loader image
Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: ecco come proteggere la proprietà intellettuale e la creatività nell’era di Internet e della condivisione delle idee

Nell’era di Internet il processo creativo si alimenta grazie alla condivisione delle idee. I Social Network ne sono l’esempio più concreto.

Quindi come proteggere la proprietà intellettuale e come proteggere legalmente un’idea senza interrompere questo flusso di condivisione che, in molti casi, è fonte di guadagno per chi lo ha generato?

La risposta risiede in un nuovo paradigma del diritto d’autore, che ribalta gli schemi su cui sono da sempre fondate le normative del settore. Si parla al riguardo di “Permesso d’autore” o “Copyleft”, proprio per sottolineare il superamento del vecchio concetto di “Copyright”, non più adatto all’era di internet.

L’espressione Copyleft è ormai associata alle licenze “Creative Commons”, ideate dall’organizzazione statunitense “Creative Commons Foundation”.

L’obiettivo è di predisporre licenze d’uso simili a quelle già utilizzate nel campo delle licenze del software libero, allineandosi così ai principi base del web da sempre fondato sulla libera circolazione di idee.

 

Licenze Creative Commons: come funzionano?

Le Licenze Creative Commons rappresentano un ibrido fra due mondi opposti: quello del diritto d’autore e del pubblico dominio, entrambi inadatti, per ragioni diverse, a gestire la proprietà intellettuale nell’era di internet.

Da un parte il diritto d’autore, con le sue norme restrittive che prevedono poche ipotesi di fair use, intese come circostanze in cui un’opera, sia pure soggetta a copyright, possa essere riprodotta sulla base di particolare cause di giustificazione (esempio: uso didattico).

Dall’altro, il pubblico dominio, limitante di per sé perché generalmente connesso ad opere del passato, ma in ogni caso non tutelante per il creatore dell’opera o del contenuto che ne perde interamente il controllo.

Le Licenze Creative Commons si pongono in mezzo a questi due mondi: con esse l’autore decide di rinunciare volontariamente alla parte patrimoniale del copyright (quindi al compenso derivante direttamente da questa rinuncia), e allo stesso tempo mette a disposizione della collettività la sua opera fissando però alcune condizioni del suo utilizzo.

Sono proprio queste condizioni che vanno a comporre le Licenze Creative Commons in una serie di clausole, creando una struttura modulare adattabile alle specifiche esigenze.

 

licenze creative commons

 

 

Licenze Creative Commons: quali sono le sue clausole?

Nello specifico le clausole delle Licenze Creative Commons sono 4, di cui una necessaria (quindi sempre presente) e le altre 3 facoltative in relazioni a quali sono le restrizioni scelte dal licenziante.

  • CLAUSOLA DI ATTRIBUZIONE (sigla “BY”): è, come detto, la clausola necessaria che consiste nell’obbligo, per chi riproduce l’opera, di “riconoscere una menzione di paternità adeguata”. In linea generale andrà citato il nome dell’autore e il titolo dell’Opera, se indicato. Inoltre, sarà onere di chi utilizza l’opera non lasciare intendere che vi sia un qualche avallo dell’autore all’uso a cui si sta destinando l’opera. Quest’obbligo è comprensibile se si pensa al concetto stesso di Copyleft: l’autore non ha più il pieno controllo sull’uso che verrà fatto dell’opera, che potrebbe essere ad esempio accostata a prodotti e servizi non conformi alla sua sensibilità o al suo gusto.

 

  • CLAUSOLA NON COMMERCIALE (sigla “NC”): è la prima clausola facoltativa, che permette il riutilizzo dell’opera a condizione che ciò non avvenga per fini di lucro. Quindi non sarà concesso l’utilizzo di una foto con clausola NC all’interno della copertina di un libro venduto su un marketplace. Esiste però una eccezione per le opere musicali, laddove però si ottenga il consenso dell’autore e si proceda con il pagamento di un compenso. Una fattispecie che evidentemente richiama i canoni classici del Copyright.

 

  • CLAUSOLA “SHARE ALIKE” (sigla “SA”): traducibile con l’espressione “Condividi allo stesso modo” per cui se si modifica o trasforma il materiale, il nuovo contributo dovrà essere distribuito con la stessa Licenza Creative Commons dell’opera originaria. Si dovrà poi fare esplicita menzione delle modifiche effettuate. Per esempio in caso di traduzione si dovrebbe apporre la dicitura “questa è la traduzione in Inglese dell’Opera Originaria”.

 

  • CLAUSOLA “NON OPERE DERIVATE” (sigla “ND”): in questo caso non sono ammesse modifiche: l’opera dovrà essere sempre distribuita nella sua forma originale e sono vietate restrizioni aggiuntive come nuovi vincoli giuridici o misure tecnologiche che hanno l’effetto di generare altrettanti vincoli giuridici. Per ovvi motivi questa clausola è incompatibile con quella precedente.

 

 

Licenze Creative Commons e “Copyleft” personalizzato

Sarà quindi importante comporre attentamente la Licenza Creative Commons, scegliendo le clausole più adatte allo scopo di condivisione e distribuzione che vogliamo perseguire con la concessione d’uso delle nostre opere.

A tal fine, lo Studio Legale è in grado di seguire e consigliare il cliente nella selezione delle clausole, con l’importante precisazione che le Licenze Creative Commons non rappresentano l’unico Copyleft possibile.

L’autore infatti è libero di creare un “Copyleft” personalizzato, a patto che i termini per la licenza d’uso delle opere siano trascritte all’interno del sito web o della piattaforma digitale in cui le stesse opere sono diffuse, così da rendere informati gli utenti sulle loro condizioni di utilizzo.

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Introduzione al nuovo Regolamento Europeo sull’Intelligenza Artificiale

Con la recente proposta del Regolamento Europeo sull’Intelligenza Artificiale, l’Unione Europea mette ancora una volta al centro la valutazione dei rischi come procedura necessaria per comprendere l’impatto che avranno i sistemi di Intelligenza Artificiale su tre fronti: salute, sicurezza e diritti fondamentali.

In questo articolo cercheremo di capire quali sono i principali rischi connessi all’uso dei sistemi di Intelligenza Artificiale; rischi che, come richiesto dalla recente normativa europea, dovranno essere valutati, a vario titolo e responsabilità, da chi progetta, distribuisce e utilizza tali sistemi IA, mediante una valutazione di conformità.

Introduciamo quindi alcuni dei rischi principali che possono compromettere la correttezza e l’equità delle decisioni algoritmiche.

piramide del risk based approach gdpr

 

Regolamento Europeo sull’Intelligenza Artificiale: valutare le vulnerabilità operative e i rischi cyber

Oltre a guasti meramente tecnici, una decisione errata dell’algoritmo può essere il frutto di una violazione di sicurezza informatica.

Il Data Poisoning (inquinamento dei dati) è un esempio di violazione, tra le più frequenti e temute, perché in grado di compromettere l’accuratezza di un sistema di machine learning, producendo output distorti o alterati per mano di hacker esperti del settore.

La diffusione di questa tecnologia dipenderà in gran parte dalla fiducia che saprà generare tra gli utenti finali: diventa quindi centrale dotarsi di sistemi IA affidabili e resilienti.

 

Algoritmi di Intelligenza Artificiale: rischio di bias e di decisioni inique

Partiamo da una premessa, che spesso viene tralasciata. Gli algoritmi sono modelli statistici e come tali si affidano al concetto di probabilità. Se a ciò aggiungiamo l’enorme mole di decisioni che gli algoritmi, grazie alle odierne capacità computazionali, sono in grado di elaborare, si può intuire la ragione per cui alcune di queste decisioni siano – inevitabilmente – errate.

Fra le cause di questi errori si annoverano i cosiddetti bias, intesi come pregiudizi o stereotipi che l’algoritmo “impara” nella fase di addestramento (training).

I dati, ancora una volta, giocano un ruolo chiave. In molti casi, infatti, gli algoritmi identificano patterns o correlazioni tra i dati di training senza l’ausilio dell’uomo e, anzi, identificano correlazioni che non avremmo mai potuto immaginare.

In seguito, usano quell’informazione per generare predizioni o creare categorie (cosiddetti Cluster). E in questo esercizio continuo diretto alla creazione di categorie, cluster e gruppi si annida, per ovvie ragioni, il rischio di generare discriminazioni e stereotipi.

Dunque, è chiaro che l’accuracy di un algoritmo, cioè la capacità di fare predizioni corrette (sia in termini di percentuale di errori, sia in termini di equità sotto il profilo etico), dipende proprio dalla qualità e quantità dei dati di training.

Questo significa che ogni sistema di Intelligenza Artificiale riflette le eventuali limitazioni dei dati utilizzati. È quindi fondamentale affidarsi a Data Set rappresentativi per il tipo di azione o decisione che intendiamo demandare all’algoritmo.

Fin dall’inizio occorre quindi pensare a come migliorare il set di dati a disposizione, progettare il modello tenendo conto di eventuali lacune (cosiddetto Data Gaps), e alla luce delle lacune riscontrate, limitare il raggio d’azione e le modalità di utilizzo del sistema d’Intelligenza Artificiale.

Poniamo che un’azienda di dispositivi medici sviluppi un proprio sistema di Machine Learning utilizzando dati di training provenienti da strutture ospedaliere situate in grandi metropoli.

Una volta immesso sul mercato, quel sistema però viene utilizzato anche in ospedali di piccole città. A quel punto, è molto probabile che i dati medici inseriti dagli operatori sanitari presenti in quelle strutture siano diversi dai precedenti dati di training; perché, ad esempio, nelle piccole città vi può essere una maggiore concentrazione di pazienti appartenenti a determinate categorie sociali che presentano sintomi o patologie non comunemente osservate negli ospedali dei grandi centri urbani.

Queste disparità dovranno essere mitigate con una attenta fase di messa a punto dell’algoritmo (cosiddetto Fine Tuning); un altro tema su cui il Regolamento IA dimostra grande attenzione, perché rappresenta un tassello decisivo nella implementazione di Sistemi di Intelligenza Artificiale adeguati ed equi rispetto al contesto socio-economico in cui vengono utilizzati.

regolamento europeo intelligenza artificiale algoritmi

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati all’Aggiornamento Dinamico

Il rischio di bias o, in generale, di decisioni e output non corretti (come potrebbe essere l’errata diagnosi di un algoritmo deputato a identificare possibili tumori) è accentuato dalla capacità degli attuali algoritmi di aggiornarsi autonomamente, in relazione a nuovi input che riceve nel corso del suo utilizzo.

Sono dunque in grado di imparare da soli, senza l’intervento dell’uomo, assorbendo nuovi informazioni fino a cambiare la logica delle loro decisioni.

Si pensi ad un algoritmo di Machine Learning utilizzato in ambito di Trading. Se è stato allenato in un periodo di bassa volatilità del mercato e di crescita economica, potrebbe poi non essere performante laddove invece l’economia dovesse affrontare un periodo di pandemia e di forte recessione, come quello che stiamo vivendo.

Si parla, al riguardo, di rischio legato all’aggiornamento dinamico; un aspetto davvero complicato da prevedere e monitorare, soprattutto quando il cambiamento è inatteso o repentino (come appunto una crisi economica mai verificatasi prima nella sua entità o nelle sue logiche).

Di fronte a questi nuovi input, diversi da quelli forniti in fase di training, quale potrebbe essere la reazione dell’algoritmo? Quali potranno essere le sue decisioni?

È inoltre probabile che la logica possa cambiare proprio in ragione di quello che l’algoritmo ha imparato in seguito all’acquisizione di nuove e inedite informazioni. Ma a quel punto sapremo ancora spiegare la logica dell’algoritmo o questa sfuggirà al nostro controllo? E così arriviamo al prossimo rischio.

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati alla spiegabilità dell’algoritmo e la mancanza di trasparenza

La spiegabilità dell’algoritmo è un elemento imprescindibile, già richiesto dalla Normativa Europea sulla Privacy (GDPR, art. 22), che deve essere affrontata su 2 livelli:

  • Spiegabilità dell’algoritmo generale: lo sforzo è quello di offrire una panoramica generale sulle logiche di funzionamento dell’algoritmo. La grande sfida sarà quella di raggiungere un equilibrio tra comunicazione esterna delle logiche dell’Intelligenza Artificiale e di protezione interna dei segreti commerciali. Ma le aziende non potranno nascondersi dietro lo scudo della proprietà intellettuale o industriale per non adempiere a questo requisito.
  • Spiegabilità dell’algoritmo locale: intesa come capacità di spiegare ogni singola decisione dell’Intelligenza Artificiale (input-output). Dal concetto di spiegabilità dell’algoritmo discendono principi di democrazia fondamentali, fra tutti quello della trasparenza. Ogni cittadino ha il diritto di conoscere le ragioni di una decisione automatizzata e deve essere messo nelle condizioni ottimali per farli. Solo così avrà i mezzi per difendersi ed eventualmente proporre un reclamo.

regolamento europeo intelligenza artificiale algoritmi e robot

 

Aggiornamento Dinamico dell’Algoritmo: e se la valutazione del rischio è obsoleta?

L’aggiornamento dinamico di cui abbiamo parlato in precedenza conduce ad un nuovo e possibile rischio: che il Risk Assessment effettuato un anno fa o, anche solo, qualche mese prima non sia più affidabile perché non tiene conto delle nuove informazioni apprese dall’algoritmo, o di nuovi patterns o correlazioni che l’algoritmo utilizza per adottare le sue decisioni.

Non a caso la recente proposta di Regolamento Europeo sull’Intelligenza Artificiale si sofferma a lungo sul concetto di monitoraggio ex post dei sistemi IA, per valutarne la performance anche in una fase successiva alla loro immissione sul mercato.

Diversamente, avremo una valutazione del rischio non aggiornata e sostanzialmente inutile: di fatto senza conoscere il rischio attuale ed effettivo, non avremo a disposizione gli elementi valutativi necessari per adottare le più adeguate misure tecniche e organizzative rispetto al caso specifico.

 

Il rischio nella filiera dell’Intelligenza Artificiale

La complessità degli algoritmi di Machine Learning rende altrettanto complessa l’individuazione dell’agente responsabile in caso di decisioni errate o di guasti “tecnici”.

Spesso non è chiaro cosa abbia determinato l’errore, e dunque se debba risponderne lo sviluppatore, un suo partner, il distributore oppure l’utente finale che, magari, non ha seguito le istruzioni prescritte da chi ha progettato il sistema.

Gli errori potrebbero poi essere causati da un problema interno al modello algoritmico, oppure connesso ai dati forniti dall’utente nel corso del suo utilizzo o, ancora, ai dati raccolti e utilizzati nella fase di training, che a sua volta potrebbero provenire da fornitori di terze parti.

La natura probabilistica dei sistemi di Machine Learning e i cambiamenti a cui essi sono soggetti nel corso del tempo, rende ancora più difficile attribuire la responsabilità ad un singolo agente. Tanto è vero che errori e decisioni inique possono verificarsi anche in assenza di una condotta negligente, perché semplicemente esiste la possibilità che si verifichi una decisione inesatta.

Dunque, il concetto di responsabilità civile e penale in ambito di Intelligenza Artificiale sarà complesso da elaborare e dovrà necessariamente essere un concetto “fluido”, capace di adattarsi alle novità tecnologiche. Il contesto medico è un esempio dell’impatto che avranno su questo fronte i Sistemi IA, che già oggi formulano diagnosi senza il coinvolgimento – o con un coinvolgimento solo parziale – dei medici.

Come è stato giustamente sottolineato in un recente articolo apparso sulla nota rivista “Harvard Business Review”, cosa accadrà nell’ipotesi in cui un algoritmo di Machine Learning consigli un trattamento non standard ad un paziente (come un dosaggio maggiore di farmaci)? La normativa evolverà nel senso di ritenere responsabile il medico per qualsiasi danno che dovesse concretizzarsi qualora non seguisse la raccomandazione del sistema IA?

Se così fosse, il rischio di responsabilità si sposterebbe, a seconda dei casi, dal medico a chi sviluppa i dispositivi medici o a chi è deputato alla loro installazione o distribuzione.

Ed è questo l’orientamento a cui sembra tendere il Regolamento Europeo sull’Intelligenza Artificiale, volto ad istituire un approccio di self-assessment per i soggetti coinvolti a vario titolo nella realizzazione e distribuzione di questi sistemi. Dunque tutto passa da una auto-valutazione dei rischi che avrà forti ricadute sul tema della responsabilità.

 

Verso il Regolamento Europeo sull’Intelligenza Artificiale

La proposta di Regolamento Europeo IA è già una realtà, nel senso che la strada è ormai tracciata.

Le aziende che progettano o utilizzano sistemi IA dovrebbero già implementare i principi di quel Regolamento, facendosi affiancare da professionisti qualificati per comprenderne i suoi requisiti, in particolare con riguardo ai sistemi ad alto rischio (nel video di seguito trovate una nostra analisi al riguardo).

La ragione è semplice: i principi dettati dall’Unione Europea stanno già facendo scuola e saranno lo standard futuro. Ogni nuova proposta regolatoria sembra infatti andare nella direzione imposta dall’UE, all’insegna della auto-regolamentazione e di un approccio basato sul rischio.

La stessa Federal Trade Commission (FTC), l’agenzia governativa statunitense a tutela dei consumatori e del mercato, ha da poco pubblicato le linee guida per una IA più equa, definendo il discrimine tra una intelligenza artificiale “buona” e un’altra per così dire “cattiva”, che genera più danni che benefici.

In quella sede sono stati ribaditi concetti chiave, già presenti nel Regolamento Europeo sull’Intelligenza Artificiale, come quello di trasparenza, da integrare programmando audit di organi indipendenti o fornendo accesso ai dati o al codice a favore di soggetti esterni.

 

Farsi trovare pronti con il Regolamento Europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale ha un potenziale enorme, ma i rischi connessi al suo utilizzo aumenteranno di pari passo alla sua diffusione. Per le aziende, mitigare questi rischi diventa importante tanto quanto gestirne la sua adozione all’interno dei processi produttivi.

Il trend normativo è infatti molto chiaro e non lascia spazio a dubbi: la valutazione del rischio è già ora un requisito fondamentale e sarà il caposaldo di ogni conformità normativa in ambito di intelligenza artificiale.

Il nostro Studio Legale ha acquisito una forte competenza in questo settore, elaborando una propria metodologia che tiene conto dei rischi specifici rispetto al singolo sistema di Intelligenza Culturale. Per essere pronti e competitivi in questo mercato, occorre partire da una valutazione dei rischi completa, in grado di offrire soluzioni concrete per mitigarli. Solo così avremo sistemi IA equi, affidabili e resilienti, capaci di creare fiducia tra gli utenti.

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Virus Ransomware: gli Attacchi a Doppia Estorsione

Le minacce di cyber security sono in continua evoluzione e questo obbliga le aziende ad un continuo monitoraggio e aggiornamento dei propri sistemi di difesa.

Nell’ultimo periodo si sta assistendo alla crescita esponenziale di un nuovo fenomeno di virus informatici: quello degli Attacchi Ransomware a Doppia Estorsione.

 

 

Intervista a Luca Mella su gli Attacchi a Doppia Estorsione

Per approfondire il tema, di assoluta attualità, abbiamo interpellato il Dott. Luca Mella, esperto di information security e creatore della piattaforma doubleextortion.com con cui monitora l’andamento di questo fenomeno anche per sensibilizzare aziende e opinione pubblica.

 

attacco ransomware doppia estorsione double extortion luca mella

 

 

Dott. Mella, nella sfera dei Virus Ransomware, ci potrebbe definire il fenomeno della Doppia Estorsione? In cosa consiste e qual è la sua specificità?

Ad oggi il fenomeno della Doppia Estorsione – o Double Extortion – è uno dei principali fattori di rischio cibernetico per le aziende.

Si tratta di una estorsione digitale, un atto criminale portato a termine da organizzazioni criminali strutturate, in molti casi vere e proprie enterprise del cyber crimine.

Le Doppie Estorsioni sono un tipo di attacco cibernetico complesso e quando colpiscono mettono in crisi l’azienda su due versanti:

  1. distruggendo i dati o cifrandoli con Ransomware (rendendoli quindi di fatto inutilizzabili);
  2. rubando ogni tipo di dato dall’azienda, dalle informazioni sui clienti a quelle sui dipendenti, fino ai segreti industriali.

L’obiettivo di questi attacchi è spesso monetario: chi attacca vuole ottenere profitto in ogni modo possibile. Attraverso il progetto doubleextortion.com tengo traccia dei principali attacchi a Doppia Estorsione e lo scenario è molto preoccupante: è un problema enorme sia per le grandi aziende sia per le PMI di appena 20 dipendenti.

 

 

Quali sono i possibili impatti negativi degli Attacchi a Doppia Estorisione sull’operatività di un’azienda?

Gli impatti sull’azienda sono molto più che operativi. Certo l’operatività è il primo problema imminente che l’azienda si trova ad affrontare. Dopo un attacco di questo tipo gran parte dei sistemi non sono funzionanti, le fatturazioni e gli ordini sono fermi, l’erogazione dei servizi o della produzione è bloccata.

È molto facile immaginare quali siano i costi diretti in questo senso. Molte aziende però non immaginano quali altri effetti possano scaturire.

Oggi le nuove Regolamentazioni Privacy impongono livelli di protezione e reazione alla minaccia che siano adeguate alla tipologia di dati personali trattati. Le ispezioni del Garante Privacy sono una conseguenza reale (e prevista dallo stesso GDPR), alla pari dei suoi provvedimenti; dunque la mancanza di documentazione, analisi dell’accaduto, azioni di risposta e notifiche agli interessati sono fattori decisivi per evitare pesanti sanzioni.

Ancor più complicata è la situazione per le aziende che collaborano in contesti con Pubbliche Amministrazioni o all’interno di ecosistemi aziendali complessi, di Holding internazionali o Gruppi Industriali. Anche se l’azienda colpita è relativamente piccola, ci sono fortissime pressioni da parte delle società controllanti ed in queste situazioni, la logica della “polvere sotto il tappeto”, cioè di nascondere eventuali violazioni di sicurezza, può avere effetti disastrosi nei rapporti fiduciari creatisi nell’arco di anni o decenni.

hacker e attacchi a doppia estorsione virus ransomware

 

Quali sono i trend in atto o quelli futuri in ambito di Double Extortion?

Il modello di business dietro gli Attacchi a Doppia Estorsione funziona. I gruppi criminali lo hanno capito bene e l’intensità degli attacchi aumenta con costanza. Tuttavia, il fenomeno non è affatto statico.

Diversi gruppi criminali stanno sperimentando ulteriori evoluzioni, vere e proprie pratiche nocive per aumentare il danno e la pressione sulle vittime.

Ad esempio uniscono il furto di dati personali ad attacchi a Doppia Estorsione in grado di oscurare i siti web pubblici aziendali, così da rendere evidente a tutti che è in corso una violazione dei sistemi.

Altri gruppi invece prendono contatti con la stampa locale per attivare una campagna del “fango” nei confronti dell’azienda colpita. Una situazione molto complessa che mette sotto pressione i vertici aziendali e richiede sangue freddo e preparazione nella comunicazione, pena effetti sul brand e sulla fiducia da parte di clienti e fornitori.

Altri criminali – infine – contattano direttamente i clienti dell’organizzazione, per far sapere loro che i dati verranno pubblicati se l’azienda non collabora. In questo caso la pressione “viene dal basso”, cioè dalla propria base di clienti che può produrre decisioni aziendali affrettate perché prese di pancia, senza valutare gli effetti reali della violazione.

 

 

Virus Ransomware: come difendersi gli Attacchi a Doppia Estorsione?

Le minacce informatiche sono sempre più sofisticate e in continuo aumento. In questo precedente articolo avevamo già riportato il dato eclatante secondo cui nel 2020 erano state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni.

E il fenomeno della Doppia Estorsione si inserisce in questo contesto di criticità, che le aziende non possono più ignorare. Purtroppo, tutti i dati attuali ci suggeriscono che non è più questione di “se”, ma di “quando” l’azienda subirà un attacco informatico.

L’obiettivo è dunque quello di essere pronti, mitigando i rischi connessi ad una possibile violazione, grazie ad un sistema di gestione dei dati personali – e non – conforme alla Normativa Europea sulla Privacy e agli standard di sicurezza richiesta per la tipologia di informazioni che si possiedono.

Se sei interessato a conoscere il livello di protezione della tua azienda e desideri approfondire il tema, lo Studio Legale è a disposizione per un primo incontro conoscitivo allo scopo di capire qual è lo stato attuale e valutare tutte le misure tecniche e organizzative necessarie per raggiungere il livello di conformità richiesto dalle normative vigenti.

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cos’è e cosa fare?

L’Attacco Ransomware è ormai diventata una minaccia costante alla sicurezza informatica delle aziende, con effetti sulla integrità dei dati critici in suo possesso: dalle email, ai dati di dipendenti o clienti, fino ai dati finanziari aziendali o di terzi.

Secondo un recente studio di Cybersecurity Ventures ogni 11 secondi un dipendente clicca su un link o apre un allegato di un’e-mail solo apparentemente innocua, mettendo invece in azione il ransomware e dando il via ad uno scenario catastrofico per l’organizzazione. Calcoli alla mano, significa che ogni giorno quasi 8.000 aziende in tutto il mondo sono colpite da questa minaccia.

È quindi fondamentale che le organizzazioni siano oggi in grado di rilevare e rispondere ad un attacco Ransomware per evitare gli impatti devastanti che lo stesso può avere sull’operatività aziendale.

Se volessimo partire dalla sua definizione, il Ransomware è un codice malevolo di crittografia (quindi un tipo di malware) che, una volta infettato un device o un server collegato ai sistemi informatici aziendali, ne blocca il loro accesso.

Successivamente, l’attaccante chiede un riscatto (Ransom) in cambio del codice che può ripristinare l’accesso ai sistemi.

È un attacco generalmente classificato in termini di violazione della disponibilità dei dati, in quanto gli stessi sono resi inaccessibili dal Ransomware, ma spesso potrebbe verificarsi anche una violazione della riservatezza, se i dati vengono esfiltrati, cioè esportati dall’attaccante e divulgati a terzi (qui potete trovare anche la definizione del NIST, una delle massime autorità del settore).

Ora analizziamo due scenari diversi in relazione ad un attacco Ransomware, tratti dalle recenti Linee Guida del Garante Privacy Europeo in tema di violazione dei dati, di cui abbiamo parlato anche in un articolo del nostro Blog.

 

 

Scenario 1: Attacco Ransomware ai server di un’azienda manifatturiera

I sistemi informatici di una piccola azienda manifatturiera sono stati esposti ad un attacco Ransomware che ha colpito i server principali.

I dati personali conservati nei server risultano protetti da algoritmi crittografici di ultima generazione e la chiave di decodifica (cosiddetta decryption key) non è stata compromessa durante l’attacco.

L’azienda è dotata di un sistema di file Log in grado di tracciare tutti i flussi di dati in uscita che le permette, nelle ore successive al Data Breach, di appurare con certezza che l’attaccante non è riuscito ad esfiltrare alcun dato.

Inoltre, l’accessibilità ai dati viene immediatamente ripristinata grazie alla presenza di un backup che limita qualsiasi danno all’operatività aziendale.

 

 

Attacco Ransomware: valutazione del rischio specifico

In questo esempio, l’aggressore ha avuto accesso ai dati personali ma la crittografia utilizzata dall’azienda li rende illeggibili a terzi non autorizzati. Pertanto i rischi di riservatezza sono mitigati.

Anche gli effetti connessi alla indisponibilità dei dati colpiti da Ransomware sono stati attenuati grazie alla precedente implementazione di un sistema di backup che ha salvato la continuità del business aziendale.

Infine, le conseguenze per gli interessati sono di entità trascurabile poiché tutto è stato ripristinato in poche ore e non si sono verificati effetti significativi nella gestione, ad esempio, delle commesse ricevute o nel calcolo del monte ore per i pagamenti dei dipendenti.

 

 

Attacco Ransomware: cosa fare in azienda?

A seguito di un’attenta valutazione, l’azienda deve stabilire entro 72 ore il livello di rischio connesso al Data Breach. In questo caso, si conclude che non vi sono rischi per i diritti e le libertà delle persone fisiche, per cui non è necessaria alcuna notifica nei confronti del Garante Privacy.

Resta però l’obbligo di annotare la violazione nel registro Data Breach, ai sensi dell’art. 33 pgf. 5 GDPR, in conformità al principio di accountability che richiede di specificare le motivazioni della mancata notifica.

 

hacker e attacco ransomware

 

 

Scenario 2: Attacco Ransomware ai dati personali di un’azienda di trasporto pubblico

Il server di un’azienda di trasporto pubblico è stato esposto a un attacco Ransomware. Secondo i risultati dell’indagine effettuata internamente, l’autore è riuscito ad esfiltrare i dati personali archiviati nel server.

Tra i dati violati si annoverano quelli dei dipendenti e di migliaia di clienti che utilizzano i servizi dell’azienda. La violazione non si limita a dati anagrafici, ma anche a dati finanziari relativi a carte di credito. Nel corso dell’attacco, l’aggressore è riuscito anche a crittografie l’unico backup esistente, rendendolo di fatto inutilizzabile.

 

 

Attacco Ransomware: valutazione del rischio specifico

Sebbene fosse in atto un sistema backup, questo è stato colpito dall’attacco. Il che fa sollevare dubbi sulla qualità delle misure IT implementate dall’azienda, dato che il backup dovrebbe essere sempre separato dal server principale, per evitare un suo coinvolgimento durante l’attacco.

La violazione riguarda non solo la disponibilità dei dati personali ma anche la loro riservatezza, perché l’aggressore – dopo l’esfiltrazione – può copiare e modificare i dati a piacimento. Inoltre la natura e il volume dei dati violati depone per un rischio assolutamente elevato. Oltre ai dati anagrafici sono coinvolti anche dati finanziari che espongono i clienti a possibili tentativi di frode.

 

 

Attacco Ransomware: cosa fare in azienda?

A questo punto diventa obbligatoria la notifica al Garante Privacy, ma allo stesso è necessaria un’immediata comunicazione a dipendenti e clienti interessati (anche per raccomandare il blocco della carta di credito). Questa eventualità è la più drammatica per una azienda, a livello di immagine e reputazione, in quanto rende palese la sua inidoneità a proteggere i dati personali dei propri clienti (Proprio sugli effetti negativi di un Data Breach in termini di danno di immagine, abbiamo scritto un approfondimento a questo link).

Sarà poi necessaria una attenta ricognizione delle misure di sicurezza, per innalzare il livello di protezione in ottica futura, a partire da una separazione logica del backup.

 

 

Attacco Ransomware: come proteggersi?

Dall’analisi dei due scenari emerge l’importanza di misure di sicurezza preventivi, per mitigare i rischi di riservatezza, integrità e disponibilità dei dati personali, che se concretizzati possono avere effetti irreversibili.

Per questo motivo, nella nostra attività di consulenza per la conformità al GDPR, predisponiamo un documento sulle misure di sicurezza implementate dall’azienda, segnalando possibili miglioramenti per raggiungere uno standard di protezione elevato.

Inoltre, per reagire ad un Data Breach nei tempi brevi richiesti dalla normativa è altrettanto utile dotarsi di un “Incident Response Plan”, vale a dire una procedura che chiarisca chi deve intervenire e quali attività devono essere fatte negli istanti successivi (e decisivi) di un Data Breach.

 

 

Hai avuto problemi o riscontrato minacce Ransomware?

Se desiderate approfondire la questione valutando una nostra consulenza, lo Studio Legale è disponibile ad una primo incontro conoscitivo per valutare lo stato di sicurezza attuale dell’organizzazione, fornendovi un preventivo ad hoc per la vostra realtà volto a raggiungere il livello di protezione dei dati richiesto dalla Normativa Europea sulla Privacy.

 

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Ecco le ragioni per cui la Normativa sulla Privacy non è più un’opzione

Il rapporto annuale di Clusit (realtà italiana di riferimento nella sicurezza informatica e sulla normativa sulla privacy), già nel 2018 evidenziava come il 45% delle aziende italiane avesse subito cyber attacchi. Da anni, ormai, si tratta di un trend in costante crescita. E, dal 2017 ad oggi, gli attacchi cyber sono aumentati del 66%.

Non a caso quasi la metà del personale responsabile delle infrastrutture IT aziendali (46%) teme che un attacco ransomware (con annessa richiesta di riscatto) possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

Un altro studio di Canalys, tra le principali società di analisi del mercato tecnologico globale, evidenzia che nel 2020 sono state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni, e alcune di queste violazioni hanno avuto effetti catastrofici su servizi essenziali (come ad esempio per gli ospedali).

La foto rappresenta un grafico dello studio di Canalys su normativa sulla privacy e data breach

È quindi chiaro che lo scenario attuale impone un alto standard di conformità nei confronti della normativa sulla privacy, per mitigare innanzitutto gli effetti assolutamente negativi di una violazione dei dati personali (il cosiddetto data breach); effetti che potremmo sintetizzare in questi termini:

  • Perdita di dati personali e violazione della normativa sulla privacy: tralasciando l’aspetto etico derivante dalla responsabilità di gestire nel miglior modo possibile le informazioni di altri soggetti (dipendenti, clienti e fornitori in primis), è evidente che oggi i dati personali rappresentano un asset di valore che, in quanto tale, necessita di una protezione adeguata. Ogni fuga di dati personali rappresenta anche un enorme danno di immagine, che peraltro può comportare – a norma di legge – anche la comunicazione dell’evento ai propri clienti e fornitori. Questa eventualità è certamente da scongiurare avendo ricadute immediate sul brand aziendale, come testimonia il recente attacco hacker nei confronti di Ho Mobile, l’operatore virtuale di telefonia mobile, che dopo l’accaduto e il tam-tam mediatico che ne è seguito, ha visto registrare una fuga in massa dei suoi clienti verso altre compagnie.
  • Interruzione dell’operatività aziendale: in molti casi (come nell’ipotesi di attacchi ransomware), il data breach può comportare un blocco dei server aziendali o di altri settori focali dell’azienda, determinando altresì una sospensione della normale attività lavorativa. In questi frangenti, un corretto sistema di gestione dei dati personali, insieme a procedure di risposta efficienti e resilienti, sono un elemento decisivo per minimizzare l’impatto di questi eventi di danno.
  • Sanzioni: un data breach può avere riflessi negativi anche sotto il profilo delle sanzioni, oggi certamente significative (fino a € 20 milioni o il 4% del fatturato globale annuo). L’entità di tali sanzioni sono certamente un fattore di cui tenere conto in una valutazione di costi-benefici. In questo senso, una corretta conformità alla normativa sulla privacy riduce sensibilmente l’eventuale applicazione delle stesse sanzioni, perché l’Autorità Garante è la prima ad essere cosciente che il rischio zero in ambito di sicurezza informatica non esiste. Per cui, l’azienda che dimostra di aver fatto tutto ciò che era in suo potere per mitigare eventuali rischi, ha grandi probabilità di non essere soggetta alle pesanti sanzioni del GDPR.

Come si è detto, quindi, nessuno è in grado di garantire l’azzeramento dei rischi derivanti dal data breach. Quello che si può fare è agire preventivamente in modo da ridurre al minimo il rischio derivante dal trattamento dei dati di nostri clienti e fornitori, e al rispetto della normativa sulla privacy.

 

 

La mappatura dei flussi, l’individuazione di chiare regole di ingaggio per il trattamento dei dati personali effettuato da dipendenti e da collaboratori (interni ed esterni), la redazione di valutazioni di impatto, laddove sia identificato un rischio elevato, sono tutte attività utili per garantire un corretto trattamento dei dati personali, minimizzando al contempo il rischio per la violazione e divulgazione a terzi degli stessi.

È proprio questo che, come Studio Legale, ci proponiamo di fare: un’attività di consulenza che non si limiti all’adeguamento alla normativa sulla privacy ma che crei un valore per il Cliente in termini di maggiore sicurezza dei dati personali per affrontare con più serenità eventuali imprevisti e allo stesso tempo per creare una relazione di fiducia con i propri clienti basata su un trattamento trasparente dei loro dati personali.

Una società che si adegua al GDPR è una società che, anche in caso di data breach, non teme lo spettro di provvedimenti sanzionatori o di danni alla sua reputazione, perché sicura di aver fatto quanto in suo potere per proteggere i dati personali di cui è in possesso, sempre nel rispetto della normativa sulla privacy.

 

Con la Normativa sulla Privacy quale percorso affrontare per tutelarti?

Il percorso di conformità alla normativa sulla privacy necessita però di una profonda analisi dell’azienda, agendo sulle criticità per rendere più efficaci e snelli i processi aziendali:

  • In una prima fase, l’attenzione è riposta sull’analisi del rischio (il cosiddetto risk analysis), con la pianificazione di una serie di audit allo scopo di individuare le adeguate misure di sicurezza da implementare in rapporto alla natura ed entità dei dati personali trattati (cosiddetto gap analysis);
  • Si procede quindi alla stesura del registro del trattamento (art. 30 GDPR), documento essenziale per creare una mappa concettuale di tutti i flussi di dati all’interno dell’azienda (cosiddetto data mapping), identificando il ciclo vitale del dato. Il registro, infatti, permette di capire, per ogni dato personale, qual è il suo punto di raccolta, tracciando ogni suo passaggio interno – tra i dipartimenti aziendali – ed esterno, laddove ci si appoggi a fornitori terzi e servizi in outsourcing;
  • È anche l’occasione per fissare limiti nella conservazione dei dati personali (cosiddetto data retention) e per riflettere sullo stato attuale del data base aziendale, eliminando eventuali dati non necessari.

Questi passaggi sono fondamentali perché, memori di quanto detto all’inizio in tema di data breach, ogni dato personale è fonte di responsabilità per l’azienda che ne è titolare; per cui è cruciale trattare solo i dati strettamente necessari e utili alle finalità preposte, ottemperando al principio di minimizzazione dei dati (art. 5 GDPR).

In quella sede può nascere anche l’esigenza di effettuare valutazioni di impatto per i trattamenti ad alto rischio, seguendo le metodologie riconosciute a livello internazionale (come ad esempio il metodo ENISA); questo processo è fondamentale in sede di controllo ispettivo, perché testimonia la grande attenzione di un’azienda per la questione della normativa sulla privacy e la volontà di porre azioni concrete a mitigazione delle situazioni più rischiose.

Quindi per un corretto adempimento della Normativa sulla Privacy, segue una fase di redazione di policy e procedure inerenti alle attività aziendali (come ad esempio la policy di gestione delle e-mail, della gestione data breach, dei regolamenti sull’uso di device personali, eccetera), oltre alla redazione di tutte le informative necessarie, anche a favore di dipendenti e collaboratori.

Concluso il percorso di adeguamento, è importante attivarne uno nuovo di monitoraggio e aggiornamento mediante audit semestrali o annuali, a seconda del contesto aziendale, oltre ad implementare sessioni di formazione a tutto il personale.

 

La foto rappresenta un'immagine esplicativa sulla Normativa sulla Privacy e sul Data Breach

 

Normativa sulla Privacy: infine, segnaliamo un trend in forte crescita per il 2021.

Un modello organizzativo basato su un corretto trattamento dei dati personali sta diventando un elemento di competitività tra aziende concorrenti sul mercato. Ciò è dovuto da una serie di fattori che proviamo ad elencare:

  • A quasi 3 anni dall’applicazione effettiva del GDPR, è aumentata considerevolmente la sensibilità di utenti e consumatori finali sul tema della normativa sulla privacy. Quest’ultimi, dunque, sempre di più scelgono un prodotto o servizio anche in ragione del livello di protezione garantito dalle aziende sui loro dati.
  • La conformità alla normativa sulla privacy è un elemento decisivo anche nei rapporti B2B, cioè fra aziende; si collabora e si crea network solo con realtà con cui si può serenamente condividere dati personali per finalità comuni.
  • La normativa sulla privacy è ormai un elemento non più accessorio ma fondamentale nella creazione di un prodotto o servizio. Chi non si adegua a questo cambiamento rischia di perdere risorse e investimenti.

In quest’ottica va dunque visto il percorso di adeguamento che proponiamo alle aziende clienti. Non certo un adempimento legale, ma un valore di crescita per le stesse aziende in termini di sicurezza e di competitività sul mercato.

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro 

Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra cessare nonostante il noto divieto previsto dalla Legge n. 173/2005 (art. 5) e la sua inclusione tra le pratiche commerciali scorrette all’interno del Codice del Consumo (D. Lgs., n° 206/2005). 

Questa volta, ad essere al centro dell’indagine dell’Autorità è la società Starlife Italia S.r.l. (oggi Newcar Europe S.r.l.), che ha fondato un sistema di vendita piramidale dei suoi prodotti, fra cui integratori alimentari e cosmetici, basato sul reclutamento di consumatori, incentivati a creare un proprio network di clienti. 

Alla base del programma Starlife, una serie di elementi tipici della vendita piramidale: 

  • Il consumatore che si iscrive al network è subito chiamato ad un esborso non certo esiguo (200 euro), del tutto sproporzionato rispetto al corrispettivo rappresentato dai prodotti della società. 
  • Il neo iscritto è spinto nella ricerca di parenti, amici o colleghi interessati ad entrare nel sistema Starlife; se riesce infatti a far iscrivere in breve tempo altre 3 persone pronte a spendere la stessa cifra in prodotti Starlife, potrà recuperare parte della sua quota di ingresso.
  • Lo stesso meccanismo vale anche per le tre persone appena entrate nel sistema. 
  • Se il consumatore riesce poi a creare un proprio network può richiedere il noleggio a lungo termine di un’auto sponsorizzata, ma dovrà impegnarsi a mantenere su base mensile alti standard di acquisto (per autoconsumo) e di reclutamento di nuovi membri. 

 

Che cos’è il sistema di vendita piramidale e perché la legge lo vieta 

Pertanto, il sistema di marketing piramidale si regge principalmente sulle entrate derivate dall’ingresso di nuovi affiliati piuttosto che su un’attività economica reale (ossia la vendita di beni o servizi da parte dei consumatori iscritti). 

Il legislatore ne vieta la diffusione perché lo ritiene, nel lungo termine, un sistema non sostenibile, che porta cospicui guadagni in particolare a chi si trova in cima alla piramide del network, mentre difficilmente si raggiungono i risultati sperati (e promessi dalla società), quando si è alla base della stessa. 

La “bolla” del sistema piramidale regge fino a quando il flusso di nuovi ingressi resta ad un livello tale da assicurare il pagamento dei vari premi promessi nei diversi livelli del network. Ma prima o poi questo flusso cala, come è inevitabile che sia, compromettendo l’intera sostenibilità del sistema

Come ha di recente sottolineato il Consiglio di Stato (sent. n. 321/2020), il fondamento del divieto è quello «di contrastare i sistemi distributivi basati sul progressivo ampliamento della base di consumatori reclutati con la prospettiva illusoria di ingenti guadagni»

È questo il vero discrimine tra un sistema di vendita piramidale (illecito) e un sistema di multilevel marketing (lecito): nel primo caso i profitti dei singoli e della società derivano principalmente dall’ingresso di nuovi affiliati, mentre nel secondo caso sono i guadagni derivanti dalla vendita diretta di prodotti o servizi o dalla percentuale sulle vendite del proprio network che rappresentano le entrate principali dell’intero sistema. 

Nel caso di Starlife Italia, tutto il programma era incentrato sul reclutamento di nuovi affiliati, e pertanto anche i benefit connessi alla affiliazione, fra cui il noleggio dell’auto sponsorizzata, dipendevano dalla dimensione e propagazione del network creato dall’affiliato-sponsor, il quale doveva mantenere anche un ordine di acquisto mensile minimo per il proprio consumo. 

Per queste ragione, l’Autorità ha valutato la condotta di Starlife Italia come una pratica commerciale scorretta, perché afferente ad un sistema di vendita piramidale illecito, vietandone per questo la continuazione oltre ad irrogare una severa sanzione di € 850,000,00. 

 

multilevel marketing e di sistema di vendita piramidale

 

Come creare un sistema legittimo di Multilevel Marketing 

Il provvedimento dell’Autorità ci offre alcuni spunti. Innanzitutto, esso rappresenta un monito per tutti coloro che desiderano intraprendere un’attività imprenditoriale in questo settore, creando una società di Multilevel Marketing

Prima di avviare un’attività del genere, dobbiamo infatti assicurarci che il sistema di Multilevel Marketing che abbiamo in mente resti nel perimetro di legittimità disegnato dal legislatore senza sfociare in un sistema di tipo piramidale, che – come abbiamo visto – viene sanzionato dall’Autorità in maniera molto severa. 

Per questa ragione, il consiglio è di affrontare un percorso di conformità normativa (cosiddetto compliance), per dare vita ad un genuino sistema di Multilevel Marketing, senza alcuna rischiosa contaminazione con il sistema illecito di tipo marketing piramidale.

Un percorso dunque di consulenza che parta dalla redazione dello statuto ai contratti con i singoli fornitori e clienti, dai Manuali per gli affiliati, fino al codice etico dell’azienda, con l’obiettivo di essere pienamente conformi alla L. n. 173/2005, senza ricadere tra le “presunzioni” di vendita piramidale indicate dall’art. 6 della norma. 

Le presunzioni sono infatti indicatori che segnalano la presumibile esistenza di una vendita piramidale, facendo scattare, a sua volta, un intervento dell’AGCM. In particolare, si presume che il sistema sia di tipo piramidale: 

  • Se il sistema è in gran parte finanziato dall’ingresso di nuovi membri che, all’atto del reclutamento, devono corrispondere “una somma di denaro o titoli di credito o altri valori mobiliari e benefici finanziari in genere di rilevante entità e in assenza di una reale controprestazione”; 
  • Se il nuovo membro è inoltre obbligato ad acquistare “una rilevante quantità di beni o prodotti” dalla società organizzatrice, “ivi compresi materiali didattici e corsi di formazione, non strettamente inerenti e necessari alla attività commerciale in questione e comunque non proporzionati al volume dell’attività svolta”; 
  • Se, infine, il sistema si basa economicamente sull’ingresso di nuovi affiliati e sul loro acquisto di prodotti per autoconsumo piuttosto che su un sistema di vendita diretta. 

Tutta l’attività di consulenza dovrà quindi essere improntata nel senso di creare un programma di multilevel marketing che non abbia nessuna affinità con le caratteristiche tipiche della vendita piramidale, per non ricadere in nessuna delle presunzioni appena elencate.