Category Archives: News

Convegno 08.07.2019

By | News | No Comments

In data 8 luglio 2019 si è tenuto presso il Centro Culturale, Formazione e Attività Forensi del Consiglio dell’Ordine Avvocati di Genova la tavola rotonda dal tema “Divorzio – Assegno – Criteri Condizioni dei Coniugi: quando spetta?”.

Più di 110 persone hanno partecipato a questa tavola rotonda nella quale si è riusciti a unire l’aspetto “diritto” esposto negli interventi degli avvocati a quello “pratico” presentato dai Magistrati sia del Tribunale che della Corte di Appello i quali hanno parlato delle sentenze pronunciate dai loro rispettivi Organi in ossequio ai criteri di cui alla nota sentenza della Suprema Corte di Cassazione Sezioni Unite n. 18287/2018.

Questo connubio “diritto/pratica” è stato molto apprezzato dai partecipanti e ha determinato il successo dell’incontro.

Accesso da parte di terzi ad un sistema informatico: guida ragionata alla normativa

By | News | No Comments

Salvaguardare un sistema informatico da un possibile accesso abusivo costituisce uno degli aspetti più complessi e delicati della cyber security: si tratta di tutelare il “domicilio informatico” inteso come estensione del domicilio fisico e spazio virtuale anche in ambito aziendale. Ecco cosa dice la legge e come tutelarsi

La necessità di salvaguardare un sistema informatico da un possibile accesso abusivo costituisce uno degli aspetti più complessi e delicati della cyber security.

Un aspetto emerso a partire dal momento in cui lo sviluppo tecnologico consentì a più computer di “dialogare” fra loro e ricollegabile alla facoltà di accesso alla “rete” anche da parte di operatori privati, cui venne consentito di occupare uno spazio al suo interno, divenendo con ciò implicito il riconoscimento di una sorta di “spazio virtuale”.

D’altronde, l’ampia diffusione di strumenti informatici tra le persone comuni è tale da risultare uno strumento operativo indispensabile sia per le loro relazioni interpersonali ed economiche sia nei luoghi di lavoro.

Tale utilizzo, giustificato dall’obiettivo di migliorare il sistema di produzione e di gestione delle risorse e alla luce di un costante sviluppo tecnologico, ha creato in molti casi un quadro di vulnerabilità diffusa che pone in pericolo non solo i più ingenui e meno esperti ma anche coloro che, sicuri di conoscere a fondo le tecnologie che utilizzano, in realtà spesso manifestano evidenti punti deboli.

Reato di accesso abusivo ad un sistema informatico: la normativa

La rete è grande, entrare in contatto con gli utenti attraverso l’impiego di strumenti di comune utilizzo quali computer, PC, tablet e cellulari in modo il più possibile non sospetto, è l’obiettivo di molti criminali informatici.

Per questo è sempre più importante l’esigenza di positivizzare tutti quei comportamenti, per esempio di intrusione o sabotaggio, che possono provocare danni notevoli, sotto molteplici aspetti, alla vita del Paese.

La rivoluzione tecnologica ha avuto un forte impatto sui rapporti sociali e giuridici, determinando in circa mezzo secolo profondi cambiamenti anche per il diritto penale.

Recenti provvedimenti dell’autorità giudiziaria hanno dimostrato come comportamenti penalmente rilevanti possano frequentemente presentarsi anche nell’ambito di attività imprenditoriali e professionali nei termini descritti dalle fattispecie informatiche, vista la globalizzazione dello strumento informatico come modalità di espressione dell’attività economica.

Il reato di accesso abusivo, se da un lato può configurare un momento prodromico di una attività illecita diretta contro l’altrui patrimonio, allo stesso modo può costituire un “attacco” a interessi di natura extrapatrimoniale – culturali, scientifici o legati comunque alle più intimi manifestazioni della vita privata e interiore – di fondamentale rilievo, specie con riguardo ai valori riconosciuti e tutelati dalla carta costituzionale.

La condotta tipica sanzionata dall’art. 615-ter del Codice penale consiste, alternativamente, nell’introdursi abusivamente, e cioè senza il consenso del titolare dello jus excludendi (rectius titolare/responsabile del trattamento dei dati), in un sistema protetto, ovvero nel permanervi invito domino ma per finalità estranee da quelle consentite.

Detto articolo è inserito all’interno del titolo XII del Codice, dedicato ai delitti contro la persona, capo III, sezione IV, preposta a sanzionare i delitti contro l’inviolabilità del domicilio.

L´art.615-ter c.p., va considerato, unitamente al 640 ter c.p. (frode informatica), l’articolo più importante introdotto dalla legge n. 547 del 1993 (Modificazioni ed integrazioni alle norme del Codice penale e del codice di procedura penale in tema di criminalità informatica) poiché rende penalmente perseguibile l’accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza o il mantenimento in esso contro la volontà espressa o tacita dell’avente diritto.

Quando si configura l’accesso abusivo ad un sistema informatico

Come è noto, la norma oggetto di analisi circoscrive la tutela ai soli sistemi protetti da misure di sicurezza.

Per la dottrina maggioritaria le misure di sicurezza consistono in dispositivi idonei ad impedire l’accesso al sistema a chi non sia autorizzato.

In particolare, secondo i più, è sufficiente qualsiasi misura di protezione, anche banale e facilmente aggirabile, in quanto la pretesa esistenza della misura di sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l’accesso solo a determinate persone, ovvero di porre un generale divieto di accesso.

Ne consegue che anche l’adozione di una protezione costituita da una semplice parola chiave (password), facilmente accessibile o ricostruibile, rappresenta un’esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale.

Il concetto di domicilio informatico

Il bene giuridico oggetto della norma è il “domicilio informatico”, inteso come estensione del domicilio fisico e spazio virtuale, facente parte della sfera personale di un individuo che, come tale, deve essere tutelato.

Si evince l’importanza e la delicatezza del problema dal fatto che la fattispecie delittuosa in rassegna ha già formato oggetto di due interventi delle Sezioni Unite della Suprema Corte di Cassazione.

Con una prima sentenza del 2011 è stato affermato che integra il delitto previsto dall’art. 615-ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’impiego (disposizioni organizzative interne, clausole di contratti individuali, prassi aziendale ecc.), dovendo ritenersi decisiva la prova del compimento sul sistema di operazioni di natura intrinsecamente diversa da quelle di cui il soggetto era incaricato e per cui aveva ricevuto al facoltà di utilizzo.

Rimangono invece irrilevanti, sempre per questa pronuncia, ai fini della sussistenza del reato, gli scopi che avessero soggettivamente motivato l’ingresso nel sistema, escludendo pertanto che il requisito di abusività della condotta potesse discendere dalle finalità perseguite dall’agente al momento dell’accesso o del mantenimento nel sistema informatico, dovendo piuttosto essere ancorato ai suddetti sicuri criteri di natura obiettiva.

Con una seconda sentenza del 2017 le Sezioni Unite, pronunciandosi in un’ipotesi di fatto commesso da un pubblico ufficiale o da un incaricato di pubblico servizio (615-ter, co. 2, n. 1), hanno avuto modo di precisare, sotto il profilo dell’elemento oggettivo, che integra il delitto previsto dall’art. 615-ter c.p. la condotta di colui che pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

Doveri di fedeltà e lealtà del dipendente

I principi espressi per il pubblico funzionario possono essere trasfusi, sempre secondo la Suprema Corte, anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico.

Pertanto, è illecito e abusivo qualsiasi comportamento anche di un dipendente privato che si ponga in contrasto con i suddetti doveri manifestando in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata a un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.

Integra ad esempio il reato in esame, rimanendo nel mio campo degli studi legali, la condotta di quel collaboratore cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti, il quale acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i file riguardanti l’intera clientela dello studio professionale.

Nell’ambito dei rapporti bancari, ad esempio, il reato in questione può consistere nel fatto di un dipendente di un istituto di credito che si trattenga nel sistema informatico della Banca per compiere un’attività vietata ossia per trasmettere a mezzo di mail aziendale dei dati a soggetto/collega dello stesso istituto non autorizzato a prenderne cognizione, violando per ciò i limiti dell’autorizzazione che egli aveva ad accedere e a permanere in quel sistema informatico protetto.

Occorre comunque evidenziare che tali principi devono essere osservati non solo nei luoghi di lavoro, ma ovviamente devono essere rispettati e applicati da qualunque persona nella sua vita privata – l’avverbio “chiunque” che apre l’art. 615-ter c.p. vuole indicare che tutti possono essere potenziali soggetti attivi della fattispecie criminosa – dal momento che perché l’accesso a un sistema informatico o telematico possa ritenersi legittimo è necessario che non siano ecceduti da nessuno gli ambiti di misura tracciati dal titolare dello ius excludendi alios.

Venendo all’aspetto pratico, la pagina personale di un social network può essere benissimo definita un vero e proprio “domicilio virtuale” in cui la persona titolare ha piena facoltà di esercitare il proprio diritto di escludere o limitare l’accesso di altre persone: chi vi si introduce ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, commette un accesso abusivo a sistema informatico integrativo del reato di cui all’art. 615-ter Codice penale.

Articolo pubblicato su:
https://www.cybersecurity360.it/soluzioni-aziendali/accesso-da-parte-di-terzi-ad-un-sistema-informatico-guida-ragionata-alla-normativa/

Start-up innovative, per scongiurare il fallimento non basta l’iscrizione al Registro Imprese

By | News | No Comments

Start-up innovative, la legge fallimentare può scattare anche per loro. L’art. 25 del D.L. n. 179/2012, convertito nella Legge 17 dicembre 2012 n. 221, che ha introdotto la disciplina di tale tipo di società, definisce la start-up innovativa come una società di capitali, costituita anche in forma cooperativa, di diritto italiano oppure Societas Europea, le cui azioni o quote non sono quotate su un mercato regolamentato o su un sistema multilaterale di negoziazione: vi rientrano, pertanto, le s.r.l. (anche in forma semplificata od a capitale ridotto), le s.p.a., le s.a.p.a. e le società cooperative.
Per poter essere definita start-up innovativa la società deve possedere determinati requisiti, fra i quali l’oggetto sociale, esclusivo o prevalente, riguardante lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
In relazione al particolare oggetto sociale, la start-up deve sostenere spese in ricerca e sviluppo in misura pari o superiore al 15 per cento del maggiore importo tra il costo e il valore della produzione, e/o impiegare personale altamente qualificato per almeno un terzo della propria forza lavoro oppure essere titolare o depositaria o licenziataria di almeno una privativa industriale relativa ad una invenzione industriale, biotecnologica, ad una topografia di prodotto a semiconduttori o ad una varietà vegetale ovvero titolare dei diritti relativi ad un programma per elaboratore originario registrato presso il Registro pubblico speciale per i programmi per elaboratore, purché tali privative siano direttamente afferenti all’oggetto sociale e all’attività di impresa.
Chi verificare i requisiti per lo status di “start-up innovativa”
Secondo l’art. 25 del D.L. n. 179/2012, “la start-up innovativa è automaticamente iscritta alla sezione speciale del registro delle imprese di cui al comma 8, a seguito della compilazione e presentazione della domanda in formato elettronico…”: l’iscrizione è pertanto automatica a seguito della presentazione della domanda, se sono rispettati tutti i requisiti formali.
Il controllo da compiere sulle domande delle aspiranti start-up non deve essere di tipo valutativo sulla concreta innovatività dei beni prodotti dall’impresa richiedente: in altre parole, l’Ufficio non può valutare se i prodotti o servizi di cui si avvia lo sviluppo, la produzione e la commercializzazione siano effettivamente caratterizzati dall’innovatività o dall’alto valore tecnologico. Il compito dell’Ufficio del Registro delle imprese attiene alla sola verifica della regolarità formale della documentazione presentata: non compete invece all’Ufficio stesso valutare il merito delle dichiarazioni presentate in ordine al possesso dei requisiti della start-up.
Al Registro delle imprese spetta dunque soltanto di verificare se la documentazione è stata sottoscritta dal soggetto legittimato, se la modulistica è stata presentata correttamente e sono state rese tutte le dichiarazioni previste dalla legge. Sono poi previsti strumenti di vigilanza periodica per verificare il mantenimento dei requisiti che caratterizzano lo status di start up innovativa, ai fini della conservazione delle agevolazioni fiscali e finanziarie.

Start-up innovative, cosa comporta l’iscrizione al Registro imprese

Anche le sentenze della Giurisprudenza di merito intervenute sul punto, hanno affermato che ai fini dell’iscrizione nella sezione speciale start-up innovative del Registro delle imprese, è condizione necessaria e normalmente sufficiente l’autocertificazione del possesso dei requisiti da parte del legale rappresentante, senza che sia altresì necessario dimostrare all’Ufficio del Registro delle imprese l’effettivo possesso dei requisiti.
Le medesime sentenze ricordano che l’art. 25 del D.L. n. 179/2012 non assegna all’Ufficio il potere di compiere controlli extra-formali e/o ispettivi sull’attività al fine di verificare l’effettivo carattere “innovativo altamente tecnologico” del prodotto e/o servizio di cui la start up innovativa programma la ricerca, lo sviluppo, la produzione e la messa in commercio. E tali conclusioni valgono sia per le start-up costituite tramite atto pubblico, sia per quelle costituite tramite la speciale previsione di cui all’articolo 4, comma 10 bis del D.L. n. 3/2015. Quindi da un lato la legge non contempla l’obbligo per la società di presentare all’Ufficio del Registro delle imprese documentazione tecnica o scientifica al fine di rappresentare l’effettivo carattere innovativo ed altamente tecnologico del prodotto o del servizio, e, dall’altro, l’Ufficio non disporrebbe neppure delle professionalità necessarie a valutare l’enunciazione programmatica contenuta nell’oggetto sociale.
E’ da ritenersi, però, che qualora l’attività che la società si prefigge di svolgere sia manifestamente priva delle caratteristiche dell’innovatività e dell’alto valore tecnologico, in tali casi l’aspetto sostanziale dovrebbe prevalere su quello dichiarativo, risultando dimostrato per tabulas il mancato possesso da parte della società dei requisiti della start-up innovativa. Peraltro rimane sempre possibile che, una volta eseguita l’iscrizione della società nella sezione speciale, l’Ufficio del Registro delle imprese possa effettuare controlli sulle dichiarazioni rese dalla start-up in sede di autocertificazione dei requisiti ovvero che solleciti controlli da parte del Ministero dello Sviluppo economico o della Guardia di Finanza per vigilare sul corretto utilizzo delle agevolazioni previste in favore delle start-up innovative.
Alcune sentenze della Giurisprudenza di merito hanno infatti sottolineato il fatto che, ove da tali controlli dovesse emergere che la società ha ottenuto l’iscrizione nella sezione speciale in assenza dei requisiti previsti dalla legge, l’Ufficio del Registro delle imprese potrebbe ricorrere al Giudice del Registro al fine di ottenere la cancellazione dell’iscrizione della società, secondo la disciplina generale di cui all’art. 2191 c.c.

Perche’ alcune start-up vengono “squalificate”

Occorre far presente che la verifica dell’assenza dei requisiti comporta – al pari della mancata presentazione della dichiarazione annuale circa il possesso dei requisiti stessi – la perdita della qualifica di start-up innovativa e la cancellazione automatica della società dal Registro speciale.
Premesso ciò, potrebbe sorgere il problema se una società che si trova in stato di insolvenza ed è iscritta nella sezione speciale del Registro delle imprese con la qualifica di start-up innovativa, detta iscrizione non precluda di per sé un accertamento in sede prefallimentare dell’effettiva sussistenza dei requisiti di legge per l’attribuzione di tale qualifica al fine di verificare l’assoggettabilità o meno, sotto il profilo soggettivo, al fallimento della società.
Alle start-up innovative iscritte nella sezione speciale del Registro delle imprese, in forza della presunzione di legittimità degli atti amministrativi, non è applicabile la legge fallimentare, ma si prevede, in caso di sua insolvenza, l’applicabilità della sola procedura della composizione della crisi per sovraindebitamento ex art. 14 ter Legge 27 gennaio 2012 n. 3.
La scelta legislativa, come è stato evidenziato da una Dottrina, è coerente, sia sotto il profilo temporale, correlato con il dato empirico alla luce del quale le nuove imprese sono contraddistinte da un alto tasso di mortalità entro i cinque anni dalla costituzione, sia con riguardo alla scelta dei due rimedi specifici introdotti in deroga al diritto comune: la ricapitalizzazione delle perdite e l’esenzione dal fallimento.

Un “fresh start” per ripartire

Nel caso di insuccesso della scommessa innovativa, viene consentito alla start-up il c.d. fresh start, attraverso accordi di ristrutturazione e composizione dei debiti, per ripartire con un nuovo progetto, nonché una liquidazione veloce senza conseguenze penalizzanti. La Giurisprudenza di merito afferma che la natura amministrativa degli atti sottesi all’iscrizione della società alla sezione specializzata del Registro delle imprese con la qualifica di start-up innovativa, così come quelli di periodico aggiornamento, previsti dall’art. 25, commi 8, 9, 12 e 14 del D.L. n. 179/2012, ne esclude la natura costitutiva.

Cosa succede quando i requisiti vengono a mancare

Inoltre, viene sempre affermato dalla Giurisprudenza di merito, anche in considerazione del potere di disapplicazione degli atti amministrativi eventualmente non conformi a legge da parte dell’Autorità Giudiziaria nell’ambito dei giudizi attribuiti alla sua giurisdizione, quale è certamente il procedimento prefallimentare, che non è precluso al Giudice nella sede prefallimentare l’accertamento dell’effettiva sussistenza dei requisiti di legge per l’attribuzione della qualifica di start-up innovativa al fine di verificare l’assoggettabilità o meno, sotto il profilo soggettivo, al fallimento della società.
Dunque l’iscrizione nella speciale sezione del Registro delle imprese e il periodico aggiornamento dei requisiti non hanno natura costitutiva e non precludono, pertanto, ad un Tribunale adito in sede prefallimentare, una volta verificata positivamente la formale iscrizione nella sezione speciale e i suoi successivi aggiornamenti, di procedere ad ulteriori accertamenti sulla sussistenza in concreto dei requisiti richiesti dalla normativa di legge per il mantenimento dello status di start-up innovativa.
Rimane in ogni caso in capo alla società start-up innovativa iscritta nella speciale sezione del Registro delle imprese fornire, in via d’eccezione in applicazione delle regole generali in tema di onere della prova, la dimostrazione in caso di sua insolvenza dello status di soggetto non fallibile.
In altri termini, spetta sempre alla società start-up innovativa iscritta l’onere di provare la sussistenza dei requisiti di legge del suo status di start-up innovativa ai sensi dell’art. 25 del D.L. n. 179/2012 essendo il dato formale dell’iscrizione nell’apposita sezione del registro delle imprese, come sopra esposto, condizione necessaria ma non sufficiente per l’applicazione della esenzione dal fallimento.
Ne consegue che in difetto di tale prova e, comunque, in presenza, in concreto, di elementi positivi ritenuti tali da escludere la sussistenza dei presupposti per la qualifica di start-up innovativa della società, quest’ultima può essere dichiarata fallita.

Articolo pubblicato su:
https://www.agendadigitale.eu/startup/startup-innovative-per-scongiurare-il-fallimento-non-basta-liscrizione-al-registro-imprese/

Blockchain: prospettive della tecnica a registri distribuiti in azienda

By | News | No Comments

La blockchain garantisce la permanenza, l’immutabilità e l’accessibilità dei dati in rete in modo da garantirne l’affidabilità assoluta. Una tecnologia che si presta, dunque, a numerose applicazioni a livello aziendale. Ecco le prospettive d’uso anche alla luce della compatibilità con le norme del GDPR

La tecnica dei registri distribuiti, ovvero DLT (Distributed Ledger Technology) o blockchain per il mondo anglosassone, costituisce un modello concettuale neppure troppo complicato e teso a garantire la permanenza, l’immutabilità e l’accessibilità dei dati tramite la rete informatica, ad un livello tale da garantire per gli stessi, in teoria, un’affidabilità assoluta.

In teoria, si è detto, perché la limitata diffusione delle nuove modalità di registrazione, distribuzione e acquisizione dei dati non ha ancora potuto sostenere la prova dei fatti e comunque le difficoltà di implementazione pratica sono molto rilevanti e costose in termini di ricerca per superarle.

Come funziona la blockchain

Nessuno, neppure i più ottimisti, crede che l’adozione generale della tecnologia di cui si parla sia questione di mesi o di anni, ma è convinzione universale che gli investimenti in studio e sviluppo siano più che giustificati in vista degli innumerevoli vantaggi sperati, solo in piccola parte già sperimentati, ma in prospettiva neppure immaginabili.

C’è chi ha paragonato la tecnologia in questione a quello che è stato, negli Anni 70, il protocollo TCP/IP per lo scambio di dati in rete, poi successivamente sviluppatosi nella rete universale che è Internet come la conosciamo e utilizziamo oggi.

L’idea, come si è detto, è concettualmente semplice e nasce in sostanza da due considerazioni di fatto molto attuali: il numero sempre maggiore di macchine collegate in rete, tutte dotate di dispositivi per la memorizzazione di dati e capaci di eseguire calcoli anche molto complessi, e la esistenza di una rete universale aperta a tutti, a velocità sempre più elevate e a costi tendenzialmente sempre più accessibili.

Ciò rende oggi praticabile la suddivisione di documenti informatici contenenti dati in una serie di piccoli blocchi concatenati (blockchain) ciascuno dei quali viene conservato su uno delle migliaia di computer collegati in rete.

L’utente o gli utenti che vogliano accedere ai dati raccolgono, prelevandoli dai depositari dei singoli blocchi, quelli che formano il documento per ricostruirlo nella sua interezza, a fini di consultazione o eventualmente di modifica, oppure di aggiunta di ulteriori dati.

Ciascun blocco contiene al proprio interno, oltre ai dati, anche un codice temporale che indica il momento in cui il blocco è stato formato, nonché le indicazioni necessarie a collocarlo nella giusta sequenza rispetto ai blocchi precedente e successivo.

Un codice univoco viene attribuito a ciascun blocco come codice di controllo, calcolato in modo tale che la minima variazione del contenuto del blocco relativo (anche una semplice virgola spostata o una lettera minuscola modificata in maiuscola), comporti lo scarto del blocco corrispondente, eliminando così ogni possibilità di manipolazione.

Il numero ridondante dei depositari supplisce a possibili lacune in corrispondenza dei blocchi non accettati, e l’inserimento di nuovi dati può avvenire unicamente con il consenso di tutti i partecipanti al sistema mentre, in ogni caso, i dati presenti non possono essere in nessun caso eliminati, permettendo così la ricostruzione temporale della formazione del singolo dato.

A cosa serve la blockchain

Come si può facilmente immaginare, le operazioni prime descritte richiedono una notevole capacità di calcolo e un utilizzo molto intensivo della rete di collegamento, con incremento dei costi anche notevole e con un certo rallentamento nei tempi di disponibilità dei dati, giustificati però dalla assoluta affidabilità dei dati stessi anche in assenza di controllo da parte di un organismo o ente terzo a ciò incaricato, oltre alla garanzia quanto alla reperibilità dei dati assicurata dalla ridondanza delle fonti disponibili.

D’altro lato, essendo i dati distribuiti in blocchi dislocati presso migliaia di utenti diversi, la loro manipolazione è praticamente impossibile e necessariamente parziale, quindi facilmente rilevabile in quanto non concordante con le altre fonti disponibili.

Riferendoci ad alcuni esempi applicativi reali, le possibili applicazioni a livello aziendale possono essere individuate:

  • nella tracciatura degli alimenti e loro componenti, mediante registrazione dei passaggi e trasformazioni a partire dall’origine. Il progetto è in fase di realizzazione da parte di Carrefour e altre catene della grande distribuzione;
  • nella localizzazione continuativa del percorso di merci e mezzi di trasporto. Il progetto è sviluppato da IBM e da Maersk per i propri container in viaggio;
  • nella tenuta e aggiornamento della contabilità anche in contemporanea tra varie entità fisicamente lontane tra loro;
  • nel supporto nella acquisizione di dati catastali, fiscali e fisici relative a immobili e beni mobili registrati (navi, auto) per notai e operatori del settore, la cosiddetta Notarchain. È un progetto, questo, del Consiglio nazionale del notariato iniziato nel 2017;
  • nell’identificazione sicura di utenti in rete senza necessità di riscontro centralizzato o di terze parti garanti abilitate, scopo al quale tendono le numerose sperimentazioni in tema di esercizio del voto a distanza nell’ambito di organi collegiali;
  • nel controllo di transazioni finanziarie interbancarie tramite documentazione condivisa tra le parti e immediatamente verificabile: la cosiddetta Interbank Information Network creata da JP Morgan cui hanno aderito le banche canadesi e australiane;
  • nella gestione di reti energetiche cui contribuiscono diversi sistemi di generazione di energia, con relativa contabilizzazione degli apporti di ciascuno, introdotta da Siemens con i servizi di Digital grid a fini di controllo e rendicontazione economica;
  • nella raccolta di dati epidemiologici, prescrizionali e ambulatoriali in ambito sanitario al fine di concentrare informazioni utili alla adozione di provvedimenti di carattere generale ovvero all’accesso ai dati di anamnesi dei singoli pazienti. Si tratta di un recente progetto proposto da Consulcesi in Commissione Igiene e Sanità.

Blockchain e smart contract: aspetti normativi

Oltre ai numerosi problemi di natura tecnica e attuativa di cui si è accennato, due aspetti assumono una rilevanza particolare e necessitano di disciplina il più possibile condivisa e uniforme: l’utilizzabilità dei dati in sede legale e la tutela della riservatezza degli stessi.

Sotto il primo aspetto, la legge 11 febbraio 2019, n. 12, ha tentato all’articolo 8 ter una definizione delle “Tecnologie basate su registri distribuiti e smart contract” (questi ultimi essendo una delle futuribili applicazioni della stessa tecnologia), disponendo poi l’attribuzione della data certa a fini legali per i documenti memorizzati tramite blockchain in conseguenza della validazione temporale elettronica (timestamp) come definita dalla normativa europea in materia.

Quanto sopra non esaurisce certo del tutto gli aspetti probatori di detti documenti, la cui affidabilità teorica dovrà essere confermata in sede di regolamenti tecnici da essere emanati da parte della Agenzia per l’Italia digitale.

Ferma restando dunque l’utilizzabilità della tecnologia in sede aziendale, l’utilizzabilità giuridica, ossia in pratica la opponibilità ai terzi, costituisce un capitolo tutto da scrivere, con il rischio di dare luogo a discipline contrastanti nei vari paesi.

Per questo motivo la sintetica normativa italiana – anche se l’Italia è stata la prima tra i Paesi europei a fornire una definizione di “tecnologie basate su registri distribuiti” – della quale si è detto in precedenza è stata da molti criticata in quanto affrettata, approssimativa e adottata in autonomia senza tener conto delle tendenze e raccomandazioni derivanti da organismi sovranazionali.

Quanto alla tutela della riservatezza dei dati (ad esempio, tra i vari problemi è necessario capire, da un lato, come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati; dall’altro, come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato), va osservato che l’Osservatorio Europeo ha pubblicato nell’ottobre del 2018 uno studio particolareggiato (Blockchain and the GDPR) su questo tema, evidenziando i potenziali conflitti con le norme del vigente GDPR, e avvertendo che in linea di principio la tecnica blockchain non garantisce la riservatezza adeguata senza che vengano adottati accorgimenti appropriati da incorporare nelle singole applicazioni pratiche sin dalla loro formulazione iniziale.

In altri termini, soltanto le tecniche implementate come parte integrante dei sistemi a registri distribuiti possono garantire il rispetto dei requisiti prescritti, demandando alla legislazione in materia l’approvazione delle singole tipologie di blockchain come proposte dagli sviluppatori.

Anche sotto questo punto di vista è da auspicare una regolamentazione uniforme così da evitare conflitti interpretativi o applicativi.

Quello che può essere rilevato già ad oggi è il vertiginoso aumento tra il 2016 e il 2018 della ricerca di personale esperto nel settore, a dimostrazione dell’interesse sull’argomento blockchain da parte di grandi aziende e di aziende di programmazione anche di dimensioni medio piccole.

Articolo pubblicato su:
https://www.cybersecurity360.it/soluzioni-aziendali/blockchain-prospettive-della-tecnica-a-registri-distribuiti-in-azienda

Assicurazioni cyber e gestione dei dati personali, come cambia il mercato

By | News | No Comments

Valutazione del rischio, premio, diritti e doveri in mano al titolare: il mondo della tech insurance sta registrando un profondo riassestamento con l’esplosione della raccolta dati. E anche l’adesione al Gdpr non sempre è sufficiente a tutelare le parti in gioco. Ecco le possibilità e gli ostacoli in campo.
Gestione dei dati personali: lo scenario in rapidissima trasformazione e espansione sta determinando una nuova geografia del mercato assicurativo cyber (informatico). Quello delle assicurazioni che servono per schermare il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un’omissione umana.
Come si prefigura l’assicurazione per la responsabilità civile dei soggetti coinvolti nel trattamento dati verso terzi interessati agli stessi dati? Proviamo a fare chiarezza.
La sempre maggiore diffusione della raccolta di dati personali per i motivi più disparati, anche per semplice comodità e miglior accessibilità all’interno dell’azienda, e la sempre maggiore facilità di registrazione dei dati stessi utilizzando supporti e sistemi informatici ad oggi facilmente disponibili a basso costo, oltreché di relativamente facile apprendimento, comporta il continuo allargamento delle aree a rischio di danneggiamento, perdita, diffusione involontaria o sottrazione di grandi quantità di tali dati. La esposizione ad azioni risarcitorie da parte dei soggetti interessati alla segretezza degli stessi dati a qualsiasi titolo aumenta in corrispondenza ed impone la adozione di misure tendenti alla protezione in questo settore, mediante la stipulazione di polizze assicurative che, pur rientrano nella generica categoria della responsabilità civile verso terzi, presentano aspetti e peculiarità che meritano una considerazione specifica.

Così cambia il mercato assicurativo informatico
Da parecchi anni ormai il mercato assicurativo cosiddetto “cyber” o “informatico” costituisce un importante segmento in espansione molto rapida, ma sicuramente non corrispondente alla rapidità di diffusione, ad oggi in pratica quasi universale, anche se in diversa misura a seconda dei soggetti, dei sistemi informatici per la gestione di dati.
Quanto sopra per il buon motivo che la consapevolezza di essere tenuti ad osservare regole anche molto particolareggiate circa le modalità di registrazione, consultazione, elaborazione e conservazione di tali dati come stabilite per legge, fino a poco tempo fa il Codice della Privacy e di recente il Regolamento europeo noto come GDPR, non esaurisce affatto gli obblighi e le responsabilità dell’operatore e dei suoi dipendenti o dirigenti.
Deve essere tenuto ben presente infatti che, nel caso del verificarsi di uno qualsiasi dei possibili eventi dannosi che le norme contenute nel citato GDPR prevedono, l’osservanza delle regole imposte dalla normativa in vigore non comporta di per sé esenzione di responsabilità per i danni conseguenti all’evento e ciò non solo all’interno dell’azienda ma e soprattutto nei confronti dei soggetti terzi aventi interesse ai dati ed alla segretezza degli stessi.
La copertura assicurativa intesa al risarcimento dei danni diretti per riparazioni, ripristini, interruzione forzata della attività, trova quindi il suo naturale completamento nella copertura della esposizione a richieste di risarcimento, anche collettive, da parte di terzi che lamentino danni subiti a seguito del disservizio occorso nella gestione dei dati.

Non sempre è sufficiente la compliance al Gdpr
Il GDPR sopra richiamato pone espressamente a carico dei titolari del trattamento di dati la scelta delle tutele da essi considerate adeguate al fine di evitare possibili danni, in considerazione dei tipi e dei modi di trattamento in effetti adottati nel caso specifico, oltre all’obbligo di segnalazione immediata o al più entro 72 ore dalla scoperta, delle violazioni alla sicurezza riscontrate.
Ferma naturalmente restando la prova dell’esistenza del danno a carico di chi ne chiede il risarcimento, una eventuale richiesta di danni da parte dei soggetti interessati alla riservatezza dei dati non viene quindi esclusa dalla avvenuta tempestiva segnalazione e dall’accertata osservanza della normativa, ma soltanto dalla dimostrazione della adeguatezza dei mezzi di tutela adottati a priori.
Per questo motivo la copertura assicurativa della responsabilità in questi casi non può prescindere da una valutazione da parte dell’assicuratore, e molto spesso congiuntamente da assicuratore e assicurato, del rischio dipendente dalle scelte dei sistemi di tutela operate dal Titolare e imposte al Responsabile del trattamento.
Va aggiunto che per i sinistri in campo informatico non esistono statistiche affidabili in base alle quali determinare probabilità e entità valutabili ai fini della determinazione dei premi e che inoltre le potenziali minacce alla integrità dei sistemi informatici sono in continuo sviluppo con corrispondente adeguamento dei sistemi di difesa, e ciò implica una variabilità notevole dei rischi.
Questi due aspetti, costituendo un elemento essenziale del rapporto assicurativo, devono essere esplicitamente considerati e valutati in sede contrattuale al fine di evitare possibili cause di nullità o di adeguamento in sede risarcitoria, conseguenza di vere o presunte non esatte specificazioni del rischio assicurato invocabili da parte dell’assicuratore ex articolo 1892 del codice civile.

Data controller e data processor
Quanto alla identificazione dei soggetti coinvolti nel rapporto assicurativo a copertura della esposizione conseguente alla responsabilità civile in campo informatico, pur tenendo conto della infinita casistica che può riscontrarsi nel singolo caso, alcuni principi generali possono essere comunque accennati.
Va premesso peraltro che la terminologia adottata nella normativa italiana, essendo la stessa rimasta invariata rispetto a quella precedente, può risolversi in una certa confusione rispetto al nuovo significato attribuito agli stessi termini nella recente normativa contenuta nel citato GDPR.
Il soggetto in principio responsabile nei confronti dei terzi interessati è infatti il Titolare del trattamento (data controller) cioè il soggetto avente la materiale disponibilità dei dati, il quale sia in grado di decidere autonomamente come utilizzarli e come raggrupparli ai fini e per gli effetti che intende raggiungere.
La diversa figura del Responsabile del trattamento (data processor), contrariamente alla denominazione in italiano (che va riferita alla funzione soltanto e non comporta di per sé alcuna assunzione di responsabilità dal punto di vista giuridico) si riferisce in realtà ad un soggetto che può essere tenuto responsabile nei confronti dei terzi solo nei casi in cui siano state disattese le istruzioni provenienti dal Titolare ovvero siano state effettuate operazioni sui dati non autorizzate dallo stesso Titolare, il quale mantiene pertanto in ogni caso la responsabilità per il trattamento dei dati e per le possibili conseguenze negative che derivino.
In tali ipotesi è prevista addirittura la responsabilità solidale tra Titolare e Responsabile del trattamento, e potrà quindi ben accadere che anche il Responsabile provveda a dotarsi di idonea copertura assicurativa limitatamente a tale aspetto.
Resta ovviamente escluso che quest’ultima copertura possa essere riferita a casi di dolo o colpa grave, ma in presenza di entità organizzate la necessità può riguardare le colpe dei dipendenti o in genere i comportamenti colposi dell’assicurato nel gestire i dati affidati dal Titolare.

Cosa può fare il titolare dei dati
Sempre allo stesso Titolare sono attribuiti in via esclusiva gli obblighi di notifica al Garante delle violazioni riscontrate nei casi e nei tempi previsti; la adozione delle misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, la elencazione specifica dei trattamenti nel registro apposito, la documentazione delle violazioni eventualmente verificatesi nonché, appunto, la nomina del Responsabile del Trattamento (Data Processor).
Sono stati sollevati dubbi circa la possibilità di nominare il c.d. Responsabile tra i dipendenti del Titolare ovvero di non nominarlo affatto, ciò che appare peraltro poco plausibile, ma ciò non influirebbe in ogni caso sulla sfera di responsabilità globale verso terzi del Titolare stesso.
Il rapporto contrattuale tra Titolare e Responsabile del trattamento comporta comunque una rilevanza notevole a fini assicurativi, sia sotto il profilo della eventuale chiamata in garanzia del Responsabile, ove ne ricorrano i presupposti, sia per la limitazione dei rischi rispetto alla responsabilità del Titolare.
Il relativo documento contrattuale dovrà necessariamente costituire un presupposto del contratto assicurativo in quanto determinante ai fini della valutazione del rischio assicurato in capo al Titolare.

Chi sono i soggetti interessati ai dati?
Ulteriore elemento da considerare a fini assicurativi è il tipo di soggetti interessati ai dati (data subject) potenzialmente portatori di diritti al risarcimento in caso di violazione dei dati stessi, tenendo conto che tali possono essere le persone fisiche a cui si riferiscono i dati personali e quindi abbastanza facilmente desumibili dal tipo di dati trattati. La estensione della protezione ad enti e persone giuridiche riveste carattere eccezionale ed estremamente specifico soltanto ad esempio in caso di utilizzo di materiale proveniente da banche dati per inoltro di comunicazioni indesiderate.
Va tenuto conto sotto questo aspetto che il concetto di interessato è molto cambiato negli anni recenti ed è suscettibile di ulteriori cambiamenti ed estensioni, solo se si consideri che le occasioni di raccolta di dati personali stanno aumentando in maniera esponenziale. Basta pensare al proliferare delle telecamere di sorveglianza, delle tessere, documenti o congegni portatili registrati all’interno di banche dati e simili.
Anche tale circostanza, oltre alla possibilità di azioni collettive in materia, in vista del numero considerevole dei potenziali interessati, deve indurre particolare attenzione nell’ambito assicurativo, sempre ai fini della definizione delle aree di rischio, dei massimali e delle franchigie, se previsti, oltre alla adozione degli opportuni aggiornamenti e adeguamenti per garantire la corrispondenza alle attività di volta in volta svolte in concreto e alle ragioni per l’adozione di tutele specifiche di contrasto alla violazione dei dati.
Concludendo, in pochi settori come quello considerato si rende necessaria la massima duttilità delle coperture assicurative in corrispondenza della evoluzione dei trattamenti e dei loro scopi, della analoga evoluzione degli strumenti di disturbo e intrusione e dello sviluppo equivalente dei mezzi di contrasto e protezione, nei tempi molto ristretti di tali dinamiche.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/assicurazioni-cyber-e-gestione-dei-dati-personali-come-cambia-il-mercato

Convegno 14.01.2019

By | News | No Comments

In data 14 Gennaio 2019 a Genova al Centro Culturale, Formazione e Attività Forensi Aula Convegni del Consiglio dell’Ordine degli Avvocati, CAMMINO – Camera Nazionale Avvocati per le persone, le relazioni familiari e i minorenni – della sede di Genova ha tenuto un convegno sull’argomento “Tavola Rotonda: Affido Condiviso, Mantenimento Diretto, Garanzia Bigenitorialità: decreto Pillon, un’illusione di parità?”.

GDPR, la difficoltà di raccordo tra vecchie e nuove norme

By | News | No Comments

Il cambio di paradigma introdotto dal GDPR nella protezione delle informazioni in rete e le difficoltà di raccordo tra le nuove norme e quelle preesistenti: il punto della situazione
Nel nostro Paese, nonostante le importanti novità introdotte dal GDPR in tema protezione della riservatezza dei dati in rete, si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con il risultato di generare una certa difficoltà di raccordo tra le norme preesistenti e le nuove del GDPR.
Le difficoltà della protezione delle informazioni
Il contesto in cui queste novità si inseriscono è caratterizzato da due fattori incontrovertibili: la rapidità e l’invadenza delle recenti evoluzioni nel settore e la sempre maggiore facilità e velocità di trasferimento e distribuzione delle informazioni, anche in forma complessa e in quantità rilevanti, per il tramite di reti interne, private o pubbliche come Internet e il Web.
D’altra parte, l’accumulo e la concentrazione di un grande volume di informazioni nella disponibilità di soggetti che li raccolgono amplificano i rischi di accesso alle stesse da parte di chi non è autorizzato a disporne e perciò impone l’adozione di opportuni sistemi di protezione talvolta estremamente complessi e costosi.
Non va dimenticato che le reti informatiche sono per la loro stessa natura concepite allo scopo di condividere informazioni tra tutti i soggetti aventi accesso alla rete e che la esclusione dell’accesso da parte di taluni soltanto tra di essi comporta la creazione di sovrastrutture estremamente sofisticate e complesse, atteso che lo scopo è quello di evitare intrusioni dirette ad accedere ai dati che si vuole proteggere ma che sono e devono comunque essere presenti all’interno della stessa rete a disposizione degli utenti autorizzati a disporne.
La protezione della riservatezza dei dati messi in rete costituisce quindi da parecchio tempo una delle aree più delicate della legislazione nei singoli paesi e delle normative comunitarie europee, dalle quali però si può rilevare un recentissimo importante cambiamento di rotta, che corrisponde alla acquisita consapevolezza della impossibilità di adeguare le regole a tempo con gli sviluppi tecnici sempre più innovativi e pressanti.
L’entrata in vigore anche in Italia lo scorso 25 maggio 2018 del Regolamento (UE) 2016/679, noto come GDPR (ovvero General Data Protection Regulation), a due anni dalla sua approvazione da parte del Parlamento e del Consiglio Europeo, non ha avuto grande eco tra gli operatori, forse a motivo dei diversi temi politici in evidenza a quell’epoca nonché nella errata convinzione che solo con l’adozione della legislazione applicativa interna tramite decreto del governo gli effetti reali si sarebbero fatti sentire nel nostro paese.
Neppure la successiva emanazione del decreto di recepimento della nuova disciplina il 10 agosto scorso, pubblicato in Gazzetta Ufficiale il 4 settembre e quindi entrato in vigore 15 giorni dopo, il 19 settembre 2018, ha provocato grandi reazioni, se non tra gli addetti ai lavori, e questo anche perché un termine di grazia di otto mesi è stato esplicitamente previsto nel decreto stesso, nel corso del quale la applicazione delle sanzioni da parte del Garante dovrebbe “tenere in conto” la fase di prima applicazione delle nuove norme, in altre parole tenere la mano leggera in tema di sanzioni.
Sta di fatto però che sotto il regime del nuovo GDPR si è addossata ai singoli operatori, in qualità di titolari del trattamento ovvero in persona del Responsabile del trattamento, la piena responsabilità in merito al giudizio di adeguatezza delle misure di sicurezza adottate in concreto, avuto riguardo al tipo ed al livello di rischio che soltanto il particolare operatore è in grado di valutare e decidere.
Ciò non di meno, e nonostante le rilevantissime novità contenute nel soprammenzionato GDPR sia in tema di adempimenti che di regime sanzionatorio (hanno una portata senza precedenti e possono raggiungere nel massimo fino a 20 milioni di euro o fino al 4% del fatturato annuale di un’azienda), si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con risultati non certo affidabilissimi sotto l’aspetto interpretativo.
Lo stesso Garante della protezione dei dati personali, nel pubblicare il testo coordinato del Codice della Privacy come risultante dopo le modifiche di adeguamento al GDPR europeo ha ritenuto di dover avvertire espressamente che “il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale”, evidentemente a motivo delle numerose possibili contraddizioni e incongruenze riscontrabili.
La difficoltà di raccordo tra le norme preesistenti e le nuove contenute nel GDPR discende fondamentalmente appunto dalla differenza di impostazione generale cui si è fatto cenno sopra del criterio in base al quale viene riconosciuta la responsabilità, e quindi la applicazione delle eventuali sanzioni, in capo al soggetto che è in possesso di dati personali di terzi, e dei quali faccia uso in qualsiasi modo: archiviazione, organizzazione, elaborazione, gestione in genere.
Viene quindi lasciata all’operatore in possesso dei dati la valutazione dell’adeguatezza delle misure adottate in considerazione delle particolari condizioni in cui opera e delle modalità operative da lui scelte, e delle quali dovrà eventualmente dare conto nel caso un evento dannoso si verifichi.
Tale principio, denominato di ‘accountability’, con termine anglosassone non facilmente traducibile, ma reso dal legislatore italiano con la parola ‘responsabilizzazione’, riferita al titolare e al responsabile del trattamento (quest’ultimo divenuto non a caso di nomina obbligatoria e non più facoltativa come sotto la precedente disciplina) viene espresso chiaramente all’articolo 24 del Regolamento europeo in questi termini:
“Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Viene quindi precisato nello stesso articolo che la eventuale adozione di codici di condotta ovvero di meccanismi di certificazione anche se debitamente riconosciuti e approvati non vale di per se ad escludere la responsabilità ma soltanto come uno degli elementi da valutare ai fini di escluderla.
E ancora, al successivo articolo 32 si dispone:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio … “
e si aggiunge quindi una precisazione analoga a quanto esposto sopra riguardo a codici di condotta ovvero di meccanismi di certificazione eventualmente adottati.
Le obbligazioni imposte vengono quindi a sostituire i requisiti più spiccatamente formali previsti in precedenza, aggiungendo una responsabilità più estesa derivante dalle necessità valutate caso per caso e una giustificabilità delle scelte di sicurezza effettuate.
A completamento di quanto sopra, sono state introdotte altre prescrizioni assolute in ogni caso, quali l’obbligo di raccogliere e mantenere i dati in formato crittografato oltre ad ottenere il consenso ai trattamenti singolarmente per ciascuno di essi, con indicazione precisa delle finalità di raccolta e conservazione e con indicazione del Responsabile del trattamento.
Vengono prescritte inoltre modalità più esplicite quanto alla acquisizione dei consensi, escludendo accettazioni implicite o automatiche, e viene imposta l’archiviazione dei dati relativi con possibilità di accesso a tali dati da parte degli interessati.
Va infine sottolineato che la obbligatorietà del registro dei trattamenti previsto per le aziende con più di 250 dipendenti non esaurisce certamente le obbligazioni di responsabilizzazione per tale categoria di aziende, ma neppure esime le aziende più piccole, pur non tenute alla tenuta di tale Registro (a meno che non operino trattando dati c.d. cosiddetti sensibili), ad adeguare le misure di protezione in atto ai parametri di cui al nuovo GDPR.
Lo stesso Garante della Privacy propone un modello di registro semplificato ad uso PMI decisamente elementare e non molto complicato o impegnativo quanto alla regolare tenuta.
Sotto questo profilo è stato rilevato da parte della ICO, l’autorità che presiede alla protezione dei dati nel Regno Unito, che la tenuta di tale Registro, se ritenuta opportuna ed anche se non obbligatoria, può costituire in ogni caso un concreto sussidio per qualsiasi operatore nel campo di attività della gestione di dati al fine della valutazione della correttezza dei trattamenti effettuati in azienda e ciò in vista della dimostrazione della adeguatezza delle misure di protezione a norma del GDPR.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/gdpr-la-difficolta-di-raccordo-tra-vecchie-e-nuove-norme

Software, le forme di cessione dei diritti: rischi e tutele contrattuali

By | News | No Comments

Tranne che nei casi in cui le soluzioni software vengano utilizzate da parte dello stesso soggetto che le ha sviluppate, la maggioranza delle modalità digitali per la soluzione di problemi operativi vengono in qualche modo messe a disposizione di altri soggetti che le sfruttano al fine del raggiungimento di determinati risultati specificamente voluti. Bisogna quindi essere ben consapevoli degli strumenti contrattuali utili alla tutela dei diritti e dei rischi connessi.
I soggetti utilizzatori instaurano quindi un necessario rapporto con lo sviluppatore, sia esso una persona fisica o una organizzazione imprenditoriale, avente carattere di esclusività fin dall’origine oppure di semplice facoltà condivisa con altri soggetti, anche se per usi diversi per ognuno di essi.
Nel primo caso l’intero diritto di proprietà della soluzione elaborata viene ceduto senza riserve, in maniera simile a quanto avviene per tutte le forme di vendita di un bene o di altra utilità nella sua interezza.
Nel secondo, invece, la proprietà rimane al cedente, essendo la cessione limitata all’uso del bene o dell’utilità, come avviene nei casi di qualunque locazione, salvo che, trattandosi di modalità operative digitali, la utilizzazione può essere anche contemporanea o congiunta da parte di un numero rilevante di soggetti.
Il legislatore Italiano nel 1992 con il D. Lgs. 29 Dicembre 1992 n. 518, in attuazione della Direttiva n. 91/250/CEE, ha equiparato alle opere dell’ingegno di carattere creativo che appartengono alla letteratura i programmi per elaboratori, ovvero il software, con la conseguenza che le problematiche connesse alla vendita dei software sono, pertanto, quelle relative alla cessione dei diritti di utilizzazione dell’opera di un autore, nei limiti e per gli effetti disciplinati dall’art. 2581 c.c., nonché dalla Legge 22 Aprile 1941 n. 633 sul diritto di autore come più volte modificata.
Ne consegue altresì che nella trattazione della cessione delle facoltà di utilizzazione delle modalità digitali innovative ed in genere di tutti i contratti di fornitura ad esse relative non può quindi prescindersi dall’analisi del contenuto di tali particolari opere dell’ingegno, perché attraverso tale analisi sarà più semplice comprendere il contenuto degli accordi che si vogliono stipulare nonché valutare i rapporti di forza tra le parti.
Trattandosi di cessioni aventi ad oggetto utilità o beni non materiali (salvo il supporto fisico eventuale, di valore solitamente trascurabile) non viene richiesta per legge alcuna formalità particolare, quindi un accordo verbale sarebbe sufficiente salvo la ovvia opportunità della conclusione di un contratto scritto.
Un caso particolare di acquisizione della proprietà è riferito a quanto elaborato da parte di un dipendente su incarico del proprio datore di lavoro, perché in tale ipotesi la proprietà di quest’ultimo è automatica per legge, a meno che ciò non sia stato espressamente escluso, senza necessità di una cessione formale (vedasi articolo 12 bis, introdotto nel 2017, della legge sul diritto d’autore).
E’ doveroso far notare che il termine “dipendente” va inteso in senso specifico e che pertanto quanto elaborato a seguito di incarico o commissione ma senza vincolo di subordinazione resta in proprietà del soggetto che lo ha elaborato, con libertà assoluta delle parti di attribuirne i diritti di proprietà e di sfruttamento nei modi e nei termini che credono, senza alcuna presunzione.
In ogni caso, ove la proprietà venga ceduta per intero, l’autore si spoglierà di ogni suo diritto, normalmente contro pagamento di un adeguato corrispettivo, restando così escluso da ogni successiva possibilità di controllo o di gestione della soluzione da lui elaborata.
L’unico diritto non cedibile, ma puramente morale e privo di valore economico, resta quello della paternità su quanto elaborato, in forza dell’articolo 20 della legge sopra citata, ossia il diritto ad esserne considerato e riconosciuto autore, oltre che, teoricamente, ad opporsi a deformazioni, mutilazioni o modifiche, anche se questo ultimo aspetto difficilmente potrebbe assumere rilevanza nel settore informatico, per ovvie ragioni di evoluzione e continuo adattamento.
Le cessioni limitate alla utilizzazione soltanto costituiscono la maggioranza dei casi, e la varietà delle possibili modalità è praticamente infinita oltre che liberamente negoziabile tra le parti.
Normalmente, le modalità digitali sviluppate ed elaborate da un soggetto vengono concesse in licenza d’uso a favore di altri soggetti che, appunto, le utilizzano, ed i limiti a tale uso possono essere temporali, spaziali, di ambito operativo, talvolta anche di piattaforma di sistema (si veda il caso Apple che non consente l’utilizzo dei propri sistemi operativi su macchine che non siano di propria fabbricazione).
In altri casi la licenza d’uso è implicita nell’acquisto della macchina, in quanto il fabbricante della stessa si è assicurato una licenza dallo sviluppatore con facoltà di cedere detta licenza agli acquirenti delle macchine vendute con il proprio marchio, con acquisizione automatica della licenza all’atto dell’acquisto, spesso senza neppure saperlo (cosiddette licenze OEM).
Si è detto che in questo ambito viene lasciata alle parti la più ampia libertà, e questa viene spesso abusata da parte degli sviluppatori ogniqualvolta la loro posizione predominante lo permetta, entro i limiti dettati in materia di clausole vessatorie.
Una delle poche facoltà che non possono in nessun caso essere negate all’utilizzatore-licenziatario sono la riproduzione di una copia di sicurezza per il caso di perdita o distruzione del supporto originariamente fornito, oltre alla “decompilazione” (spesso riferita come “reverse engineering”) al fine di risalire al codice sorgente dell’elaborato oggetto di licenza.
Tale ultima attività, normalmente vietata in quanto comportante accesso al codice sorgente e quindi al vero cuore dell’elaborato, è consentita soltanto per ottenere la interoperatività della soluzione informatica con altri strumenti software utilizzati dal licenziatario, il che tuttavia si verifica di solito soltanto nel caso che quest’ultimo abbia ampie risorse e necessità al riguardo, il che non si verifica con i normali utilizzatori finali. L’aspetto è comunque molto rilevante e le opportune cautele dovranno essere predisposte contrattualmente per disciplinarlo.
Esistono circostanze nelle quali il codice sorgente viene rivelato all’utilizzatore, o del tutto gratuitamente e senza vincoli di alcun genere (licenze di pubblico dominio) oppure con facoltà limitate e ben definite quanto alla modificabilità, integrazione in altre soluzioni di diversa provenienza, usi specifici e altro (licenza open source) nel qual caso si rientra nell’ambito della normale licenza, gratuita o a pagamento che sia.
Un ulteriore aspetto da non trascurare è la eventuale inclusione, nella soluzione elaborata e destinata alla cessione, di parti accessorie elaborate da terzi. Il classico esempio è costituito da librerie di dati, routines di conversione o di datazione o di localizzazione geografica.
Se le stesse sono di dominio pubblico ovvero di libero utilizzo generale il problema naturalmente non si pone, ma se la gratuità è prevista soltanto per utilizzi non commerciali oppure sussistono limitazioni o addirittura divieti, la cessione del pacchetto che li contiene può avere conseguenze estremamente negative.
Il recente caso del sistema di rilevazione delle velocità medie che ha coinvolto le autostrade italiane ne è un esempio (anche se nel caso esistevano aspetti di tutela brevettuale, di solito non presenti nel settore dell’informatica). A prescindere dalle circostanze materiali fisiche, il sistema di rilevazione ed elaborazione dei dati era stato considerato sia da parte degli utilizzatori che da parte di chi aveva loro concesso in licenza il sistema, come perfettamente legittimo, essendo per la maggior parte originale e specifico per l’uso particolare.
Ma la contestazione da parte di chi il sistema lo aveva elaborato per primo ha avuto come conseguenza il divieto di utilizzarlo per intero, con notevoli danni conseguenti, anche se la parte riconosciuta come protetta e non usabile costituiva una porzione quasi marginale dell’intero sistema.
Sono infine da menzionare le ipotesi in cui la soluzione informatica venga elaborata su istruzioni specifiche dell’utilizzatore, per cui, salvo non venga riservato al cedente il diritto di commercializzare in proprio e verso terzi la soluzione da lui sviluppata, ipotesi piuttosto rara, il committente del lavoro diviene proprietario del lavoro in via esclusiva.
A prescindere dalla qualificazione del rapporto (a grandi linee: appalto se lo sviluppatore è un’impresa o contratto d’opera se è un professionista) cambiano in tale caso le rispettive responsabilità, garanzie e diritti, ragione per cui la disciplina contrattuale adatta alla specificità della soluzione ceduta assume una importanza determinante.
E’ da notare che, mentre tali ipotesi di soluzioni personalizzate erano più comuni in tempi passati, sono oggi divenute più rare a causa della miriade di soluzioni informatiche disponibili sul mercato studiate e mirate a venire incontro alle esigenze più disparate.
Ma restano ancora piuttosto diffusi gli adattamenti di soluzioni commerciali comuni, che il cliente utilizzatore, specie se di dimensioni medio-grandi, come banche, società di assicurazione o industrie, vuole in qualche modo personalizzare per meglio adeguarlo alle proprie necessità o per facilitarne l’uso da parte dei dipendenti.
In tali casi, lo sviluppatore cedente dovrà assicurarsi la concessione della relativa licenza da parte dell’avente diritto, con facoltà di modifica e adattamento, ovvero l’acquisto di tale licenza da parte del cliente utilizzatore finale.
Si può osservare insomma che in generale il migliore sfruttamento commerciale delle soluzioni informatiche innovative non può prescindere da una adeguata tutela all’atto della sua cessione a terzi, tutela che può essere assicurata solo con una accurata scelta e formulazione dello strumento contrattuale più adatto, anche al fine di evitare esposizione a rischi operativi derivanti dall’utilizzo da parte del cessionario.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/software-le-forme-di-cessione-dei-diritti-rischi-e-tutele-contrattuali/

Licenze software, le responsabilità in caso di danni: che dicono le norme

By | News | No Comments

Chi concede in licenza un bene immateriale, come sono tutti i prodotti informatici, ad eccezione del supporto sul quale sono distribuiti (anche se ciò tende a ridursi con il potenziamento dei collegamenti Internet che consentono la distribuzione on-line), è pienamente responsabile per le conseguenze negative che ne dovessero derivare. Concetto importante e spesso poco conosciuto, perché una lettura non troppo attenta di uno qualsiasi dei numerosi contratti di licenza d’uso per sistemi informatici o delle licenze software potrebbe indurre a credere che gli sviluppatori e i venditori di materiale del genere possano tranquillamente evitare preoccupazioni in merito agli eventuali danni derivanti dall’utilizzo dello stesso.
Il contenuto di tali contratti viene infatti strutturato, talvolta in maniera piuttosto ingenua, in modo tale da isolare completamente il venditore dall’utilizzatore: sembrerebbe quasi che, addirittura, la cessione a pagamento di una licenza d’uso non lasci poi a chi la usa nessuna possibilità di rivalsa, neppure se il prodotto fosse così scadente da non essere usabile.
Ma le cose, come detto, non stanno così. Vediamo perché e che c’è da sapere.
Va anzitutto notato che a norma della legge italiana tutte le clausole limitative di responsabilità o di divieto a sollevare eccezioni che siano state predisposte da uno dei soggetti, normalmente il venditore, oppure siano contenute in un testo prestabilito al quale l’altro soggetto possa soltanto aderire, non hanno effetto se non sono state approvate specificamente, separatamente dal contesto, e per iscritto.
I contratti conclusi con il classico clic di accettazione via internet ovvero tramite rottura del sigillo di una confezione del prodotto (cosiddetta licenza a strappo o shrink wrap) non comportano quindi limitazioni effettive di responsabilità anche se previste.
Ma se le norme sopra accennate valgono soprattutto in caso di distribuzione a privati, la cui protezione deriva altresì dalle disposizioni del Codice del Consumo e delle normative comunitarie in materia, anche le transazioni tra aziende sono soggette a normative piuttosto stringenti al fine della tutela dei contraenti.
Va osservato anzitutto che la clausola di divieto di cessione a terzi della licenza d’uso, spesso prevista, è stata messa in discussione in quanto in contrasto con la legislazione in tema di diritto d’autore, al quale le soluzioni software sono soggette, salvo casi particolari, e precisamente con il cosiddetto “principio di esaurimento” in materia, in base al quale la prima vendita di un bene in ambito comunitario esaurisce il diritto di distribuzione limitatamente alla copia, materiale o non, a suo tempo ceduta in uso e pertanto rivendibile (cfr. caso Oracle deciso nel 2009).
Ammessa la cedibilità, questa comporterebbe obblighi di garanzia a carico dello sviluppatore nei confronti del nuovo licenziatario, con effetti di prolungamento cui le principali software house hanno cercato di rimediare mediante licenze a tempo determinato oppure soluzioni software utilizzabili soltanto on-line su abbonamenti a tempo.
Altro principio rilevante è il divieto previsto dall’articolo 1229 del codice civile italiano circa la limitazione o la esclusione in sede contrattuale delle responsabilità nascenti da colpa grave, dalle quali pertanto lo sviluppatore non può esimersi in alcun modo.
Neppure da sottovalutare è l’interpretazione del contratto in caso di controversie e per il caso che il contratto come stipulato tra le parti non preveda soluzioni specifiche o quelle previste non siano utilizzabili.
Stante l’impostazione di figure contrattuali tipiche contenute nel codice civile italiano, l’interpretazione dei contratti di cessione di diritti su materiale informatico, atipici nella stragrande maggioranza dei casi, viene condotta in caso di dispute mediante riferimento a contratti tipici affini o equivalenti.
Il contratto di licenza d’uso, normale per le soluzioni informatiche, viene quindi parametrato, a seconda del suo prevalente scopo, come risultante dal suo effettivo contenuto, ai contratti, per esempio, tipici di locazione o vendita di bene immateriale oppure di appalto d’opera quando il sistema software sia stato sviluppato su specifiche disposizioni e per necessità indicate dall’utilizzatore.
Così, per esempio, se dovesse essere ritenuta prevalente la natura di locazione in un contratto di licenza, la responsabilità per i vizi eventuali non potrebbe comunque essere esclusa se gli stessi sono stati taciuti in malafede o rendano impossibile l’uso del bene oggetto di cessione in uso (cfr. articolo 1579 c.c.).
Mentre, se prevalente fosse riscontrata la natura di vendita, la sola malafede del cedente sarebbe sufficiente, a prescindere dalla possibilità di utilizzo (cfr. articolo 1490 comma 2 c.c.).
Oppure, con riferimento all’appalto, solo se i difetti riscontrati rendessero il software sviluppato inadatto all’uso dichiarato l’utilizzatore/committente avrebbe facoltà di risolvere il contratto con restituzione di quanto pagato, in ogni altro caso gli sarebbe solo consentito chiedere la eliminazione dei difetti o la riduzione del prezzo proporzionale al minore utilizzo (cfr. articoli 1668 e 2226 c.c.).
Possono anche incontrarsi casi non univoci, come quando, ciò che avviene di frequente, lo sviluppatore utilizzi programmi o parti di programmi esistenti (librerie, banche dati o altro) e di proprietà di terzi poi adeguatamente modificati o completati allo scopo di adattarli alle esigenze dell’utilizzatore.
In questi casi, a parte la necessità dello sviluppatore di garantire per sé o per l’utilizzatore il legittimo uso del materiale altrui, il contratto finale potrà essere qualificato come assimilabile alla vendita o all’appalto, con applicazione delle discipline di diritto relative, valutandone i contenuti da un punto di vista qualitativo e quantitativo.
La ripartizione delle responsabilità fino a questo punto considerata, come afferente il rapporto tra sviluppatore e utilizzatore dal punto di vista interno, si riflette necessariamente nella loro posizione riguardo a soggetti estranei a tale rapporto che siano coinvolti a qualsiasi titolo nella utilizzazione della soluzione informatica fornita.
Sotto questo aspetto vanno considerate prima di tutto le rivalse da parte dei soggetti acquirenti dei beni o dei servizi forniti dall’utilizzatore ed ottenuti tramite la soluzione informatica oggetto di contratto, per la quali lo sviluppatore potrà essere chiamato a rispondere.
Ma inoltre anche i danni a soggetti non legati a nessuna delle parti da legami contrattuali, considerato che sempre più di frequente vengono utilizzate connessioni a servizi di rete pubblici o privati, servizi che possono subire pregiudizio anche all’insaputa dell’utente, il quale non ha normalmente a disposizioni adeguate conoscenze o strumenti per evitarle.
Oltre ai numerosi casi di contraffazione e distribuzione di programmi noti e diffusi allo scopo di effettuare operazioni ignote all’utente inconsapevole, può verificarsi che l’errata progettazione del programma non sia sufficiente ad impedire accessi non voluti all’insaputa dell’utilizzatore.
Questo può avvenire quando il programma sia basato sulla acquisizione di parametri o di dati da fonti esterne in rete; in questo caso è evidente la responsabilità dello sviluppatore per i danni da disservizio o blocco dei server utilizzati, sempre che sia comprovata la mancata adozione degli accorgimenti adeguati ad evitare il malfunzionamento non voluto del programma.
Tale ultimo aspetto porta a considerazioni finali in tema di esigenze probatorie in caso di controversie riguardo il funzionamento di soluzioni informatiche.
In generale l’onere della prova del danno subito incombe sul danneggiato, ma spesso tale prova si limita alla esistenza del danno ed al nesso tra il danno e la soluzione software utilizzata, senza possibilità di accertare la causa effettiva perché i rimedi adottati con urgenza per limitare o impedire gli effetti dannosi hanno modificato di fatto la originale configurazione.
A questo, oltre che alla frequente inesistenza di indagini a priori sulla architettura generale del sistema al momento della installazione, va aggiunta la scarsa o limitata dimestichezza con settori informatici specifici da parte dei periti nominati in sede giudiziaria.
La redazione dei contratti di cessione, licenza e sviluppo su commissione di strumenti e soluzioni informatiche resta comunque un tema in divenire, in corrispondenza della espansione ed evoluzione continua dell’informatica e delle sue applicazioni, al quale le imprese dovrebbero dedicare la massima attenzione in vista delle potenziali esposizioni economiche.

Articolo pubblicato su:
https://www.cybersecurity360.it/legal/licenze-software-le-responsabilita-in-caso-di-danni-che-dicono-le-norme/

Tutele legali delle soluzioni informatiche: Contratto eula, Brevetto, Copyright

By | News | No Comments

La potenziale redditività economica da valutare in vista dello sviluppo di nuove soluzioni informatiche è fortemente influenzata dalle possibilità di sfruttamento di tali soluzioni in esclusiva da parte dello sviluppatore direttamente; ovvero del committente che lo abbia commissionato e ne abbia acquisito i diritti di utilizzo. Ecco una guida sulle misure principali da prendere a questo scopo.
Alle protezioni informatiche interne, quali password, chiavi proprietarie o di recente i controlli via internet da remoto, le tutele più propriamente legali hanno una importanza notevole e la loro attuazione può coinvolgere aspetti diversi tra i quali non è facile districarsi e scegliere.
Le Start-up/PMI partono da un’idea innovativa che, talvolta, ha l’ambizione di rivoluzionare un settore con la forza della creatività, delle competenze tecnologiche e dell’entusiasmo e questo deve far sì che proteggere le soluzioni informatiche innovative mediante strumenti per la tutela della proprietà intellettuale, permette alle Start-up/PMI di alzare delle barriere solide contro i potenziali concorrenti e fornisce il tempo necessario a sviluppare i progetti da un punto di vista commerciale. Senza contare che un’adeguata protezione dell’innovazione renderà la Start-up/PMI più appetibile per chiunque abbia interesse ad investire sul loro business model.
Ad esempio per lo sviluppo di nuove soluzioni software la prima barriera è normalmente costituita dal contratto di licenza comunemente denominato EULA che, essendo predisposto dallo sviluppatore ed accettato dall’utilizzatore per adesione, di solito tramite spunta per accettazione all’atto della installazione, è sottoposto a limitazioni legali nel caso le previsioni in esso contenute siano limitative dei diritti dell’utilizzatore ovvero delle responsabilità dello sviluppatore, in base all’art. 1341 del codice civile italiano in tema di cosiddette clausole vessatorie e del Codice del consumo (d.lgs. 206/2005), in caso l’utilizzatore finale possa essere qualificato come consumatore.
Una attenta formulazione dei termini di licenza risulta quindi molto opportuna in ogni caso.
Le barriere di protezione legale sono costituite dal marchio, dal brevetto e dal copyright (diritto d’autore).
Il marchio, corrispondente al nome commerciale, garantisce una difesa relativa, e soltanto nei casi in cui il nome attribuito alla soluzione informatica ne richiami specificamente la funzione ed acquisti una notorietà sufficiente ad identificare la soluzione stessa.
Normalmente, in caso di denominazioni di fantasia, la protezione è piuttosto debole ed è facile per i potenziali concorrenti violare i diritti dello sviluppatore usando una denominazione commerciale diversa.
La protezione brevettuale è senza dubbio la più forte, ma, nel caso delle soluzioni informatiche, anche la più problematica.
Innanzitutto perché l’attuale legislazione in materia in Europa rende difficile, in linea di principio, la brevettabilità delle soluzioni informatiche, e in secondo luogo a motivo dei costi abbastanza proibitivi, considerata la attuale vita utile media dei prodotti di queste soluzioni informatiche.
Sotto il primo aspetto, l’articolo 52, paragrafo 2, punto c) della Convenzione sulla Concessione dei Brevetti Europei (EPC) in vigore dal 1977 esclude ad esempio la brevettabilità del software, precisando tuttavia al successivo paragrafo 3 che tale esclusione si riferisce al software “in quanto tale”.
E il successivo articolo 53 non elenca in effetti il software tra le invenzioni non brevettabili in assoluto, mentre l’articolo 54 richiede la novità e il 57 la idoneità ad avere applicazione industriale.
Le Linee Guida dell’Ufficio Brevetti Europeo (EPO), pubblicate il 1° giugno 1978 su questo tema e successivamente ampliate e modificate, tendono ad escludere dalla possibilità di protezione ad esempio i software che siano riconducibili a procedimenti matematici o logici anche complessi ma che non comportino una effettivo risultato tecnico-pratico.
La interazione con la macchina su cui il programma funziona può invece costituire oggetto di brevetto se il risultato ottenuto porta un contributo tecnico allo stato dell’arte.
Come si vede, la distinzione è molto sottile e solo un attento esame preliminare può portare a utili indicazioni.
L’aspetto dei costi può essere poi determinante, in quanto l’attuale sistema comporta comunque depositi separati nei diversi stati dell’Unione, con il rischio che il brevetto venga concesso in alcuni paesi e negato in altri, con conseguenti procedure contenziose anch’esse a costi notevoli.
Secondo calcoli della stessa Commissione Europea, i costi della richiesta di protezione brevettuale per i 13 paesi principali dell’Unione Europea corrisponderebbero a circa 130.000 Euro nell’arco di vent’anni.
Un sistema unitario per tutta l’Unione Europea è stato predisposto con la Convenzione di Lussemburgo sul brevetto comunitario (CBC), la quale tuttavia non è ancora entrata in vigore a motivo delle resistenze opposte da alcuni Stati Membri. La attuazione di tale convenzione porterebbe ad una notevole semplificazione, accentrando le procedure e portando una sensibile riduzione dei costi a circa 35.000 euro nell’arco di durata ventennale del brevetto.
La sopra descritta situazione in Europa non si discosta molto in sostanza da quella internazionale, in particolare con quella degli Stati Uniti.
L’orientamento generale restrittivo verso la brevettabilità ad esempio sempre del software trova appunto motivo nella onerosità e costi delle relative procedure, circostanza che favorirebbe le grandi multinazionali a scapito degli sviluppatori indipendenti e in genere delle Start-up/PMI.
L’indirizzo si è orientato fin dall’origine verso la normale tutelabilità delle soluzioni informatiche secondo le norme del diritto di autore, non escludendo tuttavia la brevettabilità in principio, ma solo per casi determinati.
Ed effettivamente la tutela fornita ad esempio dal diritto di autore (copyright) sul codice sorgente costituente la base del software è sicuramente la più immediata e meno costosa, anche se certamente non estesa a tutti gli aspetti vulnerabili.
Secondo la legislazione in vigore in Italia, il semplice deposito nell’apposito Registro presso la SIAE della copia un programma su supporto ottico (CD o DVD), unitamente alla dichiarazione modello 349, e con il pagamento di un diritto fisso e imposte per circa 260 euro, garantisce la data di priorità, i diritti di paternità dell’opera per i dati relativi e per la durata della vita del depositante e per ulteriori 70 anni nell’ambito del territorio italiano.
Il deposito può essere effettuato anche in prevenzione, per opere non ancora pubblicate o utilizzate, per la durata di 5 anni prorogabili per un successivo uguale periodo.
E’ da notare che la tutela accordata alle soluzioni informatiche sotto questo profilo è parificata a quella accordata ad opere letterarie, nel senso che il principale requisito richiesto non si riferisce alla novità o funzionalità, ma invece alla originalità e unicità dell’elaborato.
La protezione, rispetto al brevetto, è quindi da un lato più ristretta, in quanto strettamente collegata alla forma ed alla espressione usata, dall’altro molto più ampia perché riferita al modo personale di espressione dell’autore, alla sua creatività.
Il listato di un programma, ad esempio, viene limitato dal linguaggio tecnico utilizzato, ed è quindi meno libero di quello letterario, ciononostante il modo di esplicitazione è unico, non perché nuovo ma perché originale.
Chiedendo a un certo numero di programmatori la redazione di un codice che porti ad un certo risultato, si otterranno infatti listati sicuramente diversi, ma ognuno di essi sarà originale e unico, e quindi protetto come tale.
D’altro lato, la compilazione del listato mirante a limitare lo sviluppo di software simili dovrà essere formulato in modo tale da comprendere nel complesso le possibili espressioni di istruzioni equivalenti, allo scopo specifico di evitare forme di plagio funzionale da parte di terzi.
Anche tali aspetti sono stati ampiamente elaborati in sede di giurisprudenza e criteri abbastanza univoci risultano stabiliti a fini di riferimento preventivo.
Da notare infine che in caso di cessione dei diritti su opere protetta a norma del diritto d’autore, a seguito di vendita o cessione dei diritti di utilizzazione (licenza) oppure implicitamente in quanto sviluppata su commissione o in qualità di dipendente, il diritto morale di paternità dell’opera spetterà comunque all’autore persona fisica ed ai suoi eredi, come pure il diritto di opporsi a modifiche o alterazioni che siano lesive dell’onore o della reputazione dell’autore.
Ultimo aspetto da considerare è che la tutela del diritto di autore riconosciuta in Italia si estende automaticamente a tutte le nazioni aderenti alla Convenzione di Berna del 1886, più volte modificata e ampliata, e da ultimo a quasi tutte le nazioni mondiali, in forza dell’accordo TRIPS, promosso dalla organizzazione mondiale del commercio (WTO) e facente riferimento alla stessa Convenzione di Berna.

Articolo pubblicato su:
https://www.agendadigitale.eu/mercati-digitali/tutele-legali-delle-soluzioni-informatiche-contratto-eula-brevetto-copyright-le-norme-da-sapere/