loader image
Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Perché il Garante della Protezione dei Dati Personali ha sanzionato Foodinho per Violazione Privacy?

La sanzione per Violazione Privacy da 2,6 milioni di Euro a Foodinho, nota società di Food Delivery, comminata recentemente dal Garante della Privacy, è frutto di un provvedimento che possiamo definire storico. Ponendosi come nuovo punto di riferimento per le aziende che offrono servizi interamente digitalizzati nel rapporto con i propri dipendenti, qui rappresentati dalla categoria dei Rider.

È infatti necessario specificare che l’attività ispettiva si è soffermata esclusivamente sul trattamento dei dati personali e della privacy dei Rider per mezzo di applicativi e algoritmi utilizzati da Foodinho dei quali avremo modo di parlare nel prosieguo.

In questo articolo, proveremo dunque ad elencare alcuni spunti utili per comprendere il provvedimento (potete scaricarlo qui), in un’ottica di conformità normativa, analizzando gli elementi che il Garante della Privacy ha investigato con maggiore attenzione oltre ad approfondire le maggiori criticità da esso riscontrate.

L’obiettivo è quello di fornire un quadro chiaro circa lo standard richiesto dall’Autorità in relazione alle violazioni accertate.

 

Violazione Privacy: perché l’Informativa sui Dati Personali non è una mera formalità

Il Garante della Protezione dei Dati Personali si dimostra molto attento al contenuto dell’Informativa Privacy, analizzando punto su punto la presenza dei requisiti richiesti dall’art. 13 e 14 della Normativa Europea sulla Privacy (GDPR), a partire dalla tipologia di dati raccolti.

Foodinho aveva infatti omesso di informare i Rider sull’uso di alcuni dati personali, peraltro molto invasivi. Fra questi: dati relativi alla loro posizione geografica (aggiornata ogni 15 secondi nel corso della fase di consegna dell’ordine); dati riguardanti le comunicazioni via chat, email e telefono con il call center; i feedback da parte di esercenti e clienti sul loro operato.

Ma non è tutto. Grandi carenze sono state riscontrate anche sull’indicazione dei tempi di conservazione dei dati personali (cosiddetta Data Retention).

Frasi generiche (purtroppo ancora diffuse) del tipo: «I dati saranno conservati per il tempo strettamente necessario», non sono più ammesse. Foodinho avrebbe dovuto indicare, per ogni tipologia di dato, il termine finale di conservazione specificando le ragioni a sostegno del periodo di conservazione scelto.

Il Garante della Privacy rileva infatti che «Il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee», accorpando dati di natura diversa sotto uno stesso periodo di conservazione (per esempio: una generica prescrizione decennale per diverse tipologie di dati).

Per evitare una sanzione per Violazione Privacy è necessario scendere nel dettaglio di ogni singolo dato personale, nessuno escluso.

violazione privacy foodinho sanzione garante rider food delivery

 

Violazione Privacy: massima coerenza tra Registro del Trattamento e Informativa

Il Garante della Privacy si è profuso in un lavoro di raffronto tra Informativa e Registro, per accertare una coerenza generale fra i documenti perno del concetto di accountability.

Dalle righe del provvedimento per Violazione Privacy traspare un messaggio chiaro a tutti i titolari: occorre partire dal registro del trattamento (art. 30 GDPR), da compilare dopo una attenta ricognizione dei dati personali presenti in azienda. Soltanto in un secondo momento si può procedere con la redazione degli altri documenti, informative incluse.

Invece, come molti consulenti accertano quotidianamente, è ancora diffusa la prassi inversa, con la stesura di informative “alla cieca”, senza l’esistenza di un registro che testimoni un’indagine dettagliata sulle attività di trattamento della privacy effettuate in azienda.

Non a caso, nel caso di specie, sono numerose le incongruenze che tradiscono un approccio poco sistemico, anzi a compartimenti stagni: dalle tipologie di dati elencati nel registro e non presenti all’interno delle informative, ai diversi periodi di conservazione fino alle incoerenze accertate sulle ragioni poste a sostegno dell’utilizzo di certi dati.

 

Violazione Privacy: la valutazione di impatto non può mancare!

Sorprende e non poco l’assenza di una valutazione di impatto sui rischi di Violazione Privacy della piattaforma utilizzata da Foodinho per gestire il rapporto lavorativo con i Rider.

Ricordiamo infatti, che la piattaforma – come ha accertato il Garante della Privacy – effettua complesse attività di profilazione volte ad analizzare la performance lavorativa dei Rider che autorizza o nega il loro inserimento in determinate fasce d’orario ad alta domanda, in cui sono maggiori le richieste di consegna.

Vedremo, poi, che il punteggio viene calcolato per mezzo di un algoritmo (denominato “Sistema d’Eccellenza”), ma qui il punto centrale da rimarcare è la profilazione dei Rider, che di per sé fa scattare l’obbligo della redazione di una valutazione di impatto ai sensi dell’art. 35 GDPR pgf. 3, trattandosi di una «valutazione sistematica e globale di aspetti personali» riguardante il rendimento professionale dei Rider.

Non può essere certo accolta, invece, la difesa di Foodinho contro la Violazione Privacy che, su un punto, si dimostra davvero inconsistente sostenendo che, la valutazione di impatto non sarebbe necessaria in quanto la piattaforma e la profilazione non potrebbero definirsi “nuove tecnologie”.

Il Garante ha giustamente respinto questa tesi, affermando che «il carattere innovativo della tecnologia utilizzata risulta evidente […] tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della cosiddetta “Gig economy”».

 

Gli Algoritmi e Violazione Privacy: le possibili discriminazioni

Gli accertamenti del Garante Privacy hanno portato alla luce un sistema di valutazione dei Rider fortemente discriminatorio, perché basato su una logica che tiene conto esclusivamente dei feedback negativi degli utenti.

Nel video qui allegato, l’Avvocato Andrea Baldrati spiega con un esempio quale può essere la portata discriminatoria di un tale sistema di scoring. Sul punto l’Autorità è molto chiara quando dice che «il punteggio, variato solo a seguito di feedback negativi e non incrementato a seguito di feedback positivi, subisce un effetto penalizzante derivante da un maggior peso assegnato al feedback negativo».

Parlando di Violazione Privacy, c’è poi il tema legato alle tutele previste dal GDPR nel caso in cui si faccia uso di algoritmi che generano decisioni automatizzate (lo scoring del Rider) con effetti giuridici rilevanti (maggiori o minori occasioni di lavoro a seconda della fascia di lavoro assegnata).

In via generale, infatti, l’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato. Una regola generale che dovrebbe dunque applicarsi anche alle decisioni effettuate dal Sistema di Eccellenza utilizzato da Foodinho.

Alla regola generale sono previste però delle eccezioni, come nell’ipotesi in cui la decisione dell’algoritmo sia necessaria per la conclusione o esecuzione di un contratto tra titolare e interessato.

Foodinho ha infatti precisato che il SIstema di Eccellenza rientrerebbe in tale eccezione costituendo un elemento funzionale all’esecuzione del contratto di lavoro del Rider, che, con il punteggio ottenuto, viene così assegnato ad una determinata fascia di orario in cui è abilitato alle consegne.

Se si applica una delle eccezioni previste, il legislatore europeo richiede però – come contrappeso – una serie di tutele a favore dell’interessato per arginare possibili derive discriminatorie. Fra queste, il diritto di ottenere l’intervento umano, di esprimere una opinione o di contestare la decisione algoritmica.

Il Garante Privacy non ha rilevato l’esistenza di nessuno tra i meccanismi di tutela previsti dalla normativa, che ha l’obiettivo di porre l’interessato nelle condizioni di opporsi o, quantomeno, di mettere in discussione la decisione automatizzata dall’algoritmo.

 

Violazione Privacy e l’importanza di avere un DPO competente

Se qualche imprenditore ha la pazienza di leggersi l’intero provvedimento in materia di Violazione Privacy si renderà conto di quanto sia importante avere un DPO competente e una squadra di consulenti privacy all’altezza del compito. In alcune aziende, giungere ad una situazione di conformità richiede tempo, investimenti e grandi competenze.

Il provvedimento del Garante Privacy ce lo ricorda quando approfondisce anche il singolo trattamento di dati personali, quando si ferma su un singolo requisito.

La profondità di questa materia non può essere lasciata all’improvvisazione e il consulente o il DPO deve essere messo nelle condizioni di sapere tutto dell’azienda. Solo così potrà fornire la consulenza necessaria per raggiungere gli alti standard richiesti dal Garante Privacy in sede ispettiva.

Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Perché le Accise sull’Energia Elettrica sono illegittime?

Il Giudice di Pace di Forlì ha accolto integralmente la richiesta da noi presentata ed ha dichiarato l’illegittimità delle Accise sull’Energia Elettrica applicate dal fornitore tra Gennaio 2010 e Dicembre 2011 ad un’azienda cliente del nostro Studio Legale (qui puoi scaricare la sentenza).

Pertanto, il fornitore medesimo è stato condannato a restituire ogni somma all’epoca indebitamente incassata a tale titolo.

Confermando la bontà della tesi avanzata dal nostro Studio Legale (fondata sui principi enunciati in due recentissime sentenze della Corte di Cassazione – Cass. Civ. sez. trib., 23/10/2019, n.27099 e n.27101 – nonché sulla normativa comunitaria), nel caso di specie il giudice ha deciso per la disapplicazione dell’art. 6 comma 2 del DL 511/1988 riconoscendo così il diritto della società attrice al Rimborso Accise sull’Energia Elettrica, ricevendo le somme contenute illegittimamente nelle bollette relative al biennio 2010-2011.

La sentenza è di assoluto rilievo in quanto rappresenta una tra le prime pronunce di merito che applica i principi della Corte di Cassazione, risultando pertanto una solida base su cui fondare richieste di rimborso di ogni somma versata e non dovuta al fornitore dell’energia elettrica.

Le motivazioni della Sentenza, infatti, non lasciano adito a dubbi: «va disapplicata, per contrasto con il diritto dell’Unione Europea, la disciplina interna di cui all’art. 6, comma 2, del d.l. n. 511 del 1988, avente come finalità una mera esigenza di bilancio degli enti locali».

In questo senso non sono rispettati i canoni di specificità richiesti dalla normativa comunitaria, attesa la decisione precedente della Corte di Giustizia UE che aveva qualificato come generica la finalità di bilancio.

studio legale baldrati strinati sentenza rimborso accise energia elettrica

 

Come ottenere il Rimborso Accise sull’Energia Elettrica

Tornando al tema concreto della richiesta di Rimborso Accise sull’Energia Elettrica, è bene ricordare che, secondo le prime stime fatte, per l’anno 2010 e 2011 le imprese avrebbero versato ai loro fornitori di energia elettrica, in ogni bolletta e per ogni utenza aperta, una somma non dovuta oscillante tra i 0,0093 €/kWh e i 0,0114 €/kWh (ossia circa 10 €/MWh) a seconda della Provincia di appartenenza.

Anche se apparentemente tale cifra può sembrare irrisoria, è necessario tuttavia considerare che l’addizionale in questione è stata applicata sui consumi fino a 200.000 KWh/mese. Ciò significa che molte aziende posso aver corrisposto senza saperlo una somma non dovuta per ciascuna utenza attiva anche superiore a € 25.000 all’anno.

Somme, quelle versate, che dovranno essere interamente restituite, anche alla luce della Sentenza del Giudice di Pace di Forlì che ad oggi fa certamente giurisprudenza.

Attenzione: la richiesta di Rimborso Accise sull’Energia Elettrica in favore dell’utente si prescriverà seguendo il termine ordinario contrattuale, ossia dopo 10 anni a partire dalla data in cui il versamento delle somme è divenuto indebito (anno 2011).

L’invito, quindi, è quello di agire tempestivamente inviando apposita richiesta di Rimborso Accise sull’Energia Elettrica al fornitore del servizio ed impedire che il diritto alla restituzione delle somme si prescriva.

In caso di mancato riscontro, si potrà agire giudizialmente chiedendo al Giudice competente la condanna del fornitore al versamento immediato della somma dovuta.

 

Vuoi sapere se la tua azienda è idonea a ricevere il Rimborso Accise sull’Energia Elettrica?

Con l’esperienza acquisita nel corso del giudizio conclusosi positivamente, abbiamo gli strumenti per seguire il Cliente nella preparazione e attivazione della fase giudiziale, nel rispetto dei termini prescrizionali di cui occorre tenere conto per il calcolo corretto della richiesta di rimborso.

Se vuoi sapere se la tua azienda è idonea a ricevere il rimborso sulle Rimborso Accise sull’Energia Elettrica contattaci per una consulenza.

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: ecco come proteggere la proprietà intellettuale e la creatività nell’era di Internet e della condivisione delle idee

Nell’era di Internet il processo creativo si alimenta grazie alla condivisione delle idee. I Social Network ne sono l’esempio più concreto.

Quindi come proteggere la proprietà intellettuale e come proteggere legalmente un’idea senza interrompere questo flusso di condivisione che, in molti casi, è fonte di guadagno per chi lo ha generato?

La risposta risiede in un nuovo paradigma del diritto d’autore, che ribalta gli schemi su cui sono da sempre fondate le normative del settore. Si parla al riguardo di “Permesso d’autore” o “Copyleft”, proprio per sottolineare il superamento del vecchio concetto di “Copyright”, non più adatto all’era di internet.

L’espressione Copyleft è ormai associata alle licenze “Creative Commons”, ideate dall’organizzazione statunitense “Creative Commons Foundation”.

L’obiettivo è di predisporre licenze d’uso simili a quelle già utilizzate nel campo delle licenze del software libero, allineandosi così ai principi base del web da sempre fondato sulla libera circolazione di idee.

 

Licenze Creative Commons: come funzionano?

Le Licenze Creative Commons rappresentano un ibrido fra due mondi opposti: quello del diritto d’autore e del pubblico dominio, entrambi inadatti, per ragioni diverse, a gestire la proprietà intellettuale nell’era di internet.

Da un parte il diritto d’autore, con le sue norme restrittive che prevedono poche ipotesi di fair use, intese come circostanze in cui un’opera, sia pure soggetta a copyright, possa essere riprodotta sulla base di particolare cause di giustificazione (esempio: uso didattico).

Dall’altro, il pubblico dominio, limitante di per sé perché generalmente connesso ad opere del passato, ma in ogni caso non tutelante per il creatore dell’opera o del contenuto che ne perde interamente il controllo.

Le Licenze Creative Commons si pongono in mezzo a questi due mondi: con esse l’autore decide di rinunciare volontariamente alla parte patrimoniale del copyright (quindi al compenso derivante direttamente da questa rinuncia), e allo stesso tempo mette a disposizione della collettività la sua opera fissando però alcune condizioni del suo utilizzo.

Sono proprio queste condizioni che vanno a comporre le Licenze Creative Commons in una serie di clausole, creando una struttura modulare adattabile alle specifiche esigenze.

 

licenze creative commons

 

 

Licenze Creative Commons: quali sono le sue clausole?

Nello specifico le clausole delle Licenze Creative Commons sono 4, di cui una necessaria (quindi sempre presente) e le altre 3 facoltative in relazioni a quali sono le restrizioni scelte dal licenziante.

  • CLAUSOLA DI ATTRIBUZIONE (sigla “BY”): è, come detto, la clausola necessaria che consiste nell’obbligo, per chi riproduce l’opera, di “riconoscere una menzione di paternità adeguata”. In linea generale andrà citato il nome dell’autore e il titolo dell’Opera, se indicato. Inoltre, sarà onere di chi utilizza l’opera non lasciare intendere che vi sia un qualche avallo dell’autore all’uso a cui si sta destinando l’opera. Quest’obbligo è comprensibile se si pensa al concetto stesso di Copyleft: l’autore non ha più il pieno controllo sull’uso che verrà fatto dell’opera, che potrebbe essere ad esempio accostata a prodotti e servizi non conformi alla sua sensibilità o al suo gusto.

 

  • CLAUSOLA NON COMMERCIALE (sigla “NC”): è la prima clausola facoltativa, che permette il riutilizzo dell’opera a condizione che ciò non avvenga per fini di lucro. Quindi non sarà concesso l’utilizzo di una foto con clausola NC all’interno della copertina di un libro venduto su un marketplace. Esiste però una eccezione per le opere musicali, laddove però si ottenga il consenso dell’autore e si proceda con il pagamento di un compenso. Una fattispecie che evidentemente richiama i canoni classici del Copyright.

 

  • CLAUSOLA “SHARE ALIKE” (sigla “SA”): traducibile con l’espressione “Condividi allo stesso modo” per cui se si modifica o trasforma il materiale, il nuovo contributo dovrà essere distribuito con la stessa Licenza Creative Commons dell’opera originaria. Si dovrà poi fare esplicita menzione delle modifiche effettuate. Per esempio in caso di traduzione si dovrebbe apporre la dicitura “questa è la traduzione in Inglese dell’Opera Originaria”.

 

  • CLAUSOLA “NON OPERE DERIVATE” (sigla “ND”): in questo caso non sono ammesse modifiche: l’opera dovrà essere sempre distribuita nella sua forma originale e sono vietate restrizioni aggiuntive come nuovi vincoli giuridici o misure tecnologiche che hanno l’effetto di generare altrettanti vincoli giuridici. Per ovvi motivi questa clausola è incompatibile con quella precedente.

 

 

Licenze Creative Commons e “Copyleft” personalizzato

Sarà quindi importante comporre attentamente la Licenza Creative Commons, scegliendo le clausole più adatte allo scopo di condivisione e distribuzione che vogliamo perseguire con la concessione d’uso delle nostre opere.

A tal fine, lo Studio Legale è in grado di seguire e consigliare il cliente nella selezione delle clausole, con l’importante precisazione che le Licenze Creative Commons non rappresentano l’unico Copyleft possibile.

L’autore infatti è libero di creare un “Copyleft” personalizzato, a patto che i termini per la licenza d’uso delle opere siano trascritte all’interno del sito web o della piattaforma digitale in cui le stesse opere sono diffuse, così da rendere informati gli utenti sulle loro condizioni di utilizzo.

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Introduzione al nuovo Regolamento Europeo sull’Intelligenza Artificiale

Con la recente proposta del Regolamento Europeo sull’Intelligenza Artificiale, l’Unione Europea mette ancora una volta al centro la valutazione dei rischi come procedura necessaria per comprendere l’impatto che avranno i sistemi di Intelligenza Artificiale su tre fronti: salute, sicurezza e diritti fondamentali.

In questo articolo cercheremo di capire quali sono i principali rischi connessi all’uso dei sistemi di Intelligenza Artificiale; rischi che, come richiesto dalla recente normativa europea, dovranno essere valutati, a vario titolo e responsabilità, da chi progetta, distribuisce e utilizza tali sistemi IA, mediante una valutazione di conformità.

Introduciamo quindi alcuni dei rischi principali che possono compromettere la correttezza e l’equità delle decisioni algoritmiche.

piramide del risk based approach gdpr

 

Regolamento Europeo sull’Intelligenza Artificiale: valutare le vulnerabilità operative e i rischi cyber

Oltre a guasti meramente tecnici, una decisione errata dell’algoritmo può essere il frutto di una violazione di sicurezza informatica.

Il Data Poisoning (inquinamento dei dati) è un esempio di violazione, tra le più frequenti e temute, perché in grado di compromettere l’accuratezza di un sistema di machine learning, producendo output distorti o alterati per mano di hacker esperti del settore.

La diffusione di questa tecnologia dipenderà in gran parte dalla fiducia che saprà generare tra gli utenti finali: diventa quindi centrale dotarsi di sistemi IA affidabili e resilienti.

 

Algoritmi di Intelligenza Artificiale: rischio di bias e di decisioni inique

Partiamo da una premessa, che spesso viene tralasciata. Gli algoritmi sono modelli statistici e come tali si affidano al concetto di probabilità. Se a ciò aggiungiamo l’enorme mole di decisioni che gli algoritmi, grazie alle odierne capacità computazionali, sono in grado di elaborare, si può intuire la ragione per cui alcune di queste decisioni siano – inevitabilmente – errate.

Fra le cause di questi errori si annoverano i cosiddetti bias, intesi come pregiudizi o stereotipi che l’algoritmo “impara” nella fase di addestramento (training).

I dati, ancora una volta, giocano un ruolo chiave. In molti casi, infatti, gli algoritmi identificano patterns o correlazioni tra i dati di training senza l’ausilio dell’uomo e, anzi, identificano correlazioni che non avremmo mai potuto immaginare.

In seguito, usano quell’informazione per generare predizioni o creare categorie (cosiddetti Cluster). E in questo esercizio continuo diretto alla creazione di categorie, cluster e gruppi si annida, per ovvie ragioni, il rischio di generare discriminazioni e stereotipi.

Dunque, è chiaro che l’accuracy di un algoritmo, cioè la capacità di fare predizioni corrette (sia in termini di percentuale di errori, sia in termini di equità sotto il profilo etico), dipende proprio dalla qualità e quantità dei dati di training.

Questo significa che ogni sistema di Intelligenza Artificiale riflette le eventuali limitazioni dei dati utilizzati. È quindi fondamentale affidarsi a Data Set rappresentativi per il tipo di azione o decisione che intendiamo demandare all’algoritmo.

Fin dall’inizio occorre quindi pensare a come migliorare il set di dati a disposizione, progettare il modello tenendo conto di eventuali lacune (cosiddetto Data Gaps), e alla luce delle lacune riscontrate, limitare il raggio d’azione e le modalità di utilizzo del sistema d’Intelligenza Artificiale.

Poniamo che un’azienda di dispositivi medici sviluppi un proprio sistema di Machine Learning utilizzando dati di training provenienti da strutture ospedaliere situate in grandi metropoli.

Una volta immesso sul mercato, quel sistema però viene utilizzato anche in ospedali di piccole città. A quel punto, è molto probabile che i dati medici inseriti dagli operatori sanitari presenti in quelle strutture siano diversi dai precedenti dati di training; perché, ad esempio, nelle piccole città vi può essere una maggiore concentrazione di pazienti appartenenti a determinate categorie sociali che presentano sintomi o patologie non comunemente osservate negli ospedali dei grandi centri urbani.

Queste disparità dovranno essere mitigate con una attenta fase di messa a punto dell’algoritmo (cosiddetto Fine Tuning); un altro tema su cui il Regolamento IA dimostra grande attenzione, perché rappresenta un tassello decisivo nella implementazione di Sistemi di Intelligenza Artificiale adeguati ed equi rispetto al contesto socio-economico in cui vengono utilizzati.

regolamento europeo intelligenza artificiale algoritmi

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati all’Aggiornamento Dinamico

Il rischio di bias o, in generale, di decisioni e output non corretti (come potrebbe essere l’errata diagnosi di un algoritmo deputato a identificare possibili tumori) è accentuato dalla capacità degli attuali algoritmi di aggiornarsi autonomamente, in relazione a nuovi input che riceve nel corso del suo utilizzo.

Sono dunque in grado di imparare da soli, senza l’intervento dell’uomo, assorbendo nuovi informazioni fino a cambiare la logica delle loro decisioni.

Si pensi ad un algoritmo di Machine Learning utilizzato in ambito di Trading. Se è stato allenato in un periodo di bassa volatilità del mercato e di crescita economica, potrebbe poi non essere performante laddove invece l’economia dovesse affrontare un periodo di pandemia e di forte recessione, come quello che stiamo vivendo.

Si parla, al riguardo, di rischio legato all’aggiornamento dinamico; un aspetto davvero complicato da prevedere e monitorare, soprattutto quando il cambiamento è inatteso o repentino (come appunto una crisi economica mai verificatasi prima nella sua entità o nelle sue logiche).

Di fronte a questi nuovi input, diversi da quelli forniti in fase di training, quale potrebbe essere la reazione dell’algoritmo? Quali potranno essere le sue decisioni?

È inoltre probabile che la logica possa cambiare proprio in ragione di quello che l’algoritmo ha imparato in seguito all’acquisizione di nuove e inedite informazioni. Ma a quel punto sapremo ancora spiegare la logica dell’algoritmo o questa sfuggirà al nostro controllo? E così arriviamo al prossimo rischio.

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati alla spiegabilità dell’algoritmo e la mancanza di trasparenza

La spiegabilità dell’algoritmo è un elemento imprescindibile, già richiesto dalla Normativa Europea sulla Privacy (GDPR, art. 22), che deve essere affrontata su 2 livelli:

  • Spiegabilità dell’algoritmo generale: lo sforzo è quello di offrire una panoramica generale sulle logiche di funzionamento dell’algoritmo. La grande sfida sarà quella di raggiungere un equilibrio tra comunicazione esterna delle logiche dell’Intelligenza Artificiale e di protezione interna dei segreti commerciali. Ma le aziende non potranno nascondersi dietro lo scudo della proprietà intellettuale o industriale per non adempiere a questo requisito.
  • Spiegabilità dell’algoritmo locale: intesa come capacità di spiegare ogni singola decisione dell’Intelligenza Artificiale (input-output). Dal concetto di spiegabilità dell’algoritmo discendono principi di democrazia fondamentali, fra tutti quello della trasparenza. Ogni cittadino ha il diritto di conoscere le ragioni di una decisione automatizzata e deve essere messo nelle condizioni ottimali per farli. Solo così avrà i mezzi per difendersi ed eventualmente proporre un reclamo.

regolamento europeo intelligenza artificiale algoritmi e robot

 

Aggiornamento Dinamico dell’Algoritmo: e se la valutazione del rischio è obsoleta?

L’aggiornamento dinamico di cui abbiamo parlato in precedenza conduce ad un nuovo e possibile rischio: che il Risk Assessment effettuato un anno fa o, anche solo, qualche mese prima non sia più affidabile perché non tiene conto delle nuove informazioni apprese dall’algoritmo, o di nuovi patterns o correlazioni che l’algoritmo utilizza per adottare le sue decisioni.

Non a caso la recente proposta di Regolamento Europeo sull’Intelligenza Artificiale si sofferma a lungo sul concetto di monitoraggio ex post dei sistemi IA, per valutarne la performance anche in una fase successiva alla loro immissione sul mercato.

Diversamente, avremo una valutazione del rischio non aggiornata e sostanzialmente inutile: di fatto senza conoscere il rischio attuale ed effettivo, non avremo a disposizione gli elementi valutativi necessari per adottare le più adeguate misure tecniche e organizzative rispetto al caso specifico.

 

Il rischio nella filiera dell’Intelligenza Artificiale

La complessità degli algoritmi di Machine Learning rende altrettanto complessa l’individuazione dell’agente responsabile in caso di decisioni errate o di guasti “tecnici”.

Spesso non è chiaro cosa abbia determinato l’errore, e dunque se debba risponderne lo sviluppatore, un suo partner, il distributore oppure l’utente finale che, magari, non ha seguito le istruzioni prescritte da chi ha progettato il sistema.

Gli errori potrebbero poi essere causati da un problema interno al modello algoritmico, oppure connesso ai dati forniti dall’utente nel corso del suo utilizzo o, ancora, ai dati raccolti e utilizzati nella fase di training, che a sua volta potrebbero provenire da fornitori di terze parti.

La natura probabilistica dei sistemi di Machine Learning e i cambiamenti a cui essi sono soggetti nel corso del tempo, rende ancora più difficile attribuire la responsabilità ad un singolo agente. Tanto è vero che errori e decisioni inique possono verificarsi anche in assenza di una condotta negligente, perché semplicemente esiste la possibilità che si verifichi una decisione inesatta.

Dunque, il concetto di responsabilità civile e penale in ambito di Intelligenza Artificiale sarà complesso da elaborare e dovrà necessariamente essere un concetto “fluido”, capace di adattarsi alle novità tecnologiche. Il contesto medico è un esempio dell’impatto che avranno su questo fronte i Sistemi IA, che già oggi formulano diagnosi senza il coinvolgimento – o con un coinvolgimento solo parziale – dei medici.

Come è stato giustamente sottolineato in un recente articolo apparso sulla nota rivista “Harvard Business Review”, cosa accadrà nell’ipotesi in cui un algoritmo di Machine Learning consigli un trattamento non standard ad un paziente (come un dosaggio maggiore di farmaci)? La normativa evolverà nel senso di ritenere responsabile il medico per qualsiasi danno che dovesse concretizzarsi qualora non seguisse la raccomandazione del sistema IA?

Se così fosse, il rischio di responsabilità si sposterebbe, a seconda dei casi, dal medico a chi sviluppa i dispositivi medici o a chi è deputato alla loro installazione o distribuzione.

Ed è questo l’orientamento a cui sembra tendere il Regolamento Europeo sull’Intelligenza Artificiale, volto ad istituire un approccio di self-assessment per i soggetti coinvolti a vario titolo nella realizzazione e distribuzione di questi sistemi. Dunque tutto passa da una auto-valutazione dei rischi che avrà forti ricadute sul tema della responsabilità.

 

Verso il Regolamento Europeo sull’Intelligenza Artificiale

La proposta di Regolamento Europeo IA è già una realtà, nel senso che la strada è ormai tracciata.

Le aziende che progettano o utilizzano sistemi IA dovrebbero già implementare i principi di quel Regolamento, facendosi affiancare da professionisti qualificati per comprenderne i suoi requisiti, in particolare con riguardo ai sistemi ad alto rischio (nel video di seguito trovate una nostra analisi al riguardo).

La ragione è semplice: i principi dettati dall’Unione Europea stanno già facendo scuola e saranno lo standard futuro. Ogni nuova proposta regolatoria sembra infatti andare nella direzione imposta dall’UE, all’insegna della auto-regolamentazione e di un approccio basato sul rischio.

La stessa Federal Trade Commission (FTC), l’agenzia governativa statunitense a tutela dei consumatori e del mercato, ha da poco pubblicato le linee guida per una IA più equa, definendo il discrimine tra una intelligenza artificiale “buona” e un’altra per così dire “cattiva”, che genera più danni che benefici.

In quella sede sono stati ribaditi concetti chiave, già presenti nel Regolamento Europeo sull’Intelligenza Artificiale, come quello di trasparenza, da integrare programmando audit di organi indipendenti o fornendo accesso ai dati o al codice a favore di soggetti esterni.

 

Farsi trovare pronti con il Regolamento Europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale ha un potenziale enorme, ma i rischi connessi al suo utilizzo aumenteranno di pari passo alla sua diffusione. Per le aziende, mitigare questi rischi diventa importante tanto quanto gestirne la sua adozione all’interno dei processi produttivi.

Il trend normativo è infatti molto chiaro e non lascia spazio a dubbi: la valutazione del rischio è già ora un requisito fondamentale e sarà il caposaldo di ogni conformità normativa in ambito di intelligenza artificiale.

Il nostro Studio Legale ha acquisito una forte competenza in questo settore, elaborando una propria metodologia che tiene conto dei rischi specifici rispetto al singolo sistema di Intelligenza Culturale. Per essere pronti e competitivi in questo mercato, occorre partire da una valutazione dei rischi completa, in grado di offrire soluzioni concrete per mitigarli. Solo così avremo sistemi IA equi, affidabili e resilienti, capaci di creare fiducia tra gli utenti.

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Virus Ransomware: gli Attacchi a Doppia Estorsione

Le minacce di cyber security sono in continua evoluzione e questo obbliga le aziende ad un continuo monitoraggio e aggiornamento dei propri sistemi di difesa.

Nell’ultimo periodo si sta assistendo alla crescita esponenziale di un nuovo fenomeno di virus informatici: quello degli Attacchi Ransomware a Doppia Estorsione.

 

 

Intervista a Luca Mella su gli Attacchi a Doppia Estorsione

Per approfondire il tema, di assoluta attualità, abbiamo interpellato il Dott. Luca Mella, esperto di information security e creatore della piattaforma doubleextortion.com con cui monitora l’andamento di questo fenomeno anche per sensibilizzare aziende e opinione pubblica.

 

attacco ransomware doppia estorsione double extortion luca mella

 

 

Dott. Mella, nella sfera dei Virus Ransomware, ci potrebbe definire il fenomeno della Doppia Estorsione? In cosa consiste e qual è la sua specificità?

Ad oggi il fenomeno della Doppia Estorsione – o Double Extortion – è uno dei principali fattori di rischio cibernetico per le aziende.

Si tratta di una estorsione digitale, un atto criminale portato a termine da organizzazioni criminali strutturate, in molti casi vere e proprie enterprise del cyber crimine.

Le Doppie Estorsioni sono un tipo di attacco cibernetico complesso e quando colpiscono mettono in crisi l’azienda su due versanti:

  1. distruggendo i dati o cifrandoli con Ransomware (rendendoli quindi di fatto inutilizzabili);
  2. rubando ogni tipo di dato dall’azienda, dalle informazioni sui clienti a quelle sui dipendenti, fino ai segreti industriali.

L’obiettivo di questi attacchi è spesso monetario: chi attacca vuole ottenere profitto in ogni modo possibile. Attraverso il progetto doubleextortion.com tengo traccia dei principali attacchi a Doppia Estorsione e lo scenario è molto preoccupante: è un problema enorme sia per le grandi aziende sia per le PMI di appena 20 dipendenti.

 

 

Quali sono i possibili impatti negativi degli Attacchi a Doppia Estorisione sull’operatività di un’azienda?

Gli impatti sull’azienda sono molto più che operativi. Certo l’operatività è il primo problema imminente che l’azienda si trova ad affrontare. Dopo un attacco di questo tipo gran parte dei sistemi non sono funzionanti, le fatturazioni e gli ordini sono fermi, l’erogazione dei servizi o della produzione è bloccata.

È molto facile immaginare quali siano i costi diretti in questo senso. Molte aziende però non immaginano quali altri effetti possano scaturire.

Oggi le nuove Regolamentazioni Privacy impongono livelli di protezione e reazione alla minaccia che siano adeguate alla tipologia di dati personali trattati. Le ispezioni del Garante Privacy sono una conseguenza reale (e prevista dallo stesso GDPR), alla pari dei suoi provvedimenti; dunque la mancanza di documentazione, analisi dell’accaduto, azioni di risposta e notifiche agli interessati sono fattori decisivi per evitare pesanti sanzioni.

Ancor più complicata è la situazione per le aziende che collaborano in contesti con Pubbliche Amministrazioni o all’interno di ecosistemi aziendali complessi, di Holding internazionali o Gruppi Industriali. Anche se l’azienda colpita è relativamente piccola, ci sono fortissime pressioni da parte delle società controllanti ed in queste situazioni, la logica della “polvere sotto il tappeto”, cioè di nascondere eventuali violazioni di sicurezza, può avere effetti disastrosi nei rapporti fiduciari creatisi nell’arco di anni o decenni.

hacker e attacchi a doppia estorsione virus ransomware

 

Quali sono i trend in atto o quelli futuri in ambito di Double Extortion?

Il modello di business dietro gli Attacchi a Doppia Estorsione funziona. I gruppi criminali lo hanno capito bene e l’intensità degli attacchi aumenta con costanza. Tuttavia, il fenomeno non è affatto statico.

Diversi gruppi criminali stanno sperimentando ulteriori evoluzioni, vere e proprie pratiche nocive per aumentare il danno e la pressione sulle vittime.

Ad esempio uniscono il furto di dati personali ad attacchi a Doppia Estorsione in grado di oscurare i siti web pubblici aziendali, così da rendere evidente a tutti che è in corso una violazione dei sistemi.

Altri gruppi invece prendono contatti con la stampa locale per attivare una campagna del “fango” nei confronti dell’azienda colpita. Una situazione molto complessa che mette sotto pressione i vertici aziendali e richiede sangue freddo e preparazione nella comunicazione, pena effetti sul brand e sulla fiducia da parte di clienti e fornitori.

Altri criminali – infine – contattano direttamente i clienti dell’organizzazione, per far sapere loro che i dati verranno pubblicati se l’azienda non collabora. In questo caso la pressione “viene dal basso”, cioè dalla propria base di clienti che può produrre decisioni aziendali affrettate perché prese di pancia, senza valutare gli effetti reali della violazione.

 

 

Virus Ransomware: come difendersi gli Attacchi a Doppia Estorsione?

Le minacce informatiche sono sempre più sofisticate e in continuo aumento. In questo precedente articolo avevamo già riportato il dato eclatante secondo cui nel 2020 erano state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni.

E il fenomeno della Doppia Estorsione si inserisce in questo contesto di criticità, che le aziende non possono più ignorare. Purtroppo, tutti i dati attuali ci suggeriscono che non è più questione di “se”, ma di “quando” l’azienda subirà un attacco informatico.

L’obiettivo è dunque quello di essere pronti, mitigando i rischi connessi ad una possibile violazione, grazie ad un sistema di gestione dei dati personali – e non – conforme alla Normativa Europea sulla Privacy e agli standard di sicurezza richiesta per la tipologia di informazioni che si possiedono.

Se sei interessato a conoscere il livello di protezione della tua azienda e desideri approfondire il tema, lo Studio Legale è a disposizione per un primo incontro conoscitivo allo scopo di capire qual è lo stato attuale e valutare tutte le misure tecniche e organizzative necessarie per raggiungere il livello di conformità richiesto dalle normative vigenti.