Scarica dispensa informatica giuridica e più Dispense in PDF di Informatica Giuridica solo su Docsity!
Aspetti giuridici della società dell’informazione
De regole alle tecnologie IL LINGUAGGIO DEL DIRITTO Il linguaggio del diri 7 o e le sue metafore Per capire le difficoltà che ancora oggi il legislatore e i giudici incontrano quando devono occuparsi di informa?ca e nuove tecnologie (ICT), bisogna prima rifleGere su come funziona il linguaggio giuridico. Il diriGo, infa 3 , deve essere comprensibile a tuA i ci 7 adini. Per questo mo?vo u?lizza il linguaggio comune , quello di tu 3 i giorni. Di conseguenza, le parole del diriGo portano con sé i significa?, i modelli di ragionamento e persino la visione del mondo che appartengono al linguaggio ordinario. Il linguaggio giuridico, quindi, si ada 7 a costantemente alle novità della società : ogni nuova realtà o relazione viene descriGa con le parole già presen? nel linguaggio comune. TuGavia, questo comporta anche dei limiD. Spesso, infa 3 , le parole usate non sono “ scien&fiche ” o precise, ma bastano a rendere comprensibile un conce 7 o. In mol? casi, per descrivere cose nuove si ricorre a conce 3 già no?, aGraverso l’uso delle metafore. Le metafore non sono solo un modo poe?co di parlare, ma rappresentano un modo fondamentale con cui gli esseri umani comprendono e organizzano la realtà. Come hanno spiegato gli studiosi George Lakoff e Mark Johnson nel loro libro Metaphors We Live By , le metafore sono alla base del nostro modo di pensare: non solo influenzano il linguaggio, ma anche il nostro modo di vedere il mondo e di agire. Ad esempio , quando diciamo “ il tempo è denaro” , non s?amo solo facendo un paragone: s?amo adoGando un modo di pensare che ci porta a considerare il tempo come una risorsa economica da risparmiare o da non sprecare. Questa metafora modella il nostro comportamento e le nostre decisioni quo?diane. Anche il diriGo fa spesso uso consapevole delle metafore. Un esempio è l’espressione “ domicilio informa,co ”. Questa non indica un luogo fisico, come nel caso del domicilio previsto dal Codice civile, ma fa riferimento allo spazio virtuale in cui una persona conserva da?, strumen? e informazioni legate alle tecnologie digitali. In altre parole, la metafora del “domicilio” aiuta a comprendere e regolamentare un conceGo nuovo aGraverso un termine familiare. I problemi nascono quando la metafora viene spinta troppo oltre o quando non esiste una metafora adeguata per descrivere una realtà complessa. È ciò che accade, per esempio , con i sistemi di condivisione peer-to-peer o con i meccanismi più profondi di Internet. In ques? casi, il linguaggio comune non basta più e anche i legislatori e i giudici fa?cano a creare norme chiare ed efficaci , finendo spesso per produrre un diri 7 o poco comprensibile e poco applicabile. Regole tecnologiche e regole tecnonomiche Nel corso del Novecento, molte teorie del diriGo hanno abbandonato l’idea che tuGe le norme giuridiche siano dello stesso ?po. In altre parole, si è capito che non tuGe le regole di un ordinamento funzionano allo stesso modo o hanno la stessa natura. Questa consapevolezza diventa par?colarmente importante quando si traGa di creare leggi per regolare le nuove tecnologie. Infa 3 , quando si scrivono norme che riguardano l’informa?ca o l’uso di strumen? tecnologici, si ha spesso a che fare con regole che non si limitano a dire cosa si deve o non si deve fare (cioè norme deon?che, come “è obbligatorio fare questo” o “non è permesso fare quello” ), ma che presuppongono anche una certa stru 7 ura del mondo, basata su relazioni di causa ed effe 7 o. In pra?ca, sono regole che si fondano sul funzionamento concreto della realtà tecnologica. Per capire meglio, possiamo fare riferimento alla dis?nzione elaborata dal giurista Amedeo Conte tra regole tecnologiche e regole tecnonomiche. Entrambe appartengono alla categoria delle “regole tecniche” , ma si differenziano per il loro scopo e per il Dpo di legame che instaurano con la realtà.
‣ Le^ regole^ tecnologiche^ sono quelle che^ descrivono^ come^ funziona qualcosa, cioè^ rendono esplicita una relazione di causa-
effeGo. Ad esempio, il cartello “Tirare” su una porta non impone un obbligo morale o giuridico: semplicemente indica che la porta si apre solo in quel modo, perché è faGa così. In sostanza, se vogliamo oGenere un certo risultato, dobbiamo rispe 7 are determinate condizioni.
‣ Le^ regole^ tecnonomiche , invece,^ non^ descrivono un rapporto di causa-effeGo, ma^ regolano^ come^ una certa tecnologia
deve essere usata. Non dicono come funziona una cosa, ma come deve essere u&lizzata in modo correGo o sicuro. Per esempio , le norme che impongono misure di sicurezza nel traGamento dei da? personali non spiegano come funziona un computer o una rete, ma stabiliscono comportamen? obbligatori per chi usa quelle tecnologie, come la protezione delle password o la cifratura dei da?. Sia le regole tecnologiche sia quelle tecnonomiche partono comunque da un presupposto: entrambe si basano su una certa idea del mondo e su come questo mondo funziona. TuGavia, nel caso delle tecnologie digitali e di Internet, le regole tecnonomiche possono arrivare a modificare la stessa struGura tecnica su cui si fondano. Un esempio chiaro è quello della cosiddeGa “Grande muraglia digitale” cinese. Il governo cinese ha imposto for? controlli su Internet, impedendo ai ciGadini di accedere a mol? si? stranieri. In teoria, grazie alla struGura aperta della rete, è ancora possibile aggirare ques? blocchi, ma farlo è difficile e costoso.
Se però mol? altri Sta? adoGassero poli?che simili di controllo e censura, la tecnologia stessa si evolverebbe per rendere ques? controlli sempre più efficaci. Al contrario, se la maggior parte dei Paesi promuovesse leggi e poli?che orientate alla protezione della privacy e della libertà degli utenD , allora la tecnologia si svilupperebbe in modo da rendere sempre più difficile qualsiasi forma di sorveglianza. In conclusione, le regole che gli Sta? adoGano per governare l’uso delle tecnologie non si limitano a disciplinare comportamen?: possono anche influenzare dire 7 amente l’evoluzione tecnica dei sistemi che regolano. In altre parole, il diriGo non si limita a seguire la tecnologia, ma può contribuire a plasmarla. REGOLAMENTARE LE TECNOLOGIE Occorre regolare le tecnologie? Ogni forma di regolamentazione ha come scopo quello di influenzare i comportamenD delle persone per raggiungere determina? obie 3 vi considera? posi?vi o u?li per la società. In altre parole, le regole servono a orientare le azioni umane verso risulta? ritenu? desiderabili. Il diriGo, però, nella maggior parte dei casi interviene solo dopo che un certo comportamento si è diffuso e ha iniziato a creare problemi. Ciò significa che una tecnologia, prima di essere regolata, deve prima diventare di uso comune e mostrare , o far temere, effeA consideraD negaDvi o pericolosi per la colleAvità. Un buon esempio di questo processo è quello di Airbnb. All’inizio, il fenomeno si è diffuso senza par?colari interven? norma?vi: sembrava un’innovazione posi?va, che offriva nuove opportunità economiche sia per chi affiGava case sia per i turis?. Solo quando il servizio è diventato molto popolare sono emersi i primi problemi, in par?colare quelli lega? alla fiscalità. A quel punto, diversi Sta? sono intervenu? con nuove leggi per regolamentare il seGore. In alcuni casi, queste norme hanno risolto alcune ques?oni fiscali. TuGavia, le modalità di applicazione variano da Paese a Paese , e questo ha generato confusione, complessità e incertezza. Inoltre, nonostante le nuove regole, il problema dell’ evasione fiscale nel seGore degli affi 3 brevi rimane significa?vo. La struGura stessa della piaGaforma, basata su transazioni digitali tra priva? e su un sistema globale e decentralizzato, rende molto difficile controllare e verificare i reddi? reali di chi affiGa. Un altro effeGo, del tuGo imprevisto , della diffusione di Airbnb è stato l’aumento dei prezzi degli affiA nelle zone centrali delle ciGà turis?che. Mol? proprietari, aGra 3 dai guadagni maggiori degli affi 3 brevi, hanno smesso di affiGare a lungo termine, riducendo l’offerta di case per i residen?. Questo ha faGo salire i prezzi e ha contribuito al fenomeno della gentrificazione , cioè alla progressiva trasformazione dei centri storici in spazi sempre più turis?ci e costosi, difficili da abitare per i ciGadini locali. Questo problema, almeno per ora, non è ancora stato affrontato in modo efficace dalle leggi. Mostra bene come spesso la regolamentazione arrivi solo dopo che una tecnologia o un servizio hanno già prodoGo effe 3 profondi sulla società, alcuni posi?vi, ma altri anche molto problema?ci. Come regolare le tecnologie Quando si vuole regolare il comportamento delle persone in relazione all’uso di una tecnologia, bisogna prima capire quali sono i fa 7 ori che influenzano ques? comportamen? e in che modo è possibile condizionarli. Un punto di partenza u?le è il modello proposto dal giurista americano Lawrence Lessig nel suo libro Code and Other Laws of Cyberspace (1997) e poi ripreso in Cultura libera (2004). Lessig spiega che, per capire come funzionano le regole (e perché certe norme sono efficaci e altre no) bisogna considerare qua 7 ro diverse modalità di regolamentazione , cioè quaGro modi aGraverso i quali si può influenzare il comportamento delle persone. Nel modello di Lessig, al centro si trova l’individuo (o il gruppo) che è l’obie 3 vo della regolamentazione, cioè la persona i cui comportamen? si vogliono guidare o limitare. AGorno a questo centro ci sono qua 7 ro “forze” che condizionano le sue azioni: la legge , le norme sociali , il mercato e l’archite 8 ura (o il codice). Vediamo le prime tre, che sono le più tradizionali.
- La legge : è il diri 7 o vero e proprio , cioè l’insieme delle regole giuridiche stabilite dallo Stato. La legge impone obblighi e divie?, e la sua forza si basa sulla punizione prevista per chi non la rispeGa.
- Le norme sociali : non sono scriGe in un codice o in una legge, ma derivano dai costumi e dai valori condivisi all’interno di una società. Non si rischia una multa o una condanna se si violano, ma si può essere comunque giudica? o esclusi dal gruppo sociale di riferimento.
- Il mercato : è un altro ?po di vincolo che regola i comportamen?, basato su meccanismi economici. In questo caso, le possibilità d’azione dipendono da ciò che si può pagare o da quanto si può guadagnare. Per esempio , possiamo accedere a cer? servizi solo se paghiamo un prezzo, oppure decidiamo di svolgere un’a 3 vità perché ci offre un compenso. Il mercato non agisce isolatamente: spesso è influenzato sia dalle leggi , che stabiliscono le regole di scambio (come quelle sulla proprietà o sui contra 3 ), sia dalle norme sociali , che definiscono cosa è considerato acceGabile o e?co in campo economico. Archite 7 ura delle regole Con il termine “ archite 8 ura ” , Lawrence Lessig si riferisce ai vincoli imposD dalla realtà fisica o tecnologica. In altre parole, il modo in cui il mondo è costruito, sia esso naturale o ar?ficiale, condiziona ciò che le persone possono o non possono fare. È evidente che la realtà fisica stessa impone dei limiD : per esempio , non possiamo volare senza strumen?, né respirare soG’acqua senza ossigeno. Ma anche gli artefaA creaD dall’uomo , come le infrastruGure o le tecnologie, possono imporre restrizioni ai comportamen?, a volte in modo non neutrale, cioè influenzato da pregiudizi o discriminazioni.
Koops ricorda inoltre che i valori eDci e morali di una società plasmano il modo in cui essa regola le proprie tecnologie: il diriGo e la tecnica non operano nel vuoto, ma sono sempre immersi in un tessuto di valori condivisi. Allo stesso modo, il livello di conoscenza o di ignoranza riguardo a una tecnologia e ai suoi effe 3 è un elemento decisivo. L’incertezza (ciò che non sappiamo ancora, o addiriGura ciò che non sappiamo di non sapere) rappresenta una delle sfide più difficili da affrontare per chi si occupa di regolare l’innovazione. Per ges?re questa complessità, Koops propone un approccio interdisciplinare , che unisca competenze provenien? da diverse aree del sapere: diriGo, sociologia, economia, e?ca, informa?ca, ingegneria. Solo una collaborazione tra discipline può offrire strumen? anali?ci adegua? a comprendere le relazioni intricate tra tecnologia e società. In conclusione, Koops invita a riconoscere la regolazione tecnologica come una disciplina autonoma , che necessita di strumenD teorici e praDci propri. L’obie 3 vo è riuscire a integrare in modo responsabile e consapevole le nuove tecnologie nella società, imparando a muoversi tra le “cose note che non conosciamo” e quelle “che non sappiamo di non conoscere”: cioè tra l’incertezza consapevole e quella ancora nascosta. Solo così sarà possibile costruire un equilibrio sostenibile tra innovazione, diriGo e valori sociali. L'ATTIVITÀ DEL NOMOGRAFO NELLA REGOLAMENTAZIONE DELLE NUOVE TECNOLOGIE Perché il tenta?vo di dirigere l'azione di regolamentazione sia efficace , bisogna anche cercare di capire le specificità dell'a 3 vità del legislatore, cercando di classificare sia i modi sia l'ogge 7 o della sua azione. Qui di seguito ne proporrò alcune (ma l'elenco non è né esaus?vo né sistema?co). La Soe Law Negli ul?mi decenni, la teoria della normazione ha messo in luce la necessità di adoGare nuovi approcci alla regolamentazione , superando il modello tradizionale basato esclusivamente su leggi formali approvate da un legislatore democra?camente eleGo. Si è infa 3 affermata l’idea di una “so: law” , cioè una regolamentazione più flessibile e condivisa, spesso basata sull’ autoregolarmentazione da parte degli stessi sogge 3 coinvol? (come nel caso degli standard o dei modelli di governance). Nel campo delle tecnologie dell’informazione e della comunicazione (ICT) , la legge rimane comunque uno strumento fondamentale , in quanto garan?sce la legi 3 mità democra?ca del sistema. TuGavia, nella pra?ca, i comportamen? degli aGori che operano in questo seGore sono influenza? da una combinazione di diversi Dpi di regole : norme giuridiche, norme sociali, regole di mercato e codici di condoGa, secondo lo schema proposto da Lessig. Spesso, infa 3 , queste regole si concre?zzano in documenD di autoregolamentazione , come gli standard o i codici e?ci, che vincolano chi li soGoscrive su base volontaria, ma che finiscono per avere un impaGo anche su chi non li adoGa formalmente, contribuendo così a plasmare le pra?che comuni del seGore. Il diriGo, inoltre, non è un blocco unico, ma è formato da diverse branche: ciascuna con la propria tradizione e i propri strumen? conceGuali. L’impaGo della tecnologia può riguardare tuGe queste aree, a seconda del punto di vista adoGato e del modo in cui la tecnologia stessa si diffonde. L’uso delle ICT, infa 3 , coinvolge pra?camente ogni ambito del diri 7 o : dalla cos?tuzione al diriGo internazionale pubblico, dal diriGo penale e amministra?vo a quello ambientale e stradale, fino al diriGo dei contra 3 , della proprietà intelleGuale, del lavoro, della salute e dei diri 3 delle persone con disabilità. In tu 3 ques? seGori, la regolazione delle tecnologie avviene sempre più spesso aGraverso strumenD di soe law : standard tecnici, linee guida, codici di condoGa e pra?che condivise che completano o integrano la legislazione formale. Approccio basato sul rischio Quando si parla di regolamentazione delle tecnologie, è fondamentale capire a quale fase del loro sviluppo ci si riferisce. In modo convenzionale, possiamo dis?nguere diverse tappe: ricerca , protoDpo , test , produzione di massa , diffusione pubblica , uso da parte degli early adopters e infine commercializzazione di massa. SopraGuGo nelle prime fasi, la regolamentazione si concentra su una gesDone dei rischi , nota come risk governance. Questo approccio si ar?cola in due momen? principali:
- il risk assessment , ossia la fase in cui il rischio viene iden?ficato e, se possibile, quan?ficato;
- il risk management , cioè l’adozione di misure per ridurre o controllare i rischi individua?. Nelle tecnologie emergen?, come l’ intelligenza arDficiale , queste analisi sono spesso difficili, perché non è ancora possibile prevedere tu 3 i potenziali usi e quindi nemmeno i possibili pericoli. Il rischio , infa 3 , può presentarsi in diverse forme : può essere calcolabile , incerto , certo ma non quanDficabile oppure del tu 7 o sconosciuto. Di fronte a questa incertezza, il legislatore europeo adoGa spesso il cosiddeGo principio di precauzione , come si vede anche nell’ AI Act. Questo principio viene applicato quando esistono potenziali rischi per la salute umana, animale o ambientale, ma non vi sono ancora prove scien?fiche defini?ve: in ques? casi, si preferisce prevenire piuGosto che intervenire dopo. L’Unione Europea considera il principio di precauzione una pietra angolare della sua poliDca ambientale e di gesDone del rischio. Infine, un approccio funzionalista alla legislazione permeGe di capire meglio come il diriGo e la tecnologia si influenzano reciprocamente:
- da un lato, consente di individuare nuove norme da introdurre per regolare ambi? tecnologici emergen? e garan?re che le innovazioni non violino i diri 3 fondamentali tutela? dal sistema giuridico;
- dall’altro, aiuta a riconoscere le nuove minacce che la tecnologia può generare, aprendo un dialogo con?nuo tra diriGo e innovazione. In questo modo, la legge non solo può indirizzare lo sviluppo tecnologico , ma può anche essere ada 7 ata e aggiornata in base all’evoluzione delle tecnologie stesse. L'ecosistema normaDvo Quando si studia il funzionamento delle tecnologie con l’obie 3 vo di regolarle, è fondamentale adoGare un approccio olisDco , cioè una prospe 3 va complessiva che tenga conto delle interazioni tra persone, macchine e contesto. Non basta analizzare le singole componen? in modo isolato: è necessario comprendere come ques? elemen? si intrecciano nella pra?ca quo?diana e come si influenzano a vicenda, determinando il modo in cui la tecnologia viene effe 3 vamente u?lizzata. In questa analisi, il punto di vista privilegiato è quello normaDvo , cioè l’insieme delle regole che definiscono e condizionano le modalità di funzionamento di una tecnologia. Questo insieme di regole può essere descriGo come un ecosistema normaDvo , un sistema complesso formato da diversi livelli di norme e regolamen? che interagiscono tra loro. I. Il primo livello è cos?tuito dalle norme tecniche , che riguardano ciò che è fisicamente o tecnologicamente possibile. Esse si basano sulle leggi della fisica e sul modo in cui i sistemi tecnologici sono costrui?: definiscono, in pra?ca, ciò che si può o non si può fare all’interno di un determinato contesto tecnologico. II. Il secondo livello comprende le norme sociali , cioè le regole informali che nascono dall’interazione tra le persone e che influenzano come la tecnologia viene usata nella vita quo?diana. Sono il fruGo delle abitudini, delle convenzioni e delle aspeGa?ve condivise all’interno di una comunità o di un ambiente socio-tecnico. III. Il terzo livello è rappresentato dalle norme giuridiche , stabilite da autorità competen? aGraverso procedure legisla?ve. Queste norme forniscono il quadro legale entro cui le azioni vengono riconosciute, regolate e, se necessario, sanzionate. Nel loro insieme, ques? tre livelli formano un ecosistema normaDvo , cioè il complesso delle regole — formali e informali — che disciplinano un determinato seGore. Esso include non solo le leggi in senso streGo, ma anche standard tecnici, linee guida, codici di condo 7 a e prassi operaDve che influenzano il comportamento di individui, imprese e is?tuzioni. Ogni ecosistema norma?vo è unico e varia a seconda del contesto geografico (per esempio, tra diversi Paesi o regioni) e del se 7 ore di riferimento (come la sanità, la finanza o la tecnologia). Le sue caraGeris?che dipendono dalle interazioni concrete tra i vari livelli norma?vi, che non possono essere stabilite solo sulla base delle regole scriGe, ma devono essere osservate nella praDca. Se uno di ques? livelli ignora gli altri — ad esempio, se la legge non ?ene conto dei limi? tecnici o delle pra?che sociali — il risultato sarà una regolamentazione inefficace o controproducente. Per questo mo?vo, l’analisi del funzionamento delle tecnologie deve considerare con aGenzione come i diversi livelli normaDvi si influenzano reciprocamente. Infine, la qualità e l’equilibrio di un ecosistema norma?vo sono fondamentali per garan?re che le regole favoriscano l’innovazione, proteggano ciGadini e consumatori e sostengano il buon funzionamento del mercato e delle is?tuzioni. Un sistema di regole chiaro, coerente e ben proge 7 ato può s?molare la crescita economica e lo sviluppo tecnologico; al contrario, un sistema confuso o eccessivamente complesso può rallentare l’innovazione e ridurre la compe??vità. Le fondamenta delle norme giuridiche Quando si analizzano e si classificano le norme che regolano specifiche tecnologie, è fondamentale adoGare un approccio stru 7 urato. Questo non solo facilita la comprensione delle norme stesse, ma perme 7 e anche di confrontare regolamenD provenienD da diversi sistemi giuridici , evidenziando somiglianze, differenze e sfide comuni. I. Un primo aspeGo da considerare è la fondazione delle norme giuridiche , ovvero il mo?vo per cui una legge è stata emanata. Spesso questo aspeGo non è esplicitamente dichiarato dal legislatore, ma può essere iden?ficato osservando il “pitch” della norma. Alcune norme hanno un moral pitch , facendo leva su principi e?ci per orientare i comportamen?. Altre adoGano un authoritaDve pitch , fondando la loro legi 3 mità sull’autorità stessa del legislatore. Vi sono poi norme con un substanDve pitch , radicate in valori morali specifici, e norme con un procedural pitch , incentrate sulla correGezza del processo legisla?vo seguito per la loro emanazione. Non meno rilevan? sono il pracDcal pitch , che soGolinea mo?vazioni pragma?che alla base della norma, e il behavioural pitch , che ?ene conto di comportamen? già diffusi nella società. II. Un altro criterio essenziale per la classificazione riguarda la sanzione prevista dalla norma. Le sanzioni possono essere negaDve , per scoraggiare comportamen? considera? dannosi, oppure posiDve , per incen?vare azioni ritenute benefiche. La forma logica delle norme rappresenta un ulteriore livello di analisi: le norme possono essere permissive , permeGendo cer? comportamen?; prohibiDve , vietandoli; oppure obligatory , imponendo azioni obbligatorie. Questa classificazione aiuta a comprendere immediatamente quali comportamen? siano consen??, vieta? o richies? dalla legge. È poi importante considerare i principi so 7 esi alle norme , come autonomia, libertà, responsabilità, privacy, dignità personale e uguaglianza. Ques? principi rifle 7 ono i valori fondamentali su cui si fonda un ordinamento giuridico e guidano l’interpretazione e l’applicazione delle norme. Infine, non vanno trascura? pregiudizi e vincoli impliciD che possono influenzare la forma e la sostanza delle norme, tra cui aspe 3 e?ci, is?tuzionali, culturali, di genere o linguis?ci. Ques? faGori, spesso meno eviden?, possono avere un impaGo significa?vo sul modo in cui le leggi vengono applicate e interpretate.
Esempi : lo Stato che raccoglie i da? dei contribuen?, una banca che ges?sce da? di conto corrente, un medico che traGa da? dei pazien?. Quando parte del traGamento è delegata a terzi (es. laboratorio di analisi), ques? diventano responsabili del tra 7 amento (data processor), soGo la responsabilità del ?tolare, che deve garan?re affidabilità e istruzioni chiare (arG. 28 e 29 GDPR). Il traGamento meramente personale o domesDco è esentato dalla norma?va (art. 2 GDPR, “household exemp?on”). Il GDPR dis?ngue anche daD parDcolarmente sensibili , che meritano tutela rafforzata (art. 9 GDPR), come:
- origine razziale o etnica, opinioni poli?che, convinzioni religiose o filosofiche, appartenenza sindacale
- da? gene?ci, biometrici, rela?vi alla salute o alla vita sessuale/orientamento sessuale
- da? giudiziari (art. 10 GDPR) Il GDPR non definisce il conceGo di dato privato o sfera privata, ma l’insieme dei da? rela?vi a un individuo rappresenta la sua idenDtà digitale.
- Il diri 7 o alla privacy tutela la sfera privata di una persona, limitando l’accesso di Stato o terzi a fa 3 personali in contes? tradizionalmente riserva? (famiglia, casa, comunicazioni).
- La protezione dei daD personali tutela i da? stessi e il controllo che l’interessato può esercitarvi, aGraverso strumen? come accesso, re 3 fica, limitazione, cancellazione e opposizione al traGamento (arG. 13-21 GDPR). LE REGOLE DELLA DATA PROTECTION (E DELLA DATA GOVERNANCE) Una prova evidente di quanto fin qui discusso si trova nella Carta dei diriA fondamentali dell’Unione Europea (2000/C — 364/01). Nel Capo II , dedicato alle Libertà, spiccano in par?colare gli arDcoli 7 e 8 , che traGano rispe 3 vamente il diriGo alla riservatezza e la protezione dei da? personali.
‣ L’ arDcolo 7 , in?tolato^ “RispeRo della vita privata e familiare” , sancisce che^ ogni individuo ha diri^8 o al rispe^8 o della
propria vita privata, familiare, del domicilio e delle comunicazioni. Questo significa che le nostre a 3 vità nella sfera familiare, nella casa e aGraverso i mezzi di comunicazione devono essere proteGe da interferenze arbitrarie. In altre parole, esiste una dis?nzione tra ciò che è pubblico e ciò che è privato : ci sono contes? ad accesso generale e contes? in cui la nostra libertà è proteGa, dove le informazioni non devono essere accessibili a terzi. È quella che possiamo definire privacy tradizionale o “spaDal privacy” , basata su confini fisici e protezioni tangibili: muri, porte chiuse, spazi personali. La violazione di queste aree rappresenta una vera e propria intrusione nella nostra vita privata.
‣ L’ arDcolo 8 , invece, introduce il tema della^ protezione dei daD^ personali.^ Ogni persona ha diri^8 o a che i propri da,^ siano
tra 8 a, in modo leale, per finalità determinate e sulla base del consenso o di un’altra base giuridica prevista dalla legge. Inoltre, ogni individuo ha diriRo di accedere ai da& che lo riguardano e di correggerli se inesaS, mentre il rispeRo di queste regole è vigilato da un’autorità indipendente. Da questo derivano due idee fondamentali: il diri 7 o alla protezione dei daD e la necessità di un controllo esterno imparziale, anche quando i da? sono traGa? dallo Stato stesso. Il GDPR sviluppa in deGaglio queste idee, stabilendo regole procedurali su come i da? devono essere traGa?, più che su quali da? possono essere raccol?. Possiamo sinte?zzare i principi fondamentali in tre pun? principali, più un quarto implicito :
- Lealtà e trasparenza: chi traGa i da? deve informare l’interessato in modo chiaro, prima del traGamento, su come e perché i da? saranno u?lizza?. In pra?ca, banche, medici o amministrazioni devono spiegare all’utente le finalità e le modalità di raccolta dei da?.
- Finalità determinate e minimizzazione dei daD: i da? devono essere raccol? solo se necessari a uno scopo specifico e conserva? solo per il tempo indispensabile. Questo principio si applica sia prima del traGamento, configurando sistemi che limi?no la raccolta al minimo necessario (privacy by design e by default), sia dopo , stabilendo scadenze di conservazione e regole di aggiornamento. Così si evita l’inquinamento informa?vo e si protegge la cosiddeGa “ infosfera ”.
- Base giuridica per il tra 7 amento: ogni traGamento deve avere un fondamento legiAmo , come il consenso, l’esecuzione di un contraGo, l’obbligo di legge, l’interesse vitale dell’individuo, l’interesse pubblico o il legi 3 mo interesse del ?tolare. Nessuna base è intrinsecamente migliore di un’altra; la scelta dipende sempre dallo scopo del traGamento e dal ?po di relazione con l’interessato. Per da? par?colari (come quelli sanitari) o giudiziari, occorre sempre una c ondizione aggiunDva di legiAmità.
- Protezione e sicurezza dei daD: il ?tolare deve adoGare misure fisiche, informa?che e organizza?ve proporzionate al rischio per i diri 3 e le libertà degli interessa?. La norma?va è quindi basata su un approccio al rischio , perché non è possibile applicare regole uniformi a scenari così diversi come quelli della società dell’informazione. In sostanza, possiamo immaginare la protezione dei daD personali come una sorta di “triade dei principi” , a cui si aggiunge un quarto elemento essenziale, proprio come i tre mosche 3 eri più D’Artagnan: trasparenza, finalità, base giuridica e sicurezza. Insieme, ques? elemen? definiscono la governance dei daD personali e cercano di garan?re che i nostri da? siano traGa? in modo leale , sicuro e rispe 7 oso dei nostri diri 3. La sfida contemporanea sta nel bilanciare queste regole con la realtà digitale , dove i big data e la raccolta massiva di informazioni rendono difficile stabilire a priori quali da? saranno necessari e per quanto tempo. TuGavia, i principi di minimizzazione, privacy by design e data reten?on aiutano a proteggere la nostra privacy senza ostacolare lo sviluppo tecnologico. ORIGINE STORICA DEL DIRITTO ALLA RISERVATEZZA DEL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI La protezione dei da? personali ( data protecDon) riguarda il modo in cui vengono raccolte e usate le informazioni che ci iden?ficano, come il nostro nome, il codice fiscale o i da? medici. Quando diamo queste informazioni — ad esempio allo
Stato per la dichiarazione dei reddi?, a una banca per aprire un conto o a un medico per una visita — lo facciamo in un contesto preciso. In quel contesto è normale che cer? da? vengano scambia?, ma se vengono usa? per altri scopi si traGa di un comportamento illecito , perché viola la nostra privacy. La data protecDon serve quindi a garan?re che chi usa i nostri daD lo faccia in modo corre 7 o e solo per gli scopi dichiaraD , e allo stesso tempo ci dà il diriGo di controllare le informazioni che ci riguardano: possiamo sapere come vengono usate, modificarle se sono sbagliate o chiederne la cancellazione quando non servono più. Il conceGo di privacy è legato all’idea di libertà. In passato , la libertà era vista come la possibilità di agire senza interferenze, cioè avere uno spazio privato in cui nessuno poteva entrare. Oggi , invece, la privacy è anche la libertà di controllare le informazioni su di noi, cioè decidere chi può conoscerle e come possono essere usate. Questo si chiama autodeterminazione informaDva. Nella nostra società digitale , dove le informazioni circolano con?nuamente, la privacy serve a difendere la parte più inDma della nostra vita da un eccesso di esposizione e di controllo. Significa poter scegliere cosa condividere e cosa tenere per sé, senza sen?rsi osserva? o giudica?. La parola “ privato ” deriva dal laDno privatus , che significa “ separato ” o “ messo da parte ” : qualcosa che non è accessibile a tu 3. Il contrario è “ pubblico ”, cioè ciò che appar?ene o riguarda la colle 3 vità o lo Stato. È importante disDnguere tra pubblico colleAvo (ciò che interessa la società nel suo insieme, come l’informazione o la libertà di parola) e pubblico statale (ciò che riguarda il potere e le is?tuzioni dello Stato). La privacy serve a proteggere l’individuo sia dalle interferenze degli altri ciGadini (si parla in questo caso di privacy orizzontale ) sia dal potere dello Stato (deGa privacy verDcale ). Nel tempo, la privacy è diventata un diri 7 o moderno , perché ha inverDto il rapporto tra individuo e Stato: se prima era lo Stato a dominare, la tradizione liberale ha messo al centro la libertà e la dignità del singolo , riconoscendogli il diriGo di avere uno spazio personale inviolabile. Con l’avvento delle nuove tecnologie , poi, sono na? nuovi pericoli per la riservatezza. Già alla fine dell’ORocento , con le prime macchine fotografiche e la stampa scandalis?ca, si seny il bisogno di difendere la vita privata dalle intrusioni dei media. Da qui nacque negli Sta? Uni? il conceGo di “diriRo di essere lascia& in pace” ( right to be let alone ). Oggi , con Internet e i social network , questo problema è ancora più grande: le informazioni si diffondono ovunque e restano online per sempre. Per questo si parla di diri 7 o all’oblio , cioè del diriGo di essere dimen?ca? e di poter cancellare i propri da? dal web. Anche lo Stato , nel nome della sicurezza, può invadere la privacy con strumen? di sorveglianza o interceGazioni. Questo apre il tema della privacy verDcale , cioè la necessità di proteggersi dal controllo pubblico. Come scrisse il giudice Brandeis già nel 1928, la privacy non riguarda solo la casa o gli oggeS personali ( spaDal privacy), ma anche le informazioni e la libertà morale delle persone ( informaDonal privacy). Concludendo è possibile affermare che la privacy può essere vista in due modi:
- come il diriGo di non essere osserva? e di mantenere uno spazio personale libero da intrusioni (libertà “ opaca ”);
- come il diriGo alla trasparenza da parte di chi usa i nostri da?, che deve agire in modo leale, correGo e chiaro. La trasparenza, quindi, non toglie libertà: serve a proteggere la nostra idenDtà e a garanDrci il controllo sui nostri daD. In questo equilibrio tra trasparenza e riservatezza si gioca l’essenza della protezione dei daD personali oggi. PRIVACY INVADING TECHNOLOGIES (PITs) E PRIVACY ENHANCING TECHNOLOGIES (PETs) A par?re dagli anni ’60 , lo sviluppo delle tecnologie informa?che ha portato a un’enorme crescita nella raccolta, memorizzazione e analisi di da? personali. Questo progresso ha permesso a pubbliche amministrazioni e imprese di migliorare efficienza e produAvità, ma ha anche sollevato serie preoccupazioni riguardo all’ uso improprio di queste informazioni. In par?colare, si è cominciato a parlare di Privacy Invading Technologies (PITs) , ossia tecnologie in grado di raccogliere, ges?re e manipolare enormi quan?tà di da?, con il rischio che Sta? o grandi aziende possano abusarne. Il ?more che fosse il potere pubblico a usare ques? strumen? per controllare i ciGadini non era infondato. Un tragico esempio storico è la Seconda Guerra Mondiale: i nazis? usarono da? personali deGaglia? dei ciGadini dei Paesi occupa?, con effe 3 devastan? sulle minoranze perseguitate. La precisione di ques? da? determinava direGamente l’efficacia delle persecuzioni, come dimostrano le differenze di percentuale di ciGadini olandesi, belgi e francesi vi 3 me del regime. Da queste esperienze nacque anche la dis?nzione tra daD comuni e daD sensibili , più delica? e meritevoli di tutela. Negli anni ’60 e ’70 , le prime reazioni legislaDve non tardarono ad arrivare. In Svezia, nel 1969 , il censimento automaDzzato suscitò una forte opposizione, per ?mori lega? alla possibilità che i da? venissero usa? dallo Stato per schedare i ciGadini. Il governo is?tuì allora una commissione per studiare il fenomeno e proporre inizia?ve legisla?ve. Pochi anni dopo, nel 1970 , lo Stato tedesco dell’Assia adoGò il primo Data ProtecDon Act al mondo, rivolto specificamente al tra 7 amento automaDzzato dei daD pubblici , is?tuendo un commissario indipendente per la protezione dei daD.
Il legislatore, in pra?ca, ha cercato una via di mezzo tra ques? due estremi. Ha scelto un approccio basato su principi generali , cioè leggi che fissano solo le linee guida e alcuni standard minimi di sicurezza, lasciando poi alla norma?va amministra?va il compito di aggiornare con?nuamente ques? standard in base all’evoluzione tecnologica. CLASSIFICAZIONE DELLE DIFFERENTI NORMATIVE Le leggi e le norme che, a livello nazionale e internazionale, stabiliscono misure di sicurezza per proteggere i daD e le tecnologie digitali sono molto varie e complesse. Esistono tanD ?pi diversi di disposizioni, che vengono classificate in modi differen? a seconda di chi le studia o le applica e degli obieAvi che si vogliono raggiungere. Una prima dis?nzione riguarda l’autorità che le ha emanate : alcune norme provengono da is?tuzioni nazionali (come lo Stato italiano), altre da organismi sovranazionali (come l’Unione Europea o le Nazioni Unite). Un’altra dis?nzione molto diffusa è tra:
- normaDve generali (deGe anche orizzontali o leggi omnibus ), che stabiliscono regole valide per tu 3 i seGori;
- normaDve se 7 oriali (deGe anche ver&cali ), che si applicano solo a determina? ambi?, come quello sanitario, della pubblica amministrazione o del sistema finanziario. In ambito tecnico o non giuridico, però, le leggi vengono spesso suddivise in base allo scopo praDco o al contesto di applicazione. In questo modo si parla di:
- Cybersecurity , cioè sicurezza informa?ca in senso generale;
- Data ProtecDon , cioè protezione dei da? personali;
- Cyber Warfare , cioè guerra ciberne?ca o sicurezza militare digitale. TuGavia, questa classificazione per “grandi categorie” non è sempre chiara, perché i confini tra ques? ambi? sono sfuma? e spesso si sovrappongono. Inoltre, gli stessi conce 3 di “ cybersecurity ”, “ data protec&on ” e “ cyber warfare ” non hanno definizioni precise e univoche. Per questo mo?vo, in questo capitolo si è scelto un approccio diverso: le norme sulla sicurezza digitale verranno presentate in base alla loro fonte (nazionale o sovranazionale) e al loro campo di applicazione concreto , senza adoGare la dis?nzione per “ macrocategorie ” (come cybersecurity o data protec?on). Infine, saranno escluse da questa analisi tuGe le norme che riguardano la sicurezza in ambito militare o le a 3 vità delle autorità competen? per la prevenzione, indagine e repressione dei reaD o per l’ esecuzione delle sanzioni penali , poiché queste seguono logiche e regole parDcolari. EVOLUZIONE STORICA DELLA NORMATIVA PER LA SICUREZZA DI SISTEMI INFORMATIVI, RETI E DATI È difficile stabilire con precisione quale sia stata la prima legge che abbia introdoGo regole sulla sicurezza di da?, re? e sistemi informa?ci. Già negli anni ’70 , infa 3 , in Europa e in Nord America esistevano norme che disciplinavano il traGamento dei da? personali tramite strumen? eleGronici. TuGavia, è solo negli anni ’80 che nascono i primi strumen? giuridici davvero significa?vi, des?na? a influenzare tu 7 e le normaDve successive in materia. Il primo e più importante è la Convenzione di Strasburgo del 1981 , emanata dal Consiglio d’Europa, ufficialmente chiamata “Conven&on for the Protec&on of Individuals with regard to Automa&c Processing of Personal Data”. Essa riprendeva le linee guida dell’OCSE del 1980 sulla privacy e obbligava gli Sta? membri ad a do 7 are leggi per proteggere i daD personali, imponendo misure di sicurezza “ adeguate ” per evitare distruzione, perdita, accesso o diffusione non autorizzata dei da?. Questo principio di “sicurezza adeguata” verrà poi ripreso dalla DireAva europea 95/46/CE del 1995, la prima vera norma?va comunitaria sulla protezione dei da? personali. Tale dire 3 va è diventata la base su cui tu 3 gli Sta? membri hanno costruito le proprie leggi nazionali in materia. Fuori dal campo specifico della protezione dei da? personali, però, una regolamentazione generale sulla sicurezza informaDca arrivò solo più tardi. Un passo fondamentale in questa direzione fu la pubblicazione , da parte dell’ OCSE nel 1992 , delle “Guidelines for the Security of Informa,on Systems”****. Queste linee guida — molto influen? a livello internazionale — raccomandavano di adoGare norme, procedure e praDche comuni per garan?re la sicurezza delle informazioni. Per la prima volta venivano espressi in modo organico i principi che ancora oggi sono alla base delle leggi sulla sicurezza digitale, tra cui: - la necessità di garan?re integrità, disponibilità e riservatezza dei sistemi e dei da?; - il principio di proporzionalità, che introduce l’idea di valutare i rischi e di ado 7 are misure adeguate in base alla gravità **delle minacce;
- il principio di accountability, cioè l’obbligo di a 7 ribuire ruoli e responsabilità precise a tuA coloro che gesDscono o** uDlizzano sistemi informaDci. L’interesse crescente verso ques? temi — anche grazie a successive raccomandazioni dell’OCSE — spinse mol? Paesi occidentali a introdurre norma?ve specifiche sulla sicurezza informaDca. In ambito europeo, questo portò alla nascita di
strategie comuni come la Digital Single Market Strategy (Strategia per il Mercato Unico Digitale) e la Cybersecurity Strategy (Strategia per la sicurezza informa?ca). Infine, anche i singoli StaD membri , tra cui l’Italia, hanno sviluppato proprie norme in materia di sicurezza dei sistemi informa?vi, sopraGuGo nei seGori di competenza nazionale , come la sicurezza nazionale o la digitalizzazione della Pubblica Amministrazione. I PRINCIPI COMUNI ALLE NORMATIVE IN MATERIA DI SISTEMI INFORMATIVI, RETI E DATI DELL'UNIONE EUROPEA Nel corso del tempo, le norme europee sulla sicurezza dei da?, delle re? e dei sistemi informa?vi si sono evolute e ampliate, fino a sviluppare una stru 7 ura comune. Oggi, infa 3 , la maggior parte delle norma?ve dell’Unione Europea in questo ambito condivide gli stessi principi di base , il che facilita l’interpretazione e l’applicazione pra?ca delle misure di sicurezza. Questo processo di uniformazione è talmente evidente che si parla di “Brussels Effect” , cioè dell’influenza che il modello norma?vo europeo — in par?colare quello del GDPR — ha esercitato non solo all’interno dell’UE ma anche a livello globale. Il modello di riferimento europeo in materia di sicurezza informaDca si fonda su tre elemen? principali:
1. Approccio basato sul rischio (risk-based approach) Le misure di sicurezza da adoGare non sono uguali per tu 3 , ma devono essere scelte in base ai rischi specifici di ciascun contesto. In altre parole, ogni organizzazione deve analizzare i propri rischi e individuare le soluzioni tecniche e organizza?ve più adeguate per ridurli. 2. Uso della soe law per integrare le regole Oltre alle norme vincolan? (come i regolamen? o le dire 3 ve), l’UE fa largo uso di strumen? di so law_ — linee guida, raccomandazioni, codici di condoGa — che aiutano a interpretare e applicare in modo concreto i principi generali stabili? dalle leggi. 3. GesDone degli incidenD informaDci (incident management) Le norma?ve prevedono l’obbligo di is?tuire sistemi e procedure per rilevare, ges?re e comunicare eventuali inciden? di sicurezza, come aGacchi informa?ci o violazioni dei da?. Questo modello si è progressivamente esteso a quasi tu 3 i seGori del diriGo europeo, ma non senza difficoltà.
‣ Da un lato, l’introduzione dell’approccio basato sul rischio ha suscitato^ ampie^ discussioni , perché^ richiede un certo grado
di autonomia e responsabilità ai sogge 3 coinvol?, che devono valutare da soli le misure da adoGare.
‣ Dall’altro^ lato,^ la^ diffusione^ di^ tante^ norma?ve^ diverse^ ma^ simili^ tra^ loro^ ha^ portato^ a^ un^ fenomeno^ di^ iper-
regolamentazione : in pra?ca, le stesse misure di sicurezza si ritrovano ripetute in più tes? di legge, creando sovrapposizioni e complessità applicaDve. Un esempio emblema?co è quello del se 7 ore bancario : un is?tuto che opera nell’Unione Europea deve rispeGare contemporaneamente le misure previste da più norma?ve — come il GDPR , la DireAva PSD2 e il Regolamento DORA — molte delle quali richiedono gli stessi adempimen?. Questo comporta un notevole dispendio di risorse sia per le aziende private sia per gli en? pubblici. L’APPROCCIO BASATO SUL RISCHIO Quando si parla di sicurezza informa?ca, una delle prime domande che ci si pone è: quali misure di sicurezza devono essere applicate ai sistemi informa,vi, alle re, e alle informazioni? A questa domanda, nel tempo, il Legislatore ha dato risposte diverse, che rispecchiano l’evoluzione della tecnologia e dei modi di intendere la protezione dei da?. In passato , l’Unione Europea ha seguito un modello rigido, chiamato “approccio basato su principi e norme” (in inglese right-based approach ). In pra?ca, la legge imponeva a tu 3 gli operatori gli stessi obblighi di sicurezza, senza fare dis?nzioni tra i diversi contes? o rischi. Per esempio , il vecchio Allegato B del Codice Privacy obbligava tu 3 gli operatori a cambiare il sistema opera?vo almeno una volta l’anno e a proteggere i sistemi informa?ci con una password di almeno oGo caraGeri. Chi non rispeGava queste regole era automa?camente in violazione della legge, anche se in cer? casi le misure erano inu?li o sproporzionate: troppo deboli per chi ges?va da? sensibili (come ospedali o infrastruGure cri?che) e troppo pesan? per chi aveva solo piccole a 3 vità. Questo ?po di approccio, quindi, fissava regole minime uguali per tuA , indipendentemente dal ?po di rischio. Era considerato un metodo “ paternalis&co ”, perché era il Legislatore a decidere per tuA quali misure adoGare, senza tenere conto delle diverse realtà opera?ve. Il problema principale era che la tecnologia cambia rapidamente, mentre le leggi restano staDche : così, le norme diventavano presto obsolete. Per cercare di risolvere questo problema, alcuni legislatori proposero le cosiddeGe “sunset laws” o “sunset clauses” , cioè leggi con una scadenza temporale. L’idea era di obbligare il Legislatore a rivedere periodicamente le norme, così da mantenerle sempre aggiornate. TuGavia, questa soluzione non ebbe grande successo nel campo della sicurezza informa?ca.
Un altro elemento fondamentale delle norma?ve basate sul rischio è la definizione di obieAvi di sicurezza. Con queste disposizioni, il legislatore non indica in modo preciso quali misure di sicurezza adoGare, ma piuGosto quali risultaD devono essere raggiun? dai sogge 3 a cui la norma si applica. In sostanza, l’aGenzione si sposta dal “che cosa fare” al “perché farlo” : ciò che conta è assicurare che, dopo l’analisi dei rischi e la scelta delle misure più adaGe, si garan?scano determina? livelli di protezione. Ques? obie 3 vi vengono solitamente espressi aGraverso la classica triade della sicurezza informaDca :
- Riservatezza , - Integrità , - Disponibilità. Si traGa dei tre principi fondamentali introdo 3 nei Common Criteria for Informa&on Technology Security Evalua&on del Common Criteria RecogniDon Arrangement , oggi conflui? nella norma?va internazionale ISO/IEC 15408 (pubblicata dall’OCSE nel 1992) e ripresi anche nelle “Guidelines for the Security of InformaDon Systems” dello stesso organismo. Sebbene né il diriGo dell’Unione Europea né quello nazionale forniscano una definizione giuridica formale di ques? conce 3 , le linee guida dell’OCSE rappresentano un punto di riferimento consolidato:
- Disponibilità : capacità dei da?, delle informazioni e dei sistemi informa?vi di essere accessibili e u?lizzabili tempes?vamente, quando e come necessario;
- Riservatezza : capacità dei da? e delle informazioni di essere accessibili solo a persone, en?tà o processi autorizza?, nei modi e nei tempi stabili?;
- Integrità : capacità dei da? e delle informazioni di essere accura? e comple?, e di mantenere tali caraGeris?che nel tempo. Ques? obie 3 vi sono richiama?, con lievi differenze, nella maggior parte delle norma?ve europee in materia di sicurezza informa?ca: dal GDPR al Cyber Resilience Act , dal Regolamento DORA fino alle DireAve PSD2 e NIS. Anche in questo caso, dunque, il legislatore affida al soggeGo che deve applicare la norma la responsabilità di individuare nel de 7 aglio le misure di sicurezza più appropriate , limitandosi a indicare solo il fine ulDmo da raggiungere. La scelta concreta degli strumen? avviene dopo l’analisi del rischio , spesso con l’aiuto delle soe law , che forniscono indicazioni opera?ve e interpreta?ve più specifiche. LA GESTIONE DEGLI INCIDENTI INFORMATICI Un altro ambito fondamentale della sicurezza informa?ca riguarda la gesDone e la segnalazione degli incidenD informaDci. Questo tema integra e completa le norme che impongono di adoGare misure di sicurezza per la protezione di re?, sistemi e da?: mentre queste ul?me servono a prevenire gli aGacchi o i danni, la ges?one degli inciden? entra in gioco dopo che un evento dannoso si è verificato, per limitare le conseguenze e prevenirne di futuri. Oggi, quasi tuGe le norma?ve in materia di sicurezza prevedono regole specifiche su come ges?re e segnalare gli inciden?. Questa tendenza ha avuto origine dalle linee guida dell’OCSE sulla privacy , che per prime hanno proposto un approccio basato sul rischio anche nella fase di no?fica degli inciden? ( “ risk-based approach to no,fica,on ” ). L’Unione Europea ha poi faGo propria questa impostazione, inserendola nella versione defini?va del GDPR , che ha reso obbligatoria la noDfica degli inciden? in determinate circostanze. Le principali fasi e obbligazioni comuni alle diverse norma?ve possono essere così riassunte: 1. Valutazione dei rischi derivanD dall’incidente È il primo passo, e rappresenta un adempimento sempre necessario. Consiste nell’analizzare la gravità dell’evento per capire se ha compromesso i sistemi, i da? o i diri 3 delle persone coinvolte. Solo dopo questa analisi è possibile stabilire se l’incidente debba essere no?ficato all’Autorità competente o comunicato agli interessa?. Anche se non esiste una metodologia unica stabilita dalla legge, le autorità europee o nazionali forniscono linee guida per orientare tale valutazione. 2. Documentazione interna dell’incidente Tu 3 gli inciden? devono essere registraD e documentaD , insieme alla descrizione dell’evento e all’analisi del rischio svolta, anche se si ri?ene che non vi siano conseguenze gravi. Questo obbligo garan?sce la tracciabilità e la possibilità di **verifiche successive.
- NoDfica all’Autorità competente** Quando l’analisi del rischio mostra che l’incidente ha una certa gravità, è necessario informare l’Autorità di riferimento (ad esempio il Garante Privacy o l’autorità nazionale per la cybersicurezza). Questo consente all’Autorità di: verificare che l’organizzazione abbia rispeGato gli obblighi di sicurezza; collaborare per contenere i danni; informare altri operatori del seGore per prevenire even? simili; eventualmente, sanzionare le violazioni. 4. Comunicazione ai soggeA interessaD
In alcuni casi è necessario informare anche gli individui o le organizzazioni coinvolte. Lo scopo è permeGere loro di conoscere i rischi a cui sono espos?, di esercitare i propri diri 3 e di adoGare misure di autotutela (ad esempio, cambiare le password o richiedere il risarcimento di eventuali danni). Le norme stabiliscono poi soglie di gravità diverse a seconda del seGore:
- nel GDPR , la no?fica è obbligatoria quando la violazione può comportare un rischio per i diri 3 e le libertà delle persone;
- nella DireAva NIS2 , l’obbligo sorge quando l’incidente ha un impaGo significa?vo sul servizio essenziale dell’organizzazione coinvolta. Un aspeGo cruciale è il tempo di noDfica : la legge impone di segnalare l’incidente entro termini molto brevi (nel caso del GDPR, 72 ore). Questo perché la tempesDvità è fondamentale per limitare i danni e a 3 vare subito le contromisure. La mancata no?fica entro i tempi stabili?, senza una gius?ficazione valida, comporta sempre sanzioni. Le norme sulla ges?one degli inciden? informa?ci mirano a: - garan?re una reazione rapida e documentata agli even? avversi;
- coinvolgere le autorità competen? per ridurre gli impa 3 ;
- informare i sogge 3 potenzialmente colpi?; - promuovere la trasparenza e la prevenzione di futuri inciden?. L’obie 3 vo finale è duplice : limitare i danni dell’incidente per chi lo subisce e evitare che le conseguenze si propaghino ad altri sogge 3 o organizzazioni ignare del rischio. LE NORMATIVE PIÙ RILEVANTI IN MATERIA DI SISTEMI INFORMATIVI, RETI E DATI NELL'UNIONE EUROPEA Il panorama norma?vo europeo in materia di sicurezza informaDca è oggi estremamente ar?colato e in con?nua espansione. Negli ul?mi decenni, l’Unione Europea ha perseguito la regolamentazione del seGore digitale aGraverso due strategie principali: il Mercato Unico Digitale e la Strategia sulla Cibersicurezza. L’obie 3 vo dichiarato è duplice:
‣ sviluppare un mercato interno digitale armonizzato
‣ e, al contempo,^ garanDre standard elevaD^ di sicurezza e protezione dei ci^7 adini.
Dietro a questa scelta c’è anche la volontà di rafforzare la sovranità digitale europea , regolamentando piaGaforme, da? e prodo 3 eleGronici. L’approccio europeo si basa su un modello unitario di regolazione , un “golden standard norma&vo” , applicabile a diversi ambi?. Non si traGa più di norme isolate o limitate a pochi sogge 3 , ma di regole orizzontali , generali e applicabili potenzialmente a milioni di individui, imprese e pubbliche amministrazioni. Tra le norma?ve principali a caraGere orizzontale troviamo:
- GDPR : ha introdoGo il conceGo di misure di sicurezza basate sul rischio , con l’individuazione degli obie 3 vi di sicurezza informa?ca (riservatezza, integrità, disponibilità) e l’obbligo di no?ficare le violazioni dei da? all’Autorità entro 72 ore, se l’incidente può comportare rischi per i diri 3 e le libertà degli individui.
- Cyber Resilience Act (CRA): des?nato a fabbrican? di prodo 3 digitali (so{ware e hardware connessi), prevede obblighi di sicurezza simili al GDPR ma focalizza? sulle vulnerabilità sfru 7 ate dei prodoA digitali , da no?ficare all’ENISA entro 24 ore dal momento in cui il produGore ne viene a conoscenza. Diversamente dal GDPR, non impone la no?fica di tu 3 gli inciden?, ma solo delle vulnerabilità aAvamente sfru 7 ate. Parallelamente, la strategia europea ha generato norme verDcali , indirizzate a seGori specifici: Regolamento DORA (Digital OperaDonal Resilience Act) : riguarda gli operatori finanziari e mira a garan?re un elevato livello di resilienza operaDva digitale. Prevede:
- implementazione di misure di sicurezza tecniche e organizza?ve;
- ges?one dei rischi informa?ci con documentazione esaus?va;
- controllo della supply chain dei fornitori di servizi e prodo 3 digitali;
- no?fica degli inciden? frazionata in tre fasi : 24 ore per la no?fica iniziale, 72 ore per la no?fica intermedia, 1 mese per il report finale deGagliato su cause, conseguenze e mi?gazioni.
- DireAva NIS2 : si rivolge a soggeA essenziali e importanD , ossia en? pubblici o priva? operan? in seGori strategici. Come DORA, richiede misure di sicurezza basate sul rischio e obblighi di no?fica frazionata per inciden? con impa 3 significa?vi. Si dis?ngue per le disposizioni rela?ve alle cerDficazioni di sicurezza , con possibilità per gli Sta? membri di imporre l’uso di prodo 3 e servizi informa?ci cer?fica? secondo gli standard europei. Regole per l’intelligenza ificiale CLIPSAPIENS Il racconto di ClipSapiens rappresenta un esempio estremo, ma molto efficace, dei rischi che possono derivare da un uso incontrollato dell’intelligenza ar?ficiale. In questa storia, l’IA, programmata con un unico obieAvo – massimizzare la produzione di graffeGe – lo persegue in modo così le 7 erale e cieco da distruggere tuGo ciò che incontra, trasformando ogni risorsa, persino la vita umana, in materiale u?le ai propri fini.
un sistema apprende se la sua capacità di svolgere un compito migliora con l’esperienza, misurata aGraverso una metrica di prestazione. Ad esempio , se un algoritmo riduce progressivamente il numero di errori di classificazione man mano che viene addestrato su nuovi da?, possiamo dire che sta apprendendo. Come ricorda Pedro Domingos, ogni problema di machine learning può essere scomposto in tre elemenD principali:
- Rappresentazione: definizione del modello, cioè come vengono rappresenta? il compito e i da? di esperienza.
- OAmizzazione: processo con cui il modello viene “allenato” sui da? di addestramento per migliorare le sue prestazioni.
- Valutazione: misurazione dell’efficacia del modello, applicandolo a un insieme di da? nuovi (da? di test) per verificare se le sue previsioni si generalizzano correGamente. MODELLI DI REGOLAMENTAZIONE Il dibaAto globale sulla regolamentazione dell’intelligenza arDficiale (AI) si ar?cola oggi aGorno a tre grandi modelli normaDvi — anglosassone, cinese ed europeo — che rifleGono differen? visioni poli?che, economiche e culturali su come bilanciare innovazione, sicurezza e tutela dei diri 3. Il modello anglosassone Il modello anglosassone (Sta? Uni? e Regno Unito) si fonda su un approccio flessibile e pro-innovazione , spesso descriGo come “ laissez-faire ”. L’obie 3 vo principale è favorire lo sviluppo tecnologico, lasciando ampi margini di libertà alle imprese e preferendo linee guida eDche e meccanismi di autoregolamentazione rispeGo a vincoli giuridici rigidi.
‣ StaD^ UniD
Negli Sta? Uni?, l’orientamento più recente è rappresentato dal “Execu,ve Order on Safe, Secure, and Trustworthy Ar,ficial Intelligence” , firmato da Joe Biden il 30 o 7 obre 2023. L’ordine esecuDvo:
- mira a garanDre la sicurezza, la protezione e l’affidabilità dei sistemi di AI;
- promuove standard e metodologie di test per assicurare che i sistemi siano sicuri e rispeAno la privacy ;
- aGribuisce compiD specifici alle agenzie federali, incaricate di sviluppare poli?che coordinate e condividere buone pra?che;
- incenDva la cooperazione pubblico-privato , considerata essenziale per un’innovazione “ responsabile ”;
- pone a 7 enzione agli impaA sociali dell’AI, alla non discriminazione e all’uso equo e trasparente delle tecnologie. L’approccio statunitense, quindi, tende a bilanciare sicurezza e libertà di impresa , lasciando però al mercato e alle agenzie seGoriali ampi spazi di azione.
‣ Regno Unito
Il governo britannico , invece, ha scelto una regolamentazione “ leggera ” , senza introdurre nuove leggi specifiche. Il modello prevede:
- una sorveglianza regolamentare decentralizzata , affidata ai singoli regolatori di seGore (sanità, finanza, traspor?, ecc.);
- l’applicazione di principi di alto livello – sicurezza, trasparenza, equità, responsabilità e adaGabilità – all’interno dei poteri esisten?;
- la flessibilità normaDva , con linee guida che si adaGano all’evoluzione tecnologica;
- un dialogo costante con le parD interessate per aggiornare gli approcci regolamentari. Questo modello, simile a quello statunitense, privilegia la rapidità dell’innovazione, ma rischia di lasciare alcune zone grigie in termini di tutela dei diri 3 e sicurezza. Il modello cinese Il modello cinese si dis?ngue per un’impostazione fortemente centralizzata e verDcale , in cui lo Stato esercita un controllo dire 7 o e pervasivo sullo sviluppo e sull’uso dell’AI. Non esiste una legge generale sull’intelligenza ar?ficiale, ma una serie di norme se 7 oriali che disciplinano diversi ambi?, dal controllo dei contenu? alla sicurezza nazionale. Cara 7 erisDche principali:
- L’AI è integrata nelle strategie nazionali di sviluppo e sicurezza, con finalità che comprendono sorveglianza, controllo sociale e compe??vità tecnologica.
- La privacy individuale e le libertà personali risultano subordinate agli interessi statali.
- Le autorità possono imporre standard rigidi su contenuD e algoritmi , limitando l’uso di tecnologie ritenute pericolose o destabilizzan?. Esempi recenD:
- “Misure provvisorie per l’amministrazione dei servizi di intelligenza arDficiale generaDva” (agosto 2023): primo quadro norma?vo specifico per regolare i contenu? genera? da AI. Stabilisce regole deGagliate su conformità dei da?, ges?one degli algoritmi e responsabilità dei fornitori.
- Revisione della legge sui segreD di Stato (maggio 2024): estende la protezione anche ai cosidde 3 “ segreD di lavoro ”, comprese le informazioni sensibili legate alle tecnologie emergen?, come l’AI.
- Giurisprudenza innovaDva: la Beijing Internet Court ha riconosciuto per la prima volta diri 3 d’autore su un’immagine generata da AI (caso Li vs blogger ), valorizzando la creaDvità e l’impegno intelle 7 uale umano nella definizione dei prompt e dei parametri di generazione. Questo modello consente rapida implementazione e coordinamento nazionale, ma solleva seri dubbi sulla libertà individuale, sulla trasparenza e sui diri 3 digitali. Il modello europeo L’ approccio europeo si dis?ngue per la sua visione umanocentrica : l’obie 3 vo non è solo promuovere l’innovazione, ma farlo nel rispeGo della dignità, dei diriA fondamentali e della trasparenza. L’UE si muove verso un framework normaDvo unitario che regoli l’intero ciclo di vita dell’AI, dalla progeGazione all’u?lizzo. Già con il GDPR (General Data ProtecDon RegulaDon) , l’Unione ha introdoGo principi fondamentali come: - la protezione dei daD personali ; - la trasparenza algoritmica ; - la responsabilità (accountability) degli operatori tecnologici. Ques? principi sono ora ampliaD e rafforzaD nel nuovo AI Act, che rappresenta il primo tentaDvo organico al mondo di regolamentare l’intelligenza arDficiale su base di rischio. L’approccio europeo tende a essere più prudente e prescriAvo rispeGo agli altri modelli, il che può rallentare l’adozione tecnologica, ma garanDsce un quadro giuridico più stabile e sostenibile nel lungo periodo. In conclusione, ogni modello rispecchia la filosofia poliDca del proprio contesto :
- gli StaD UniD e il Regno Unito puntano sulla libertà d’impresa;
- la Cina sull’ordine e la sicurezza nazionale;
- l’ Europa sulla protezione della persona e la responsabilità sociale. Il futuro della governance globale dell’intelligenza ar?ficiale dipenderà sempre più dalla capacità di ques? tre poli di armonizzare innovazione e tutela , evitando che la corsa all’AI si traduca in un confliGo tra efficienza tecnologica e diri 3 umani. IL REGOLAMENTO EUROPEO SULL’INTELLIGENZA ARTIFICIALE Il Parlamento Europeo ha approvato l’ ArDficial Intelligence Act (AI Act) a maggio 2024. La legge è stata poi pubblicata sulla Gazze 7 a ufficiale dell’Unione europea il 12 luglio 2024 ed è entrata in vigore il 1° agosto 2024. Da quella data iniziano a decorrere i vari termini previsD dal testo. L’AI Act fa parte della strategia europea “Europe fit for the digital age” , che punta a favorire uno sviluppo tecnologico sicuro e responsabile. La norma?va definisce in modo chiaro che cosa si intende per “sistema di intelligenza ar,ficiale” : un sistema basato su macchine, capace di funzionare in modo più o meno autonomo, che può anche imparare o adaGarsi dopo essere stato messo in uso. Ques? sistemi analizzano i da? ricevu? e, in base a essi, generano previsioni, contenuD, raccomandazioni o decisioni che possono influenzare il mondo reale o digitale. Il regolamento soGolinea che si parla di intelligenza ar?ficiale solo quando si va oltre i programmi “ tradizionali ” , cioè quelli che eseguono semplicemente istruzioni scriGe da persone senza alcuna capacità di apprendimento o adaGamento. L’obieAvo principale dell’AI Act è assicurare che l’intelligenza ar?ficiale venga usata in modo sicuro, trasparente e corre 7 o , evitando discriminazioni e riducendo al minimo gli impa 3 nega?vi sull’ambiente e sulla società. Per farlo, la legge adoGa un approccio basato sul rischio : a seconda del livello di rischio che un sistema di IA può comportare, vengono stabili? obblighi diversi per chi lo sviluppa o lo u?lizza. I rischi vengono classifica? in qua 7 ro categorie :
- Rischio inacce 7 abile , per sistemi che non possono essere usa? affaGo;
- Rischio elevato , per cui servono regole rigide e controlli approfondi?;
- Rischio limitato , che richiede solo alcune misure di trasparenza;
- Rischio minimo o nullo , per cui non sono previste par?colari restrizioni. Le praDche proibite La norma?va europea sull’intelligenza ar?ficiale vieta una serie di pra?che considerate troppo rischiose, con l’obie 3 vo di proteggere i diriA fondamentali delle persone e di evitare abusi, sopraGuGo nei confron? dei sogge 3 più vulnerabili. In par?colare, l’ AI Act proibisce:
Esempi possono essere:
- videogiochi basa? sull’intelligenza ar?ficiale;
- applicazioni di intraGenimento o di u?lità, come filtri fotografici o app che generano musica o tes? per diver?mento;
- strumen? che non prendono decisioni che influenzano direGamente la vita delle persone. Per questo mo?vo, tali sistemi non sono soggeA a regole specifiche dell’AI Act , se non alle norme generali di sicurezza e responsabilità già previste per i prodo 3 in generale. Sistemi a rischio limitato Ques?, invece, possono comportare qualche rischio , ma in modo contenuto e facilmente ges?bile. Esempi ?pici sono:
- assistenD virtuali o chatbot che ges?scono informazioni personali, ma con controlli chiari per proteggere la privacy;
- sistemi di raccomandazione per video, musica o prodo 3 online, che influenzano le preferenze dell’utente ma senza conseguenze direGe sui suoi diri 3. Per ques? sistemi la legge richiede alcune misure di trasparenza , come:
- informare chiaramente l’utente che sta interagendo con un’intelligenza ar?ficiale e non con una persona;
- adoGare linee guida eDche per evitare usi impropri;
- garan?re accountability , cioè la possibilità di risalire a chi è responsabile del sistema e delle sue decisioni. La differenza principale:
- I sistemi a rischio nullo sono quasi totalmente liberi da obblighi specifici: possono essere sviluppa? e usa? senza autorizzazioni par?colari.
- I sistemi a rischio limitato , invece, devono rispeGare alcune regole di trasparenza e corre 7 ezza per proteggere gli uten? e prevenire abusi. In sostanza, questo approccio “ a più livelli” consente all’Unione Europea di favorire l’innovazione tecnologica senza rinunciare alla tutela dei ci 7 adini , adaGando il grado di controllo al ?po e alla gravità dei rischi connessi all’uso dell’intelligenza ar?ficiale. Regole per i servizi digitali PREMESSA L’arrivo di Internet ha cambiato in modo profondo la società: il suo sviluppo rapido e la sua diffusione capillare rappresentano un vero punto di svolta nella storia dell’umanità, tanto che possiamo dis?nguere facilmente un “ prima ” e un “ dopo ” la sua comparsa. Basta guardare alle innovazioni che si sono diffuse dagli anni 2000 in poi per capire quanto siano cambiate le nostre abitudini, il modo di comunicare e perfino la percezione del mondo che ci circonda. Oggi possiamo parlare, scrivere e condividere informazioni in tempo reale con persone lontanissime grazie alla posta ele 7 ronica, ai messaggi istantanei e ai social network, che ci danno l’illusione di poter raggiungere chiunque , anche personaggi famosi. È diventato semplic e archiviare e diffondere foto, video e ricordi : prima solo con gli amici più stre 3 , poi con cerchie sempre più ampie, fino ad arrivare a condividerli con chiunque sia online. Internet ha anche rivoluzionato l’informazione e l’intra 7 enimento: possiamo leggere no?zie da tuGo il mondo in tempo reale, scegliere tra film, musica e serie senza limi? di tempo o luogo, e perfino lavorare o fare acquis? da casa. TuGo sembra a portata di mano, immediato, disponibile in qualsiasi momento. Con il tempo, però, ciò che doveva essere solo un aiuto si è trasformato in una vera e propria dipendenza : oggi essere “sempre connessi” è diventato quasi indispensabile. La vita online occupa sempre più spazio, e i rappor? con il mondo reale sembrano passare in secondo piano. Negli ul?mi ven?cinque anni, i social network sono diventa? centrali : na? per favorire la comunicazione, oggi sono strumen? essenziali per promuovere prodo 3 , farsi conoscere, fare poli?ca e persino costruire la propria immagine professionale. Allo stesso modo, il commercio ele 7 ronico (e-commerce) ha rivoluzionato il mercato, permeGendo di comprare qualsiasi cosa, in qualsiasi momento. Anche i media tradizionali si sono adaGa?, offrendo servizi “ on demand ” per soddisfare subito i desideri degli uten?. TuGo questo progresso tecnologico si è diffuso rapidamente , anche perché Internet è stato percepito come un mondo “ gratuito ”. Ma è davvero così? Qual è la vera natura dei servizi digitali? Per rispondere, bisogna guardare al lavoro del Legislatore europeo , che negli ul?mi anni ha approvato nuove norme per affrontare i rischi e le complessità del digitale. L’Unione Europea, infa 3 , pur volendo favorire la libera circolazione di persone, beni, servizi e capitali, ha riconosciuto la necessità di regole per proteggere utenD e mercato. Negli ul?mi anni, l’UE ha agito su tre fron? principali:
- Tutela dei consumatori , con la DireAva (UE) 2019/770 , che regola i contra 3 di fornitura di contenu? e servizi digitali, garantendo diri 3 chiari agli uten? e definendo le responsabilità dei fornitori.
- Regolazione delle pia 7 aforme online , con il Regolamento (UE) 2022/2065 , noto come Digital Services Act (DSA) , che stabilisce regole e obblighi per gli intermediari digitali, come i social e i marketplace, in tema di contenu? e traGamento dei da?.
- Tutela della concorrenza , con il Regolamento (UE) 2022/1925 , deGo Digital Markets Act (DMA) , che mira a limitare il potere dei grandi colossi digitali (i cosidde 3 gatekeeper ), per garan?re concorrenza leale e libertà di scelta agli uten?. Queste tre norme formano un sistema “a cerchi concentrici”: **- il primo protegge i consumatori,
- il secondo regola i fornitori di servizi digitali,
- il terzo controlla i grandi operatori che dominano il mercato.** Questa struGura mostra come la rivoluzione digitale, pur portando grandi vantaggi, compor? anche rischi concreD per la libertà e i diri 3 fondamentali delle persone. Infine, va notato che l’Unione Europea ha usato strumen? diversi a seconda degli obie 3 vi:
- La DireAva 2019/770 si rivolge agli StaD membri , che devono recepirla nelle proprie leggi nazionali, per garan?re regole comuni e coeren?.
- Il DSA e il DMA , invece, si applicano dire 7 amente alle imprese che operano nel digitale, così da creare regole uguali in tuGa Europa e tutelare in modo uniforme gli uten?, indipendentemente dal Paese in cui si trovano. IL SOTTILE CONFINE TRA DIGITALE E FISICO Non tuGo ciò che è “ digitale ” o che si trova in formato digitale rientra automaDcamente nella norma?va europea sui servizi digitali, e allo stesso modo non tuGo ciò che è “ fisico ” ne è escluso. Può sembrare un gioco di parole, ma in realtà questo è un conce 7 o fondamentale per capire quando una legge del digitale si applica e quando no, in un contesto che, per la sua complessità e con?nua evoluzione, può essere difficile da interpretare. Per aiutare ciGadini e operatori del diriGo a orientarsi, il Legislatore europeo ha adoGato un approccio chiaro e “ didaSco ”: invece di creare categorie troppo rigide (che rischierebbero di diventare obsolete in poco tempo), ha preferito fornire definizioni e criteri praDci, spiegaD anche nei considerando delle norme. In questo quadro, possiamo dis?nguere due estremi:
- (^) da un lato, il contenuto digitale , cioè i da? prodo 3 e forni? in formato digitale (come un file audio, un e-book o un’app);
- (^) dall’altro, i beni fisici , ossia gli ogge 3 materiali. Tra ques? due estremi si collocano i servizi digitali , la cui definizione è chiarita nella DireAva (UE) 2019/. Secondo questa dire 3 va, un “servizio digitale” non è semplicemente un qualsiasi servizio offerto tramite Internet, ma soltanto: A. un servizio che permeGe al consumatore di creare, modificare, archiviare o accedere a daD digitali ; oppure B. un servizio che consente di condividere daD digitali (propri o di altri uten?) o di interagire con tali da?. In altre parole, ciò che conta non è il modo in cui il servizio viene offerto o chi lo fornisce, ma l’ogge 7 o principale del servizio , cioè se riguarda un contenuto digitale, e il Dpo di utente , ossia il consumatore. Gli altri uten? entrano in gioco solo se partecipano alla creazione o alla condivisione dei contenu?. Questa definizione non è stata modificata nemmeno dopo l’entrata in vigore del Digital Services Act (DSA) e del Digital Markets Act (DMA) , che pure disciplinano il mercato digitale e la concorrenza tra piaGaforme online. Dunque, per l’Unione Europea, un servizio digitale è quello che consente la creazione, la ges?one o la condivisione di da? digitali da parte o a favore del consumatore, a prescindere dal supporto su cui tali daD si trovano. Questo significa che un servizio resta “ digitale ” anche se è fornito tramite un oggeGo fisico, purché l’elemento digitale sia la parte principale del servizio. Questa impostazione rifleGe i profondi cambiamen? introdo 3 da Internet. Ad esempio , un’app per smartphone o un e-book acquistato online sono chiaramente contenu? digitali. TuGavia, lo stesso vale se vengono vendu? su suppor? fisici (come CD, DVD o schede di memoria): in ques? casi, il supporto è solo un mezzo per veicolare il contenuto digitale, e quindi la norma?va applicabile resta quella sui contenu? e servizi digitali. È importante però fare una dis?nzione: la presenza di un elemento digitale su un supporto fisico non basta da sola a far rientrare quel prodoGo nella norma?va sui servizi digitali. Ciò accade solo se l’elemento digitale rappresenta l’aspe 7 o principale dell’interesse del consumatore , mentre il bene materiale è solo un “ ve 8 ore ” o un supporto tecnico. Viceversa, quando l’elemento digitale è semplicemente una delle cara 7 erisDche del bene fisico (e serve al suo funzionamento), allora si parla di beni con elemenD digitali. Secondo la norma?va europea, rientrano in questa categoria i “beni mobili materiali che incorporano o sono interconnessi con un contenuto o un servizio digitale, in modo tale che senza di esso il bene non funzionerebbe”. Un esempio classico è quello degli smartphone, tablet o smart TV : ques? disposi?vi includono (o consentono di installare) applicazioni e funzioni digitali che sono parte integrante della loro u?lità. In ques? casi, si applica la norma?va sui beni materiali , non quella sui servizi digitali. Al contrario, restano regola? dalla dire 3 va sui contenu? e servizi digitali tu 3 quei file, app o programmi che l’utente decide di installare in un secondo momento, separatamente dal disposi?vo (come musica scaricata, giochi o app aggiun?ve). LA DIRETTIVA SUI CONTENUTI E SERVIZI DIGITALI E I SUOI EFFETTI DIROMPENTI