Aggiungi un segnalibro per cominciare

Abstract_Lights_P_0152
14 settembre 202336 minuti di lettura

Innovazione e diritto: le novità della settimana

14 settembre 2023
Podcast

Uno dei padri dell’AI Act europeo

Gabriele Mazzini è riconosciuto come uno dei padri dell’AI Act per il suo attuale lavoro alla Commissione europea. In questo episodio del podcast Diritto al Digitale, discute con Giulio Coraggio dello studio legale DLA Piper delle attuali negoziazioni sull’AI Act e del futuro della regolamentazione dell’intelligenza artificiale. Ripubblichiamo questo episodio perché è ancora attuale. L’episodio è disponibile qui.

 

Technology, Media and Telecom

Digital Markets Act: Quali obblighi per le 6 big tech designate dalla Commissione europea?

La Commissione europea ha designato i gatekeeper soggetti al Digital Markets Act (DMA) e in questo articolo illustriamo gli obblighi onerosi che ne derivano per le big tech.

Il regolamento europeo denominato Digital Markets Act è stato pubblicato sulla Gazzetta Ufficiale ad ottobre ed è entrato in vigore l’1 novembre 2022.

Il Regolamento rappresenta, solo in ordine cronologico, l’ultimo atto di una strategia europea più ampia che mira – insieme alle altre componenti normative in materia – a rendere il settore digitale più equo e competitivo.

  • Gli obiettivi del Digital Markets Act (DMA)

Sulla scia del recente regolamento Platform-to-Business (P2B), il DMA impone alle piattaforme digitali di grandi dimensioni – che fungono da punti di accesso per i servizi offerti online – obblighi di trasparenza e di equità.

Norme comuni in tutto il mercato unico consentono, infatti, di promuovere l’innovazione, la crescita e la competitività delle aziende, nonché di facilitare l’espansione delle piattaforme più piccole, delle PMI e delle start-up, che disporranno così di un quadro normativo unico e chiaro a livello europeo.

Sempre più di frequente, infatti, le big tech agiscono come gateway (o punti di accesso) o gatekeeper (ossia controllori dell’accesso), detenendo le chiavi di accesso alla rete per gli operatori commerciali che intendono fornire i propri servizi online. Per mantenere questa posizione di dominio, però, le big tech impongono agli operatori commerciali che si approcciano al mercato digitale l’utilizzo delle proprie piattaforme per poter a loro volta offrire i propri servizi, costituendo così barriere difficili da superare. In poche parole, senza l’utilizzo di tali piattaforme, l’utente finale non può accedere e utilizzare determinati servizi di altri utenti commerciali, impendendo nel contempo agli utenti commerciali di operare liberamente nella rete.

Tali piattaforme, quindi, assumono il ruolo sempre più importante di intermediari per la maggior parte delle transazioni tra utenti commerciali e utenti finali, radicandosi come elementi essenziali dell’attuale economia digitale. Data la loro posizione, i gateway e i gatekeeper impattano largamente i mercati digitali nei quali sono radicati e ne controllano di fatto l’accesso, creando tra loro e gli utenti commerciali una forte dipendenza che sfocia talvolta in comportamenti sleali.

I servizi digitali “mediati” da questi gateway e gatekeeper, infatti, comprendono un’ampia gamma di attività che fanno ormai parte della nostra quotidianità digitale e includono, tra gli altri, i mercati virtuali, i servizi di social network, i motori di ricerca online, i sistemi operativi o i negozi di applicazioni software. Sebbene tali servizi amplino la scelta degli utenti finali, migliorando l’efficienza e la competitività del settore digitale, poche grandi piattaforme detengono posizioni di monopolio nel settore.

È proprio per questa ragione, l’obiettivo principale del nuovo DMA è quello di impedire l’abuso, da parte dei grandi gatekeeper, della loro posizione dominante a scapito delle imprese (economicamente dipendenti) che desiderano accedere ai consumatori online. Il DMA, infatti, mira a ridurre gli squilibri economici tra gli operatori commerciali e le big tech, nonché ad eliminare le pratiche commerciali sleali da parte di tali gatekeeper e gli effetti negativi che ne conseguono per gli operatori commerciali.

  • A chi si applica il Digital Markets Act?

Sebbene alcuni dei fenomeni che il DMA mira ad eliminare possano riscontrarsi in una certa misura anche in altri settori e mercati, l’ambito di applicazione del nuovo regolamento è limitato al settore digitale, seppur con effetti anche oltreoceano. Infatti, come già accaduto con il Regolamento generale sulla protezione dei dati (GDPR), il DMA si applica ai cosiddetti “servizi di piattaforma di base” (esclusi i servizi relativi alle reti di comunicazione elettronica) forniti o offerti da gatekeeper a utenti commerciali e utenti finali stabiliti o situati nell’Unione Europea, a prescindere dal luogo di stabilimento o di residenza dei gatekeeper e dalla normativa altrimenti applicabile alla fornitura del servizio.

  • Chi sono i gatekeeper?

I gatekeeper sono definiti come “i fornitori di servizi di piattaforma di base” (i cosiddetti “core platform services”) che, per essere soggetti al DMA, devono operare in almeno tre Stati membri dell’Unione Europea.

In particolare, tra i servizi di piattaforma di base figurano quelli di uso comune e quotidiano, quali:

  • i servizi di intermediazione online, quali, ad esempio, i marketplace, gli store di applicazioni software e i servizi di intermediazione online in settori come la mobilità, i trasporti o l’energia;
  • i motori di ricerca online;
  • i social network;
  • le piattaforme per la condivisione di contenuti digitali;
  • i servizi di comunicazione elettronica interpersonale indipendente dal numero;
  • i sistemi operativi;
  • i servizi di cloud computing;
  • i servizi di pubblicità, comprese le reti pubblicitarie, gli scambi di pubblicità e qualsiasi altro servizio di intermediazione pubblicitaria, qualora siano collegati a uno o più degli altri servizi di piattaforma di base sopra menzionati.

Nel mondo virtuale, quindi, i gatekeeper sono tradizionalmente riconosciuti come gli “intermediari” tra chi accede ad Internet (gli utenti finali) e chi offre contenuti e servizi nella rete (operatori commerciali). In generale, i gatekeeper sono i soggetti che esercitano il controllo dell’informazione che, nella rete, passa attraverso una porta di accesso (o gate).

Tale controllo può esercitarsi in vari modi: nel rendere disponibile o meno una notizia (ad esempio, su una testata giornalistica online), nella cancellazione di una informazione (tramite la rimozione di un post ritenuto sconveniente), nelle attività esercitate da soggetti che forniscono l’accesso fisico alla rete (ISP), ma soprattutto, vista la complessità attuale del cyberspazio, nel consentire all’utente di rintracciare un’informazione o un servizio che altrimenti non sarebbe raggiungibile. Proprio grazie a questa posizione di controllo, i gatekeeper – nonché le big tech che li gestiscono – acquisiscono un potere di mercato sempre più importante.

Tuttavia, il fatto che un servizio digitale si configuri come servizio di piattaforma di base non implica necessariamente che il suo fornitore sia un gatekeeper. In particolare, si classificano come gatekeeper i soli fornitori di piattaforme di base che:

  • hanno un impatto significativo sul mercato interno, qualora abbiano raggiunto un fatturato annuo nell’Unione Europea di almeno 7,5 miliardi di euro o la loro capitalizzazione di mercato sia pari ad almeno 75 miliardi di euro;
  • hanno il controllo di uno o più importanti punti di accesso degli utenti, nel caso in cui contino mensilmente almeno 45 milioni di utenti finali e 10.000 utenti commerciali stabiliti nell’Unione Europea; e
  • detengono una posizione consolidata e duratura, ossia hanno avuto un impatto significativo sul mercato interno e il controllo dei punti di accesso degli utenti per tre anni consecutivi. Tuttavia, al fine di evitare che start-up o newco sfuggano ai controlli del DMA, è prevista anche una categoria di “gatekeeper emergenti”, che consente alla Commissione Europea di imporre determinati obblighi alle imprese con una posizione concorrenziale assodata ma ancora non consolidata.

Infine, per garantire che le norme previste nel regolamento siano proporzionate, le PMI sono esonerate, salvo casi eccezionali, dalla qualifica di gatekeeper.

  • Chi sono i 6 gatekeeper designati dalla Commissione europea?

La Commissione Europea designa il fornitore come gatekeeper soggetto, pertanto, agli obblighi di cui al DMA ogniqualvolta che il fornitore di una piattaforma di base raggiunge le soglie sopra menzionate. La qualifica da parte della Commissione Europea può avvenire sia su notifica volontaria del fornitore, sia in autonomia da parte della Commissione stessa. La mancata notifica da parte di un fornitore di servizi di piattaforma di base, infatti, non impedisce alla Commissione Europea di designare in qualsiasi momento tali fornitori come gatekeeper in base ad informazioni di cui la stessa Commissione Europea sia venuta a conoscenza.

Infatti, la qualifica di gatekeeper può essere attribuita dalla Commissione Europea sulla base di indicatori quantitativi appropriati che fungano da presunzioni inconfutabili, oppure alla luce di una valutazione qualitativa effettuata caso per caso e supportata da un’adeguata indagine di mercato. In particolare, nel valutare la natura di gatekeeper di un fornitore di servizi di piattaforma di base, la Commissione Europea tiene conto – tra gli altri fattori – delle dimensioni, compresi fatturato e capitalizzazione di mercato, delle attività e della posizione del fornitore, nonché del numero di utenti commerciali che dipendono dal servizio di piattaforma di base e il numero di utenti finali raggiunti dalla piattaforma stessa.

La Commissione europea ha designato il 6 settembre 2023 i primi sei gatekeeper che sono Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft con specifico riferimento a 22 servizi di piattaforma di base illustrati di seguito.

I sei gatekeeper hanno ora sei mesi di tempo per rendere i loro servizi di piattaforma di base designati conformi al DMA. La Commissione ha deciso di non designare Gmail, Outlook e Samsung Internet Browser come servizi di piattaforma di base e Samsung non è stata designata come gatekeeper in relazione a nessun servizio.

  • I DOs e i DON’Ts del nuovo regolamento

Il DMA stabilisce una serie di obblighi che i gatekeeper dovranno rispettare per garantire mercati digitali equi e aperti, consentendo così agli operatori commerciali di contendersi i mercati digitali a parità di armi.

In particolare, i gatekeeper dovranno:

  • permettere agli utenti commerciali di promuovere i propri prodotti e servizi anche al di fuori della piattaforma di base utilizzata;
  • consentire agli utenti finali di disinstallare applicazioni preinstallate o di cambiare impostazioni preimpostate sui sistemi operativi, assistenti virtuali o browser del dispositivo al fine di non indurre gli utenti finali ad utilizzare solo i prodotti e i servizi del gatekeeper stesso;
  • garantire agli utenti la possibilità di recedere dall’abbonamento ai servizi di piattaforma di base facilmente;
  • garantire l’interoperabilità della piattaforma di base con sistemi e servizi di terze parti e permettere agli utenti finali di installare tali sistemi e applicazioni di terze parti sui propri dispostivi; nonché
  • consentire agli utenti commerciali che pubblicizzano e offrono i propri prodotti e servizi tramite la piattaforma di accedere ai dati sull’utilizzo della piattaforma e dei servizi da parte degli utenti finali al fine di verificare l’andamento della pubblicità effettuata sulla piattaforma.

Viceversa, i gatekeeper non potranno più:

  • classificare sulla piattaforma i propri prodotti o servizi in modo più favorevole rispetto a quelli di altri operatori commerciali, auto-agevolandosi;
  • combinare i dati sull’utilizzo di un servizio da parte degli utenti finali al fine di riutilizzarli per fornire un servizio diverso;
  • stabilire condizioni inique per gli utenti commerciali che operano sulla piattaforma di base, impedendo a tali utenti di offrire gli stessi prodotti presenti sulla piattaforma di base altrove e a prezzi e condizioni diverse da quelle del gatekeeper;
  • pre-installare sul dispositivo dell’utente finale determinate applicazioni software o, comunque, imporre tali applicazioni software di default insieme al sistema operativo del dispositivo;
  • imporre agli sviluppatori di applicazioni di utilizzare determinati servizi (ad esempio, uno specifico sistema di pagamento o gestore di identità) per poter offrire i propri prodotti negli app store;
  • monitorare la navigazione degli utenti finali una volta che questi siano usciti dalla piattaforma di base al fine di proporre annunci pubblicitari targettizzati sulla base delle preferenze degli utenti finali, senza aver raccolto l’effettivo consenso degli utenti stessi.

Da quanto può desumersi dagli obblighi previsti nel DMA, il nuovo regolamento funge da corollario per le disposizioni precedenti in materia di trattamento e protezione dei dati personali. Infatti, il DMA impone nuovi obblighi di trasparenza per poter profilare gli utenti online, inserendo ulteriori limiti nelle attività di matching dei dati. Il legislatore europeo chiarisce, infatti, che spetta ai gatekeeper garantire che l’osservanza degli obblighi previsti dal DMA avvenga nel pieno rispetto di altre normative dell’Unione Europea, incluse quelle a protezione dei dati personali e sulla tutela dei consumatori.

  • Quali sono le sanzioni in caso di violazioni del DMA?

In caso di violazione delle disposizioni del DMA, i gatekeeper rischiano una sanzione fino al 10% del loro fatturato totale annuo a livello mondiale. In caso di recidiva, però, la sanzione può essere aumentata fino al 20% del fatturato globale annuo. Inoltre, ove la violazione avvenga almeno tre volte nell’arco di otto anni, la Commissione Europea può decidere di avviare un’indagine di mercato e, se necessario, imporre ai gatekeeper rimedi di natura comportamentale o strutturale.

L’unica autorità preposta all’applicazione del regolamento è la Commissione Europea, ma alle autorità nazionali garanti della concorrenza è affidato il potere di avviare indagini su possibili infrazioni e trasmettere i loro risultati alla Commissione Europea al fine di irrogare una sanzione al gatekeeper indagato.

Ad ogni modo, il legislatore europeo ha pensato anche ad eventuali rimedi per gli utenti che subiscano i comportamenti dannosi dei gatekeeper. Eventuali violazioni della normativa da parte dei gatekeeper, infatti, potranno comunque essere fatte valere dagli utenti nei tribunali nazionali qualora da tali condotte illecite ne fosse derivato un danno diretto agli utenti stessi (che potranno, pertanto, richiedere anche il risarcimento per il danno patito).

Sebbene il DMA sia ora in vigore, la sua applicazione richiede delle attività preventive di identificazione dei c.d. gatekeeper e ci si aspetta che darà vita ad una serie di controversie sulla qualifica e sui relativi obblighi. Su di un simile argomento, può essere interessante l’articolo “Le modifiche al Codice del Consumo e come impattano le aziende”.

La “collusione algoritmica”: possibili rischi per la concorrenza legati all’uso dell’Intelligenza Artificiale

Tra i profili di maggiore interesse nel rapporto tra Intelligenza Artificiale e diritto antitrust vi è quello concernente il rischio che gli algoritmi – e, in particolare, gli algoritmi di prezzo, sempre più utilizzati dalle imprese per determinare in tempo reale la migliore strategia di prezzo – possano agevolare fenomeni di collusione tra imprese concorrenti e dare luogo a nuove forme di coordinamento anticompetitivo.

  • Collusione esplicita e collusione tacita

Per “collusione” si intende qualsiasi forma di coordinamento tra imprese concorrenti con l’obiettivo di innalzare o mantenere i profitti oltre il livello cui giungerebbero in uno scenario competitivo, ossia in assenza del comportamento collusivo.

Si è soliti distinguere nella scienza economica tra “collusione esplicita” e “collusione tacita”. Il primo termine viene riferito a comportamenti collusivi che costituiscono il frutto di accordi o pratiche concordate tra imprese, ovverosia al coordinamento cosciente e volontario. Il secondo termine a forme di coordinamento basate sul parallelismo di comportamenti da parte di imprese concorrenti che, sebbene consapevole (conscious parallelism), sia il risultato non di intese bensì di scelte autonome.

In linea di principio, il diritto antitrust non proibisce il parallelismo di comportamenti tra imprese concorrenti (tacit collusion), bensì proibisce le intese anticompetitive (explicit collusion), vietate a livello UE dall’art. 101 TFUE e a livello nazionale dall’art. 2 della Legge n. 287/1990.

  • Il rischio di collusione generata o facilitata dall’uso di algoritmi

Il principale rischio dal punto di vista antitrust legato all’uso degli algoritmi è che questi sono in grado di facilitare fenomeni collusivi tra imprese concorrenti o rendere possibili nuove forme di coordinamento; in alcuni casi anche in assenza della preventiva programmazione dell’algoritmo per il raggiungimento del risultato collusivo.

Si parla dunque di “collusione algoritmica” e la letteratura economica e giuridica ha individuato quattro scenari: (i) monitoring algorithms, (ii) parallel algorithms, (iii) signalling algorithms e (iv) algoritmi self-learning.

  • Quattro possibili scenari di collusione algoritmica
  • Monitoring Algorithms

In questo scenario l’ipotesi è che ciascuna impresa partecipante a un’intesa sui prezzi possa verificare, mediante l’uso di un algoritmo debitamente programmato per monitorare i prezzi applicati sul mercato, che l’intesa abbia avuto effettiva attuazione da parte degli altri partecipanti (ossia verificare che le altre imprese partecipanti all’intesa applichino effettivamente il prezzo concordato) e scorgere eventuali deviazioni. In questo caso l’algoritmo fungerebbe da strumento facilitatore della stabilità di un’intesa anticompetitiva.

  • Parallel Algorithms

In economia si osserva che nei mercati altamente dinamici è difficile che un’intesa anticompetitiva possa avere successo dal momento che le continue e repentine modifiche delle condizioni di mercato richiedono altrettanto frequenti aggiustamenti del prezzo oggetto dell’intesa e dunque continue comunicazioni tra i partecipanti all’intesa per concordare nuovi prezzi. Tali comunicazioni aumentano il rischio che l’intesa anticompetitiva possa essere individuata (e, dunque, investigata) dalle autorità competenti. In questo scenario si ipotizza che le imprese possano ricorrere ad algoritmi di prezzo con l’obiettivo di determinare reazioni contemporanee e parallele alle variazioni delle condizioni di mercato, così replicando uno scenario di parallelismo consapevole di comportamenti. In questo contesto criticità concorrenziali possono sorgere nel caso in cui le imprese concordino di programmare gli algoritmi di prezzo non con l’obiettivo di competere tra loro ma per fissare in maniera coordinata i propri prezzi ad un livello sovracompetitivo.

  • Signalling Algorithms

È un fenomeno noto che imprese concorrenti possono raggiungere un’intesa volta al coordinamento dei propri comportamenti senza fare ricorso a comunicazioni esplicite, attraverso segnalazioni e annunci unilaterali riguardanti le condizioni commerciali che intendono applicare e allineando i propri comportamenti sulla base di tali annunci. Potrebbe però accadere che imprese non osservino i segnali trasmessi dai concorrenti oppure decidano volontariamente di non conformare il proprio comportamento agli annunci dei concorrenti.

In questo scenario si ipotizza che algoritmi debitamente programmati possano favorire un allineamento automatico del comportamento delle imprese agli annunci dei concorrenti. Ciascuna impresa potrebbe trasmettere in questo modo – attraverso appunto signalling algorithms – continui segnali riguardanti, ad esempio, il prezzo che intende applicare. Quando tutte le imprese interessate trasmettono il segnale che annuncia l’applicazione del medesimo prezzo, gli algoritmi di ciascuna impresa elaborano i segnali dei concorrenti e garantiscono che le imprese applichino il prezzo oggetto di quel messaggio. Ciò equivale sostanzialmente al raggiungimento di un accordo tra le imprese per l’applicazione di quel prezzo.

  • Self-learning Algorithms

Vi può infine essere il caso che attraverso l’uso di tecnologie di machine learning e deep learning, un algoritmo altamente sofisticato possa esso stesso assumere autonome decisioni commerciali, sviluppate sulla base dell’analisi e dell’elaborazione dei dati del mercato.

Si pensi all’ipotesi di algoritmi self-learning, programmati per massimizzare i profitti delle imprese, che apprendano in autonomia, senza alcun intervento umano, che, almeno in certi contesti di mercato, il modo più efficace per raggiungere questo obiettivo sia quello di coordinare le condotte commerciali con quelle dei concorrenti.

L’impiego di algoritmi self-learning di questo tipo potrebbe dunque condurre ad un risultato collusivo che si verifica senza che l’algoritmo sia stato programmato per realizzare un’intesa restrittiva della concorrenza o agevolare la sua attuazione.

  • Algoritmi self-learning e diritto antitrust

Con l’Indagine Conoscitiva condotta congiuntamente dall’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle comunicazioni e il Garante per la Protezione dei dati personali è stato osservato come la diffusione di algoritmi di prezzo procollusivi può facilitare la stabilità di cartelli e la creazione di contesti di mercato favorevoli ad equilibri collusivi.

L’Indagine Conoscitiva avverte in particolare come, in presenza di algoritmi sofisticati, caratterizzati da meccanismi di machine learning, la difficoltà di individuare l’ ingrediente decisivo per una violazione dell’art. 101 TFUE – ossia lo scambio di volontà tra concorrenti finalizzato a concordare e coordinare una determinata pratica commerciale – sia a dir poco, complicata, pur sottolineando come la repressione delle intese restrittive della concorrenza facilitate dallo sviluppo di algoritmi sofisticati è una delle priorità nell’attività dell’AGCM.

Se, infatti, i primi tre scenari di collusione algoritmica visti sopra possono essere più facilmente ricondotti entro il perimetro di applicazione del divieto delle intese restrittive della concorrenza, contribuendo a realizzare o comunque a facilitare un’intesa restrittiva della concorrenza, maggiori dubbi si pongono con riferimento al risultato collusivo realizzato attraverso gli algoritmi self-learning, non costituendo tale risultato il frutto di uno scambio di volontà.

Eppure, è proprio quest’ultima fattispecie quella che fa sorgere le preoccupazioni maggiori.

Un algoritmo self-learning che abbia come obiettivo quello, di per sé certamente lecito, di definire le strategie di prezzo migliori che consentano di massimizzare il profitto dell’impresa potrebbe apprendere che uno dei modi, se non il modo più efficace, per raggiungere l’obiettivo sia quello di allineare il proprio prezzo a quello dei concorrenti su valori sovracompetitivi.

L’utilizzo diffuso di algoritmi self-learning potrebbe così portare a risultati collusivi anche in mercati non particolarmente concentrati, in considerazione dell’elevata capacità dei sistemi di AI di elaborare velocemente le informazioni del mercato (come eventuali deviazioni del prezzo dei concorrenti dal prezzo sovracompetitivo) e dell’abilità degli algoritmi di determinare in tempo reale la strategia di prezzo migliore (ossia che massimizzi i profitti dell’impresa) sulla base di tali informazioni.

In assenza (per il momento) di norme esplicite che disciplinano espressamente l’utilizzo degli algoritmi e sanzionano la collusione algoritmica, la questione principale oggetto di discussione è: (i) se le norme generali del diritto della concorrenza siano o meno sufficienti per accertare e reprimere condotte di collusione algoritmica dannose per la concorrenza, ad esempio, interpretando estensivamente i concetti di “accordo” e “pratica concordata” o facendo ricorso alla fattispecie della posizione dominante collettiva e del suo abuso; (ii) se sia necessario o meno un intervento normativo e quale tipo di intervento (ad es. un intervento normativo che individui espressamente le fattispecie di collusione algoritmica suscettibili di costituire un illecito concorrenziale oppure un intervento che stabilisca determinati requisiti e condizioni d’uso degli algoritmi e gli opportuni i controlli atti a prevenire fenomeni collusivi).

Il lettore potrebbe trovare di interesse il seguente articolo: “Impatto dell’intelligenza artificiale su concorrenza nel Regno Unito”.

 

Data Protection & Cybersecurity

In arrivo il nuovo NIST Cybersecurity Framework 2.0: come cambierà il panorama cyber italiano

In materia di cybersecurity ed in assenza di disposizioni normative cogenti, rimango di centrale importanza gli standard internazionali. Circa una decina di anni fa, il NIST - National Institute of Standards & Technology – ha sviluppato un primo Cybersecurity Framework (CSF) che è in procinto di essere aggiornato.

  • Che cos’è il NIST Cybersecurity Framework?

Il Cybersecurity Framework consiste in standard, linee guida e best practice per assistere le società a migliorare la loro gestione dei rischi per la sicurezza informatica. Il CSF è concepito per essere sufficientemente generico da consentire l’adattamento alla realtà di ciascuna organizzazione, pur creando un punto di partenza di particolare importanza.

La prima versione del Cybersecurity Framework (versione 1.0) risale agli anni 2013/2014 diventando quasi subito uno dei modelli di sicurezza più largamente adottatati a livello mondiale. Tuttavia, dopo più di una decina di anni, necessita di un adattamento all’attuale panorama cyber, particolarmente mutato non solo rispetto alle tecnologie usate, ma anche rispetto alle disposizioni normative che – con il tempo – sono state adottate o sono in procinto di essere adottate.

In tale ottica, il NIST ha recentemente annunciato che sta lavorando alla bozza di CSF 2.0 aprendo, al contempo, ad una consultazione pubblica che si concluderà il prossimo 4 novembre. L’obiettivo è quello di pubblicare una versione definitiva del CSF 2.0 nei primi mesi del 2024.

  • Cosa cambia con la versione 2.0 del NIST CSF

La modifica principale del CSF consiste nel suo ambito di applicazione. Quest’ultimo è infatti stato aggiornato per riflettere un possibile utilizzo da parte di qualsiasi entità, in qualsiasi settore. L’obiettivo è quindi di evidenziare come la tutela delle infrastrutture critiche non sia un tema riservato a pochi enti in ambiti specifici ma, al contrario, come debba essere preso in considerazione in tutti i settori.

Proprio in questa ottica il nuovo CSF non fa più solo riferimento alla sua applicabilità agli USA ma, in linea con il suo effettivo utilizzo a livello mondiale, alla sua implementazione globale.

È poi interessante notare come il CSF sia posto espressamente in congiunzione con gli altri framework adottati, in particolare a quello relativo alla Intelligenza Artificiale – tema caldo degli ultimi mesi – nonché a quello in materia di privacy.

Tale aspetto deve essere letto congiuntamente alla volontà del CSF 2.0 di porre maggiore enfasi sull’adozione da parte delle organizzazioni di un sistema di governance in materia cyber. In tale ottica il CSF 2.0 introduce un nuovo pilastro di Governance, in aggiunta ai cinque pilastri originali (ovvero identificare, proteggere, rilevare, rispondere e recover). Tale nuovo pilastro fornisce indicazioni su come le organizzazioni possano prendere e attuare le proprie decisioni interne al fine di sostenere la loro strategia complessiva in materia cyber.

Tale approccio è certamente in linea con le evoluzioni normative del settore che pongono sempre maggiore attenzione non solo sull’adozione di strumenti tecnici idonei alla tutela dei sistemi informatici ma anche all’adozione di sistemi di vigilanza e compliance specifici a protezione del rischio aziendale, anche rispetto alla supply chain.

  • I prossimi passi

In attesa della versione definitiva del CSF 2.0 da parte del NIST, in attesa per i primi mesi del 2024, suggeriamo alle organizzazioni che hanno utilizzato tale standard nella creazione dei propri processi di cybersecurity valutino nuovamente le integrazioni da apportare, con una particolare attenzione all’adozione di veri e propri sistemi di compliance che siano peraltro in linea con le disposizioni normative in via di adozione (tra tutte DORA e NIS 2).

Su un simile argomento può essere di interesse il seguente articolo: “La Direttiva NIS2 pubblicata - novità in materia cybersecurity“.

Intelligenza artificiale generativa e media: in Francia arriva il blocco al web crawling di ChatGPT

È notizia recente che alcuni media francesi abbiano deciso di bloccare al tool di web crawling “GPTBot”, utilizzato da OpenAI per l’addestramento dei suoi Generative Pretrained Transformers (come ChatGPT), l’accesso ai propri siti web. Con la maggiore diffusione dei sistemi di intelligenza artificiale ed il loro utilizzo in ambiti sempre diversi, la raccolta indiscriminata di dati viene infatti ad assumere un peso ben diverso per i giornali. Alcuni decidono di fermarne l’avanzata e altri invece di salire sul treno, in uno scenario globale che continua a complicarsi e dividersi.

Nel caso in questione OpenAI aveva da tempo affermato di utilizzare il GPTBot per alimentare l’addestramento delle prossime versioni, in particolare di GPT-5. Questa versione potrà dunque basarsi su una conoscenza molto più ampia. Il crawler è un software che legge tutti i contenuti di una pagina web o un database in maniera automatizzata ed effettua anche una copia di tutti i documenti presenti, ordinandoli secondo un indice per facilitarne il successivo utilizzo.

Sin dalla pubblicazione del noto sistema ChatGPT, OpenAI aveva rivelato che la maggior parte dei dati utilizzati per l’addestramento del modello provenisse da Internet, dichiarando al contempo una copertura temporale dei contenuti che si estendeva fino a settembre 2021. Le problematiche legate a questa raccolta dei dati per i GPT riguardano in primis la qualità dei dati raccolti e analizzati. La scarsa qualità dei dati è un fenomeno che si è incrementato con la diffusione e il maggior utilizzo dei Big Data e rappresenta da tempo un ostacolo per il sano sviluppo dei sistemi di AI. Ad esempio, i dati raccolti dalle piattaforme social hanno evidentemente una qualità inferiore rispetto ai dati raccolti dagli articoli pubblicati dai giornali, che risultano molto più curati e possiedono un valore e una qualità maggiore.

La raccolta indiscriminata di dati su Internet risulta essere una sfida importante anche per le autorità di sorveglianza e regolazione. Le autorità per la protezione dei dati hanno recentemente sollevato preoccupazioni sulla privacy riguardo al "rastrellamento" dei dati su social media e altri siti web pubblici. Le informazioni pubblicamente accessibili su Internet rimangono in ogni caso soggette alle leggi sulla protezione dei dati. Questo tipo di pratica espone gli utenti a rischi come attacchi informatici, furto d'identità, sorveglianza non autorizzata e marketing indesiderato. È importante per le piattaforme web adottare misure per proteggere le informazioni personali da queste raccolte di dati non autorizzate e garantire la sicurezza delle stesse.

Di fronte a questa raccolta indiscriminata di dati, i giornali come Radio France e TF1 hanno interrotto la disponibilità del proprio sito al web-crawler di ChatGPT e successivamente hanno proposto un accordo a OpenAI che garantisse loro un compenso. Anche altri media nel mondo come, ad esempio, il New York Times e la CNN hanno disabilitato GPTBot volendo proteggere ed evitare la violazione del copyright sui contenuti, ma soprattutto volendo escludere la possibilità che altre aziende, utilizzando i prodotti di OpenAI, potessero beneficiare del lavoro intellettuale svolto dai giornali.

Al contrario, si è invece posta la partnership che l’American Journalism Project, un importante ente filantropico statunitense che ha l’obiettivo di ricostruire e sostenere l’informazione locale. Tale ente ha stipulato un accordo con OpenAI per sperimentare i modi in cui l’AI può sostenere il settore dell’informazione. Lo scopo di tale partnership sarebbe migliorare le realtà giornalistiche locali, in quanto, con l’utilizzo dell’AI i giornali potrebbero espandere le loro capacità.

In conclusione, le sfide legate alla qualità dei dati e alla tutela del lavoro giornalistico sottolineano l'importanza di raggiungere accordi equi tra aziende e giornali per compensare adeguatamente le fonti originali per l'utilizzo dei loro contenuti nell'addestramento dei sistemi di AI. Al contempo i sistemi di AI possono rappresentare una risorsa molto importante per le realtà giornalistiche più piccole. Questo equilibrio tra accesso ai dati e tutela dei diritti rappresenta una sfida cruciale per lo sviluppo etico e sostenibile dell'intelligenza artificiale, in un contesto in rapida evoluzione.

Questo articolo parla di alcune prese di posizione di giornali e organizzazioni del settore nei confronti della raccolta indiscriminata di dati per l’addestramento dei sistemi di AI. Su un argomento simile è stato scritto un precedente articolo: “Il web scraping sotto la lente dei Garanti: esplorando il fenomeno tra opportunità e rischi per la privacy”.

 

Intellectual Property

Agcom: nuova delibera sulla concessione delle licenze agli utilizzatori nell’ambito della gestione collettiva dei diritti connessi al diritto d’autore

In una recente delibera, l’Autorità per le garanzie nelle comunicazioni (“Agcom”) si è pronunciata sulla disciplina in materia di gestione collettiva dei diritti connessi al diritto d’autore e concessione delle licenze di cui al d. lgs. n. 35/2017, disponendo l’archiviazione del procedimento sanzionatorio avviato nei confronti di una nota piattaforma SVOD (Subscription Video On Demand), a seguito di alcune segnalazioni da parte di un organismo di gestione collettiva (“collecting”).

La collecting, nel caso in oggetto, aveva segnalato all’Autorità la mancata trasmissione, da parte di una nota piattaforma SVOD, delle informazioni a sua disposizione necessarie per la riscossione dei proventi dei diritti e per la distribuzione degli importi dovuti ai titolari dei diritti e riguardanti l’utilizzo delle opere protette, per il cd. “compenso adeguato e proporzionato” di cui all’art. 84 co. 2 della l. 633/1941, nel termine di novanta giorni dall’utilizzazione delle stesse, come disposto all’art. 23 del d. lgs. 35/2017.

La normativa di riferimento, infatti, a seguito del recepimento della Direttiva Copyright con il d. lgs. n. 177/2021, prevede, all’art. 84 co. 2 della legge sul diritto d’autore, che agli artisti interpreti ed esecutori (“AIE”), che nell’opera cinematografica e assimilata (inclusa l’opera teatrale trasmessa) sostengono una parte di notevole importanza artistica, spetti, per ciascuna utilizzazione dell’opera cinematografica e assimilata a mezzo della comunicazione al pubblico via etere, via cavo e via satellite, un compenso adeguato e proporzionato a carico degli organismi di emissione.

Per fare in modo che il presente diritto al compenso dei titolari dei diritti venga garantito e che, dunque, gli organismi di gestione collettiva possano riscuotere i proventi dei diritti e distribuire gli importi dovuti ai titolari dei diritti in merito all’utilizzo che viene fatto delle opere, è necessario: da un lato, che gli utilizzatori possano ottenere delle licenze sulle opere per cui una collecting rappresenta i diritti, e che tale negoziazione avvenga a condizioni commerciali eque e non discriminatorie, sulla base di criteri semplici, chiari, oggettivi e ragionevoli (art. 22 d. lgs. n. 35/2017); e, dall’altro, che, salvo diversi accordi tra le parti, entro novanta giorni dall’utilizzazione, gli utilizzatori facciano pervenire alle collecting, in un formato concordato e prestabilito, le informazioni a loro disposizione che riguardino l’utilizzo delle opere (art. 23 d. lgs. n. 35/2017).

La controversia, sorta a seguito dell’asserita violazione da parte della piattaforma SVOD dell’art. 23 del d. lgs. n. 35/2017, verteva, pertanto, sull’oggetto delle informazioni obbligatorie da condividere tra le parti ai fini delle trattative sulle licenze e sull’ordine e sulle modalità con cui dovesse avvenire lo scambio delle informazioni stesse.

Con la propria delibera, l’Agcom non solo ha deciso di disporre l’archiviazione del procedimento avviato contro la piattaforma SVOD, ma ha anche deciso di precisare quale ordine e quali modalità dovessero essere seguite per adempiere agli obblighi informativi previsti dalla disciplina, al fine di pervenire ad una rapida conclusione dell’accordo sulla concessione delle licenze e di garantire la tutela del diritto al compenso di cui all’art. 84 co. 2 della legge sul diritto d’autore. Oltretutto, all’esito dell’istruttoria, veniva riscontrato che per l’utilizzatore fosse stato in realtà inesigibile assolvere all’obbligo di cui all’art. 23 d. n. 35/2017 che gli era stato contestato, dal momento che, invece, risultavano addebitabili delle rilevanti inadempienze informative alla collecting, in particolar modo per quanto riguardava i profili relativi alle tariffe applicate ed alla quota di mercato (o rappresentatività) dalla stessa posseduta. Affinché fosse possibile calcolare la rappresentatività dell’organismo di gestione collettiva, infatti, l’Autorità sottolineava che la collecting avrebbe dovuto individuare, per ciascuna opera, non solo i propri artisti mandanti ed aventi un ruolo di notevole importanza artistica, ma anche la loro incidenza percentuale sul totale degli aventi diritto dell’opera.

In conclusione, l’Agcom ha invitato le parti a riprendere in buona fede le trattative, disponendo il seguente ordine e la seguente modalità nello scambio delle informazioni necessarie: (i) l’organismo di gestione collettiva condivide con la piattaforma la propria tariffa, che sia in grado di assicurare una adeguata remunerazione ai titolari dei diritti e di rispondere a criteri di ragionevolezza e proporzionalità; (ii) la piattaforma comunica alla collecting le informazioni relative al catalogo per le annualità interessate nella trattativa; (iii) l’organismo di gestione collettiva fornisce i dati sulla propria rappresentatività, secondo le indicazioni di cui sopra; (iv) la piattaforma comunica, per le annualità rilevanti, i dati sulle visualizzazioni di ciascuna delle opere rivendicate ed i dati relativi al proprio fatturato in Italia.

Su un simile argomento, può essere interessante il seguente articolo: “L’impatto della Direttiva Copyright sul settore audiovisivo: cosa cambia per autori e artisti”.

Perché i Paesi importano beni contraffatti? L’analisi di EUIPO e OCSE sulle abitudini dei consumatori

È stato pubblicato il rapporto Why do countries import fake? redatto congiuntamente da EUIPO e OCSE, che pone in evidenza le cause e i problemi principali generati dal mercato primario e secondario di distribuzione e commercializzazione di beni contraffatti.

L’analisi si si focalizza a livello microeconomico sull’importazione di small parcel ossia di ordini composti da un numero massimo di dieci pezzi ciascuno effettuati da singoli consumatori. I dati provengono dalle organizzazioni doganali nazionali europee e statunitensi, le quali hanno raccolto un dataset di 900.000 osservazioni, tra 2013 e 2019.

Le cause individuate dal Rapporto come statisticamente correlate al fenomeno di importazione di beni contraffatti possono essere categorizzate in ragioni macroeconomiche, legate ad elementi ambientali e culturali, e microeconomiche, ossia riguardanti la propensione al consumo individuale. È evidente che i due ambiti non possono essere separati nettamente, in ragione delle interazioni e delle influenze costanti e reciproche.

Le cause macroeconomiche comprendono: (i) il valore totale delle importazioni di un Paese, con cui sussiste una correlazione direttamente proporzionale con il valore di merce contraffatta importata; (ii) il PIL pro capite, il cui maggior valore determina un maggiore rispetto delle norme in materia di proprietà intellettuale (maggiore sarà, maggiore sarà il rispetto delle norme IP); (iii) l’efficienza dei trasporti che, favorendo il commercio lecito, favorisce egualmente quello illecito, soprattutto nei Paesi in cui vi è una bassa consapevolezza in ambito di protezione della proprietà intellettuale; (iv) l’accesso a internet e la percentuale di soggetti che hanno completato un ciclo di studi universitario, elementi al crescere dei quali, cresce anche l’import di beni contraffatti. Si può osservare che nessuno di questi fattori presi singolarmente determina di per sé un incremento dell’importazione dei beni contraffatti, ma la combinazione degli stessi crea le condizioni ideali per favorire la creazione del mercato secondario.

Per quanto riguarda le cause microeconomiche, ossia quelle connesse alle abitudini di consumo individuale, è opportuno specificare preliminarmente la differenza tra acquisto intenzionale e non intenzionale di beni contraffatti: il consumatore può infatti essere consapevole di stare acquistando beni contraffatti, ma potrebbe anche verificarsi la fattispecie per cui un bene non originale venga acquistato erroneamente perché ritenuto autentico. Nel periodo oggetto di osservazione del Rapporto, a livello globale, solo il 54% della totalità dei traffici /di beni contraffatti ha interessato soggetti consapevoli della falsità dei beni, il restante 46% ha coinvolto consumatori inconsapevoli della natura contraffatta dei prodotti acquistati. È questo 46% che deve essere quantificato come perdita rilevante di fatturato e di utili per le aziende che producono i corrispettivi beni originali.

A livello numerico, le statistiche differiscono a seconda che si usi come parametro la quantità di merce sequestrata o il valore della merce contraffatta importata: è bene chiarire preliminarmente che in merito al primo criterio sono disponibili solo i dati europei e degli Stati Uniti. In entrambe le classifiche, gli USA si collocano al primo posto, con molti punti di distacco rispetto alle successive. Valutando la situazione europea, un’analoga egemonia è tenuta dalla Germania, primo importatore e prima nel numero di sequestri effettuati. L’Italia si colloca al terzo posto, dopo il Belgio, per il numero di sequestri su small parcel effettuati e, nella classifica sulla merce importata, a livello globale si colloca al dodicesimo posto rispetto ai Paesi di cui sono disponibili i dati, mentre, a livello europeo, in termini assoluti, si attesta al quarto posto dopo Germania, UK e Francia. Ulteriori osservazioni possono essere effettuate basandosi sul parametro merceologico: nel 2019, le categorie di beni contraffatti maggiormente importati sono stati gioielli e prodotti elettronici, seguiti da abbigliamento e footwear. Sicuramente, i dati più preoccupanti sulle importazioni sono quelli sui giochi, sui prodotti cosmetici e farmaceutici: questi, collocati rispettivamente alla nona, diciassettesima e diciottesima posizione rappresentano un forte pericolo per la salute e sicurezza degli utilizzatori, non essendo garantito il rispetto delle certificazioni necessarie per la loro produzione.

Un dato interessante è la propensione all’acquisto di merce contraffatta in relazione all’età dei consumatori. Si rileva che i soggetti che abbiano più di 65 anni siano meno invogliati ad acquistare beni contraffatti, ciò in ragione di alcuni elementi fondamentali che permettono una generalizzazione dell’analisi rispetto a tutti i soggetti osservati. Innanzitutto, è particolarmente rilevante: la condizione personale del consumatore, elemento che comprende sia le riserve morali ad acquistare beni contraffatti e le preoccupazioni sulla sicurezza e la insalubrità del bene contraffatto, sia la condizione economica e l’abitudine al consumo, influenzata dal salario del singolo soggetto. Ha anche rilievo il valore che il soggetto riconosce allo status che tali beni portano intrinsecamente con sé. Un altro fattore che influenza l’acquisto di beni contraffatti è il valore che il mercato riconosce al bene in base alle caratteristiche del prodotto e la relativa discrepanza o meno rispetto al prezzo a cui il bene è venduto. Di eguale importanza è ovviamente il contesto normativo: come è evidente, Paesi che compiono investimenti non solo per produrre atti normativi che scoraggiano e puniscono l’acquisto, ma anche per la concreta esecutività e per la sensibilizzazione sul tema, registrano un import inferiore di beni contraffatti.

A fronte delle cause e dei dati statistici osservati, risulta opportuno intensificare i controlli e i sequestri sulla merce contraffatta importata e, al contempo, educare i consumatori sia ad acquisti consapevoli che non violino i diritti di proprietà intellettuale, sia a riconoscere in anticipo possibili truffe. I danni che la circolazione di merce contraffatta è in grado di determinare infatti, minano profondamente la governance pubblica e arricchiscono, al contempo, la criminalità organizzata. Per tali ragioni, come ben dimostrano le statistiche del consumo al dettaglio appena viste, l’impegno del singolo nella propria quotidianità risulta cruciale per il miglioramento.

Su un simile argomento può essere interessante l’articolo “Analisi EUIPO dell’indagine del 2023 sulla contraffazione della proprietà intellettuale”.


La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia CerratoMaria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.