Aggiungi un segnalibro per cominciare

Abstract_Lights_P_0152
19 gennaio 202372 minuti di lettura

Innovation Law Insight

Podcast

Nuova tassazione delle cryptocurrency: cosa cambia e cosa bisogna fare

In questo episodio di Diritto al Digitale, Giovanni Iaselli, partner del dipartimento tax dello studio legale DLA Piper, discute con Giulio Coraggio e Andrea Pantaleo delle implicazioni del regime di tassazione delle cryptocurrency introdotto dalla Legge di Bilancio 2023 e i relativi obblighi per gli individui e per le piattaforme di exchange. L’episodio del podcast è disponibile qui.

La sanzione di 390 milioni di euro contro Meta potrebbe cambiare Internet

Il Garante privacy irlandese ha emesso una sanzione di 390 milioni di euro contro Meta contestandogli lo svolgimento della pubblicità personalizzata sulla base giuridica dell’esecuzione del contratto. Meta ha tre mesi per condizionare la profilazione al consenso, ma questo cambiamento potrebbe impattare tutto il mondo di Internet. Ne parla Giulio Coraggio nell’episodio del podcast Dirottare il Futuro di Panorama.it disponibile qui.

Data Protection & Cybersecurity

La comunicazione dei destinatari dei dati nelle richieste privacy di diritto di accesso è obbligatoria secondo la CGUE

La Corte di giustizia europea (CGUE) ha emesso una sentenza altamente dibattuta, che impone ai titolari del trattamento di informare gli interessati dei nomi dei destinatari quando esercitano il loro diritto di accesso ai sensi del GDPR, a meno che non si applichino specifiche eccezioni.

  • Il caso del diritto di accesso ai sensi del GDPR

Il caso riguardava una richiesta di diritto di accesso ai sensi del GDPR esercitata da un individuo nei confronti di Österreichische Post, il principale operatore di servizi postali e logistici in Austria, per informarlo dell’identità dei destinatari a cui aveva comunicato i suoi dati personali.

Su questo aspetto, l’articolo 15 del GDPR disciplina il diritto di accesso e prevede che gli interessati abbiano il diritto di ottenere dal titolare del trattamento le informazioni “dei destinatari o delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare i destinatari di paesi terzi o di organizzazioni internazionali.

La Österreichische Post si è limitata a dichiarare nella risposta che utilizza i dati personali nei limiti consentiti dalla legge, nell’ambito della sua attività di editore di elenchi telefonici e che fornisce tali dati ai suoi partner commerciali per scopi di marketing, facendo affidamento sulla possibilità di fare riferimento alla categoria di destinatari dei dati personali.  L’interessato non era soddisfatto, e l’Oberster Gerichtshof (la Corte Suprema austriaca) ha rinviato il caso alla CGUE per chiedere di chiarire se il GDPR lasci al titolare del trattamento la libertà di scegliere se divulgare l’identità concreta dei destinatari o solo le categorie di destinatari, o se conferisca all’interessato il diritto di conoscere la sua identità concreta.

  • L’obbligo di comunicare i destinatari dei dati in caso di richiesta di diritto di accesso ai sensi del GDPR secondo la CGUE

La posizione della CGUE è stata piuttosto chiara, in quanto ha affermato che “l’obiettivo del GDPR [è] che l’interessato abbia il diritto di ottenere dal titolare del trattamento informazioni sui destinatari specifici a cui sono stati o saranno comunicati i dati personali che lo riguardano.”

La Corte di giustizia europea ha indicato delle eccezioni a tali obblighi, ma la loro portata è limitata.  Infatti, secondo la CJEU, “il diritto di accesso può essere limitato alle informazioni sulle categorie di destinatari se è impossibile comunicare l’identità dei destinatari precisi, in particolare quando questi non sono ancora noti“.

Questa posizione è in linea con quella adottata dall’EDPB nelle sue linee guida sul diritto di accesso, in cui si afferma che “il titolare del trattamento dovrebbe [—] nominare i destinatari effettivi, a meno che non sia possibile indicare solo la categoria di destinatari“, ma le linee guida dell’EDPB non sono vincolanti, mentre la decisione della CGUE costituisce un precedente rilevante.

  • I potenziali effetti distorsivi della decisione sui diritti della privacy

Il diritto di accesso è un diritto essenziale ai sensi del GDPR, e non c’è dubbio che le persone abbiano il diritto di ricevere informazioni sulle attività di trattamento dei dati svolte dai responsabili del trattamento. A volte le informative sulla privacy sono molto generiche e poco trasparenti, impedendo alle persone di comprendere le attività di trattamento dei dati svolte.

Tuttavia, c’è uno scenario in rapida crescita di persone che sfruttano il loro diritto di accesso solo per danneggiare un fornitore che non gradiscono o il loro datore di lavoro con cui non sono in buoni rapporti.  Questi individui percepiscono quanto sia onerosa la gestione di una richiesta di diritto di accesso per una grande organizzazione e, anche se non hanno alcun interesse a ricevere le informazioni richieste, esercitano il diritto di accesso per danneggiarla e chiedere un risarcimento.

Sia il GDPR che la sentenza citata forniscono garanzie ai responsabili del trattamento, consentendo al responsabile del trattamento di “rifiutarsi di soddisfare le richieste dell’interessato quando sono manifestamente infondate o eccessive, fermo restando che spetta al responsabile del trattamento stesso dimostrare il carattere manifestamente infondato o eccessivo di tali richieste“.  Ma questa eccezione è interpretata in modo piuttosto restrittivo dai garanti privacy, anche quando le persone presentano ampie richieste di diritto di accesso in cui chiedono sostanzialmente qualsiasi informazione sul trattamento dei loro dati, senza fornire alcun tipo di indicazione su quali informazioni stanno cercando.

A mio avviso, questa situazione non contribuisce alla protezione della privacy delle persone.  Al contrario, crea una disaffezione nei confronti della conformità alla privacy all’interno delle organizzazioni, poiché viene vista come un mero obbligo di conformità che non risponde a un diritto individuale rilevante.  Si spera che i garanti privacy abbiano una visione più equilibrata della portata di questo diritto.

  • Azioni raccomandate da intraprendere a seguito della sentenza della CGUE sul diritto di accesso

Ai sensi del GDPR, i titolari del trattamento devono fornire le informazioni richieste in caso di esercizio del diritto di accesso entro un mese dal ricevimento della richiesta.  Questo termine può essere esteso di altri due mesi, se necessario, tenendo conto della complessità e del numero delle richieste, ma questa estensione non cambia molto.  La sentenza della CGUE aggiunge un ulteriore livello di complessità, poiché spesso le organizzazioni non elencano nel registro dei trattamenti dei dati o in qualsiasi altro database i nomi dei destinatari di ciascuna categoria di dati personali, mentre dovranno tracciare questa informazione.

Da DLA Piper abbiamo sviluppato un sistema di intelligenza artificiale in grado di esaminare la documentazione oggetto della richiesta di diritto di accesso, risparmiando un’enorme quantità di tempo nell’identificazione delle informazioni da fornire.  Tuttavia, anche con questa tecnologia, se un’azienda non è a conoscenza degli effettivi destinatari dei dati, non sarà in grado di rispondere correttamente.

La sentenza della CGUE impone alle aziende di eseguire una mappatura dei destinatari di ciascuna categoria di dati.  Inoltre, questa sentenza potrebbe confermare il punto di vista dei garanti privacy secondo cui tutte le informazioni da fornire in caso di esercizio del diritto di accesso agli individui devono avere lo stesso livello di dettaglio.  Non sono del tutto d’accordo con questo approccio, ma le organizzazioni devono farsene una ragione e preparare a gestire queste richieste.

Su di un simile argomento, il seguente articolo può essere di interesse “La Corte di giustizia riconosce il diritto per le associazioni dei consumatori di agire per violazioni privacy“.

Intellectual Property

EUIPO: Violazione di una DOP tramite un marchio evocativo

Con una recente decisione, nell’ambito del ricorso R2242/2020-1, la Prima Commissione di ricorso dell’Unione Europea si è pronunciata sulla sussistenza della violazione di una DOP del settore vinicolo derivante dall’uso di un marchio dell’Unione Europea.

  • Il caso relativo alla violazione di una DOP tramite l’uso di un marchio

In data 27 gennaio 2016, il Richiedente ha presentato la domanda di registrazione di marchio figurativo per “MORELLONE LE CANIETTE”, presso l’Ufficio dell’Unione Europea per la Proprietà Intellettuale (EUIPO), in relazione a “vini” nella classe 33 e a “Degustazione vini (fornitura di bevande)” nella classe 43 (“la domanda”), ai sensi della normativa vigente sul marchio dell'Unione Europea.

In data 5 maggio 2016, l’Opponente e titolare della DOP “Morellino di Scansano”, registrata per vini, ha promosso opposizione innanzi all’EUIPO nei confronti della domanda nella sua interezza, sostenendo che l’elemento MORELLONE del marchio contestato fosse evocativo delle DOP su cui si fondava l’opposizione.

Recepite le osservazioni e la documentazione a sostegno di entrambe le parti, la Divisione di Opposizione ha respinto l’opposizione, ritenendo le argomentazioni dell’Opponente infondate e la domanda non evocativa della DOP citata.

Non soddisfatto della decisione emessa, l’Opponente ha presentato appello alla Prima Commissione di ricorso che, a seguito di un attento esame dei documenti disponibili agli atti, ha confutato quanto statuito dalla Divisione di Opposizione. La decisione è stata, pertanto, annullata in toto e la pratica riemessa alla Divisione di Opposizione per la prosecuzione del caso.

Essendo, tuttavia, in disaccordo con quanto stabilito dalla Prima Commissione di ricorso, la Divisione di Opposizione ha nuovamente ritenuto infondata l’opposizione, confermando l’insussistenza della lamentata evocazione della DOP citata.

In data 26 novembre 2020, l’Opponente ha presentato un ulteriore ricorso impugnando nuovamente la decisione della Divisione di Opposizione.

  • Decisione definitiva della Prima Commissione di ricorso sulla violazione della DOP tramite un marchio evocativo

Con decisione del 26 novembre 2022, la Prima Commissione di ricorso ha definitivamente annullato la decisione della Divisione di Opposizione.

Nello specifico, la Prima Commissione di ricorso ha, tra le altre cose, evidenziato quanto segue:

  • la somiglianza fonetica e visiva tra il segno opposto e una DOP, pur non essendo un presupposto essenziale, costituisce il primo criterio da prendere in esame nella configurazione del concetto di evocazione. Nel caso di specie, gli elementi distintivi dei segni in esame presentano una somiglianza visiva e fonetica non trascurabile. Inoltre, i prodotti e servizi rispettivamente rivendicati sono identici;
  • per accertare l’evocazione di una DOP è irrilevante la sussistenza di un rischio di confusione per il pubblico, essendo sufficiente che quest’ultimo stabilisca un collegamento con il prodotto tutelato dalla DOP. L’evocazione di una DOP si configura quindi se il marchio opposto evoca la parte significativa della stessa così da richiamare nella mente del consumatore un collegamento con il prodotto tutelato dalla DOP;
  • il fatto che il termine “Morellino” si riferisca ad una tipologia di vitigno, non corrispondendo al nome completo di una G.I., non esclude che esso possa avere un ruolo significativo all’interno della DOP “Morellino di Scansano”. Le prove dimostrano, infatti, che il termine “Morellino” viene esclusivamente associato ai vini DOP “Morellino di Scansano” e non ad altri vini. Affermare, pertanto, che “Morellino” non sia un elemento distintivo è in chiaro contrasto con la realtà del mercato e, quindi, con la percezione del consumatore dell’Unione europea, abituato all’utilizzo del termine “Morellino” per identificare il vino “Morellino di Scansano” DOP;
  • anche in altre occasioni la Commissione di ricorso ha ritenuto parte significativa il termine associato all’indicazione geografica come, ad esempio, “Recioto” e “Amarone”. Diversamente da quanto sostenuto dalla Divisione di Opposizione, quindi, la disciplina delle DOP del settore vitivinicolo non è così distante dalla disciplina delle DOP del settore agroalimentare. Pertanto, in presenza di peculiari circostanze un’applicazione analogica della giurisprudenza è consentita; infine
  • il fatto che il termine “Morellino” si riferisca anche a una colorazione di vino rosso non esclude la protezione della DOP in questione. Inoltre, considerato che la protezione della DOP si estende all’intero territorio dell’Unione europea, non tutto il pubblico sarà in grado di percepire il significato del termine “Morellino” che scatenerà nella mente del consumatore il solo collegamento al vino “Morellino di Scansano”.

Alla luce di quanto sopra esposto e considerato che l’impiego del marchio contestato per “vini” e, anche, “servizi di degustazione vini (fornitura di bevande)” non è conforme ai requisiti del disciplinare di produzione, la Prima Commissione di ricorso ha ritenuto il marchio contestato evocativo della DOP “Morellino di Scansano” e, di conseguenza, annullato la decisione impugnata e respinto la domanda per tutti prodotti e servizi designati.

È interessante, infine, notare i differenti punti di vista dei due uffici giudicanti. La Prima Commissione di ricorso, infatti, a differenza della Divisione di Opposizione, ha voluto sottolineare, ancora una volta, il valore dei prodotti di eccellenza e delle I.G. italiane in generale che vantano a livello mondiale un primato sia nel settore vinicolo che nel settore agroalimentare, definendo più precisamente i confini della tutela della DOP “Morellino di Scansano” contro l’evocazione.

Su un simile argomento può essere interessante l’articolo “L’EUIPO sulla legittimazione attiva in tema di DOP”.

La Cassazione sul caso Zorro: bilanciamento tra parodia e diritti di proprietà intellettuale

Con una decisione che traccia i confini tra diritti IP e libertà di espressione, la Corte di Cassazione si è pronunciata sull’utilizzo nell’ambito di una parodia del personaggio di fantasia Zorro.

  • Il caso relativo all’uso dei diritti di proprietà intellettuale nella parodia

La controversia che ha portato alla recente decisione della Corte di Cassazione nasce in realtà nel 2007, quando la società statunitense Zorro Productions Inc. evocava in giudizio CO.GE.DI. International – Compagnia Generale Distribuzione S.p.A. deducendo di essere titolare del diritto di sfruttamento economico del personaggio di Zorro nonché dei marchi denominativi e figurativi incentrati su tale figura letteraria, creata nel 1919 dallo scrittore Johnston McCulley. Zorro Productions lamentava che la convenuta avesse commissionato una campagna televisiva e radiofonica in cui il personaggio in questione pubblicizzava l’acqua minerale Brio Blu, così violando i diritti di proprietà intellettuale dell’attrice.

Il giudizio di primo grado si concluse con la vittoria di Zorro Productions, ma la Corte di appello di Roma riformò la pronuncia respingendo tutte le domande attrici in base al rilievo della caduta in pubblico dominio del personaggio di Zorro.

Nel gennaio 2017 si pronunciò una prima volta la Corte di Cassazione, la quale annullò la pronuncia impugnata escludendo la caduta in pubblico dominio dei diritti di sfruttamento vantati da Zorro Productions. La Corte, infatti, rilevò che in forza della Convenzione di Ginevra del 1952 le opere di cittadini statunitensi pubblicate in Italia godono della medesima protezione prevista dall’art. 25 dalla nostra l. n. 633 del 1941, e cioè fino al settantesimo anno solare dalla morte dell’autore.

La Corte d’Appello di Roma, pronunciandosi nuovamente sulla questione, concludeva:

  • quanto al diritto d’autore, che l’imitazione del personaggio di fantasia Zorro da parte della convenuta, seppur fatta in chiave parodistica, integrava una violazione dei diritti d’autore di Zorro Productions, in quanto:
    1. nel nostro ordinamento non ha trovato attuazione la previsione di cui all’art. 5, comma 3 della Direttiva Infosoc (che ha riservato agli Stati membri la facoltà di prevedere, quale eccezione al diritto di riproduzione e di comunicazione al pubblico, l’utilizzo a scopo di caricatura o parodia);
    2. nella fattispecie non si era in presenza dell’elaborazione di un’opera originale che presentasse un riconoscibile apporto creativo;
  • quanto alla contraffazione dei marchi, che essa andava esclusa, in quanto il riferimento al personaggio di fantasia Zorro risultava operato in un contesto narrativo, senza che venisse in rilievo alcun intento distintivo, posto che:
    1. l’utilizzo del personaggio non era collegato al prodotto in quanto Zorro non risultava bere l’acqua commercializzata da CO.GE.DI.;
    2. l’immagine del marchio non risultava apposta sulle confezioni del prodotto per contrassegnarlo.

A questo punto, CO.GE.DI. ricorreva nuovamente per Cassazione.

  • La decisione sul confine tra parodia e violazione dei diritti di proprietà intellettuale
  1. Parodia e diritto d’autore

Nel pronunciarsi sulla questione, la Corte di Cassazione ricostruito la normativa applicabile alle parodie ed i principi ad essa sottesi. Premessa la pacifica tutelabilità del personaggio di fantasia, la Corte ha svolto il ragionamento riassunto di seguito:

  • la parodia implica un ineliminabile carattere di parassitismo rispetto all'opera parodiata, nel senso che essa trova fondamento proprio nella preesistenza di un'opera di riferimento cui operare rimandi in chiave deformante. Pertanto, essa non può essere ricondotta nella categoria delle elaborazioni creative di cui all’art. 4 l. n. 633/1941, in quanto non si pone in una relazione di «continuità» con l’originale (come accade, ad esempio, nel caso della traduzione linguistica), ma integra un vero e proprio «rovesciamento concettuale» della creazione cui intende riferirsi.
  • è vero il legislatore italiano non ha recepito in una disposizione specifica l’ipotesi di cui all’art. 5, comma 3 lett. k della Direttiva Infosoc, ma l’assenza di tale intervento normativo deve ascriversi al fatto che l’art. 70 già ricomprende l’eccezione di parodia, intesa come espressione del dritto di critica e discussione dell’opera protetta; e
  • la parodia deve rispettare un giusto equilibrio tra i diritti del soggetto che abbia titolo allo sfruttamento dell’opera, o del personaggio, e la libertà di espressione dell’autore della parodia stessa: ne consegue che la ripresa dei contenuti protetti può giustificarsi nei limiti connaturati al fine parodistico e sempre che la parodia non rechi pregiudizio agli interessi del titolare dell’opera o del personaggio originali, come accade quando entri in concorrenza con l’utilizzazione economica dei medesimi

Ciò premesso, la Corte conclude che sentenza impugnata non appare condivisibile nello svolgimento argomentativo e nelle conclusioni cui perviene, in quanto il giudice del rinvio risulta aver subordinato l’elaborazione del personaggio Zorro in chiave parodistica a condizioni che risultano estranee alla disciplina positiva.

  1. Parodia e marchi

Quanto all’uso parodistico del marchio, la Corte di Cassazione, dopo aver appurato che l’utilizzo del marchio operato da CO.GE.DI all’interno dello spot pubblicitario integra un uso del segno nell’attività economica, osserva che:

  • Il vero punto della questione è se il diritto del titolare di opporsi allo sfruttamento del segno possa trovar fondamento in un uso non distintivo del segno. Sul punto, la giurisprudenza comunitaria mostra di non ritenere decisivo, ai fini della contraffazione, l’uso del marchio in funzione distintiva. La circostanza che un segno sia percepito dal pubblico interessato come decorazione non osta, di per sé, alla tutela conferita dall'art. 5, comma 2, della dir. 89/104/CEE (quella accordata ai marchi notori) laddove il grado di somiglianza sia nondimeno tale da indurre il pubblico interessato a stabilire un nesso tra il segno ed il marchio d'impresa.
  • quel che rileva, nell’uso vietato del marchio, è l’accostamento tra i segni che sia in grado di incidere sulla percezione, da parte dell’utente, dei messaggi comunicati dal marchio registrato di cui è invocata tutela. Nel caso della rappresentazione parodistica può venire in questione proprio detto agganciamento parassitario, giacché l’evocazione caricaturale del marchio altrui, che trae la propria vitalità dalla rinomanza di questo, crea un legame col messaggio di cui quest’ultimo è portatore.

È quindi corretto sostenere che, ai fini della contraffazione dei marchi Zorro, non era necessario che si facesse un utilizzo del segno volto a contrassegnare fisicamente il prodotto, essendo invece sufficiente che del marchio si faccia «un uso di tipo narrativo idoneo ad agganciare i pregi del marchio altrui».

Diritto d’autore
  • La parodia deve rispettare un giusto equilibrio tra i diritti del titolare dei diritti d’autore sull’opera e la libertà di espressione dell’autore della parodia stessa
  • La parodia deve essere strumentale rispetto al suo fine
  • Affiché la parodia sia lecita, non rileva tanto lo scopo di lucro, quanto il fatto che essa non sia in contrasto con lo sfruttamento normale dell’opera parodiata e non arrechi ingiustificato pregiudizio agli interessi legittimi del titolare del diritto
Marchio
  • La normativa europea sul marchio non contiene una limitazione del diritto basata sulla libertà di espressione
  • L’evocazione caricaturale del marchio notorio altrui, anche se priva di funzione distintiva, potrebbe costituire un agganciamento parassitario al marchio altrui e trarre indebitamente vantaggio dalla notorietà e dal potere di attrazione dello stesso
 
Technology, Media & Telecommunications

European Digital Identity Wallet: un’identità digitale unica per tutti i cittadini europei?

Con l’adozione di un orientamento comune a dicembre 2022, il Consiglio europeo porta avanti la proposta della Commissione europea di introdurre (ambiziosamente) entro il 2024 un European Digital Identity Wallet, con l’obiettivo di aggiornare l’attuale quadro normativo previsto dal regolamento eIDAS e uniformare le soluzioni di identità digitale utilizzabili dai cittadini per accedere in sicurezza a servizi pubblici e privati su tutto il territorio europeo.

  • Un passo indietro: da dove nasce la proposta sull’European Digital Identity Wallet

La crescente digitalizzazione nella fornitura di servizi in ogni settore (dal commercio alla sanità, dal banking all’istruzione), accelerata in particolare dalla pandemia, e la conseguente richiesta di meccanismi certi e sicuri per l’identificazione remota degli utenti ha reso evidente la necessità di rafforzare e armonizzare a livello europeo il panorama di soluzioni di identità digitale oggi a disposizione degli utenti.

Il regolamento eIDAS (Regolamento (UE) 910/2014) ha per primo posto le basi per lo sviluppo e il mutuo riconoscimento di sistemi di identificazione elettronica tra Stati membri. In questo quadro, si collocano per esempio gli strumenti di identificazione introdotti dall’Italia come SPID, sistema pubblico di identità digitale (che conta più di 30 milioni di identità rilasciate) e CIE, carta di identità elettronica nazionale. Allo stesso tempo, il regolamento presenta limitazioni intrinseche (es. focus su sistemi nazionali; mancanza di standard uniformi e assenza di obblighi di interoperabilità) che hanno portato a un’applicazione differenziata e frammentaria della normativa in ciascun Paese – oggi 14 Paesi UE utilizzano 19 sistemi di identificazione digitale diversi. Questo ha ostacolato lo sviluppo di un sistema integrato di eID che permetta ai cittadini europei di accedere agevolmente a una serie di servizi online, indipendentemente dal Paese di residenza. A questo, si aggiunge il proliferare negli ultimi anni di una molteplicità di meccanismi di identificazione “non qualificati” per accedere a servizi privati (es. registrazione a siti web tramite account Facebook o Google). Questi sistemi, sicuramente più flessibili e user-friendly, sono però meno sicuri sia per gli utenti, che lasciano in mano ad attori privati come le big tech un pericoloso mezzo di controllo sull’identità dei singoli, sia per i fornitori di servizi, che non possono fare affidamento su schemi di identificazione con un livello di sicurezza certificato.

La proposta della Commissione europea presentata a dicembre 2021 (ribattezza “eIDAS 2.0”), su cui il Consiglio europeo ha adottato un primo orientamento comune a dicembre 2022, tenta di colmare queste lacune e di rispondere alle richieste del mercato di:

  • mettere a disposizione soluzioni di identità digitale “flessibili”, connesse a una varietà di attributi identificativi, che consentano agli utenti di controllare la condivisione mirata di dati in base alle esigenze del servizio specifico;
  • assicurare che tali soluzioni siano altamente sicure, interoperabili e riconosciute a livello europeo.

Il principale strumento con cui la proposta intende raggiungere i propri scopi è la creazione di un European Digital Identity Wallet, ossia un portafoglio di identità digitali personali altamente sicuro, certificato e riconosciuto dagli Stati membri.

  • Cos’è l’eID Wallet

Il portafoglio europeo di identità digitale è definito dalla proposta come un “prodotto e servizio che consente all'utente di conservare dati di identità, credenziali e attributi collegati alla sua identità, fornirli su richiesta alle parti facenti affidamento sulla certificazione e utilizzarli per l'autenticazione, online e offline, per un servizio […] nonché per creare firme elettroniche qualificate e sigilli elettronici qualificata”. L’eID Wallet si presenta quindi come un “archivio” centralizzato di dati e attributi identificativi, ma anche di attestati elettronici (es. patenti di guida, diploma universitario, qualifiche professionali, certificati medici o anche sistemi di pagamento), riconosciuti a livello europeo, che l’utente può utilizzare per autenticarsi in modo sicuro a servizi pubblici e privati, anche transfrontalieri, che richiedano prove di identità o attestati di attributi verificati.

In concreto, il portafoglio si sostanzierebbe in un’App accessibile da dispositivo mobile, secondo un meccanismo simile ai più comuni e-wallet di carte di pagamento (es. Apple Wallet), ma che a differenza di questi consentirebbe di archiviare una serie più ampia di informazioni e documenti personali, da condividere con uffici pubblici e provider privati. L’ambizione è che l’eID Wallet diventi un singolo strumento attraverso cui gli utenti possono compiere una varietà di attività, connesse a servizi pubblici (es. richiedere certificati di nascita e certificati medici o segnalare un cambio di indirizzo); aprire un conto corrente o iscriversi a un’università, ma anche noleggiare un’auto e fare check-in in hotel in qualsiasi paese dell’UE.

Il portafoglio sarebbe emanato o in ogni caso riconosciuto dagli Stati membri, per assicurare un livello di garanzia elevato in relazione ai requisiti per il controllo e la verifica dell’identità. Allo stesso tempo, in un’ottica di “self-sovereign identity”, l’utente avrebbe il pieno controllo del portafoglio e dei dati personali in esso contenuti, scegliendo in maniera selettiva a quali soggetti condividere le informazioni, in base alla tipologia di servizio richiesto.

  • Quali le criticità all’orizzonte per l’eID Wallet?

Lo sviluppo di un eID Wallet che aspiri a diventare strumento di autenticazione unico per i cittadini europei deve affrontare non pochi ostacoli, non solo tecnologici.

  • Privacy e cybersecurity. Il primo fronte di preoccupazione riguarda i temi di sicurezza e rispetto della privacy del nuovo strumento. L’accentramento di dati personali che prevede il portafoglio espone inevitabilmente a un rischio elevato di attacchi informatici, violazioni e utilizzi di dati non autorizzati. Il rispetto dei principi GDPR per la tutela dati personali (in primis minimizzazione) fin dallo sviluppo del sistema stesso, in un’ottica di privacy-by-design, e l’allineamento della proposta ai nuovi requisiti europei in materia di cybersecurity (in particolare quelli dettati dal Cybersecurity Act) sono elementi preliminari e indispensabili per il successo del nuovo sistema.
  • Standard e interoperabilità. Un altro tema caldo riguarda la scelta degli standard e delle tecnologie che dovranno supportare lo sviluppo del nuovo sistema, su cui gli operatori di settore stanno esprimendo tutte le loro perplessità. Vista la pluralità di standard e tecnologie su cui gli operatori stanno indirizzando i propri investimenti investono, la preoccupazione è che il nuovo regolamento accentri negli Stati il potere di decidere le modalità tecniche di sviluppo del nuovo sistema, potendo quindi imporre la scelta di uno standard o tecnologica specifica, con inevitabili impatti sul mercato. Allo stesso tempo, viene rappresentato il rischio di irrigidire eccessivamente il sistema, relegandolo a tecnologie o impostazioni oggi esistenti, che non tengono in considerazione i possibili futuri sviluppi tecnologici.
  • Livelli di garanzia. Infine, ulteriore campo di battaglia riguarda al momento il livello di sciurezza che il nuovo strumento di identificazione deve garantire. Mentre infatti il regolamento eIDAS ammetteva che sistemi identificativi nazionali con livelli di sicurezza “sostanziali” e “elevati” avessero diritto a un equo riconoscimento tra Stati membri, la nuova proposta eIDAS 2.0 sembra intenzionata a innalzare la sicurezza dell’eID Wallet, richiedendo un livello sempre “elevato”. Questo potrebbe tuttavia escludere o notevolmente ridurre la possibilità di integrare o utilizzare strumenti di identificazione elettronica esistenti e ampiamente utilizzati dagli utenti nell’ambito del nuovo portafoglio digitale, disperdendo esperienze e sinergie già acquisite.
  • Cosa cambia per l’Italia

L’Italia è tra i paesi europei più all’avanguardia nell’adozione e utilizzo di soluzioni di identificazione digitale, in particolare SPID e CIE. La proposta dell’eID Wallet si inserisce quindi in un panorama normativo e applicativo strutturato e rodato, anche se in continua evoluzione. Sono per esempio di poche settimane fa le dichiarazioni del sottosegretario con delega dell’innovazione, Alessio Butti, che esprimevano l’intenzione del governo di “abbandonare” progressivamente lo SPID in favore della CIE, come unica identità nazionale gestita dallo Stato, sollevando non pochi dissensi tra gli operatori dell’attuale ecosistema SPID. Queste posizioni dovranno coordinarsi ora con la nuova proposta eIDAS 2.0.

Non è infatti al momento chiaro come le identità digitali nazionali in uso interagiranno con il “portafoglio”, se saranno integrate nello stesso o saranno forme di identificazione alternativa. Ugualmente, viste le dichiarazioni dell’attuale governo e l’incertezza europea sui livelli di sicurezza che il portafoglio dovrà garantire, non è chiaro nemmeno se o quale ruolo potrà giocare l’identità SPID.

  • Next steps

Se a livello istituzionale, l’adozione di un approccio generale consentirà al Consiglio di avviare i negoziati con il Parlamento europeo, una volta che quest'ultimo avrà adottato la propria posizione, parallelaemnte la Commissione europea sta già assegnato bandi per milioni di euro per finanziare progetti pilota che testino use cases reali per l’utilizzo eID Wallet. Tra i vincitori dei bandi si segnalano per la partecipazione italiana, il consorzio Potential (con focus nei settori bancario, della mobilità, della sanità e dell’amministrazione), NOBID (con focus sui pagamenti), EU Digital Identity Wallet Consortium (con focus su viaggi e servizi connessi) e Digital Credentials for Europe (con focus su formazione e previdenza).

Adottate le linee guida AGCom su infrastrutture digitali e servizi di comunicazione elettronica

Con la recente delibera 452/22/CONS, l’AGCom ha adottato le Linee guida in materia di sviluppo delle infrastrutture digitali e servizi di comunicazione elettronica, in attuazione dell’articolo 23 della Legge annuale per il mercato e la concorrenza 2021 (Legge n. 118/2022 – “Legge Concorrenza”).

La Legge Concorrenza ha, tra l’altro, apportato modifiche al d.lgs. n. 33/2016 che, in attuazione della Direttiva n. 2014/61/UE, definisce norme volte a facilitare l’installazione di reti di comunicazione elettronica ad alta velocità promuovendo l’uso condiviso dell’infrastruttura fisica esistente e consentendo un dispiegamento più efficiente di nuove infrastrutture digitali fisiche, in modo da abbattere i costi relativi all’installazione di tali reti.

Sono state in particolare introdotte previsioni volte a favorire il coordinamento tra gestori di infrastrutture fisiche ed operatori di rete che intendano eseguire, direttamente o indirettamente, opere di infrastrutturazione. In particolare, i gestori di infrastrutture fisiche digitali e gli operatori di rete sono chiamati ad adottare “ogni iniziativa utile ai fini del coordinamento con altri operatori di rete in relazione al processo di richiesta dei permessi e ai fini della non duplicazione inefficiente di opere del genio civile e della condivisione dei costi di realizzazione”.

In questo contesto, la Legge Concorrenza ha affidato all’AGCom il compito di adottare apposite linee guida al fine di garantire che in sede di esecuzione delle opere di infrastrutturazione (ossia opere di genio civile eseguite direttamente o indirettamente da ogni gestore di infrastrutture digitali fisiche e ogni operatore di rete), eseguite successivamente all’adozione delle linee guida stesse, “sia incentivata l’installazione di infrastrutture fisiche aggiuntive qualora necessarie a soddisfare le richieste di accesso degli altri operatori di rete”.

In linea con i predetti obiettivi, lo scopo delle Linee Guida è di “formulare una modalità più snella rispetto a quella del coordinamento delle opere di genio civile, che consista nella possibilità da parte del realizzatore dell’opera di genio civile” di “installare a-priori infrastrutture fisiche aggiuntive in grado di soddisfare le richieste di accesso degli operatori di rete”.

Trattasi in particolare, chiarisce l’AGCom, di “favorire l’installazione di elementi infrastrutturali aggiuntivi per la posa della fibra ottica”, che l’Autorità identifica (i) nei c.d. minitubi, “atti a contenere ciascuno un elevato numero di fibre ottiche”, i quali sono “gli elementi cui generalmente si fornisce l’accesso al fine di garantire l’installazione di fibra ottica in infrastrutture esistenti o di nuova realizzazione” e (ii) nelle c.d. palificazioni, individuate come “una seconda modalità di accesso possibile alle infrastrutture per la posa di fibra ottica”.

Le Linee Guida hanno ad oggetto la definizione di “una procedura che consenta, da un lato, agli operatori di rete di conoscere in anticipo la possibilità di disporre di minitubi o posizioni cavo su palificazioni, per la posa della fibra ottica in determinate zone del territorio” e dall’altro permetta al realizzatore delle opere di infrastrutturazione, “di valutare la possibilità di installare minitubi o posizioni cavo aggiuntive nell’ambito del progetto pianificato di opere civili, al fine di poterne disporre per soddisfare future richieste di accesso da parte degli operatori”.

Al fine di incentivare l’installazione delle infrastrutture aggiuntive, le Linee Guida “individuano pertanto la procedura da seguire al fine di permettere a domanda e offerta, che si realizzeranno in futuro nel breve termine, di potersi coordinare”, consentendo tale meccanismo di semplificare il processo di richiesta dei permessi (che viene fatto una sola volta da parte del realizzatore dell’opera di genio civile), evitare la duplicazione inefficiente delle opere del genio civile e permettere la condivisione dei costi di realizzazione (poiché il realizzatore dell’opera recupera parte dell’investimento attraverso la remunerazione del servizio di accesso alle infrastrutture aggiuntive installate).

Le Linee Guida individuano quindi due modalità per incentivare l’installazione di infrastrutture fisiche aggiuntive: (i) il Coordinamento per lo sviluppo di infrastrutture per le reti di comunicazioni elettroniche con annuncio; (ii) l’Installazione volontaria di infrastrutture aggiuntive.

Il primo meccanismo prevede che un gestore di infrastrutture fisiche o un operatore di rete “che intende realizzare lavori di costruzione o ampliamento di infrastrutture adatte ad ospitare reti di comunicazione elettronica procede a rendere nota tale intenzione attraverso la pubblicazione di un annuncio” sul sistema SINFI (Sistema Informativo Nazionale Federato delle Infrastrutture) dandone altresì comunicazione all’AGCom e all’AGCM, per lo svolgimento delle rispettive funzioni di vigilanza. La pubblicazione dell’annuncio – il cui contenuto è disciplinato dalle Linee Guida – deve avvenire entro un termine massimo di 30 giorni a decorrere dalla data di presentazione del progetto definitivo alle autorità competenti per il rilascio delle autorizzazioni.

È previsto che l’annuncio specifichi il termine – che non può essere inferiore a 30 giorni – “entro cui i soggetti interessati, ossia gli operatori di rete, possono manifestare il proprio interesse all’acquisto (attraverso contratti in IRU o altra modalità diversamente concordata con il Realizzatore) dell’accesso alle infrastrutture adatte ad ospitare reti di comunicazione elettronica nell’ambito dell’intervento pianificato”.

Gli operatori che intendono acquisire i diritti di accesso alle infrastrutture adatte ad ospitare reti di comunicazione elettronica inviano richieste di accesso puntuali, ragionevoli e proporzionate al titolare dell’infrastruttura secondo le modalità definite ed entro i termini indicati nell’annuncio. È previsto che, in presenza di richieste di accesso ricevute da parte di diversi operatori per la stessa tratta di infrastrutture, il realizzatore dell’opera “fa quanto nella sua possibilità, nei limiti della capacità di spazio massima dichiarata nell’annuncio, per soddisfare tutte le richieste ricevute” e che, nel caso in cui tutte le domande di accesso non possano essere soddisfatte in base alla capacità dichiarata nell’annuncio, “fa fede la data di ricezione della richiesta di accesso” in applicazione del principio “first come, first served”.

Trascorsi 60 giorni dalla pubblicazione dell’annuncio, il realizzatore dell’opera “ha la facoltà di avviare i lavori”, a prescindere dal fatto che siano state ricevute richieste per l’installazione di infrastrutture aggiuntive e sia stato raggiunto un accordo a tal riguardo con uno o più operatori di rete.

Secondo l’AGCom, questa procedura “consente il coordinamento tra i soggetti che intendono sviluppare opere di genio civile […] per la posa di infrastrutture per le reti di comunicazione elettronica, senza interferire o ritardare il processo di richiesta dei permessi, ai fini della non duplicazione inefficiente di opere del genio civile e della condivisione dei costi di realizzazione, pur lasciando piena libertà di azione al proprietario dell’infrastruttura”. Le Linee Guida prevedono alcune eccezioni all’applicazione di questa procedura.

La seconda modalità – alternativa alla prima – prevede che un gestore di infrastrutture fisiche o un operatore di rete “che intende realizzare o sta realizzando lavori di costruzione o di ampliamento di infrastrutture adatte ad ospitare reti di comunicazione elettronica […], laddove prevede di installare infrastrutture di rete aggiuntive da rendere disponibili agli operatori di rete interessati, procede a rendere nota tale intenzione attraverso la pubblicazione di una comunicazione sul proprio sito web, nonché sul sistema SINFI”, dandone altresì comunicazione periodica all’AGCom. La pubblicazione della comunicazione – il cui contenuto è disciplinato dalle Linee Guida – deve avvenire almeno 30 giorni prima della data prevista di disponibilità dell’accesso, per gli operatori di rete, alle infrastrutture aggiuntive.

Questa seconda modalità consiste dunque nella formulazione di un’offerta a carattere volontario del soggetto che pianifica la realizzazione di nuove infrastrutture. In tal caso il realizzatore delle opere potrebbe prevedere l’installazione di minitubi e/o spazi di palificazione, aggiuntivi a quelli previsti nel suo progetto, al fine di soddisfare l’ulteriore domanda di servizi da parte dei soggetti interessati.

Su un simile argomento può essere interessante l’articolo “Consultazione AgCom su linee guida su infrastrutture digitali e servizi di comunicazione elettronica”.

Fintech

Legislazione e problematiche relative al fallimento di un exchange di cryptocurrency

Il fallimento di un exchange di cryptocurrency pone delle problematiche regolatorie rilevanti che abbiamo cercato di analizzare.

Recentemente abbiamo assistito alle tragiche vicende riguardanti il fallimento di grandi exchange di cryptovalute. Quando gli exchange hanno una operatività globale, la legislazione applicabile in caso di fallimento può differire a seconda del Paese di appartenenza delle diverse società controllate. Dal recente fallimento di uno dei più grandi exchange al mondo, che era titolare di una subsidiary sottoposta alla legislazione giapponese, abbiamo compreso che tale legislazione prevede particolari garanzie in favore degli investitori. Seguirà quindi un rapido esame delle misure previste dalla legislazione giapponese e il confronto con le principali problematiche relative al più recente caso verificatosi in Italia.

Il Giappone ha già affrontato svariate crisi nell’ambito di fallimento di exchange (con buchi di liquidità che corrispondono all’incirca a 900 milioni di dollari) e problematiche legate alla tutela degli investitori; per questo motivo, la relativa legislazione è stata profondamente integrata già nel maggio del 2019 con la modifica, tra gli altri, del Payment Service Act (PSA).

Ad oggi, a seguito delle suddette modifiche normative al PSA, le principali garanzie che devono essere prestate dall’exchange in tutela degli investitori sono:

  • la gestione separata dei fondi depositati dagli utenti da quello degli exchange affidando quanto depositato dagli utenti a, per esempio, una società fiduciaria;
  • il diritto di prelazione rispetto agli altri creditori in caso di fallimento, in favore degli investitori che hanno un rapporto contrattuale con l’exchange;
  • all’exchange è imposta una particolare misura in materia di cybersicurezza; in particolare, l’autorità di controllo giapponese ha stabilito che il 95% dei fondi appartenenti agli investitori dev’essere conservato in cold wallets (i.e. wallet hardware che offrono maggiori garanzie in caso di attacco informatico); e
  • un controllo annuale che dimostri che l’exchange si è conformato a tutti gli obblighi e requisiti previsti dalla normativa applicabile.

Nell’estate del 2019, in Italia, un grosso exchange dichiarava fallimento. Nel caso di specie, all’apertura delle procedure fallimentari, una delle principali difficoltà è stata la corretta identificazione dei creditori per l’insinuazione al passivo, poiché l’exchange non effettuava controlli circa il tracciamento degli indirizzi IP utilizzati dagli utenti per effettuare le transazioni.

Inoltre, le domande presentate dai creditori nell’ambito del fallimento dell’exchange non venivano accolte poichè quest’ultimo gestiva i propri fondi in modo indistinto all’interno di un unico hot wallet (ovvero assieme a quelli degli investitori in portafogli informaticamente meno sicuri rispetto i cold wallets), come è stato confermato dalla Corte d’Appello di Firenze.

Forse, una legislazione che tenga conto delle modalità attraverso cui gli exchange operano e gestiscono i propri fondi, sulla falsa riga di quella giapponese, potrebbe risultare maggiormente tutelante per gli investitori, specie in caso di fallimento dell’exchange. 

Su un simile argomento può essere interessante l’articolo: “La Cassazione si pronuncia su qualifica dei crypto asset come prodotti finanziari”.


La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna AngillettaGiordana BabiniCarolina BattistellaCarlotta BusaniGiorgia CarneriMaria Rita CormaciCamila CrisciCristina CriscuoliTamara D’AngeliChiara D’OnofrioFederico Maria Di VizioEnila EleziEmanuele GambulaLaura GastaldiVincenzo GiuffréFilippo Grondona, Nicola LandolfiGiacomo LusardiNoemi MauroValentina MazzaLara MastrangeloMaria Chiara MeneghettiDeborah ParacchiniTommaso RicciRebecca RossiMassimiliano TiberioAlessandra TozziGiulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio CoraggioMarco de MorpurgoGualtiero DragottiAlessandro FerrariRoberto ValentiElena VareseAlessandro Boso CarettaGinevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.