loader image
NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

Come noto, la Corte di Giustizia UE – con sentenza C-311/18 (Sentenza Schrems II) – ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall’Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l’impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di “bollino” certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation – a partire da Google e Microsoft – vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l’attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi – in particolare per motivi di sicurezza nazionale – è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up “in costruzione”, che sta progettando la sua realtà digitale.

1. IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l’azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere – per quanto possibile – servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2. IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero – soprattutto per le imprese che lavorano nel digital – è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l’azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell’azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull’esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell’IP (quale funzione presente all’interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c’è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare – laddove necessarie – per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.


INTELLIGENZA ARTIFICIALE: i 7 principi di una Auditing Legale

INTELLIGENZA ARTIFICIALE: i 7 principi di una Auditing Legale

La progettazione e lo sviluppo di sistemi di intelligenza artificiale (IA) deve seguire canoni legali ed etici, dalla fase di training dei dati – per “allenare” l’algoritmo o il modello implementato – fino alla fase di output, che si sostanzia in una decisione automatizzata il cui esito può avere un forte impatto sui diritti e le libertà di chi è interessato a quella decisione.
Si pensi alla decisione automatizzata relativa alla concessione o meno di un mutuo da parte di una banca, sulla base di un algoritmo IA di credit-scoring che valuta l’affidabilità di un cliente.

Diventa pertanto decisivo dotarsi di risorse e professionalità anche legali che sappiano accompagnare l’impresa o l’ente impegnato nella realizzazione di sistemi IA, nella valutazione di tutti i rischi connessi, oltre alla implementazione di un reale processo di privacy by design (di cui abbiamo già parlato QUI in una recente news).

A tal rigurado, il Gruppo di esperti ad alto livello sull’intelligenza artificiale (AI HLEG), istituito dalla Commissione europea, ha di recente pubblicato linee guide utili al fine di raggiungere tale scopo, suddividendo la fase di auditing in sette diversi principi.

Lo Studio Legale Baldrati & Strinati, nel seguire i propri clienti, si avvale delle più recenti letterature in ambito IA, per modellare la propria consulenza legali agli standard europei, promossi dalla Commissione UE e dagli altri organi comunitari.

In questo senso, vediamo quali sono i 7 principi elencati all’interno delle linee guide, e quali potrebbe essere l’oggetto della relativa consulenza.

1. HUMAN AGENCY & OVERSIGHT (azione umana e controllo)

OGGETTO DELLA CONSULENZA: si studiano tutti gli effetti connessi al rapporto tra l’uomo-utente e il sistema di intelligenza artificiale.

OBIETTIVO #1: implementare una serie di misure by design, per rendere assolutamente trasparente questo rapporto. In particolare, l’utente deve sempre essere messo nelle condizioni di sapere quando un certo “output” o decisione è il risultato di una decisione algoritmica. Inoltre, il sistema IA non deve mai generare confusione, tale per cui l’utente non è in grado di capire se sta interagendo con una “macchina” o con un uomo.

OBIETTIVO #2: Un altro rischio da mitigare è quello connesso ad una dipendenza dell’utente nei confronti dei sistemi IA. Occorre individuare procedure che non inducano l’utente ad affidarsi ciecamente dei sistemi IA (un esempio, in futuro, sarà la guida autonoma).

OBIETTIVO #3: infine si dovrà assicurare che il sistema AI non influenzi la decisione dell’utente, affinchè questa decisione resti autonoma e libera.

OBIETTIVO #4: individuare quale tipo di controllo e di intervento è concesso all’utente nel corso della relazione con il sistema IA, scegliendo fra 4 diverse tipologie indicate dal Gruppo di Esperti

2. TECHNICAL ROBUSTNESS AND SAFETY (solidità tecnica e sicurezza)

OGGETTO DELLA CONSULENZA: valutare se il sistema AI raggiunge un grado di affidabilità accettabile, fornendo servizi che soni che sono giustificabili ex post e che sono resilienti, cioè in grado di gestire cambiamenti inaspettati o contraddittori derivanti dall’interazione umana o ambientale circostante.

OBIETTIVO #1: analizzare i rischi inerenti all’uso del sistema IA, implementando misure e procedure che rispondano ad alti standard di sicurezza informatica – per evitare alterazioni o manipolazioni di dati e garantire in merito alla esattezza e precisione dei dati e delle decisioni.

3. PRIVACY AND DATA GOVERNANCE

OGGETTO DELLA CONSULENZA: analizzare la conformità legale ai principi di protezione dei dati personali (normativa GDPR) e studiare soluzioni di adeguamento del sistema IA

OBIETTIVO #1: effettuare una valutazione dei rischi privacy (Data Protection Impact Assessment), e stabilire le misure necessarie per mitigare i rischi individuati

OBIETTIVO #2: implementare un sistema di Data Governance, che preveda l’esatta conoscenza dei dati acquisiti e trattati (anche tramite un apposito registro), oltre ad una serie di meccanismi che aumentino il livello di sicurezza del trattamento (es. cifratura, pseudonimizzazione)

OBIETTIVO #3: minimizzare i dati trattati allo stretto necessario. Meno dati significa meno responsabilità per chi li tratta.

4. TRANSPARENCY (trasparenza)

OGGETTO DELLA CONSULENZA: analizzare se i dati e i processi che portano alle decisioni del sistema di intelligenza artificiale sono adeguatamente documentati per consentire la tracciabilità delle stesse decisioni. Solo così sarà possibile monitorare sia la qualità dei dati e dei modelli immessi all’interno dell’algoritmo (input), sia la qualità del risultato (output).

OBIETTIVO #1: implementare procedure di log per registrare le decisioni e i processi che hanno portato ad una decisione.

OBIETTIVO #2: documentare ogni fase di decisione, per rendere quella decisione “giustificabile” all’utente se vuole comprenderne la ragione e/o logica.

OBIETTIVO #3: predisporre strumenti per comunicare all’utente quali sono i criteri e le finalità delle decisioni effettuate dall’algoritmo e quali gli eventuali rischi e i possibili margini di errore.

5. DIVERSITY, NON DISCRIMINATION AND FAIRNESS (pluralità, non discriminazione e correttezza)

OGGETTO DELLA CONSULENZA: monitorare i set di dati utilizzati nella fase di progettazione e sviluppo per garantire una composizione plurale e rappresentativa dei dati, evitando o limitando possibili pregiudizi.

OBIETTIVO #1: eliminare o limitare possibili BIAS (effetti discriminatori o parziali) connessi alle decisioni automatizzate dei sistemi IA

OBIETTIVO #2: identificare gli utenti maggiormente esposti a BIAS e informarli adeguatamente

6. SOCIETAL AND ENVIRONMENTAL WELL-BEING (benessere sociale e ambientale)

OGGETTO DELLA CONSULENZA: analizzare gli impatti potenziali del sistema IA sul contesto ambientale e sociale (ad esempio forza lavoro)

OBIETTIVO #1: garantire una efficacia comunicazione agli utenti interessati qualora il sistema IA abbia un impatto sul sistema lavoro

7. ACCOUNTABILITY (responsabilizzazione)

OGGETTO DELLA CONSULENZA: garantire che ogni misura tecnica, organizzative e di sicurezza implementata sia efficacemente documentata, al fine di dimostrare la conformità a normative e buone prassi di settore.

OBIETTIVO: predisporre documentazione e procedure comprensibili agli utenti, ma anche a favore di organi di controllo per dimostrare in maniera efficace la propria conformità alle normative rilevanti

Consulenza Legale per Sistemi IA: un approccio Privacy by Design

Consulenza Legale per Sistemi IA: un approccio Privacy by Design

Cosa significa Privacy by Design?

Di Privacy By Design se ne parla da anni, ma è un termine difficile da ridurre in una semplice definizione perché più che un concetto rappresenta un approccio. Significa infatti considerare i rischi e i problemi di privacy e protezione dei dati fin dalla fase di progettazione di un qualsiasi servizio, prodotto o processo.

 

Un esempio di Privacy by Design?

Se vogliamo restare all’attualità più recente, la Privacy By Design viene sempre più associata all’Intelligenza Artificiale e a quei sistemi che, con l’aiuto di algoritmi di Machine Learning o Deep Learning elaborano i dati degli utenti, per produrre decisioni automatizzate.

Oggi, infatti, il mercato richiede una particolare attenzione su questi temi, e per dare vita a prodotti che siano in linea con gli alti standard di protezione del GDPR (la Normativa Privacy Europea), ingegneri, designer, sviluppatori, esperti di sicurezza informatica e legali sono chiamati a collaborare fin dalle prime fasi di sviluppo.

Si dovrà ad esempio ragionare su quali dati personali effettivamente raccogliere ed elaborare, creando una vera e propria tassonomia dei dati, suddividendoli fra quelli che l’utente salva sul proprio dispositivo (ad esempio: identificatori del device) e quelli che, invece, sono condivisi e salvati sul database del fornitore (ad esempio: credenziali di accesso), fino a quelli che sono inviati anche a terze parti (molto spesso i dati comportamentali dell’utente da cui trarre gusti e preferenze).

Ognuno di questi dati personali pone quesiti diversi in termini di minacce e rischi privacy e di cyber sicurezza, che devono essere monitorati singolarmente.

Questo è solo un piccolo esempio di come applicare il concetto di Privacy By Design ad uno scenario reale, ma se ne potrebbero elencare centinaia, ognuno diverso per ogni fase del progetto. Il punto centrale è che deve essere adottato un approccio proattivo, abbandonando quello reattivo che si focalizza sulle lacune del progetto (ad esempio: mancanza di un’informativa o di un termine di cancellazione dei dati) senza però avere uno sguardo di insieme.

 

Qual è la differenza tra Privacy by Design e Privacy by Default?

La Privacy By Default è – se vogliamo – una componente della Privacy By Design. Rappresenta il livello di protezione dei dati di cui l’utente beneficia di default – appunto – cioè senza dover modificare alcuna impostazione del prodotto o servizio. Si pensi all’installazione di una App sul proprio smartphone e al suo primo utilizzo. È in quel momento che si può misurare la Privacy By Default dell’applicazione.

Quanti e quali dati vengono trattati? Quali misure di sicurezza ha implementato il fornitore? Si lega chiaramente al concetto di minimizzazione dei dati e di limitazione delle finalità, ovvero l’Applicazione dovrebbe trattare solo i dati necessari per le finalità previste.

Se l’utente viene tracciato con l’attivazione di cookie o altri sistemi di tracciamento attivati di default senza il consenso dell’utente è evidente che il principio non verrà rispettato. Ma torniamo al tema principale della Privacy By Design, collegandolo al nuovo campo di applicazione dell’Intelligenza Artificiale.

privacy by design e sistemi ia

 

Privacy by Design: l’esempio di Apple

Diventa sempre più importante per le software house e le start-up innovative che progettano Sistemi di Intelligenza Artificiale (IA) conformarsi alle prescrizioni della Normativa Privacy (cosiddetto GDPR), adottando un approccio di Privacy by Design.

Non sorprende quindi la notizia che vede Apple impegnata ad introdurre una sorta di etichetta privacy per tutte le applicazioni che avranno accesso al suo app store.

In sostanza, gli sviluppatori di app dovranno previamente comunicare quali dati personali sono trattati tramite l’applicazione da loro progettata, oltre alle finalità del trattamento. In questo modo, l’utente riceverà indicazioni di massima sulle tipologie di trattamento privacy, prima di effettuare l’eventuale download.

 

Privacy by Design e Sistemi di Intelligenza Artificiale (IA)

L’esempio di Apple è un altro segnale che va verso una direzione chiara: la privacy sta diventando un elemento concorrenziale tra le imprese innovative, e il tema assume un ruolo ancora più centrale per quelle organizzazioni che sviluppano Sistemi di Intelligenza Artificiale (IA) in grado di generare decisioni automatizzate mediante l’utilizzo di dati personali (come ad esempio, gli ormai noti sistemi di riconoscimento facciale oppure le applicazioni di credit scoring per valutare l’affidabilità creditizia di una persona).

Come tali, detti Sistemi di Intelligenza Artificiale (IA) pongono rischi elevati sul fronte dei diritti e delle libertà fondamentali degli utenti, poiché si “nutrono” di una enorme mole di dati che necessitano di continui controlli (dalla fase di raccolta fino a quella di training).

Il rischio, altrimenti, è quelli di utilizzare dati “fallaci” (di scarsa qualità o non realmente rappresentativi di scenari statistici) o addirittura affetti da “bias”, vale a dire pregiudizi o elementi discriminatori che incidono sul risultato finale delle decisioni automatizzate (per approfondire il tema ne abbiamo parlato in questo articolo).

Per queste e altre ragioni connesse al grado di raffinatezza tecnologica e ingegneristica raggiunto dalla gran parte dei Sistemi di Intelligenza Artificiale (IA), oggi non è più rinviabile una attività di auditing legale che sia in grado di esaminare gli algoritmi alla base di tali sistemi, e prima di tutto i set di dati personali che li alimentano.

 

Privacy by Design per imprese innovative e start up

Lo Studio Legale Baldrati & Strinati ha da tempo avviato una consulenza legale sul punto, affiancando start up e altre realtà innovative nella implementazione di un effettivo processo di Privacy by Design, in grado di guidare il cliente nella creazione di Sistemi di Intelligenza Artificiale (IA) conformi ai principi di trasparenza e informazione richiesti dal GDPR.

L’attività di auditing legale volta ad esaminare l’algoritmo e il modello decisionale implementato dai Sistemi IA, si fonda su alcuni pilastri:

  • Architettura dell’Algoritmo: si valuta, tra le altre, la complessità dell’algoritmo, possibili usi secondari, i set di dati che lo alimentano, l’implementazione o meno di logiche di machine learning.
  • Operation: si valuta, tra le altre, i dati necessari per le decisioni automatizzate, le possibili attività di profilazione, l’eventuale condivisione dell’output a terze parti.
  • Output: si valuta, tra le altre, il tipo di output fornito dall’algoritmo, se l’output è prodotto in forma comprensibile e accessibile all’utente e se viene fornito un meccanismo di feedback per l’utente.
  • Implementation: si valuta, tra le altre, gli scopi del processo decisionale automatizzato e la possibilità o meno dell’intervento umano nel corso dell’intero processo.

Da ultimo si offrono una serie di soluzioni condivise con il Cliente, al fine di conformarsi all’Art. 22 del GDPR, che richiede una serie di requisiti in caso di trattamento dei dati personali interamente automatizzati: dal diritto di ottenere l’intervento umano da parte del titolare del trattamento, al diritto di esprimere la propria opinione e di contestare la decisione automatizzata.

La piena conformità al GDPR rappresenta un elemento di competitività sul mercato per qualsiasi organizzazione che voglia fare dell’innovazione il suo core business. Il grado di sensibilizzazione raggiunto dagli utenti sul tema Privacy e i nuovi scenari imposti dalle grandi corporation (come Apple), impongono un cambio di passo sul grado di maturità dei Sistemi di Intelligenza Artificiale (IA), che devono essere rispettosi dei principi (Privacy by Design) previsti dal Regolamento Europeo.

SMARTWORKING: come attivarlo in sicurezza

SMARTWORKING: come attivarlo in sicurezza

Nei prossimi mesi, in ragione del contesto di emergenza e delle norme che ne incentivano l’attivazione, saranno tante le aziende che decideranno di attivare progetti di SmartWorking.

Come noto, lo SmartWorking portà con sè enormi vantaggi in termini di flessibilità e “Work Life Balance”, ma pure nuove forme di “rischio” privacy e di sicurezza informatica, a partire dall’aumento esponenziale del c.d. perimetro aziendale, e dall’utilizzo di strumenti – anche personali del lavoratore – fuori dall’ufficio.

Di seguito, quindi, una breve raccolta degli adempimenti più importanti da adottare per conformarsi alle nuove normative privacy. A questi dovranno aggiungersi eventuali adempimenti di sicurezza e salute sul lavoro, avendo cura di conformarsi anche allo Statuto dei Lavoratori.

SCEGLIERE CON CURA I NUOVI PARTNER TECNOLOGICI. Il riferimento è al software per le video-conferenze o a quello per la condivisione dei documenti. Sarà necessario valutare una serie di parametri, fra cui la collocazione dei data centers, gli standard di sicurezza (es. crittografia end-to-end), o le opzioni offerte al Cliente per aumentare la protezione dei dati. In questa fase, consigliamo vivamente di affidarsi alla consulenza preventiva di un esperto.

DESIGNARLI RESPONSABILI DEL TRATTAMENTO. Salvo rari casi, i nuovi partner tecnologici saranno da nominare Responsabili del Trattamento ai sensi dell’art. 28 GDPR, trattando dati per conto del Titolare del Trattamento (vale a dire l’azienda). In questo modo verrà tracciata e protetta l’intera filiera privacy, attribuendo a tali soggetti le responsabilità che gli spettano in base alla normativa.

PREDISPORRE UNA CONNESSIONE SICURA. Come anticipato, con l’introduzione dello smart working si amplia notevolmente il perimetro aziendale, ed è quindi necessario assicurarsi che il lavoratoria possa connettersi in maniera sicura al server aziendale, ovunque egli si trovi per motivi di lavoro (ad esempio con apposita VPN – Virtual Private Network).

EFFETTUARE UNA VALUTAZIONE DI IMPATTO, ANCHE CYBER. Nel 2020, non è più possibile prescindere da una valutazione di impatto che accerti il livello di sicurezza informatica delle infrastrutture IT installate. La sicurezza dei dati, peraltro, rappresenta uno dei requisiti previsti dalla normativa privacy (art. 32 GDPR); il titolare, infatti, deve essere in grado di garantire la riservatezza, l’integrità e la disponibilità dei dati, oltre ad assicurare la resilienza dei dispositivi e dei servizi.

AGGIORNARE LA DOCUMENTAZIONE PRIVACY. Nuove attività di trattamento dei dati, nuovi servizi e nuovi strumenti comportano l’aggiornamento delle informative privacy, ma non solo (si pensi al registro di trattamento ex art. 30 GDPR).

CHIARIRE LE REGOLE DI UTILIZZO DEI DISPOSITIVI IT. in questa fase andranno redatte policy per informare e rendere consapevoli i dipendenti in modalità Smartworking delle attività legittime e non, in relazione ai nuovi strumenti IT e alle nuove modalità di lavoro. L’azienda può valutare anche l’utilizzo di dispositivi personali da parte del lavoratore, ma in quel caso sarà necessario predisporre apposite policy BYOD (Bring Your Own Device)

INFORMARE E FORMARE I DIPENDENTI. Prima di iniziare è necessario un periodo di formazione a favore dei dipendenti, i quali dovranno essere consapevoli dei nuovi rischi che l’attività di smartworking comporta.

Per maggiori info guarda anche il nostro video sulla protezione dei software aziendali, che diventa particolarmente importante quando si lavora da remoto.

GDPR: la prima sanzione è da 11,5 milioni.

GDPR: la prima sanzione è da 11,5 milioni.

Il Garante Privacy ha emesso due sanzioni sulla base dei nuovi parametri sanzionatori del GDPR (Reg. UE n. 679/16), nei confronti di Eni Gas e Luce (Egl), di complessivi 11,5 milioni di euro, per trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti.

Nello specifico, una prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e teleselling riscontrate a seguito di decine di segnalazioni e reclami pervenuti al Garante, che hanno fatto scattare le indagini dell’Autorità di controllo.

Tra le condotte più gravi emerse nel corso delle indagini,

  • le telefonate pubblicitarie effettuate senza il consenso della persona contattata o, addirittura, in caso di suo espresso diniego;
  • le telefonate effettuate senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni;
  • l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
  • tempi di conservazione dei dati superiori a quelli consentiti;
  • l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti dagli utenti i quali avevano appreso la notizia della stipula di un nuovo contratto solo dalla precedente ricezione della lettera di disdetta da parte del vecchio fornitore o dalle prime fatture di ENEL. Sono state inoltre riscontrate irregolarità su tali contratti con presenza di dati inesatti e di sottoscrizione apocrifa.