Questo mese una newsletter particolarmente interessante e legata a grandi temi di attualità, in particolare la normativa NIS 2 e opportunità e rischi dell’uso dell’Intelligenza Artificiale.

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Chi copre i danni provocati dall’Intelligenza Artificiale se non c’è dolo?

L’intelligenza artificiale comporta rischi specifici, come la discriminazione o la violazione dei diritti della personalità, che non sono adeguatamente trattati dalle normative esistenti. La Commissione europea, come espone l’articolo “Intelligenza artificiale: quale responsabilità in caso di danni?”,  ha quindi presentato una proposta di direttiva (Artificial Intelligence Liability Directive – AILD), accompagnata da una valutazione di impatto per l’adattamento delle norme di responsabilità civile extracontrattuale all’intelligenza artificiale.

Questa proposta, affiancando altre normative quali il regolamento sull’intelligenza artificiale (AI Act), dovrebbe comportare la revisione della direttiva sulla responsabilità per i prodotti difettosi (PLD). La proposta di direttiva si prefigge di garantire una copertura più ampia e completa di tutti i rischi potenziali, inclusi quelli derivanti dall’uso di software di intelligenza artificiale generativa, come i chatbot o i sistemi predittivi.

Una lacuna della valutazione di impatto è la mancata introduzione di un regime di responsabilità oggettiva (o responsabilità senza colpa – strict liability), che avrebbe offerto una migliore protezione per le vittime di danni causati da sistemi di IA. La relazione complementare, che ha emesso il Parlamento europeo, suggerisce che il regime di responsabilità per colpa rimanga applicabile in generale, mentre un regime di responsabilità oggettiva sarebbe riservato ai casi di danni causati da sistemi di IA ad alto impatto o general-purpose, come i sistemi autonomi nei trasporti o quelli utilizzati nella sanità.

Dal punto di vista della presunzione di colpa e degli obblighi di divulgazione delle prove, l’AILD prevede che, in determinate circostanze, le parti danneggiate abbiano il diritto di ottenere prove da chi sviluppa o utilizza un sistema di IA, al fine di dimostrare che il danno è stato causato da una negligenza o da un errore di progettazione. Infatti, è spesso difficile per le vittime provare la colpa o il difetto del sistema, a causa delle complessità insite nell’AI. [Appare poco probabile anche che chi è responsabile dell’AI, che ha determinato il danno, produca prove complete contro se stesso. Ndr]

Infine, l’autore dell’articolo esprime la preoccupazione che un regime di responsabilità troppo rigido possa scoraggiare l’innovazione e lo sviluppo di nuove tecnologie basate sull’IA nell’Unione Europea ed, inoltre, che si creino discrepanze tra le diverse normative, generando un’incertezza giuridica.

Il Garante della privacy è libero di non infliggere sanzioni, se non lo ritiene opportuno

Quanto afferma il titolo dell’articolo “Quando il Garante della privacy accerta una violazione del GDPR non è tenuto ad infliggere necessariamente una sanzione” è suffragato da una sentenza della Corte di Giustizia UE, che si è espressa lo scorso settembre per un caso specifico. L’autorità garante nazionale conserva quindi un margine di discrezionalità nello stabilire impianti sanzionatori, così come può non stabilirli affatto.

L’entità delle sanzioni per organizzazioni appartenenti ad un gruppo di imprese

L’articolo “Corte di Giustizia UE: sanzione privacy calcolata sul fatturato di gruppo solo se la violazione è di gruppo” riferisce che, sulla base di una specifica vicenda, la Corte di giustizia europea ha stabilito che le sanzioni, i cui massimali sono definiti dall’Art. 83 del GDPR, devono essere applicate alle imprese facenti parte di un gruppo in proporzione al fatturato dell’intero gruppo, esclusivamente se la violazione della privacy deriva da una strategia di gruppo, altrimenti le sanzioni devono far riferimento al fatturato della singola impresa che non ha rispettato il GDPR.

Proseguono le attività dell’EDPB per fornire indirizzi relativi alla la protezione dei dati

L’articolo “Le autorità per la protezione dei dati europee adottano le linee guida sul legittimo interesse e un parere sui responsabili del trattamento” informa che il Comitato Europeo per la Protezione dei Dati (European Data Protection Board) ha adottato nuovi pareri, linee guida e dichiarazioni.

Un parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili e sub-responsabili del trattamento: i titolari dovrebbero disporre delle informazioni sull’identità (nome, indirizzo, contatto) di tutti i responsabili e sub-responsabili; il responsabile iniziale dovrebbe garantire che i sub-responsabili proposti offrano garanzie sufficienti e spetterebbe al titolare la decisione di utilizzare un sub-responsabile specifico, sebbene non sia tenuto a verificare se gli obblighi di protezione dei dati siano stati trasferiti lungo la catena del trattamento, ma potendo richiedere, per esaminarla, copia dei contratti di sub-trasmissione [dei dati].

Nel caso in cui il trasferimento tra sub-responsabili interessi “paesi terzi” (al di fuori dell’UE), il responsabile dovrebbe produrre la documentazione necessaria (basi legali, valutazione di impatto) e questa dovrebbe essere valutata dal titolare, tenendola anche a disposizione dell’Autorità garante.

L’EDPB ha poi adottato delle “Linee guida sul trattamento dei dati personali basato sull’interesse legittimo”, secondo le quali  il titolare deve soddisfare l’insieme di tre condizioni:

– Il perseguimento di un legittimo interesse da parte del titolare o di un terzo;

– La necessità di trattare i dati personali per perseguire tale legittimo interesse;

– Gli interessi o i diritti e le libertà fondamentali delle persone non devono prevalere sugli interessi legittimi del titolare o di un terzo (bilanciamento degli interessi).

La necessità del trattamento dovrebbe anche essere esaminata in base al principio di minimizzazione dei dati, oltre che in base all’effettiva necessità del trattamento ove esistano metodi alternativi. Col bilanciamento degli interessi, il titolare deve tenere conto degli interessi degli individui, dell’impatto del trattamento e delle aspettative ragionevoli degli interessati. Le linee guida (che saranno soggette a consultazione pubblica fino al 20 novembre 2024) prevedono diversi contesti specifici come la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni.

Infine, l’EDPB ha adottato la Dichiarazione 4/2024, su un regolamento che stabilisca ulteriori norme procedurali per l’applicazione del GDPR. L’EDPB ribadisce la necessità di una base giuridica e di una procedura armonizzata per le risoluzioni amichevoli.

Rispetto della privacy anche effettuando audit per verificare l’applicazione del Modello Organizzativo e di Gestione 231

L’articolo “Audit Dlgs 231/2001: necessario un approccio integrato per coprire sia le esigenze di privacy che quelle sulla responsabilità amministrativa delle imprese” evidenzia possibili rischi per la privacy nel corso degli audit relativi al D.Lgs 231 ed indica le misure organizzative atte a limitarli.

L’applicazione del Dlgs 231/2001 richiede attività di controllo da parte dell’Organismo di Vigilanza (OdV). Tra gli strumenti di indagine l’audit comporta rilevanti problematiche in termini di protezione dei dati personali poiché possono essere raccolte evidenze sulla salute e sicurezza dei lavoratori, sistema sanzionatorio, whistleblowing, ecc…, per confrontare questi dati con i criteri prefissati.

Gli auditor quindi devono far fronte a due esigenze contrapposte: la raccolta di evidenze adeguate e riproducibili e il mantenimento della riservatezza dei soggetti oggetto di audit.

Gli auditor dovrebbero allora ricevere le indicazioni sulla gestione dei dati personali di cui vengono a conoscenza, sottoscrivere un “non disclosure agreement” (NDA), essere formati per garantire la protezione dei dati personali, garantire la minimizzazione, la limitazione dell’accesso e conservazione sicura dei dati per tutto il ciclo di vita dell’audit.

Inoltre è necessario integrare l’informativa privacy agli interessati indicando tra le finalità anche la verifica da parte di eventuali soggetti terzi autorizzati dall’OdV.

L’accesso ai documenti deve essere limitato a quanto indispensabile, effettuando le verifiche a campionamento.

Ai fini della trasparenza il report di audit dovrebbe riportare:

  • nome, cognome per esteso e ruolo delle “persone coinvolte” nel corso dell’audit, con indicazione delle presenze nelle riunioni;
  • ruolo delle “persone osservate” ovvero di quelle di cui si osserva il comportamento al fine di verificare il rispetto delle procedure e/o istruzioni, ma che non vengono intervistate direttamente;
  • le sole iniziali delle “persone citate nelle registrazioni esaminate” ovvero di quelle esaminate nel corso dell’audit; in alternativa riportare una parte dei dati del n. di matricola.

E’ importante effettuare un approfondimento sui rischi che un’azienda deve valutare: incidenti sul lavoro, mancata formazione, mancanza di attrezzature adeguate, e come questi possano portare a responsabilità amministrativa all’interno del perimetro del Dlgs 231/2001. Tuttavia ci si deve limitare a raccogliere le evidenze strettamente necessarie.

Inoltre deve essere allegata al rapporto la minima documentazione possibile (compresi file e delle fotocopie), limitandosi ad indicare i riferimenti alla documentazione senza accluderla.

Ovviamente gli auditor, sia appartenenti all’OdV che da questo incaricati, devono comportarsi in modo integerrimo senza dare adito ad alcuna lamentela.

Violazione del dipendente permessa dalla superficialità dell’organizzazione

L’articolo “​Sul caso della violazione della privacy dei clienti della banca non è tutta colpa del dipendente spione” riporta che un dipendente di un noto istituto bancario ha indebitamente acquisito i dati di migliaia di clienti. L’istituto lo ha licenziato , si dichiara parte lesa ed afferma che non ci sono stati problemi di sicurezza informatica.

In realtà, secondo questo articolo, la banca ha le sue colpe, a partire dal fatto che le sue misure tecniche ed organizzative non sono state sufficienti a impedire la violazione dei dati [trattandosi di una violazione “interna”, è mancata forse l’assegnazione dei ruoli per gli accessi in base al “last privilege” e sicuramente è mancato un efficace controllo dei log di accesso; ndr]. Inoltre, da parte della banca, non c’è stata comunicazione agli interessati, che sono i proprietari dei dati di loro pertinenza (essendo la banca solo il titolare del trattamento) e la comunicazione al Garante è stata quanto mai tardiva.

La banca avrebbe anche violato il D.Lgs. 231/2001 (e suoi aggiornamenti sino al 2024) sulla responsabilità amministrativa delle persone giuridiche, non essendo state prese o non essendo state sufficienti le misure organizzative finalizzate alla responsabilizzazione dei dipendenti.

Per quanto sopra, e ad effetto dello stesso D.Lgs 196/2003 [Codice privacy , ndr], chi abbia avuto dei danni in conseguenza delle attività pericolose perpetrate nei propri confronti, ha diritto ad un legittimo risarcimento e può quindi intentare una causa in questo senso.

Università e privacy

​L’articolo “​Privacy e mondo universitario: sfide e opportunità nell’era digitale” esamina l’aspetto privacy nelle università da due punti di vista.

Gli atenei, con il supporto del DPO​, devono attenersi al GDPR nel trattamento dei dati personali di studenti, docenti, tecnici, amministrativi, per l’erogazione e la gestione di servizi didattici, amministrativi e di supporto e per le analisi e le statistiche dei risultati formativi e occupazionali dei corsi di studio, effettuate anche da enti esterni.

D’altro canto, le università devono offrire la formazione di professionisti qualificati in grado di superare le complessità insite nella protezione dei dati personali, tenendo conto delle nuove tecnologie quali l’intelligenza artificiale, e nello stesso tempo sviluppare negli studenti, di qualsiasi percorso di studi, una adeguata sensibilità alle tematiche della privacy e della protezione dei dati personali.

Canale interno od esterno per le segnalazioni relative al whistleblowing?

L’articolo “Whistleblowing e canale esterno di segnalazione: alcuni aspetti da approfondire che il Data Protection Officer deve supervisionare” cita che secondo il D.Lgs 24/2023 di recepimento della Direttiva UE 1937/2019 sul whistleblowing, il whistleblower dovrebbe avere, per le segnalazioni sia un canale interno [alla propria azienda] che esterno (tramite l’ANAC).

In Italia il ricorso al canale esterno è previsto solo in caso di indisponibilità del canale interno, di rischio di ritorsione, o di pericolo pubblico imminente. Tuttavia il canale interno può mancare perché l’azienda non ricade nella sua attivazione obbligatoria. In tal caso, il segnalante non può ricorrere all’ANAC poiché non sarebbe riconosciuto come whistleblower.

Altre autorità, quali Ispettorato della Funzione Pubblica, AGCM, ART, sono configurabili come canali esterni, pur limitatamente alle materie di propria competenza.

L’articolo prosegue citando il  recente protocollo d’intesa tra ANAC e AGCM che prevede anche una cooperazione nelle segnalazioni whistleblowing. Prosegue elencando alcune lacune legislative o di regolamento necessarie per una maggior chiarezza sulla gestione delle segnalazioni. Conclude affermando che nell’impostazione di canali e procedure di segnalazione dovrebbe essere coinvolto il DPO, per garantire la conformità con il GDPR.

Le informazioni fornite nel modulo di notifica di violazioni al Garante devono essere esaurienti

L’articolo “Data breach: l’adempimento della notifica al Garante non va preso sottogamba” riferisce che una società, che ha subito un grave attacco informatico di tipo ransomware è stata penalizzata con una sanzione di 900 mila Euro per non aver, fra l’altro, fornito, nella notifica al Garante, informazioni dettagliate e particolareggiate atte ad individuare le caratteristiche dell’incidente informatico. Quindi non è affatto sufficiente compilare con frasi generiche il modulo disponibile online sul sito del Garante. Si devono per esempio descrivere l’infrastruttura informatica  impattata dall’attacco e la vulnerabilità dei sistemi che lo hanno consentito.

Adempimenti privacy per le scuole

L’autore dell’articolo “Richieste di permesso retribuito formulate dal dipendente scolastico, come evitare sanzioni per violazione della privacy” enuncia una serie di precauzioni / osservanze che gli istituti scolastici dovrebbero avere, nella gestione delle richieste di permesso retribuito, per non incorrere in violazioni del GDPR, in particolare dei principi di minimizzazione e di conservazione e dell’applicazione di misure di sicurezza.

Quando necessaria l’autodichiarazione dei motivi della richiesta di permesso, non si dovrebbero allegare altri documenti, se non strettamente indispensabile. In fase di controllo i documenti possono essere consultati ma non acquisiti, limitandosi a verbalizzare l’esito del controllo.

Anche il dichiarante deve rispettare il principio di minimizzazione, evitando di dare dettagli, specialmente se riferiti a dati sensibili del dipendente o di terzi. Con tutto ciò, il dipendente non può limitarsi a riferire una generica attività, ma deve descrivere un’azione collocata nel tempo e nello spazio, verificabile ex post.

La conoscenza delle autodichiarazioni deve essere riservata esclusivamente al personale deputato allo scopo e autorizzato (per scritto) al trattamento. Il documento deve essere conservato in modo che non sia accessibile a chi non è autorizzato, la conservazione deve essere limitata nel tempo in base ad un periodo definito e si dovrebbe tener traccia delle sue consultazioni. Inoltre, secondo l’articolo, il documento non dovrebbe essere direttamente intelligibile [si presuppone dunque una sua cifratura con codice di decifrazione disponibile solo agli autorizzati; ndr].

[Vien da chiedersi: quanto spazio resta alla didattica? Ndr]

Sei elementi critici da considerare per la protezione dei dati

Uno strumento utilizzabile per la gestione dei processi aziendali, in particolare per l’analisi di uno specifico processo, è il “diagramma tartaruga” (turtle diagram), cosiddetto perché ricorda, con le sue diramazioni, le forme di una tartaruga.

Secondo l’articolo “Il diagramma tartaruga applicato alla protezione dei dati”, questo diagramma può essere applicato alla protezione dei dati, inclusi quelli di tipo personale. Nel diagramma, il processo è rappresentato da un rettangolo centrale, cui si collegano sei sezioni laterali principali, che rappresentano gli elementi critici [sono questi comunque ciò che va preso in considerazione, indipendentemente dalla grafica del diagramma, che è solo un elemento figurativo; ndr].

  • Chi? – Who? Definisce chi ha accesso ai dati, chi è responsabile del loro trattamento e chi ne monitora la protezione. Identifica quindi le funzioni, coinvolte nel processo; nel caso di dati personali, definisce anche il Titolare del Trattamento, i Responsabili del Trattamento, gli autorizzati e l’eventuale Responsabile della Protezione dei Dati (DPO).
  • Cosa? – What? Specifica gli input del processo di trattamento dei dati, come i dati personali raccolti (es. nome, indirizzo, altri dati personali) e le altre informazioni fornite agli e dagli interessati (es. [informativa privacy, ndr], consenso, liberatoria) e specifica le basi legali per il trattamento.
  • Come? – How? Descrive le misure organizzative come le procedure e le modalità con cui vengono trattati i dati lungo il ciclo di vita, le modalità di raccolta, i criteri e tempi di conservazione, le misure applicate ed altre procedure come quelle per garantire i diritti degli interessati. Include anche i processi interni per garantire la sicurezza dei dati e la minimizzazione dei rischi, come audit interni e verifiche periodiche della conformità, piani di business continuity e disaster recovery.
  • Con cosa? – With What? Comprende le misure tecniche, quindi le risorse tecniche per la protezione dei dati, come le piattaforme ed i software di gestione dei dati, le misure di sicurezza e i dispositivi utilizzati.
  • Indicatori – How well? Definisce gli indicatori di performance per la gestione dei dati, come il tempo di risposta alle richieste di esercizio dei diritti da parte degli interessati, il numero di violazioni dei dati rilevate e la rapidità di risposta, il rispetto dei tempi di conservazione dei dati, l’efficienza delle procedure di sicurezza e la conformità con i requisiti normativi.
  • Output – Risultati – Descrive l’output atteso del processo di gestione dei dati, come il rispetto dei diritti degli interessati, la protezione dei dati personali trattati e la conformità con le normative (es. report periodici di conformità, certificazioni di audit sulla gestione della sicurezza delle informazioni e dei dati personali).

Il diagramma tartaruga, per i dati personali, produce le seguenti utilità:

  • mappatura del trattamento dei dati: come i dati vengono raccolti, gestiti e protetti all’interno di un processo, garantendo che ogni aspetto del trattamento dei dati sia chiaro, condiviso e monitorato.
  • Verifica della correttezza delle informazioni: verifica che le informazioni riportate nel registro dei trattamenti e nell’informativa privacy  siano congruenti tra loro.
  • Conformità alla normativa: verifica che ogni processo di trattamento dei dati rispetti i requisiti legali della normativa applica, identificando eventuali carenze e mancanze di conformità.
  • Valutazione dei rischi: per l’individuazione di potenziali vulnerabilità e rischi legati alla protezione dei dati, consentendo di adottare misure preventive per ridurre i rischi di violazione.
  • Identificazione delle aree di miglioramento: individuazione, tramite una panoramica chiara dei vari elementi di un processo, dei punti deboli, delle inefficienze o delle aree che necessitano di miglioramento.
  • Audit: illustrazione in modo chiaro, agli auditor, del processo di gestione dei dati e dimostrazione delle misure di protezione adottate dall’azienda.
  • Formazione del personale: garanzia che tutti, dipendenti e nuovi collaboratori, comprendano le loro responsabilità e i protocolli da seguire per garantire la sicurezza dei dati.

La scuola deve saper gestire una violazione dei dati personali

​In caso di data breach (violazione dei dati personali) in un istituto scolastico, si deve saper cosa fare. Tra le possibili azioni da effettuare, come consiglia l’articolo “​Come gestire un data breach se la violazione dei dati avviene a scuola”,  vi sono l’invio di  una lettera di scuse, la revisione dei procedimenti interni, il rinnovo delle istruzioni al personale, la sensibilizzazione dei dipendenti con eventi formativi; e naturalmente l’evento deve essere gestito rapidamente.

Un data breach non è solo determinato da un attacco informatico, ma può avvenire anche per comportamenti errati, sottovalutazione del rischio o ingenuità, nel corso dell’ordinaria attività lavorativa. Possono riguardare attività svolte (per esempio l’invio di email [o la cancellazione di dati per errore; ndr]), dispositivi (per esempio in caso di furto materiale, o di smarrimento), documenti elettronici o cartacei. Le Linee Guida 1/2021 del Comitato europeo della protezione dei dati forniscono una nutrita serie di esempi.

I soggetti preposti nelle singole scuole alla gestione dei data breach devono essere immediatamente avvertiti nel caso di accadimento di questi eventi, ai fini della loro gestione, che deve avvenire in tempi stretti, a cominciare dalla notifica al Garante entro 72 ore, se dovuta. In quest’ultimo caso, il Garante valuterà l’incidente e le misure prese per rimediare e/o impedirne il ripetersi, con la discrezionalità di decidere anche di non applicare nessuna sanzione.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Ai backup devono essere associate procedure di controllo e di test

La pratica del salvataggio dei dati tramite backup si è ormai diffusa anche tra le aziende più piccole. Tuttavia, avverte l’articolo “L’importanza delle procedure di verifica delle operazioni di backup per un’efficace protezione dei dati”, sarebbe pericoloso pensare che l’esecuzione periodica dei backup esaurisca una corretta procedura. Infatti, non è detto che i backup vadano a buon fine, né ci si può sempre fidare del messaggio automatico di fine backup. Inoltre, l’estensione dei dati da salvare potrebbe essere cambiata rispetto alla precedente impostazione, per cui alcune cartelle o file potrebbero non essere backuppati.

Quindi è necessario che siano effettuati test periodici di ripristino (restore) in appositi ambienti di test, che siano controllati gli esiti dei backup e che le notifiche automatiche siano il più possibile dettagliate. Sarebbe anche bene che i mezzi utilizzati per i backup fossero aggiornati alle più recenti tecnologie. Gli ambienti di test dovrebbero essere protetti da accessi indiscriminati, così come gli stessi ambienti di produzione.

Per mantenere uno storico dei dati ampio e dettagliato sono utilizzabili gli snapshot (che permettono di catturare lo stato di un sistema in un determinato momento, facilitando ripristini parziali) ed il versioning (che consente di mantenere diverse versioni di file e dati, permettendo di risalire a modifiche ed informazioni specifiche, ciò che è fondamentale per la gestione degli errori e il remediation da attacchi informatici).

Nel caso in cui siano attivati numerosi sistemi di backup, magari con l’ausilio di software o sistemi differenti, è fondamentale centralizzare tutti gli esiti in un’unica console di monitoraggio, che notifichi solo i backup che non vanno a buon fine, ma che tenga anche sotto controllo lo stato dei sistemi che ricevono le copie (ad esempio un NAS che sta esaurendo lo spazio disponibile).

Si sta sperimentando l’utilizzo dell’intelligenza artificiale in alcune scuole

Secondo l’articolo “Scuola: l’intelligenza artificiale correggerà i compiti, ma attenti alla privacy”, sistemi di Intelligenza Artificiale (IA), seppur ad alto rischio per le persone e le libertà individuali, potranno essere utilizzati per correggere prove, ammettere a un corso di studi, sorvegliare le sessioni di esame. Dovranno però essere attuate tutele per garantire l’apporto umano in fase decisionale finale. E’ iniziata la sperimentazione di questi sistemi in 15 scuole italiane.

Sono previste in merito quattro categorie di IA.

  • Sistemi di IA per verifica dei titoli al fine di determinare l’accesso, l’ammissione o l’assegnazione di persone fisiche agli istituti di istruzione e formazione professionale, mediante la verifica dei titoli e requisiti richiesti. L’intervento umano deve però escludere disparità di trattamento e discriminazioni per errore dell’IA:
  • Sistemi di IA per valutare i risultati, anche nei casi in cui tali risultati sono utilizzati per orientare il processo di apprendimento di persone fisiche in istituti di istruzione o formazione professionale.Anche qua, in assenza di interventi umani, si rischiano effetti negativi.
  • Sistemi di IA per l’adeguatezza dei percorsi, ai fini di valutare il livello di istruzione adeguato che una persona riceverà o a cui potrà accedere, nel contesto o all’interno di istituti di istruzione o formazione professionale, ciò che implica aspetti delicati per l’analisi di profili oggettivi e soggettivi, tra cui anche le aspirazioni dello studente e la previsione di ciò che gli è più o meno appropriato.
  • Sistemi di IA relativi a comportamenti vietati, ad esempio durante le prove nel contesto o all’interno di istituti di istruzione e formazione professionale. Esiti errati dell’IA comporterebbero l’applicazione ingiusta di sanzioni e penalizzazioni,

Relativamente a quanto sopra, le scuole svolgeranno il ruolo di utilizzatore dei sistemi di IA e dovranno attenersi ai seguenti adempimenti: seguire le istruzioni per l’uso elaborate dal fornitore del sistema di IA, garantire la sorveglianza umana sui risultati (output) prodotti dai sistemi di IA attraverso persone competenti, formate ed autorevoli ed una adeguata struttura di sostegno.

L’autore dell’articolo ipotizza l’istituzione di un responsabile scolastico dell’Intelligenza artificiale, che presumibilmente dovrà dialogare costantemente con il responsabile della protezione dei dati (DPO).

Gli obblighi di trasparenza richiederanno informazioni puntuali e spiegazioni chiare e significative a riguardo dell’uso di un sistema di IA ad alto rischio nell’adozione di decisioni o nell’assistenza nell’adozione di decisioni a loro rivolte.

Anche il monitoraggio del funzionamento dei sistemi IA è a carico della scuola, che in caso di insorgenza di rischi per studenti o famiglie, dovrà sospendere l’uso del sistema e informare il fornitore e finanche l’autorità di vigilanza del mercato. Ed anche i sistemi di IA meno rischiosi sono comunque soggetti a obblighi di trasparenza e supervisione umana.

La sicurezza delle informazioni è assicurata anche dal ciclo di vita delle risorse

L’articolo “​Il ciclo di vita delle risorse: una tecnica per definire le misure di sicurezza sulla protezione dei dati” afferma che considerare il ciclo di vita delle risorse (cosa richiesta dal GDPR e dalla normativa ISO 27001) permette di valutare minacce e vulnerabilità che possono sorgere nel tempo ed sommarsi a quelle iniziali. Ad esempio, l’aggiunta di un nuovo trattamento dei dati personali richiede di riesaminare i rischi privacy dai dati stessi; incrementare i dati trattati senza eliminare quelli obsoleti o non più necessari può necessitare della revisione dei criteri di conservazione dei dati [e contravviene il principio di minimizzazione; ndr].

In base ai controlli della ISO 27001:2022, le risorse di cui considerare il ciclo di vita sono: minacce, asset, diritti di accesso, fornitori, cloud, gestione delle identità, incidenti sulla sicurezza delle informazioni, piano di business continuity, dipendenti e collaboratori, supporti fisici di memoria, configurazioni, informazioni, chiavi di crittografia, software.

Assunto che le minacce evolvono costantemente, ne deriva la necessità di un monitoraggio continuo e di un aggiornamento delle misure di mitigazione.

Anche le modifiche possono impattare sul sistema di gestione e dovrebbero, allora, essere gestite anche attraverso il ciclo di vita.

​La considerazione dei cicli di vita consente di di identificare e gestire i rischi in modo sistematico.​ Alcuni esempi dei processi da considerare:

  • Fornitori: qualifica iniziale, fornitura del prodotto/servizio, valutazione dinamica, gestione delle modifiche nel rapporto e chiusura del rapporto​;
  • ​dispositivi di archiviazione dei dati: scelta del dispositivo, censimento, utilizzo, manutenzione e dismissione;
  • collaboratori: selezione, contrattualizzazione, formazione e dismissione.

Adesso la Direttiva NIS 2 è attuata in Italia dal Decreto Legislativo 138/2024

Il 18 ottobre scorso è entrato in vigore il D.Lgs 138/2024 che attua la Direttiva UE 2024/2555 (cosiddetta Direttiva NIS 2) relativa a regole [comuni] per la cybersecurity. L’articolo “Pubblicato in Gazzetta Ufficiale il Dlgs 138/2024 che recepisce la Direttiva UE Nis2” ne dà un cenno, citando in particolare le scadenze previste.

Il perimetro di sicurezza previsto dal decreto comprende gli enti pubblici e le organizzazioni private dei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT e spazio; fornitori di reti pubbliche e fornitori di servizi di comunicazione elettronica; pubbliche amministrazioni centrali, regionali e locali.

Sono definiti  i soggetti “essenziali” quelli di determinate categorie e che superano i massimali per le medie imprese, o anche, indipendentemente dalle loro dimensioni, quelli appartenenti a categorie critiche o che forniscono particolari servizi (quali quelli relativi alla gestione di nomi di dominio internet e quelli relativi a pubbliche amministrazioni centrali). Gli ulteriori soggetti cui si applica la Direttiva NIS 2 sono definiti soggetti “importanti”. [L’individuazione più precisa dei soggetti sottoposti alla Decreto richiede però una attenta lettura dello stesso e dei suoi allegati: Ndr]

Per entrambi vige l’obbligo della gestione dei rischi per la sicurezza informatica, secondo un approccio multirischio (che tiene conto anche del perimetro fisico), della protezione delle risorse informatiche e di rete, della mitigazione dei rischi e della notifica alle autorità di settore degli incidenti informatici significativi.

Il Decreto, come da Direttiva, prevede un impianto sanzionatorio amministrativo, ma non solo: al top management delle entità che non saranno in regola e non manterranno la continuità della conformità potrebbe essere vietato svolgere funzioni dirigenziali [ndr]. Le mancanze più gravi sono quelle che possono mettere a rischio un intero sistema (ad es. economico-finanziario) a livello nazionale o internazionale.

E’ prevista una piattaforma [a carico dell’Agenzia per la Cybersicurezza Nazionale – ACN; ndr] per la gestione di un registro dei soggetti che sono tenuti agli obblighi previsti dal Decreto. Entro il 28 febbraio di ogni anno, i soggetti interessati dovranno registrarsi o aggiornarsi. Il termine è anticipato, per il 2025, al 17 gennaio per determinate organizzazioni (i fornitori di servizi di sistema o di registrazione dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti o di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network).

Sulla base delle registrazioni, l’Autorità nazionale competente NIS 2 [l’ACN, ndr], redigerà o aggiornerà [per inserimento o eliminazione], entro il 31 marzo, la lista dei soggetti essenziali e dei soggetti importanti; quindi comunicherà loro la relativa attribuzione. Successivamente, ed entro il 31 maggio, i soggetti nominati dovranno fornire, nella piattaforma, ulteriori dati di loro pertinenza.

Tutti gli incidenti che hanno un impatto significativo sull’erogazione dei servizi dovranno essere comunicati, ai fini della collaborazione e del coordinamento con le autorità di sicurezza. I termini di notifica sono piuttosto stretti, salvo che per il 2025, in base ad un principio di gradualità.

Le prescrizioni del Decreto (e Direttiva) prevedono l’adozione, entro 18 mesi dal ricevimento della comunicazione, di misure di gestione dei rischi e della sicurezza informatica, di piani di formazione, di misure tecniche, operative e organizzative, tra cui analisi multi-rischio, di precauzioni per la continuità operativa, di sistemi di crittografia e controllo degli accessi e con adempimenti specifici per i gestori dei registri di nomi di dominio.

Provvedimenti attuativi dovrebbero costituire una guida alle organizzazioni, ma ancora non sono stati emessi.

[Sono da aggiungere la facoltà di comunicare nuove vulnerabilità e minacce, per spirito di sicurezza comune; l’enfasi data alla sicurezza della catena delle forniture, con particolare attenzione ai contratti con i subfornitori critici ed alle verifiche nei loro confronti; la necessità di far effettuare da organismi indipendenti audit periodici sulla sicurezza; la facoltà dell’Autorità competente di effettuare audit nei confronti delle organizzazioni, specie in presenza di violazioni, con costi a loro carico. Inoltre, è significativo che le misure di sicurezza siano previste in base al principio di proporzionalità sia per le dimensioni aziendali, che per l’esposizione al rischio. Ndr]

Quando il rischio per la sicurezza delle informazioni è interno all’azienda

​L’autore dell’articolo “​Accessi abusivi a banche dati: occorre una gestione consapevole della sicurezza IT” prende spunto dai recenti eventi relativi all’accesso abusivo a importanti banche dati (Furti di dati sensibili, ancora una rete di spionaggio con 4 arresti e oltre 50 indagati) per proporre riflessioni sui requisiti di sicurezza informatica e dei dati personali, in riferimento alla norma ISO 27001 e al GDPR.

Le tre caratteristiche da proteggere per la sicurezza delle informazioni sono:

  1. la disponibilità, per gestire i processi di trattamento delle informazioni in maniera regolare e tempestiva;
  2. l’integrità​, ​​per la completezza delle informazioni che attengono a un fenomeno ​così come una persona​, ​a​i fini di una compiuta valutazione delle sue caratteristiche;
  3. la riservatezza​, ​per l’esigenza del rispetto della privacy​ [o, per esempio, anche dei diritti di autore; ndr],

​Vi sono, fra gli altri, tre aspetti da prendere in considerazione, per garantire tali caratteristiche delle informazioni.

  • il ricorso a fornitori esterni per la realizzazione di progetti IT può essere una scelta economica o obbligata in relazione alle competenze tecniche necessarie per la codifica, ma occorre rispettare specifici requisiti di sicurezza per gestire due rischi: quello ​relativo alla selezione dei fornitori e quello che riguarda il controllo del loro operato. ​I​l codice prodotto dev​e​ essere in qualche modo testato per evitare il rischio di ​v​ulnerabilità che potrebbero essere sfruttate dai cyber criminali.
  • gli amministratori di sistema che devono essere oggetto di controllo, in quanto, in forza dei poteri insiti nel loro ruolo, potrebbero operare non solo per la funzionalità della macchina IT ma anche intervenire in lettura, scrittura, modifica e cancellazione dei dati.
  • il logging e il monitoring (e SIEM [Security information and event management]) devono consentire una immediata percezione di qualsiasi anomalia relativa all’attività svolta nell’infrastruttura IT da operatori interni ed esterni all’organizzazione.

[​Gli aspetti citati da questo articolo riguardano proprio il caso in cui le banche dati possano essere violate ​per trasgressioni compiute per mano degli stessi addetti interni od esterni all’infrastruttura e/o alle applicazioni usate dall’organizzazione. Ndr]

I system owner delle organizzazioni dovrebbero analizzare i report e gli alert sugli accessi e ​controllando quelli che appaiono anomali per l’orario di accesso, per la numerosità degli accessi pro capite, per accessi svolti su eventi di località diverse, per la concentrazione su specifi​c​i ambiti di soggetti, etc.​ Le figure deputate possono essere il titolare del trattamento, il responsabile per la prevenzione della corruzione e della trasparenza, il responsabile per la transizione digitale, il referente per la cybersicurezza, coadiuvati dal responsabile per la sicurezza delle informazioni e dal DPO, tutti ruoli che comunque, nelle aziende più piccole, potrebbero essere assegnati alla medesima persona, salvo quello del DPO.

PUBBLICITA’ E PRIVACY

Il legittimo interesse è invocabile o no per scopi commerciali?

L’articolo “​Corte di Giustizia UE: interesse commerciale legittimo se lecito e bilanciato” tratta di un caso, per cui il Garante olandese aveva escluso che un interesse di natura prettamente commerciale potesse configurare un interesse legittimo ai sensi del GDPR. Il provvedimento è sfociato in un quesito in via pregiudiziale alla Corte di giustizia europea, la quale ha confermato che in assenza di consenso (l’unica base giuridica su base “volontaristica”), le altre condizioni di liceità del trattamento devono essere interpretate restrittivamente.

Tuttavia la Corte ha sottolineato, per le Autorità garanti, ad uso di decisioni e provvedimenti concernenti il legittimo interesse, tre condizioni previste dal GDPR:

  • non essendo specificatamente definito dal GDPR, il “legittimo interesse” può comprendere una vasta gamma di interessi, ma è comunque necessario che il legittimo interesse, che deve essere indicato agli interessati dal titolare del trattamento, sia lecito [anche se la base giuridica del trattamento è diversa, quale il consenso; ndr].
  • il trattamento di dati personali deve essere necessario alla realizzazione del legittimo interesse invocato. Non devono sussistere altre modalità che possano soddisfare il fine legittimo che non comportano un trattamento di dati (minimizzazione dei dati).
  • il diritto alla protezione dei dati degli interessati deve prevale sul legittimo interesse, quale può essere quello di tipo commerciale. 

​Un’altra osservazione è che l’utilizzo della base giuridica del consenso corrisponde meglio ai principi del GDPR, tra cui quello di minimizzazione, consentendo altresì agli interessati di mantenere un controllo più stretto sulla diffusione dei propri dati.

​[La conclusione che sembra trarsi è che gli interessi commerciali, come la promozione e vendita di spazi pubblicitari a fini di marketing, siano configurabili come legittimo interesse, ma che comunque questa è una strada ardua, suscettibile del parere dell’Autorità garante competente – sempre salvo ricorso in giudizio. Ndr]

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Per richieste di autorizzazioni che riguardano i lavoratori il titolare del trattamento deve coincidere con il datore di lavoro

L’articolo “Controlli da remoto, è il datore di lavoro l’unico soggetto autorizzato” riferisce che un’azienda che svolge attività di trasporto per conto terzi ha stipulato con una società un contratto di appalto che prevede l’installazione sugli automezzi di un sistema di controllo, il Gps, rispetto al quale accede ai dati per verificare che le operazioni di consegna/scarico dei prodotti avvengano in maniera conforme alle regole di sicurezza ed agli accordi contrattuali. L’Ispettorato del Lavoro ha dichiarato di non poter rilasciare autorizzazione all’acquisizione dei dati (immagini o tracciamenti) da remoto, se non direttamente al titolare del trattamento dei dati da acquisire che deve coincidere con il datore di lavoro degli interessati.

Quindi verrebbero respinte le richieste emesse sia dal titolare del trattamento (il committente che vuole esaminare le registrazioni) poiché non è il datore di lavoro, sia dell’appaltatore da cui dipendono gli interessati ma che non effettua, come titolare, il trattamento dei dati perché acquisiti direttamente dal committente.

IN BREVE, DALL’ITALIA E DAL MONDO

All’Agenzia per l’Italia Digitale l’incarico di gestire il Data Governance Act

L’articolo “Approvato dal Consiglio dei Ministri del 2 ottobre 2024 il decreto di adeguamento al Data Governance Act” informa che il 2 ottobre scorso, con DLgs, è stato recepito il regolamento UE 2022/868 sul “governo dei dati” (Data Governance Act – DGA).

Il Dlgs assegna all’Agenzia per l’Italia digitale (AGID) l’incarico di gestire e supervisionare il rispetto dei requisiti del DGA e definire le sanzioni.

Il GDA regolamenta il settore del trattamento dei dati (personali e non personali), i quali coprono il ruolo di materie prime del ciclo produttivo, e del mercato, in cui si incontrano domanda ed offerta. Il GDA estende al massimo le categorie di dati detenuti dalle pubbliche amministrazioni, che possono essere riutilizzati. Il mercato di questi dati richiede degli intermediari e questi sono appunto regolamentati dal GDA, che ne richiede, tra l’altro, la notificare alle autorità dell’inizio delle loro attività.

Anche il cosiddetto “altruismo dei dati” (quelli messi in comune dalle imprese nell’interesse pubblico) viene regolamentato dal DGA.

In Italia, l’autorità competente per la notifica dei servizi di intermediazione dei dati e per la registrazione di organizzazioni per l’altruismo dei dati è appunto l’AGID.

L’AGID agirà anche da “sportello unico” per le richieste di riutilizzo e per la diffusione di informazioni sul riutilizzo stesso ed assisterà gli enti pubblici nella decisione se accettare o respingere le richieste di condivisione dei dati.

L’AGID potrà comminare sanzioni anche per le violazioni degli obblighi in materia di trasferimento di dati non personali a paesi terzi e dovrà collaborare sia con l’Autorità garante della concorrenza e del mercato, che con il Garante per la protezione dei dati personali.

Violare la privacy può costare anche una causa per concorrenza sleale

L’articolo “Se la violazione della privacy è un atto di concorrenza sleale l’impresa danneggiata può fare causa al competitor che non rispetta il Gdpr” riferisce che la Corte di giustizia dell’UE ha stabilito quanto espresso in titolo. Un’impresa che non adempie agli obblighi previsti dal Gdpr riesce infatti a lucrare ingiusti vantaggi commerciali.

Quindi, un operatore economico può agire contro un suo concorrente responsabile di pratiche commerciali sleali, consistenti nella violazione della protezione dei dati personali, e così pure possono fare le associazioni dei consumatori, contro l’esercizio di pratiche commerciali sleali.

La firma autografa è stata dichiarata “dato personale”

​L’affermazione di cui al titolo dell’articolo “​Corte di Giustizia UE: la firma autografa è un dato personale, e il Registro delle imprese non può pubblicare senza consenso dati non richiesti per legge” deriva dal fatto che la firma autografa dell’individuo serve per identificarlo, per dare valore probatorio ai documenti su cui è apposto, per la loro fedeltà e veridicità o per rivendicare la responsabilità in relazione ad essi. Nel contratto di costituzione di una società, inoltre, la firma dei partner figura accanto ai loro nomi, ed inoltre la grafia fornisca anche informazioni sulla persona.

La corte di Giustizia UE ha risolto altre questioni in materia di interpretazione del GDPR, per le quali si rimanda al testo integrale dell’articolo.

Aspettative relative all’Intelligenza Artificiale

Nell’ articolo “Per lo sviluppo sostenibile dell’intelligenza artificiale serve la fiducia degli utenti, il rispetto della privacy, e il coraggio delle autorità” l’autore esprime le proprie considerazioni su quale dovrebbe essere l’approccio e cosa si dovrebbe fare per uno sviluppo proficuo dell’intelligenza artificiale.

E’ necessario che le applicazioni di IA siano facili da usare ed affidabili per gli utenti finali, non devono indurli ad abbandonarle per mancanza di praticità o di fiducia. Quasi il 50% degli italiani, infatti, si rivolge all’IA con cautela (il 10% ne è entusiasta ed i restanti non la utilizzano).

Queste necessità sono peraltro tra gli scopi dell’Artificial Intelligence Act (il nuovo Regolamento dellUE), affinché i cittadini possano usufruire di migliori servizi nella sanità, nei trasporti, e così via, senza detrimento per la privacy e dei diritti fondamentali delle persone e senza che nessuno sia escluso.

A proposito della facilità d’uso, l’articolo cita poi il fatto che la quasi totalità dei siti italiani non agevola affatto gli utenti che presentano qualche forma di disagio (per lingua, cultura, disabilità sensoriali).

Le aziende italiane sono indirizzate a cogliere le opportunità date dall’IA, tuttavia è stato stimato che il 30% dei progetti di IA è destinato a fallire, a causa della scarsa qualità dei dati, di controlli dei rischi inadeguati, di costi crescenti, od un valore aziendale poco chiaro. L’autore auspica quindi che i progetti di IA, oltre alla parte tecnologia, curino anche gli altri aspetti, a cominciare dalla privacy nei confronti degli interessati, per poterne guadagnare la fiducia.

[Un altro aspetto cruciale per l’IA, emerso nell’incontro “Artificial Intelligence: la sostenibilità ambientale, sociale, economica” del 22 ottobre scorso presso la camera dei deputati, è il fatto che devono essere garantite anche la giustizia sociale e l’equità economica e che il suo utilizzo non possa ampliare le disuguaglianze sociali. Ndr]

Ma come possono le autorità vigilare sul rispetto dei diritti delle persone ed indurre gli attori dell’IA ad essere conformi ai regolamenti? Dal punto di vista del rispetto della privacy, le autorità europee hanno inflitto a certi colossi del web multe plurimilionarie, tuttavia sembra che non abbiano prodotto l’effetto desiderato (ed espresso dal GDPR) di dissuadere da trattamenti illeciti dei dati personali. Sembrano invece più efficaci le imposizioni di interrompere i trattamenti (cosa che a volte priva gli utenti della fruizione di un servizio), se non addirittura, come suggerisce l’autore, l’introduzione di severe norme penali.

Il Consiglio europeo ha adottato il Cyber Resilience Act

L’articolo “Il Consiglio europeo ha adottato il Cyber Resilience Act” informa che la normativa europea per migliorare la sicurezza cibernetica dei prodotti connessi e dei servizi digitali connessi in rete, anche indirettamente, (Cyber Resilience Act – CRA) è stato adottato dal Consiglio europeo il 10 ottobre scorso. Fanno eccezione i prodotti i cui requisiti sono sanciti già da altre normative: dispositivi medici, prodotti aeronautici e automobili.

Lo scopo del CRA è di rafforzare la sicurezza di prodotti come le telecamere di sicurezza, gli elettrodomestici intelligenti, i software aziendali, i dispositivi IoT (Internet of Things), accrescendone quindi la fiducia dei consumatori.

I prodotti sono classificati come “importanti” (Allegato III) e “critici” (Allegato IV) e devono rispondere conseguentemente ai seguenti requisiti:

  • Requisiti di sicurezza (Allegato I – Parte I): i prodotti devono essere sicuri fin dalla fase di progettazione (security by design) e devono restare tali per tutto il loro ciclo di vita.
  • Gestione delle vulnerabilità (Allegato I – Parte II): ​da parte dei produttori devono​ essere monitora​te, identifica​te e risolte eventuali vulnerabilità ​dei prodotti, garantendo aggiornamenti di sicurezza tempestivi ​contro le minacce informatiche.
  • Informazioni e istruzioni per gli utenti
  • Dichiarazione di Conformità
  • Specifici requisiti di notifica degli incidenti.

​Il CRA prevede l’adozione di un meccanismo di certificazione, a fronte del quale potrà essere apposto il marchio CE ai prodotti hardware e software​, tramite autocertificazione oppure intervento di enti terzi, per prodotti a rischio basso o alto, rispettivamente.

I produttori dovranno fornire aggiornamenti di sicurezza regolari e tempestivi, essere in grado di produrre ​le evidenze riguardo alla valutazione dei rischi informatici e ​l​’eventuale ​lista dei materiali (Bill of Materials ​-BOM)​. Risponderanno, quindi, legalmente, della sicurezza dei loro prodotti, potendo subire multe considerevoli, in relazione alla gravità dell’infrazione.

Non tutti i requisiti e le definizioni sono chiari e mancano apposite linee guida.

Il CRA richiede comunque, ancora, l’emissione di un atto legislativo da parte del Consiglio e del Parlamento europeo e la pubblicazione in Gazzetta Ufficiale UE; si applicherà dopo 36 mesi dalla sua entrata in vigore.

Divulgazione di dati personali: reato istantaneo o permanente?

​Un pronunciamento della corte di cassazione riguarda la determinazione dell’autorità giudiziaria territorialmente competente per il reato di illecito trattamento dei dati personali. Al di là dei tecnicismi giuridici, puntualmente riportati nell’articolo “La Cassazione si pronuncia sulla natura istantanea del reato di illecito trattamento dei dati personali”, la competenza discende dal luogo in cui è stato compiuto il reato. Nel caso di illecita divulgazione di dati personali per pubblicazione su internet, nonostante l’effetto nocivo prosegua nel tempo, il reato ha carattere istantaneo, riconducibile all’atto della pubblicazione stessa, dunque nel luogo e nel momento in cui il collegamento viene attivato.

Una statistica del Garante della privacy

L’articolo “​Cresce il numero delle posizioni di Dpo: al 30 settembre ricevute 71.652 notifiche dal Garante Privacy” (al cui testo integrale si rimanda, per una consultazione puntuale) riferisce della crescita sia del numero di DPO (le nomine dei responsabile della protezione dei dati devono essere notificate al Garante della privacy), sia dei data breach, che delle segnalazioni e reclami inviati dagli interessati.

[I tre elementi potrebbero essere legati tra loro: con l’aumento dei DPO sono di più le organizzazioni che, in rispetto del GDPR, comunicano le violazioni dei dati personali e, viceversa, le organizzazioni colpite da data breach o soggette a reclami possono aver ritenuto indispensabile avvalersi della figura del DPO. Ndr]

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’ Osservatorio Cyber di CRIF ha classificato l’Italia al 5° posto nel mondo per furto di email e password sul dark web [cosa che appare in contrasto con l’inserimento dell’Italia tra i paesi modello nella cybersicurezza, da parte di un’agenzia dell’ONU. Ndr].
  • L’ USL di Padova è stata multata dal Garante della privacy, a causa di una fuga di dati a seguito di un attacco hacker.
  • TikTok sanzionato per 3,5 milioni di euro dal Garante della privacy di San Marino per non aver messo in atto un sistema di verifica dell’età dichiarata durante la registrazione per l’accesso alla piattaforma.
  • Meta sanzionata per 91 milioni di euro, per aver archiviato in chiaro le password degli account degli utenti, senza aver attivato alcuna protezione, quale la crittografia.
  • ​Un blitz delle forze dell’ordine a livello globale ha portato alla chiusura di server di infostealer, un malware utilizzato per rubare dati personali – tra cui password, dati bancari e numeri di telefono – e commettere crimini informatici, utilizzato da RedLine e Meta. Sono stati sequestrati due domini e due persone sono state arrestate dalle forze dell’ordine.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys