informazioni sul regime dei diritti. Le norme sulla tutela giuridica delle MTP hanno trovato applicazione al caso della modificazione delle console per i videogiochi-Sony playstation, Nintendo. #*#*#** altri approfondimenti pagina 232. Imposizione di standard tecnologici. invece che disciplinare indirettamente la produzione della tecnologia attraverso norme come la responsabilità indiretta per violazione del copyright o per la produzione tecnologia prevalentemente elusive, lo stato può, attraverso leggi e regolamenti, imporre standard tecnologici. 4.Le metamorfosi del diritto d'autore In sintesi, l'avvento dell'era digitale comporta quanto segue: - il modello tradizionale di diritto d'autore entra in crisi; - cambiano le fonti di riferimento; assumono importanza crescente il contratto alla tecnologia; - muta la tutela del diritto d'autore; la tecnologia rappresenta oltre che una minaccia anche una forma di tutela; - le tecnologie digitali ridisegnano le categorie concettuali del diritto d'autore; fanno evolvere i concetti di opera, di autore virgola di creatività virgola di plagio; - nell'era digitale del diritto d'autore si trasforma concettualmente nel controllo delle informazioni, basata sul controllo delle macchine, dei dati e delle reti; - il controllo delle informazioni chiama in gioco un delicato bilanciamento tra diritto d'autore altri diritti fondamentali quali il diritto alla privacy e la tutela dei dati personali, libertà di comunicare e ricevere informazioni, la libertà di impresa IL COPYRIGHT LE ORIGINI Le prime forme di copyright risalgono al XV secolo con l'invenzione della stampa. Solo gli editori e gli stampatori godevano di questa tutela volta ad evitare un danno economico a loro carico essendo gli unici detentori del manoscritto originale. DIRITTO NELL’ERA DIGITALE 22 Però nel corso degli anni si è assistito ad un prolungamento della tutela del diritto d’autore. Inizialmente era 14 anni, diventati poi 50, fino agli attuali 70. Dopo i 70 anni l’opera può essere pubblicata senza però ledere la reputazione dell'autore. QUANTO COSTA LA REGISTRAZIONE? Registrare copyright ha costi variabili in funzione dell’opera creativa che si vuole tutelare. Ad esempio, se bisogna registrare copyright di una canzone, vanno compresi musica e spartiti. Se invece si vuole depositare copyright di un libro vanno considerati la copertina, testi e titolo. ATTENZIONE! VIOLAZIONE COPYRIGHT PER .. 1.Plagio. 1.Riproduzione dell’opera a fini commerciali. 1.Modifica dell’opera. IL CASO SPOTIFY Vede coinvolti: 1.Wixen Music Publishing 2.Spotify (Il provider di licenze e diritti d'autore Harry Fox Agency) 3 GENNAIO 2018 L’accusa a Spotify è quella di “utilizzare migliaia di canzoni senza la licenza corretta“e di “non riconoscere il necessario compenso al detentore dei diritti” in quanto “Spotify non fa abbastanza per identificare i corretti detentori dei diritti delle canzoni quando li acquista dalle etichette discografiche“ dal momento che, essendo impegnata in una corsa per essere la prima sul mercato, ha messo in atto sforzi insufficienti per collezionare le informazioni musicali necessarie. Di conseguenza, ha spesso fallito ad ottenere le licenze di ogni registrazione o sottostare ai requisiti della sezione 115 del Copyright Act. La Wixen afferma anche che la HFA sia “mal equipaggiata per ottenere tutte le necessarie licenze”. La Wixen Music Publishing chiede a Spotify una somma pari a 1,6 miliardi di $ di risarcimento. Non è dato a sapere a quanto ammonti la somma pagata da Spotify per porre fine al procedimento, ma stando a quanto comunicato dall'azienda ai suoi azionisti la somma è da ritenersi in ogni caso inferiore rispetto a quelle chiesta inizialmente. DIRITTO NELL’ERA DIGITALE 25 o I UNA DEFINIZIONE Non è facile reperire una definizione univoca di Internet degli oggetti. Uno studioso appena una decina di anni fa la definiva come un'architettura globale dell'informazione basata su Internet su strumenti contrassegnati da un tag RFID identificazione radiofrequenza virgola che facilita lo scambio di beni e servizi nelle reti della catena di approvvigionamento globale. Dal 2012 è invece la definizione del ITU; un'infrastruttura globale per la società dell'informazione virgola che consente ai servizi avanzati grazie all'interconnessione di oggetti fisici e virtuali passati su tecnologie interoperabilità informazione e comunicazione esistenti e in evoluzione. Secondo ISOC, 2015, Internet of things individua l'estensione della connettività di rete della capacità di elaborazione a oggetti, dispositivi, sensori e i items che normalmente non sono considerati computer. Questi oggetti intelligenti richiedono un intervento umano minimo per generare, scambiare e impiegare dati. la difficoltà di definire l'internet degli oggetti alimentata dal fatto che essa si evolve man mano che emergono nuovi paradigmi come cloud computing, big data, social networking e continua ad evolversi quando altri ritrovati appariranno all'orizzonte. APPLICAZIONI E PROBLEMATICHE GIURIDICHE Le applicazioni loT sono tantissime. Si pensi alla tracciabilità di prodotti farmaceutici di consumo o all'utilizzo da parte di società di servizi del settore energico di sistemi intelligenti di misurazione dell'elettricità, o ancora i vantaggi in termini di aumento dell'efficacia del ciclo produttivo derivante da un più facile scambio di informazioni consentito dagli oggetti intelligenti. Ma la domotica, la building automation, la robotica, le auto senza guidatore, le smart City, le smart farms e molti altri in realtà non sarebbero immaginabili senza l'Internet of Things. dolo Smart building e il sistema di automazione che aiuta a gestire intempo reale, sicurezza, risparmio energetico e controllo degli edifici con semplicità. Attraverso un'interfaccia web based. Smart road > decreto 28 febbraio 2018: Il Decreto, si sviluppa su due direttrici principali: (1) la realizzazione di “strade connesse”, attraverso una serie di strumenti debitamente elencati e definiti dalla novella normativa, e (2) l'introduzione e la sperimentazione del SELF DRIVING CAR, disciplinato da disposizioni particolarmente puntuali e stringenti. Viene innanzitutto cristallizzata la definizione di Smart road; l'art. 2 del Decreto la definisce come “infrastruttura stradale per le quali è compiuto un processo di trasformazione digitale orientato a produrre piattaforme di osservazione e monitoraggio del traffico, modelli di elaborazione dei dati e informazioni, servizi avanzati ai gestori delle infrastrutture, alla pubblica amministrazione e agli utenti della strada”. L’Allegato Tecnico al Decreto Smart Road, proprio al fine di creare “un’ecosistema tecnologico favorevole per l’interoperabilità tra infrastrutture e veicoli di nuova generazione, per l'adeguamento delle infrastrutture alle DIRITTO NELL’ERA DIGITALE 26 nuove richieste di mobilità da parte dei viaggiatori e per la realizzazione di servizi innovativi”, descrive ed elenca, in maniera dettagliata, le specifiche tecniche e funzionali che dovranno necessariamente essere installate per garantire il funzionamento del sistema di connettività stradale. I sistemi di connessione, nello specifico, si declineranno nella realizzazione di punti di accesso HOTSPOT WI- FI peri cittadini all’interno delle aree di sosta, misure per la comunicazione di dati ad elevato BIT-RATE, servizi per lo sviluppo del c.d. INTERNET OF THINGS loT e sistemi di rilevazione del traffico e del meteo capaci di fornire previsioni a medio-breve termine, dando la possibilità al gestore/concessionario dell’infrastruttura de qua di evitare congestioni e di deviare il traffico — se necessario — sulla rete stradale secondaria. Inoltre, i veicoli “driverless” potranno essere sperimentati sulle strade pubbliche dai costruttori, dagli istituti universitari e dagli enti di ricerca previamente autorizzati dal Ministero delle Infrastrutture e dei Trasporti. Ai sensi degli artt. 9 e 11 del Decreto, l'istanza di autorizzazione dovrà obbligatoriamente indicare (i) il proprietario del veicolo ai fini della responsabilità civile; (ii) gli ambiti stradali oggetto della sperimentazione; (iii) la documentazione atta a comprovare il nulla osta da parte dell’ente proprietario della strada (iv) le condizioni esterne, metereologiche e di visibilità delle condizioni delle strade e del traffico in cui la sperimentazione può essere effettuata. Per garantire la piena sicurezza delle operazioni di sperimentazione del SELF DRIVING CAR, è richiesta dal Decreto anche la dimostrazione documentale dell'idoneità del veicolo alla gestione di situazioni di guida tipiche e alla interazione con gli utenti stradali, la descrizione dei rischi connessi all’uso del veicolo e le relative contromisure previste, le protezioni di sicurezza per impedire accessi non autorizzati ai sistemi informatici interni, e — ai sensi dell’art. 19 del Decreto — la conclusione di un contratto di assicurazione specifico per i veicoli DRIVERLESS. SMART CITIES > si intende quel luogo o contesto territoriale ove l'utilizzo pianificato e sapiente delle risorse umane e naturali, opportunamente gestite e integrate mediante le numerose tecnologie ICT già disponibili, consente la creazione di un ecosistema capace di utilizzare al meglio le risorse di fornire servizi integrati e sempre più intelligenti. “La città intelligente è l'insieme di strategie di pianificazione urbanistica volte all’ottimizzazione e all'innovazione dei servizi pubblici per mettere in relazione le infrastrutture delle città con il capitale umano, intellettuale e sociale di chi le abita attraverso l’uso delle nuove tecnologie”. La definizione di smart city parte quindi dalla digital transformation e dall'utilizzo della tecnologia loT -— Internet of Things nelle diverse sfere della Pubblica Amministrazione: trasporti pubblici e mobilità; gestione e distribuzione dell'energia; illuminazione pubblica; sicurezza urbana; gestione e monitoraggio ambientale; gestione dei rifiuti; manutenzione e ottimizzazione degli edifici pubblici come scuole, ospedali, musei ecc.; sistemi di comunicazione e informazione e altri servizi di pubblica utilità. Il significato di smart è però molto ampio. Smart city fa riferimento sì a una città intelligente, ma soprattutto a una città sostenibile, efficiente e innovativa, una città in grado di garantire un’elevata qualità di vita ai suoi cittadini grazie all'utilizzo di soluzioni e sistemi tecnologici connessi e integrati tra loro. DIRITTO NELL’ERA DIGITALE 27 UD COMPUTING DGE COMPUTIG Il cloud computing è un modello che consente l'accesso costante e a domanda ad un insieme condiviso di risorse di elaborazione configurabili ad esempio reti server, applicazioni e servizi che può essere rapidamente fornito e rilasciato con il minimo sforzo di gestione o interazione con i fornitori di tali servizi. Ha 5 caratteristiche essenziali: 1) On demand self-service: l'utente può fruire di funzionalità di elaborazione come il tempo del server all'archiviazione di rete in maniera automatica secondo necessità senza richiedere interazione umana con ciascun fornitore di servizi; 2) Broad network Access: le funzionalità sono disponibili sulla rete sono accessibili tramite meccanismi standard che ne consentono l'uso da parte di piattaforme client eterogenee; 3) Resource pooling: le risorse informatiche del provider sono raggruppate per servire più utenti contemporaneamente con diverse risorse fisiche e virtuali assegnate dinamicamente in base alla domanda degli stessi utenti. il cliente non ha alcun controllo conoscenza sulla posizione esatta delle risorse fornite; 4) Rapid elasticity: le capacità possono essere fornite e liberate elasticamente in alcuni casi automaticamente, per ridimensionarsi rapidamente verso l'esterno e verso l'interno in ragione della domanda 5) Measured service: i sistemi cloud controllano e ottimizza automaticamente l'uso delle risorse sfruttando una capacità di misurazione a un certo livello di astrazione adeguato al tipo di servizio, garantendo trasparenza sia per il fornitore sia per utente del servizio. Forniti dai cloud possono essere ricondotti a tre possibili modelli. 1) software asa service. l'utente può utilizzare le applicazioni del provider vengono eseguiti sulla infrastruttura cloud, le applicazioni sono accessibile da vari dispositivi client come browser web o e-mail fruibile via web. 2) platform asa service. l'utente può eseguire l'infrastruttura cloud applicazioni create acquisiti dallo stesso utente utilizzando linguaggi di programmazione, librerie, servizi e strumenti supportati dal provider. l'utente non gestisce né controlla l'infrastruttura cloud ma il controllo sulle applicazioni distribuite. 3) Infrastructure as a service. all'utente vengono fornite capacità di elaborazione, archiviazione, reti altre risorse informatiche grazie alle quali egli in grado di distribuire ed eseguire software di qualsiasi tipo inclusi sistemi operativi e applicazioni. DIRITTO NELL’ERA DIGITALE 30 Per quel che riguarda la distribuzione sono possibili i seguenti modelli. a) private cloud. l'infrastruttura cloud è predisposta per l'uso esclusivo da parte di un'unica organizzazione comprendente più utenti. b) community cloud. l'infrastruttura cloud è usata in via esclusiva da una specificità comunità di utenti o di organizzazioni che hanno interessi condivisi. c) public cloud. L'infrastruttura cloud è predisposta per l'uso aperto da parte del pubblico. Può essere di proprietà, gestite resa operativa da un'organizzazione aziendale, accademica o governativa. d) Hybrid cloud. l'infrastruttura cloud è una composizione di due più infrastrutture cloud distinte quindi privata, pubblica, comunitaria che sono unite da una tecnologia standardizzata o proprietaria che consente la portabilità dei dati e delle applicazioni. Un'evoluzione recente dei sistemi di elaborazione cloud è rappresentata dal Edge computing. Esso si sostanzia nel posizionamento della capacità di elaborazione di archiviazione vicino o nei luoghi in cui tali sistemi interagiscono con il mondo fisico. Una delle tendenze è lo sviluppo di dispositivi dell'internet of think come sensori e attuatori che generano più dati o nuovi tipi di dati. Il cloud computing è comunemente usato in sistemi basati su approcci di Edge computing. Ciò può portare la connessione dei dispositivi e dei nodi a servizi cloud centralizzati. DIRITTO NELL’ERA DIGITALE 31 Le Problematiche giuridiche I profili contrattuali. i servizi cloud vengono forniti all'utente da parte dei cloud service providers (CSP) attraverso la stipulazione di un contratto. Prendendo ad esempio il caso di Aruba troviamo che l'utente deve accettare i seguenti documenti: a) condizioni di fornitura, contengono le politiche gli accordi che sono stipulati tra l'azienda e cliente. sono espressi gli obblighi e i diritti di entrambe le parti. il contratto si perfeziona la data del corretto e puntuale ricevimento da parte del CSP del modulo d'ordine compilato e accettato dal cliente. b) service level agreement, delinea gli impegni che il CSP prende verso il cliente in merito alla qualità del servizio c) policy di utilizzo dei servizi, descrivere i comportamenti cui si deve attenere il cliente per un corretto utilizzo del servizio. la mancata ottemperanza comporta l'immediata sospensione interruzione del servizio. d) privacy policy, descrivere modi tempi e procedure sul trattamento dei dati dei clienti in osservanza delle leggi vigenti e) codice di condotta, riguarda la protezione dei dati e prevede la possibilità di trattare salvare i propri dati esclusivamente all'interno dei territori UE/SEE. f) il contratto di cloud computing è un contratto di servizi. Il trattamento dei dati. nei cloud vengono trattati e conservati i dati. non a caso la privacy policy è uno dei documenti che compongono la complessa fattispecie contrattuale. Sicurezza e responsabilità. || CSP deve assicurare la sicurezza dei dati in quanto dal mancato rispetto di questo compito possono nascere i profili di responsabilità. i cloud computing ha assunto un ruolo di primaria importanza anche nel contesto delle politiche della commissione europea. Il cloud offre numerosi vantaggi agli utenti. esso però si muove un po nella direzione opposta a quella dell'internet delle origini basate sull'idea di rete decentrata. Questi siamo al fenomeno opposto, ovvero l'accorpamento e la centralizzazione delle risorse che non sono più nella disponibilità concreta dell'utente. questo può generare chiusura dei sistemi che diventano via via proprietari. DIRITTO NELL’ERA DIGITALE 32 BLOCKCHAIN E SMART CONTRACT DEFINIZIONE Le Blockchain o (Distributed ledger Technologies) rappresentano una nuova frontiera dell’era digitale destinata ad avere un impatto molto significativo in diversi ambiti, in particolare costituiscono le tecnologie alla base delle monete digitale (criptovalute). La Blockchain è un registro condiviso e immutabile che facilita il processo di registrazione delle transazioni e di tracciamento degli asset in una rete di business. La blockchain è stata inventata nel 1991 da uno di ricercatori americani (Stuart Haber e W. Scott Stornetta). Era stata ideata per vidimare i documenti digitali, in modo che non fosse possibile retrodatarli o manometterli. TERMINOLOGIA E FUNZIONAMENTO DELLA BLOCKCHAIN Per comprendere il funzionamento di una blockchain è bene premettere alcune definizioni tratte dagli standard ISO. ® Ledger(libro mastro, registro) : archivio di informazioni che mantiene traccia di transazioni concluse , definitive e immutabili. ® Ledgerrecord: un record che contiene stringhe crittografiche di dati relativi a transazioni registrate in un sistema ledger distribuito o blockchain. ® Distributed ledger (registro distribuito): un registro condiviso su un insieme di nodi DLT e sincronizzato tra i nodi DLT attraverso meccanismo di consenso. e DLTaccount: rappresentazione di un’entità che partecipa a una transazione (smart contract) * DLTNode-DLT Oracle - DLT Platform. e Rewardsystem: meccanismo di incentivo per offrire una ricompensa per attività legate alle operazioni di un sistema di ledger distribuito (es : block reward). e Mining:attività di creazione e validazione di record o blocchi di un ledger in un meccanismo di consenso. e Minerun nodo DLT impegnato in attività di mining. La blockchain, dunque, è una tecnologia che ha come obiettivo quello di «disintermediare» i rapporti commerciali. Si basa su una serie di «registri distribuiti» tali da consentire la registrazione, la convalida, l'aggiornamento e l'archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili. Funzione crittografica di Hash: una funzione matematica che converte stringhe binarie di lunghezza arbitraria in stringhe binarie di lunghezza fissa, in modo che sia computazionalmente costoso trovare per un dato output un input che produca quell’output. Link crittografico: che utilizza una funzione crittografica di Hash. Block: una struttura di dati che comprende block header e block data. Consenso: accordo tra i nodi di un DLT che 1) transazione è validata e 2) il registro distribuito contiene un insieme e un ordinamento coerenti di transazioni validate. Asset digitale: asset che esiste solo in forma digitale o che è la rappresentazione digitale di un altro asset. Token: asset digitale che rappresenta un insieme di diritti. Transazione: piccola unità di un processo di lavoro che è caratterizzata in una o più sequenze di azioni richieste per produrre un risultato che sia conforme alle regole che governano il processo di lavoro. Smart contract (contratto intelligente): il programma di un computer archiviato in un sistema di registro distribuito in cui il risultato di ogni esecuzione del programma è registrato nel registro distribuito (es potrebbe rappresentare le clausole di un contratto giuridicamente vincolante e creare obbligo giuridico). DIRITTO NELL’ERA DIGITALE 35 Definizione giuridica di DLT art 8-ter d.|. 135/2018: si definiscono tecnologie basate sui registri distribuiti, le tecnologie e protocolli informatici che usano un registro condiviso, distribuito , replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione , la convalida, l'aggiornamento e l'archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante , non alterabili o modificabili. L'esempio più significativo di registro distribuito è rappresentato dalla blockchain usata da Saatoshi Nakamoto per creare i Bitcoin nel 2009. Tecnicamente una blockchain è una catena di blocchi contenente informazioni. Ogni blocco della catena contiene fondamentalmente tre elementi: 1. dati memorizzati in quel blocco (il tipo di dati contenuti in quel blocco dipende dal tipo di blockchain). La blockchain di Bitcoin, ad esempio, memorizza i dettagli di una transazione come mittente, destinatario e quantità di monete. 2. Hash:una stringa di numeri e lettere che identifica quel blocco e il suo contenuto, e che è sempre unica (impronta digitale). 3. Hash del blocco precedente: è questo Hash che dà origine alla catena, ed è questo che rende la blockchain così sicura. TUTELA PRIVACY | dati registrati o inviati all’interno della blockchain sono protetti da crittografia asimmetrica: ogni transazione registrata su blockchain è crittografata e solo il suo destinatario è in grado di decriptarla. In questo modo la blockchain non necessita di attuare particolari sistemi di sicurezza per "difendere" un dato, in quanto questo viene reso indecifrabile da tutti coloro che non sono autorizzati a farlo. Esempio * Abbiamo due persone: Ae B. A vuole inviare un documento di testo a B, ma vuole tutelarne la privacy. A decide allora di utilizzare la crittografia asimmetrica. Si serve quindi della chiave pubblica di B per criptare il suo messaggio. Il documento così criptato può essere decifrato solo da B. RETE E NODI Un altro elemento che contribuisce alla sicurezza della blockchain è il suo carattere decentrato in quanto per gestire una catena usano una rete peer-to-peer. Quando qualcuno si unisce a questa rete ottiene la copia completa della blockchain. Tutti i nodi della rete creano consenso e sono d’accordo su quali blocchi sono validi e quali no. Sulla blockchain si può far leva per raggiungere obiettivi come l'autenticazione, l'autorizzazione, la responsabilità, la sicurezza, l'integrità, la confidenzialità di specifiche applicazioni. Nella rete peer-to-peer esistono due nodi: i nodi miner che hanno il compito di verificare, autorizzare e valorizzare i blocchi che contengono le transazioni effettuate nella rete; i nodi normali che conservano nei loro registri la storia completa della blockchain e operano il coordinamento delle transazioni che sono autenticate dai nodi miners nella rete. Nel modello standard della rete basata sulla blockchain figura il meccanismo di consenso, che serve a validare una transazione affinché possa essere aggiunta alla blockchain. Il business dipende dalle informazioni. Più sono rapide e accurate, meglio è. La blockchain è ideale per offrire queste informazioni perché fornisce informazioni immediate, condivise e completamente trasparenti archiviate in un registro immutabile a cui possono accedere solo i membri di rete autorizzati. Altri ambi li applicazione della blockchain oltre ai Bitcoin: * Supply chain (digitalizzazione di un bene fisico, associandogli un codice e registrando sulla blockchain tutte le informazioni come prezzo, data, qualità) * Agrifood * Compravendita immobiliare * Sanità (archiviazione cartelle cliniche, immagazzinare i dati medici personali in una blockchain sotto l'esclusivo controllo del proprietario) , molto simile alla gestione dell’identità. *. Assicurazioni * Banche e Finance * Scuola e mondo accademico DIRITTO NELL’ERA DIGITALE 36 * Smart Grid. È una tipologia di Blockchain applicata al sistema di distribuzione dell'elettricità .Un particolare contatore registra l'importazione di elettricità e la sua eventuale produzione e trasferimento e la converte in token che vengono conservati nel wallet dell’utente. Grazie all'assenza dell’intermediario l'utente sarebbe libero di scegliere tramite SC in ogni momento a quale fornitore attingere in base alle proprie esigenze in quell’istante, senza vincoli burocratici di recesso contrattuale. Lo scambio di energia prodotta e consumata localmente permetterebbe di limitare perdite e costi dovuti al trasporto su lunghe distanze e soprattutto sovraccarichi della rete. * Pubbliche Amministrazioni * (utilizzo del voto elettronico per eleggere rappresentanti politici, voto sicuro, singolo, anonimo) GLI SMART CONTRACT Si definisce “smart contract” un programma per elaboratore che opera su tecnologie basate sui registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse. Gli smart contract soddisfano il requisito della forma scritta previa identificazione informatica delle parti interessate, tramite un processo che i requisiti fissati dell'Agenzia per L'Italia digitale. ESEMPIO PRATICO Il cliente ha la possibilità di acquistare, in pochi click, un prodotto complementarmente digitale e innovativo conoscendo già l'importo che gli verrà rimborsato se si dovessero verificare eventi come maltempo , ritardo volo o nella consegna del bagaglio. L’assicurato non deve aprire il sinistro per ottenere il rimborso in quanto questo verrà corrisposto in automatico dallo smart contract al verificarsi degli eventi previsti in contratto. Tutte le clausole sono dunque registrate nella blockchain e sono convertite in programmi per computer. Uno SC è la traduzione in codice di un contratto. Se si verificano determinate condizioni, il programma eseguirà un’azione prestabilita. Non lascia spazio quindi ad interpretazioni soggettive o a corruzione, a fronte di un determinato input il programma restituirà un output prestabilito. IL CICLO DI UNO SMART CONTRACT 4 FASI: 1) La Creazione. Dopo la negoziazione delle parti si giunge al testo contrattuale scritto in linguaggio naturale che gli ingegneri del software convertono in un linguaggio di programmazione per le macchine 2) La Distribuzione. Una volta validati i contratti, non più modificabili vengono distribuiti sulla blockchain e tutte le parti possono accedervi tramite essa. 3) L’esecuzione. Le clausole vengono costantemente monitorate e quando è il momento la loro esecuzione scatta in automatico 4) Completamento. Dopo l'esecuzione del contratto gli stati di tutte le parti vengono aggiornati e vengono sbloccati gli asset (ad esempio fondi) che erano stati vincolati in vista dell’esecuzione stessa ESEMPI Ma come fa lo smart contract (sistema chiuso) a sapere quando un volo è in ritardo? Ad assolvere questa finalità ci sono gli oracoli, servizio che aggiorna un ledger distribuito usando dati esterni che li comunicano allo smart contract. In questo caso l’oracolo fornisce i dati sulle partenze/arrivi del volo assicurato, e se un volo risulta in ritardo, lo smart contract provvede ad attivare il rimborso. Il fenomeno della contraffazione dei certificati di studio potrebbe essere annullato con l'introduzione di una piattaforma BC che certifichi la validità dei titoli. Molti atenei nel mondo hanno avviato progetti di questo tipo, in Italia la prima è stata l’Università di Cagliari nella sessione di laurea di Luglio 2018. Il certificato di laurea viene elaborato come un vero e proprio SC (su BC Ethereum), che si attiva in maniera automatica al raggiungimento delle condizioni prestabilite. Anche l'università Bicocca nel Gennaio 2019 ha introdotto questo sistema basato sullo DIRITTO NELL’ERA DIGITALE 37 consentire la conformità di uno specifico caso d'uso di contabilità distribuita alla normativa europea sulla protezione dei dati. In effetti, nell'analisi di cui sopra è stato ampiamente sottolineato che in alcuni casi vi sono limiti tecnici alla conformità o design di governance dei casi d'uso della blockchain che ostacolano la conformità. Queste limitazioni tecniche e di governance potrebbero essere affrontate dalla ricerca interdisciplinare su questi temi; ricerca interdisciplinare che potrebbe, ad esempio, definire meccanismi di governance che consentano a vari responsabili del trattamento di reti decentralizzate di coordinarsi efficacemente al fine di far valere i diritti degli interessati, cosa che, come si è visto sopra, non è semplice nello stato attuale delle cose - in DLT o altrove. Altri argomenti interessanti comprendono la progettazione di meccanismi che consentano l'effettiva revoca del consenso in contesti di trattamento automatizzato dei dati personali, nonché la definizione di soluzioni tecniche per conformarsi all'articolo 17 del GDPR. Più in generale, tale ricerca potrebbe anche concentrarsi sulla protezione dei dati mediante soluzioni progettuali ai sensi dell'articolo 25 del GDPR. GDPRè stato concepito quando la tecnologia informatica dominante era quella dei servizi cloud centralizzati, con un modello di raccolta dei dati che continua ad essere la principale fonte di profitto per le aziende. Da allora, le tecnologie decentralizzate, tra cui figurano quelle dei registri distribuiti, tra cui la blockchain, hanno avuto uno sviluppo accelerato. Il contrasto tra GDPR e blockchain Il contrasto tra la blockchain, e le norme GDPR è interessante perché da un lato evidenzia che i distributed ledger garantiscono proprietà quali l'integrità e la disponibilità dei dati personali in modo intriseco grazie alla loro natura decentralizzata, alla immutabilità — per certi versi — dei dati e alla loro tracciabilità. In questa prospettiva, i distributed ledger possono essere considerati come un esempio di sistema che vuole garantire queste proprietà fin dal progetto (by design) e non grazie a modifiche successive. L'introduzione degli smart contract enfatizza ulteriormente questa caratteristica, garantendo anche l’integrità e la disponibilità delle operazioni sui dati, oltre che la loro esecuzione automatica. Quasi a smentire questa prospettiva, altre proprietà dei ledger, quali il numero non noto a priori di copie del ledger o l’immutabilità dei dati memorizzati, possono apparire in contrasto con alcuni dei diritti fondamentali che il GDPR vuole garantire, ovvero 1. ildiritto alla conoscenza di come i dati personali sono memorizzati ed elaborati 2. il diritto alla modifica dei dati personali 3. il diritto alla cancellazione o al delisting dei dati, detto anche diritto all'oblio. Molti, ad esempio l’European union blockchain observatory & forum, hanno già affrontato questo apparente contrasto e sottolineato come il contrasto porta alla luce alcune assunzioni implicite nel GDPR su una elaborazione dei dati sostanzialmente centralizzata o dove comunque le varie copie del dato vengano create da un unico controllore del dato stesso. Come vedremo anche nel seguito, queste assunzioni implicite creano significativi problemi di attribuzioni di ruoli e responsabilità. Il concetto di “cancellazione” Inoltre, il contrasto evidenza anche che il GDPR non definisce in modo univoco che cosa intenda con cancellazione. Infatti, il termine può indicare la distruzione irreversibile del dato o quella del supporto fisico di memorizzazione o la impossibilità di visualizzarlo o usarlo in una qualsiasi elaborazione. Ovviamente, la garanzia che le funzioni software che implementano una certa elaborazione non accedano ad un dato non impedisce che l’accesso sia ottenuto mediante librerie diverse o mediante un frammento di codice software iniettato nella libreria stessa. Altri problemi interpretativi sul controllo dei dati nascono quando si considera che alcuni di coloro che hanno la responsabilità di elaborare i dati possono non conoscerli, perché possono accedere a questi dati solo quando sono già criptati, ma le loro limitate capacità di azione sui dati potrebbero comunque essere ricomprese nella nozione di DIRITTO NELL’ERA DIGITALE 40 trattamento qualora vi siano margini per la reidentificazione ovvero la riconnessione ad individui dei dati in qualche modo inintelligibili. SLIDE. sWNbE Analisi pubblicata da EPRS (European Parliamentary Research Service) Problemi posti dal GDPR: Presenza di un responsabile del trattamento dei dati a cui rivolgersi3> le blockchain cercano invece di decentralizzare I dati devono poter essere modificati o cancellati (articoli 16-17 del GDPR)> le blockchain rendono difficili tali modifiche poiché sono strumenti che garantiscono integrità e immutabilità dei dati per aumentare la fiducia nella rete. Dibattito su come qualificare i dati una volta crittografati (se ancora come dati personali) Il GDPR richiede che i dati siano mantenuti per il minor tempo possibile e utilizzati secondo lo scopo per cui sono stati raccolti+ le blockchain però si strutturano su database di sola aggiunta e i dati vengono replicati su più computer diversi Non è necessario però rivedere l’intero regolamento perché il GDPR è stato progettato in modo neutrale per far sì che potesse resistere ad una economia dei dati in rapida evoluzione Il regolamento elabora principi generali che devono essere applicati alle specificità > caso per caso L’attuale governance non consente il coordinamento tra più attori (caratteristica propria della blockchain) Paradossalmente la blockchain è lo strumento adeguato per raggiungere gli obiettivi posti dal GDPR Sono tecnologie utili alla governance dei dati+ modalità gestionali innovative e alternative Possono essere progettate per la condivisione dei dati senza la necessità di un intermediario di FIDUCIA Offrono trasparenza su chi ha avuto accesso ai dati Distruzione della chiave privata per far fronte al problema della cancellazione (attualmente difficile per il mancato coordinamento tra gli attori — l'effettiva cancellazione e conformità all’art. 17 può essere soddisfatta solo con la cancellazione dei dati da tutti i nodi) Le blockchain garantiscono il diritto all’accesso e alla portabilità dei dati personali controllo su ciò che fanno gli altri coi propri dati Riducono le frodi e le violazioni di dati Requisito dell’uso compatibile; comunicazione tra il responsabile del trattamento e il soggetto interessato Le blockchain, in quanto tecnologie, devono essere VOLONTARIAMENTE progettate per perseguire gli obiettivi del GDPR. DIRITTO NELL’ERA DIGITALE 41 INTELLIGENZA ARTIFICIALE L'intelligenza artificiale e i big data sono due tecnologie in costante crescita, che al giorno d’oggi acquisiscono grande interesse per le aziende di ogni settore. I dati da soli non bastano a portare risultati e affinché possano rivelare importanti informazioni strategiche, c'è bisogno dei giusti strumenti. L’Intelligenza Artificiale con le sue tecnologie riesce a esaminare e rielaborare i dati per fornire analisi concrete e riutilizzabili. Grazie all’AI e alle sue innovative soluzioni è possibile: e individuare dei trend utili; ® mettere in relazione delle variabili apparentemente sconnesse tra loro; e trasformare la maggioranza dei Big Data in dati parlanti, da cui trarre conclusioni vantaggiose in ottica di business. COSA E’? DEFINIZIONI Secondo un documento della commissione europea 2018: L’intelligenza artificiale indica i sistemi che mostrano un comportamento intelligente analizzando il proprio ambiente e compiendo azioni, con un certo grado di autonomia, per raggiungere specifici obiettivi. | sistemi basati su IA possono consistere solo in software che agiscono nel mondo virtuale (es. motori di ricerca, sistemi di riconoscimento vocale e facciale) oppure incorporare l’IA in dispositivi hardware (es. robot avanzati, internet of things). Molte tecnologie richiedono dati per migliorare le loro prestazioni. Raggiunto un buon livello, possono contribuire a migliorare e automatizzare il processo decisionale nello stesso campo. Recentemente, nel 2020, la Commissione ha definito che: i sistemi di IA sono sistemi software ( e possibilmente anche hardware) progettati da essere umani che, dato un obiettivo complesso, agiscono nella dimensione fisica o digitale percependo il loro ambiente attraverso l’acquisizione dei dati, interpretando i dati strutturati e non raccolti, ragionando sulla conoscenza o sull’elaborazione delle informazioni derivate dai dati e decidendo delle migliori azioni da intraprendere per raggiungere l’obiettivo prefissato. Come disciplina scientifica, l’IA include diversi approcci e tecniche, come l'apprendimento automatico, il ragionamento automatico e robotica. Quindi l'intelligenza artificiale è l'abilità di una macchina di mostrare capacità umane quali il ragionamento, l'apprendimento, la pianificazione e la creatività. DIRITTO NELL’ERA DIGITALE 42 attenersi i soggetti pubblici e privati responsabili del progetto e sviluppo degli strumenti e dei servizi della IA e gli operatori del diritto. | principi sanciti sono i seguenti. 1) 2) 3) Principio del rispetto dei diritti fondamentali: assicurare che l'elaborazione e l'attuazione di strumenti e servizi di intelligenza artificiale siano compatibili con i diritti fondamentali. Il trattamento di decisioni e dati giudiziari deve avere finalità chiare, che rispettino pienamente i diritti fondamentali garantiti dalla Convenzione europea sui diritti dell’uomo (CEDU) e dalla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, STE n. 108, come modificata dal Protocollo di emendamento STCE n. 223). Quando gli strumenti di intelligenza artificiale sono utilizzati per dirimere una controversia, per fornire supporto nel processo decisionale giudiziario, o per orientare il pubblico, è essenziale assicurare che essi non minino le garanzie del diritto di accesso a un giudice e del diritto a un equo processo (parità delle armi e rispetto del contraddittorio). Essi dovrebbero essere utilizzati anche con il dovuto rispetto per i principi dello stato di diritto e dell’indipendenza dei giudici nel loro processo decisionale. Si dovrebbero quindi privilegiare gli approcci etico-fin dall’elaborazione o diritti-umani-fin-dall’elaborazione. Ciò significa che, fin dalle fasi dell’elaborazione e dell’apprendimento, sono pienamente previste norme che proibiscono la violazione diretta o indiretta dei valori fondamentali protetti dalle Convenzioni. Principio di non-discriminazione: prevenire specificamente lo sviluppo © l’intensificazione di qualsiasi discriminazione tra persone o gruppi di persone. Data la capacità di tali metodologie di trattamento di rivelare le discriminazioni esistenti, mediante il raggruppamento o la classificazione di dati relativi a persone o a gruppi di persone, gli attori pubblici e privati devono assicurare che le metodologie non riproducano e non aggravino tali discriminazioni e che non conducano ad analisi o usi deterministici. Deve essere esercitata una particolare vigilanza sia nella fase dell’elaborazione che in quella dell'utilizzo, specialmente quando il trattamento si basa direttamente o indirettamente su dati “sensibili”. Essi possono comprendere l’origine razziale o etnica, le condizioni socioeconomiche, le opinioni politiche, la fede religiosa o filosofica, l'appartenenza a un sindacato, i dati genetici, i dati biometrici, i dati sanitari o i dati relativi alla vita sessuale o all'orientamento sessuale. Quando è individuata una di queste discriminazioni, devono essere previste le misure correttive al fine di limitare o, se possibile, neutralizzare tali rischi e sensibilizzare gli attori. Dovrebbe tuttavia essere incoraggiato l’utilizzo dell’apprendimento automatico e delle analisi scientifiche multidisciplinari, al fine di contrastare tali discriminazioni. Principio di qualità e sicurezza: in ordine al trattamento di decisioni e dati giudiziari, utilizzare fonti certificate e dati intangibili con modelli elaborati multi disciplinarmente, in un ambiente tecnologico sicuro. | creatori di modelli di apprendimento automatico DIRITTO NELL’ERA DIGITALE 45 dovrebbero poter fare ampio ricorso alla competenza dei pertinenti professionisti del sistema della giustizia (giudici, pubblici ministeri, avvocati, ecc.) e ricercatori/docenti nei campi del diritto e delle scienze sociali (per esempio, economisti, sociologi e filosofi). La costituzione di squadre di progetto miste, per brevi cicli di elaborazione, al fine di produrre modelli funzionali è uno dei metodi organizzativi che permettono di ottenere il meglio da tale approccio multidisciplinare. Tali squadre di progetto dovrebbero sempre condividere le salvaguardie etiche esistenti, che dovrebbero essere potenziate utilizzando le risposte ricevute. | dati derivanti da decisioni giudiziarie inseriti in un software che esegue un algoritmo di apprendimento automatico dovrebbero provenire da fonti certificate e non dovrebbero essere modificati fino a quando non sono stati effettivamente utilizzati dal meccanismo di apprendimento. L’intero processo deve pertanto essere tracciabile, al fine di garantire che non abbia avuto luogo alcuna modifica in grado di alterare il contenuto o il significato della decisione trattata. | modelli e gli algoritmi elaborati devono inoltre poter essere memorizzati ed eseguiti in ambienti sicuri, in modo da garantire l'integrità e l’intangibilità del sistema. 4) Principio di trasparenza, imparzialità ed equità: Rendere le metodologie di trattamento dei dati accessibili e comprensibili, autorizzare verifiche esterne. Deve essere raggiunto un equilibrio3 tra la proprietà intellettuale di alcune metodologie di trattamento e l'esigenza di trasparenza (accesso al processo creativo), imparzialità (assenza di pregiudizi) 4, equità e integrità intellettuale (privilegiare gli interessi della giustizia) quando si utilizzano strumenti che possono avere conseguenze giuridiche, o che possono incidere significativamente sulla vita delle persone. Dovrebbe essere chiaro che tali misure si applicano all'intero processo creativo, così come alla catena operativa, in quanto la metodologia di selezione e la qualità e l’organizzazione dei dati influenzano direttamente la fase dell’apprendimento. La prima possibilità è la totale trasparenza tecnica (per esempio, open source del codice e della documentazione), che è talvolta limitata mediante la protezione di segreti industriali. Il sistema potrebbe essere spiegato anche con un linguaggio chiaro e familiare (per descrivere il modo in cui sono prodotti i risultati), comunicando, per esempio, la natura dei servizi offerti, gli strumenti che sono stati sviluppati, l'esecuzione e il rischio di errore. Autorità o esperti indipendenti potrebbero essere incaricati di certificare e verificare le metodologie di trattamento o di fornire consulenza anticipatamente. Le autorità potrebbero concedere la certificazione, che dovrebbe essere riesaminata regolarmente. 5) Principio del “controllo da parte dell’utilizzatore”: Precludere un approccio prescrittivo e assicurare che gli utilizzatori siano attori informati e abbiano il controllo delle loro scelte. L’utilizzo di strumenti e servizi di intelligenza artificiale deve rafforzare e non limitare l'autonomia dell’utilizzatore. | professionisti della giustizia dovrebbero essere in grado, in qualsiasi momento, di rivedere le decisioni giudiziarie e i dati utilizzati per produrre DIRITTO NELL’ERA DIGITALE 46 un risultato e continuare ad avere la possibilità di non essere necessariamente vincolati a esso alla luce delle caratteristiche specifiche di tale caso concreto. L'utilizzatore deve essere informato con un linguaggio chiaro e comprensibile del carattere vincolante o meno delle soluzioni proposte dagli strumenti di intelligenza artificiale, delle diverse possibilità disponibili, e del suo diritto di ricevere assistenza legale e di accedere a un tribunale. Deve inoltre essere informato in modo chiaro di qualsiasi precedente trattamento di un caso mediante l'intelligenza artificiale, prima o nel corso di un procedimento giudiziario, e deve avere il diritto di opporvisi, al fine di far giudicare il suo caso direttamente da un tribunale ai sensi dell'articolo 6 della CEDU. Generalmente parlando, quando è attuato un sistema informativo basato sull’intelligenza artificiale dovrebbero essere previsti programmi di alfabetizzazione informatica, destinati agli utilizzatori, e dibattiti che coinvolgano i professionisti della giustizia. Sembrerebbe che la giustizia automatizzata comporterebbe numerosi pregi come una giustizia stabile e calcolabile. Tuttavia, sono connessi rischi come la possibile violazione del diritto di difesa e della garanzia del contraddittorio, del principio del libero convincimento del giudice. Occorre ricordare infine che tali decisioni possono interessare altri ambiti come quello medico e sanitario in cui è fondamentale capire di chi è la RESPONSABILITA”. MACHINE LEARNING Per Machine Learning, “apprendimento automatico”, intendiamo sistemi in grado di apprendere dall’esperienza, con un intervento umano ridotto al minimo, che automatizza i modelli analitici. Quindi è quel processo mediante il quale un’unità funzionale migliora le sue prestazioni acquisendo nuove conoscenze o abilità o riorganizzando le conoscenze o le abilità già esistenti. L'aspetto più importante del machine learning è la ripetitività, perché piùi modelli sono esposti ai dati, più sono in grado di adattarsi in modo autonomo. Il vantaggio del machine learning è la possibilità di sfruttare algoritmi e modelli per prevedere i risultati allo scopo di garantire l'utilizzo dei migliori algoritmi durante il lavoro, con l'acquisizione di dati più appropriati e l'utilizzo dei migliori modelli di esecuzione. Esistono alcune tecniche di base del Machine learning, che sono: - SUPERVISED LEARNING, la macchina apprende tramite esempi degli input e degli output desiderati. Vengono usati per determinare le correlazioni e la logica che è possibile utilizzare per prevedere la risposta (es valutazione del rischio). Tra le tecniche impiegate ricordiamo la statistica bayesiana, le reti neurali, gli alberi decisionali. - SEMI-SUPERVISED LEARNING, utilizzato per affrontare problemi simili. La differenza è che alla macchina vengono forniti alcuni dati con la risposta definita/etichettata insieme a dati aggiuntivi. Viene utilizzata quando ci sono troppi dati o sottili variazioni nei dati. DIRITTO NELL’ERA DIGITALE 47 INTERNET SERVICE PROVIDER Internet service providers sono fornitori di servizi in rete ho più specificamente di intermediari di Internet. ne esistono diverse categorie in ragione della loro funzione. Svolgono un ruolo delicato perché di fatto sembrano poter controllare la rete e cio che viaggia al suo interno. Ne deriva che possono evitare che tramite la rete vengano commessi abusi. La responsabilità civile dei service providers è attualmente disciplinata dagli: a) Art. 12, 13, 14,15 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativi ad alcuni aspetti giuridici dei servizi della società dell'informazione in particolare il commercio elettronico. b) articolo 14,15,16,17 del decreto legislativo 9 Aprile 2003 c) rilevante è anche l'articolo 17 della direttiva web 2019/790 del Parlamento europeo e del Consiglio del 17 Aprile 2019 sul diritto d'autore e sui diritti connessi nel mercato unico digitale. Come detto la figura del provider può assumere ruoli diversi in relazione all'attività effettivamente svolta. Il suo compito infatti può limitarsi a fornire semplicemente l'accesso alla connessione alla rete Access provider, service provider, ma può estendersi fino a ricomprendere funzioni più ampie e complesse quale quella di ospitare su proprie macchine pagine web elaborate dal destinatario del servizio (hosting provider) ovvero quella di creare direttamente contenuti (content provider). Gli articoli del decreto legislativo 70/2003 escludono la responsabilità del provider che abbia mantenuto un ruolo meramente passivo nel fornire accesso alla rete di comunicazione ovvero nel trasmettere su una rete di comunicazione informazioni fornite da un destinatario del servizio, ovvero nella memorizzazione di informazioni fornite da un destinatario del servizio. in particolare, il provider non è responsabile delle informazioni trasmesse se: a) non dà origine alla trasmissione; b) non seleziona il destinatario della trasmissione; c) non seleziona ne modifica le informazioni trasmesse Nel caso in cui il provider trasmetta sulla rete informazioni fornite da destinatario del servizio, la sua responsabilità è esclusa se: a) non modifica le informazioni; b) siconforma le condizioni di accesso alle informazioni; c) siconforma alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore; d) non interferisce con l'uso illecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere i dati sull'impiego delle informazioni; e) agisce prontamente per rimuovere le informazioni che ha memorizzato o per disabilitare l'accesso non appena venga a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete. Infine, se l'attività del provider consiste nella memorizzazione di informazioni la sua responsabilità esclusa se: DIRITTO NELL’ERA DIGITALE 50 a) non è effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita b) Nonappenaa conoscenza di tali fatti, su comunicazione delle autorità competenti, agisce immediatamente per rimuovere le informazioni o per disabilitarne l'accesso In linea di principio il provider non è obbligato a sorvegliare sulle informazioni che trasmette memorizza, ne è obbligato a ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. e comunque tenuto: a) a informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzione di vigilanza qualora sia a conoscenza di presunte attività illecite e guardando un suo destinatario del servizio della società dell'informazione; b) fornire senza indugio richiesta delle autorità competenti le informazioni sul possesso che consentono l'identificazione del destinatario dei suoi servizi con cui accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite. Gli orientamenti della giurisprudenza Caso l’Oreal SA e altri c. eBay International AG e altri Caso Scarlett Extended Sa caso Google France v. Louis vitton Malletier Hosting provider. gli hosting providers passivi svolgono un'attività di ordine meramente tecnico automatico e passivo, con la conseguenza che essi non conoscendo né controllando le informazioni trasmesse memorizzate dalle persone alle quali forniscono loro servizio si valgono del regime generale di esenzione nell'articolo 16 d punto |. 72.003. la responsabilità derivante dallo svolgimento di attività di hosting sussiste in capo al prestatore di servizi di rete che non abbia provveduto all'immediata rimozione dei contenuti illeciti qualora ricorrano congiuntamente: a) la conoscenza regali dell'illecito perpetrato dal destinatario del servizio b) la ragionevole possibilità di contrastarlo alla stregua del grado di diligenza richiesto un operatore professionale della rete c) la possibilità di attivarsi ultimamente finire la rimozione Caching. la responsabilità derivante dallo svolgimento di attività di caching sussiste in capo al prestatore di servizi di rete che non abbia provveduto all'immediata rimozione dei contenuti illeciti, nonostante l'ordine impostogli da un'autorità amministrativa e giurisdizionale DIRITTO NELL’ERA DIGITALE 51 I SOCIAL NETWORK I SOCIAL MEDIA possono assumere differenti forme, la maggior parte è gratuita mentre altri chiedono un corrispettivo per servizi supplementari: e Social network come Facebook, e Network professionali come LinkedIn, ® Video sharing come YouTube TikTok, e Phonesharing come Instagram, e Micro blog esempio Twitter, e Networkdi prodotti o servizi come TripAdvisor, e Network per prenotazioni come Airbnb, e Social dedicati ai giochi realtà virtuale esempio Second life. I social network hanno tre caratteristiche: 1. Ogni utente e produttore di contenuti, Usegenereted; 2. Il tempo di produzione del post da condividere è relativamente basso; 3. Il tempo di lettura, analisi e creazione al contenuto è ancora più basso. L’algoritmo di affinità fornisce agli utenti contenuti più adatti ai loro gusti generando maggiori reazioni positive verso questi e gratifica gli iscritti che riceveranno sempre meno critiche reazioni negative. L'effetto è che le persone tenderanno a frequentare di più i social, aumenta anche il tempo di permanenza su di esso, comportando quindi una crescita del valore della piattaforma. I social network sono servizi della società dell’informazione ai sensi della direttiva 2015/1535, sono soggetti al GDPR in quanto trattano dati personali e rispondono sulla base delle norme relative alla responsabilità degli internet service provider. Molti social network guadagnano vendendo la pubblicità ad aziende che sono interessate a conoscere i gusti del pubblico per raggiungere il consumatore in maniera mirata. Infatti la direttiva 2019/770 disciplina l'ipotesi in cui il consumatore si impegna a fornire dati personali all'operatore economico come contropartita per la fornitura di contenuti e servizi digitali. Nell’adunanza del 2018 l'autorità garante della concorrenza del mercato ha condannato in solido Facebook Inc e Ireland Ltd. al pagamento di una sanzione pecuniaria complessiva di 10 milioni di euro per aver adoperato due pratiche commerciali scorrette a danno dei consumatori: DIRITTO NELL’ERA DIGITALE 52 Perché lasciare i social Social network possono essere usati in tanti modi, per fare attività politica, per insegnare, per esercitare in modo nuovo la professione, ma ci espongono insidie. Possono modificare i comportamenti vendendo a chi ha interesse la possibilità di orientare le nostre scelte. Gli inserzionisti sanno cogliere il momento giusto, poiché i social si fondano su algoritmi adattivi tenete insieme miliardi dati per raggiungere determinati obiettivi. Infatti social creano dipendenza, attraverso il gioco dei feedback positivi e negativi e causali si opera il condizionamento, secondo la teoria comportamentista. | social fanno le banche sugli stimoli. Le persone sono sensibili a questioni come lo status sociale, giudizio, la competizione, la paura di non piacere. Vengono amplificate le emozioni negative, danneggiando la società. Le ragioni per abbandonare i social: 1 2. NOUA perché ci tolgono la libertà di scegliere. Il modello di business produce incentivi perversi, infatti il problema è legato all’uso che si fa della tecnologia. fanno diventare cinici: le persone diventano nervose e aggressive e insistono compulsivamente sulla grave situazione in cerca di conferme, ciò spiega la predisposizione a offendersi. stanno minando la verità, infatti sempre di più le bufale e le fake news si diffondono. tolgono significato a ciò che si dice rendendo difficili reali dibattiti. distruggono la capacità di provare empatia e le persone sono sempre agitate. rendono infelici, poiché veniamo costantemente giudicati e catalogati con meccanismi che fanno leva sul nostro modo di essere e sulle nostre paure. non vogliono che il soggetto abbia una dignità economica, offrendo servizi gratuiti per raccogliere dati. rendono la politica impossibile creando illusioni. DIRITTO NELL’ERA DIGITALE 55 DEMOCRAZIA ELETTRONICA L’era digitale incide anche sulla fisionomia dei modelli istituzionali, alcuni sostengono che Internet può rafforzare la democrazia, altri vedono nella rete una minaccia per la tenuta democratica degli Stati. LA POLITICA IN RETE Il 26 marzo 2009, il Parlamento europeo ha approvato una raccomandazione destinata al Consiglio sul rafforzamento della sicurezza e delle libertà fondamentali su Internet. In seguito nel 2017 il Parlamento europeo è tornato sull'argomento con un nuovo documento e-democazia nell’UE <potenziale e sfide>. Questo documento sottolinea i benefici della democrazia elettronica, intesa come mezzo di sostegno e potenziamento della tradizionale democrazia attraverso le tecnologie dell’informazione e comunicazione e può integrare i processi democratici consentendo un maggior coinvolgimento dei cittadini con attività online come la governance elettronica, deliberazione elettronica, votazioni elettroniche ecc. . Accoglie dunque con favore questi nuovi strumenti. Si distinguono sotto questo ambito 3 concetti diversi ma correlati tra loro: 1) E-government, applicazioni tecnologiche dell’informazione e comunicazione esercitate dalle PA per rilasciare informazioni e servizi ai cittadini 2) E-governance, contraddistingue l'applicazione delle tecnologie dell’informazione e della comunicazione per stabilire canali di comunicazione che consentono di incorporare diversi soggetti che abbiano qualcosa da dire nel corso dell’elaborazione delle politiche pubbliche 3) E-democracy, utilizzo delle tecnologie dell’informazione e della comunicazione per creare canali di consultazione e partecipazione politica Di quest’ultimo termine, la dottrina ha distinto diverse possibili accezioni di: a) Elettronica democratica (disponibilità generalizzata delle nuove tecnologie informative e delle reti) b) Democrazia nell’elettronica (riconoscimento e garanzia delle condizioni di libertà ed uguaglianza nella rete) c) Elettronica nella democrazia (utilizzo delle tecnologie per rafforzare e aggiornare gli strumenti di partecipazione, controllo e decisione democratici); d) Democrazia elettronica in senso pregnante. La democrazia diretta elettronica prevede che il popolo eserciti direttamente la funzione legislativa. Ci sono tre possibili utilizzi delle tecnologie digitali nel campo che ci occupa. 1) La fase della mobilitazione. Si tratta delle ipotesi nelle quali la classe politica cerca di aggregare consenso a sostegno di singole candidature o di iniziative territoriali. 2) La fase della consultazione. Le tecnologie permettono ai decisori di raccogliere informazioni e suggerimenti della cittadinanza. infatti, va ricordato l'articolo 9 del codice dell'amministrazione digitale che impone alle ‘amministrazioni pubbliche di favorire ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all'estero, al processo democratico. In questa prospettiva e opportuno analizzare l'analisi dell'impatto della regolamentazione AIR che consiste nella valutazione preventiva degli effetti di ipotesi di intervento normativo ricadenti sull'attività dei cittadini, delle imprese e sul funzionamento delle pubbliche amministrazioni mediante opzioni alternative(si cerca di capire quali effetti potrà avere una nuova legge); e /a verifica dell'impatto della regolamentazione VIR che invece la valutazione successiva degli esiti raggiunti dall'intervento. L'obiettivo della consultazione è acquisire elementi che nel caso del AIR possono ferire gli aspetti critici della situazione attuale, alle opzioni di intervento, alla valutazione degli DIRITTO NELL’ERA DIGITALE 56 effetti attesi, e nel caso della VIR riguardano la valutazione dell'efficacia dell'intervento, della sua attuazione e dei suoi principali impatti. Le consultazioni devono svolgersi secondo principi di trasparenza chiarezza e completezza di informazione. 3) La fase del processo deliberativo. Grazie alle tecnologie i cittadini possono partecipare, a diversi livelli, al processo di elaborazione legislativa. Alcuni partiti hanno fatto della partecipazione diretta dei propri elettori uno dei punti di forza della loro proposta politica (esempio il Movimento S stelle che utilizza la piattaforma Rousseau) CONOSCERE E DISCUTERE PER DELIBERARE Il processo pratico presuppone tre fasi importanti: la conoscenza degli elementi che permettono di comprendere di cosa si sta parlando e di farsi un'opinione; la discussione affinché ognuno possa confrontare le proprie idee con quelle degli altri chiamati a deliberare; la votazione ovvero il momento in cui si forma la volontà dell'organo deliberante. Ci sono diversi modi di guardare la democrazia elettronica. C'è chi ne sottolinea gli aspetti positivi: la tecnologia può far riavvicinare le persone alla politica vincendo apatia e astensionismo; può accrescere la partecipazione e la partecipazione e la c.d. cittadinanza attiva che in questo caso diventa neti-zenship. Deliberare democraticamente non significa solo votare in quanto è necessario prima informarsi e discutere sui problemi sui quali si è chiamati a decidere. C'è chi è molto scettico riguardo alla democrazia elettronica. Si sostiene che l'eccesso di interventismo sulla rete possa indebolire le istituzioni rappresentative virgola che rischiano così di essere sottomesse al volere degli internauti. Inoltre, non verrebbe garantita la segretezza del voto anche perché ogni like che lasciamo sui social network sarebbe un tassello ti auto schedatura volontaria di massa che finirebbe con offrire opportunità e poteri e chi vuole orientare le opinioni punto in ogni caso ricorso alla democrazia elettronica presuppone la soluzione di alcuni problemi: a) Digital divide. ancora oggi nel nostro paese e nel mondo moltissime persone non hanno accesso a Internet ne deriva una distanza delle persone dalla politica attiva e la tecnologia diventerebbe il nuovo paradigma dell'esclusione sociale. b) L'alfabetizzazione digitale. bisogna essere in grado di utilizzare al meglio la rete e tutte le piattaforme che permettono l'esercizio della partecipazione democratica c) La sicurezza dei sistemi e delle piattaforme c'è poi il problema della vulnerabilità di questi sistemi esempio attacchi da parte di hacker. d) La verifica dell'identità l'uso delle piattaforme avviene da remoto e) L'attendibilità nel conteggio dei voti f) La segretezza del voto DISINFORMAZIONE (FAKE NEWS) E MANIPOLAZIONE È possibile osservare in rete l'insorgere di fenomeni che corrono il rischio di compromettere proprio la genuinità del confronto democratico punto nel messaggio per la 53 esima giornata mondiale per le comunicazioni sociali Papa Francesco ha acetato alcuni termini come disinformazione, distorsione dei fatti, manipolazione dei dati. ti amo elencare brevemente i fenomeni che caratterizzano il confronto politico contemporaneo tutti innescati amplificati dalle nuove tecnologie. 1) Nonesiste un vero dialogo. Sembrano il dell'apatia virgola in realtà assistiamo a dialoghi tra sordi che scivolano puntualmente nell'aggressione nell'insulto. Tutto questo mina la questione sociale prima ancora che la democrazia. 2) L'insulto come elusione dei problemi. L'insulto raramente originale di sicuro alimenta ritorsioni. Innesca l'escalation chi insulta mette in conto alla reazione con la segreta volontà di arrivare alle mani punto si giunge alla regressione perfetta ma anche all'assenza dell'insulto: l'elusione. puttana cercare la rissa è il modo migliore per eludere i problemi, per non provare nemmeno a dare risposte razionali. DIRITTO NELL’ERA DIGITALE 57 AMMINISTRAZIONE DIGITALE La rivoluzione digitale ha investito anche le pubbliche amministrazioni. esempi documento elettronico, del codice dell'amministrazione digitale, dell'identità digitale, della carta della cittadinanza digitale, del public e procurement, degli open data, dell'accessibilità dei siti web virgola e così via. si usa spesso l'espressione e governament per fare riferimento all'organizzazione delle attività dell'amministrazione pubblica fondata sull'adozione estesa integrata delle tecnologie informatiche nello svolgimento delle funzioni nell'erogazione dei servizi. UN PERCORSO LUNGO E DISOMOGENEO Fu il corpo normativo principale certamente rappresentato dal codice dell'amministrazione digitale d.lgs. 7 marzo 2005, n, 82. Prevede: a) la ricognizione dei diritti dei cittadini e delle imprese b) l'articolazione dell'organizzazione delle competenze, tra amministrazione centrale, regioni e autonomie locali il secondo attiene al regime del documento informatico. il terzo riguarda la disciplina dei dati delle pubbliche amministrazioni e dei servizi in rete il CAD stabilisce che le pubbliche amministrazione nell'organizzare autonomamente la propria attività utilizzano tecnologie dell'informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l'effettivo riconoscimento dei diritti dei cittadini e delle imprese di cui allo stesso codice in conformità agli obiettivi indicati nel Piano triennale per informatica nella pubblica amministrazione elaborato dall'AgiD. l'agenzia per l'Italia digitale e l'agenzia tecnica della Presidenza del consiglio che ha il compito di garantire la realizzazione degli obiettivi dell'agenda digitale italiana e contribuire alla diffusione dell'utilizzo delle tecnologie dell'informazione e della comunicazione, l'innovazione la crescita economica. AGID ha il compito di coordinare le amministrazioni nel percorso di attuazione del piano triennale per l'informatica della pubblica amministrazione, favorendo la trasformazione digitale del paese. In particolare, le funzioni del AgID sono elencate nell'art. 14 bis CAD. le principali sono: a) emanazione di linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull'attuazione sul rispetto delle norme anche attraverso l'adozione di atti amministrativi generali virgola in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, cooperazione applicativa tra sistemi informatici pubblici e quelli dell'unione europea; b) programmazione coordinamento dell'attività dell'amministrazione per l'uso delle tecnologie dell'informazione della comunicazione, mediante la redazione la successiva verifica dell'attuazione del piano triennale per l'informatica nella pubblica amministrazione contenente la fissazione degli obiettivi l'indicazione dei principali interventi di sviluppo e gestione dei sistemi informativi dell'amministrazione pubblica: c) monitoraggio delle attività svolte dall'amministrazione in relazione alla loro coerenza con il piano triennale; d) predisposizione, realizzazione gestione degli interventi e progetti di innovazione, anche realizzando e gestendo direttamente o avvalendosi di soggetti terzi; DIRITTO NELL’ERA DIGITALE 60 e) promozione della cultura digitale della ricerca anche tramite comunità digitali regionali; f) rilascio di parere tecnici, obbligatorio e non vincolanti su determinati schemi di contratti accordi quadro da parte delle pubbliche amministrazioni centrali concernenti l'acquisizione di beni e servizi relativi sistemi informativi automatizzati; g) rilascio di pareri tecnici, obbligatori e vincolanti sugli elementi essenziali delle procedure di gara bandite da Consip; h) definizione di criteri in modalità per il monitoraggio dell'esecuzione dei contratti da parte dell'amministrazione interessata ovvero, da parte della stessa AGID; i) vigilanza sui servizi fiduciari, su gestori di posta elettronica certificata, sui conservatori documenti informatici accreditati, nonché su soggetti, pubblici e privati che partecipano a SPID. Un altro corpo normativo sul quale poggia l'amministrazione digitale quello che disciplina il principio di trasparenza. - la legge 7 agosto 1990 (nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi); - il decreto legislativo 14 Marzo 2013 (riordino della disciplina riguardante il diritto di accesso civico e degli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni); - decreto legislativo 25 maggio 2016(revisione semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza. per trasparenza si intende l'accessibilità totale dei dati dei documenti detenuti dalle pubbliche amministrazioni, lo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche. essa è condizione di garanzia delle libertà individuali e collettive nonché dei diritti civili, politici e sociali, integra il diritto a una buona amministrazione e concorre la realizzazione di un'amministrazione aperta al servizio del cittadino. Il concetto di amministrazione aperta operato dalla norma appena citata richiama il modello di open government affermandosi nella cultura statunitense ed esportato a livello internazionale attraverso l'iniziativa multilaterale open government partnership con l'Italia ha aderito. Anche all'Europa perseguita da tempo una strategia tesa alla trasformazione digitale della pubblica amministrazione alla quale la strategia italiana si coordina. da ultimo si vede la comunicazione della commissione recante il piano d'azione della Ue per l’eGovernment 2016-2020. Tale piano d'azione si fonda sulla seguente visione: entro il 2020 l'amministrazione e le istituzioni pubbliche nell'unione europea dovrebbero essere aperte, efficienti e inclusive nel fornire servizi pubblici digitali end to end senza frontiere, personalizzati e intuitivi a tutti i cittadini e tutte le imprese nell'unione europea punto il ricorso ad approcci innovativi permette di progettare e fornire servizi migliori in linea con le esigenze e le richieste di cittadini e imprese punto le pubbliche amministrazioni sfruttano le opportunità offerte dal nuovo ambiente digitale per interagire più facilmente tra di loro e con le parti interessate. Colare si dà attuazione seguenti principi: a) digitale per definizione: le pubbliche amministrazioni dovrebbero fornire servizi digitali come opzione preferita. inoltre, i servizi pubblici dovrebbero essere forniti tramite un unico punto di contatto ho uno sportello unico o attraverso diversi canali; DIRITTO NELL’ERA DIGITALE 61 b) principio una tantum: le pubbliche amministrazioni dovrebbero evitare di chiedere ai cittadini alle imprese informazioni già fornite. gli uffici della pubblica amministrazione dovrebbero adoperarsi per riutilizzare internamente tali informazioni, nel rispetto delle norme in materia di protezione dei dati virgola in modo che sui cittadini e sulle imprese non ricadono o nelle aggiuntivi; c) inclusività e accessibilità: le pubbliche amministrazioni dovrebbero progettare servizi pubblici digitali che siano per definizione inclusivi che vengono incontro alle diverse esigenze delle persone, come anziani e persone con disabilità; d) apertura e trasparenza: le pubbliche amministrazioni dovrebbero scambiarsi le informazioni dati e permettere a cittadini e imprese di accedere ai propri dati virgola di controllarli e di correggerli; e) transfrontaliero per definizione: le pubbliche amministrazioni dovrebbero rende disponibili a livello transfrontaliero i servizi pubblici digitali rilevanti e impedire un'ulteriore frammentazione; f) Interoperabile per definizione: i servizi pubblici dovrebbero essere progettati in modo da funzionare senza problemi e senza soluzione di continuità in tutto il mercato unico è al di là dei confini organizzativi, grazie alla libera circolazione dei dati e dei servizi digitali nell'unione europea; g) fiducia e sicurezza: tutte le iniziative per andare oltre la semplice conformità con il quadro normativo in materia di protezione dati personali, tutela della vita privata e sicurezza informatica, integrando questi elementi sin dalla fase di progettazione. ALCUNE INIZIATIVE SPECIFICHE la digitalizzazione pubblica amministrazione nel nostro paese ha seguito percorsi settorializzati. sistema pubblico d'identità digitale SPID. il progetto nasce nel 2014 con l'obiettivo di consentire ai cittadini di accedere a servizi online delle pubbliche amministrazioni per mezzo di un'unica identità digitale. anagrafe nazionale della popolazione residente ANPR. è la banca dati nazionale nel quale confluiranno progressivamente le anagrafi comunali. carta d'identità elettronica (CIE). e il documento d'identità munito di elementi per l'identificazione fisica del titolare rilasciato su un supporto informatico dalle amministrazioni comunali con la finalità di dimostrare l'identità anagrafica del suo titolare. carta nazionale dei servizi. è il documento rilasciato un supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni. PagoPA. l'avvento delle tecnologie digitali nelle pratiche che caratterizzano l'attività della pubblica amministrazione e l'affermarsi degli strumenti di pagamento elettronico ha spinto il legislatore italiano a disciplinare nel CAD tali tipi di pagamenti. In particolare l'articolo 5 CAD ha stabilito che le pubbliche amministrazioni, i gestori di pubblici servizi e le società controllo pubblico sono obbligati ad accettare i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, i inclusi, per il micro pagamenti, quelli basati sull'uso del credito telefonico tramite la stessa piattaforma elettronica è possibile accettare anche altre forme di pagamento elettronico, senza discriminazioni in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico. pagoPa è la piattaforma DIRITTO NELL’ERA DIGITALE 62 CIBERSICUREZZA Senza sistemi informatici sicuri il diritto alla protezione dei dati personali si svuoterebbe di significato si vuole La navigazione in rete sia sicura, specie per scongiurare il pericolo che i minori abbiano accesso a contenuti nocivi o indecenti. Sicuri devono essere i meccanismi di firma e le transazioni sulla rete per il commercio elettronico. L’art. 40 del codice europeo delle comunicazioni elettroniche chiede agli Stati di assicurare che i fornitori di rete pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibile al pubblico adottino misure adeguate per gestire adeguatamente i rischi per la sicurezza delle reti dei servizi. In particolare, si devono adottare misure per prevenire o limitare le conseguenze degli incidenti di sicurezza per gli utenti e le altre reti e gli altri servizi. Lo stesso codice definisce sicurezza delle reti dei servizi la capacità delle reti e dei servizi di comunicazione elettronica di resistere a qualsiasi azione che comprometta la disponibilità, l'autenticità, l'integrità o la riservatezza di tali reti e servizi, dei dati conservati, trasmessi o trattati oppure dei relativi servizi offerti e accessibili tramite tali reti o servizi di comunicazione elettronica (DIRETTIVA 2018/1972 art 2). Una definizione analoga è fornita anche dalla direttiva 2016/1148 NIS del Parlamento europeo e del consiglio. Tale direttiva stabilisce misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell'unione così da migliorare il funzionamento del mercato interno. A tal fine la direttiva fa obbligo a tutti gli Stati membri di adottare una strategia nazionale in materia di sicurezza della rete dei sistemi informativi. La direttiva inoltre istituisce un gruppo di cooperazione al fine di sostenere e agevolare la vocazione strategica e lo scambio di informazione tra gli Stati membri creando una rete di gruppi di intervento per la sicurezza informatica in caso di incidente; Stabilisce obblighi di sicurezza di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali; fa obbligo Agli Stati membri di designare autorità nazionali competenti, punti di contatto unici e CSIRT e con compiti connessi alla sicurezza della rete e dei sistemi informativi. L'organismo operativo in tema di sicurezza a livello europeo e l'agenzia europea per la sicurezza delle reti dell'informazione (ENISA). L’ENISA svolge i compiti che le sono attribuiti allo scopo di conseguire un elevato livello comune di cibersicurezza in tutta l'unione, anche sostenendo attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell'unione nel miglioramento della cibersicurezza; funge inoltre da riferimento per pareri e competenze in materia di cyber sicurezza per le istituzioni dell'unione. Y La cibersicurezza è l'insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche. Y L'incidente e invece ogni evento con un reale effetto pregiudizievole per la sicurezza della rete dei sistemi informativi. Y Il rischio e ogni circostanza evento ragionevolmente individuale con potenziali effetti pregiudizievoli per la sicurezza della rete e sistemi informativi. ® Obiettivi: la tutela di enti e infrastrutture pubbliche e private, dei cittadini e dei dati, attraverso tecnologie, dispositivi e reti sicure DIRITTO NELL’ERA DIGITALE 65 L'applicazione della cybersecurity è pervasiva ormai in tutti i campi, è possibile però individuare delle categorie di sicurezza informatica: e Sicurezza di rete: consiste nella difesa delle reti informatiche dalle azioni di malintenzionati, che si tratti di attacchi mirati o di malware opportunistico ® Sicurezza delle applicazioni: ha lo scopo di proteggere software e dispositivi da eventuali minacce. Un'applicazione compromessa può consentire l'accesso ai dati che dovrebbe proteggere. Una sicurezza efficace inizia dalla fase di progettazione, molto prima del deployment di un programma o di un dispositivo e Sicurezza delle informazioni: protegge l'integrità e la privacy dei dati, sia quelle in archivio che quelle temporanee ® Sicurezza operativa: include processi e decisioni per la gestione e la protezione degli asset di dati. Comprende tutte le autorizzazioni utilizzate dagli utenti per accedere a una rete e le procedure che determinano come e dove possono essere memorizzati o condivisi i dati. ® Disaster recovery e-business continuity: si tratta di strategie con le quali l'azienda risponde a un incidente di Cybersecurity e a qualsiasi altro evento che provoca una perdita in termini di operazioni o dati. Le policy di disaster recovery indicano le procedure da utilizzare per ripristinare le operazioni e le informazioni dell'azienda, in modo da tornare alla stessa capacità operativa che presentava prima dell'evento. * Formazione degli utenti finali: riguarda uno degli aspetti più importanti della Cybersecurity: le persone. Chiunque non rispetti le procedure di sicurezza rischia di introdurre accidentalmente un virus in un sistema altrimenti sicuro. Insegnare agli utenti a eliminare gli allegati e-mail sospetti, a non inserire unità USB non identificate e ad adottare altri accorgimenti importanti è essenziale per la sicurezza di qualunque azienda. TIPOLOGIE PIU’ FREQUENTI DI ATTACCO ALLA SICUREZZA INFORMATICA Di seguito sono indicate le tipologie più frequenti e di attacco alla sicurezza informatica. > Malware: software dannoso progettato specificamente per danneggiare o interrompere un sistema attaccando la riservatezza e la disponibilità. > Web based attacks: attacchi che utilizzano il web i suoi servizi per compromettere la vittima. > Web application attacks: tentativi diretti indiretti di sfruttare una vulnerabilità o debolezza nei servizi nelle applicazioni sul web abusando delle loro API, ambienti di runtime o servizi. >» Phishing: meccanismo di elaborazione dei messaggi che utilizza tecniche di ingegneria sociale in modo che il destinatario sia tirato e prenda l'esca. Con questo strumento i malintenzionati cercano di attirare i destinatari di email e messaggi di phishing per indurli ad aprire un allegato dannoso, fare clic su un URL non sicuro, consegnare le loro credenziali tramite pagine dall'aspetto legittimo, ottenere bonifici. > Denialof services: Malfunzionamento dovuto ad un attacco informatico con il quale si esauriscono le risorse di un sistema in modo che non sia più in grado di erogare i servizi ai clienti richiedenti. > SPAM: uso abusivo di e-mail e servizi di messaggistica per inondare i destinatari di comunicazione non richiesta. > BOTNETS: rete di computer infettati da software dannoso in modo da poter essere controllati in remoto. > Databreach:è il risultato di un attacco riuscito che produce la perdita o la diffusione di dati. > Insider threat: la minaccia proveniente dall'interno può colpire ogni organizzazione. chiunque abbia avuto accesso alle risorse digitali può abusarne. > Physical manipulation/damage/theft/loss: eh si verifica allorquando c'è una perdita, un furto, un danneggiamento una manipolazione fisica delle risorse informatiche. > Information leakage: fuga di informazioni. > IDENTITY THEFT: è una frode che ruba l'identità di una persona. > Cryptojacking: mira a sfruttare le risorse di un sistema per generare criptovalute all'insaputa del proprietario. > Ransomware: Un tipo di malware che limita l'accesso del dispositivo che infetta. Viene richiesto un riscatto da pagare se si vuole che la limitazione venga rimossa > Cyberspionaggio: mira al furto di segreti di Stato e commerciali virgola di diritti di proprietà intellettuale ed informazioni proprietarie in settori strategici. DIRITTO NELL’ERA DIGITALE 66 Per quello che riguarda il nostro paese conviene ricordare che con il DPCM 17 Febbraio 2017 è stata emanata la direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali. **** CITETTTTI Il documento fornisce alcune definizioni : spazio cibernetico > l'insieme delle infrastrutture informatiche interconnesse comprensivo di hardware software dati utenti nonché delle relazioni logiche; sicurezza cibernetica->condizione per la quale lo spazio cibernetico risulti protetto grazie all'adozione di misure di sicurezza fisica logica e procedurale rispetto ad eventi di natura volontaria o accidentale; + complesso delle condotte che possono essere realizzate nello spazio cibernetico o tramite esso, Che si sostanzia nelle azioni di singoli individui organizzazioni statali e non pubblico private; evento cibernetico > Avvenimento significativo di natura volontario accidentale, consistente nell'acquisizione o al trasferimento in debiti di dati, alla loro modifica o distruzione illegittima; situazione di crisi cibernetica Situazione in cui l'evento cibernetico assume dimensioni intensità o natura tali da incidere sulla sicurezza nazionale ho da non poter essere fronteggiato dalle singole amministrazioni competenti. La direttiva prevede che il presidente del consiglio adotti sia un quadro strategico nazionale per la sicurezza dello spazio cibernetico sia il piano nazionale per la protezione cibernetica e la sicurezza informatica nazionale contenenti gli obiettivi da conseguire e le linee di azione da porre in essere per realizzare il quadro strategico nazionale. Le pubbliche amministrazioni predispongono, Nel rispetto delle linee guida adottate dall’AglD***, piani di emergenza in grado di assicurare la continuità operativa dell'operazione indispensabili per i servizi erogati e il ritorno alla normale operatività punto il diritto dell'era digitale, dunque, pone al centro il problema della sicurezza e Riservatezza, di chi utilizza i sistemi informativi. ***AgiD attua il quadro strategico nazionale per la sicurezza dello spazio cibernetico e il piano nazionale per la sicurezza cibernetica e la sicurezza informatica. In tale ambito: a) coordina tramite il istituito nel suo ambito le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala il ministro per la semplificazione e la pubblica amministrazione e il mancato rispetto delle regole. + LA NORMATIVA NAZIONALE e ©D.P.C.M., 17/02/2017, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali e © D.L. 21/07/2019, n. 105, Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica. e © D.P.C.M., 30/07/2020, Regolamento in materia di perimetro di sicurezza nazionale cibernetica e © D.L.14 giugno 2021, n. 82, convertito con modificazioni nella legge 4 agosto 2021, n. 10 recante Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. ® D.P.C.M., 17/02/2017, G.U. 13/04/2017 DIRITTO NELL’ERA DIGITALE 67