Tre fatti della scorsa settimana hanno confermato che il mercato digitale deve poggiare su regole chiare, nel contesto internazionale, europeo e italiano.
Partiamo da casa nostra. Da due casi importanti legati alle attività del Garante della Privacy. Il primo riguarda un importante data breach avvenuto nel 2018 che il Garante della Privacy ha pesantemente sanzionato, e che coinvolge una primaria banca italiana e il system intergrator che ha gestito gli aspetti di sicurezza. Il secondo riguarda il tema dell’intelligenza artificiale, l’attenzione che il Garante riversa sugli sviluppi futuri legati ai nuovi annunci di OpenAI. Per passare poi al terzo fatto, europeo, l’entrata in vigore del Digital Markets Act che frena Apple, Alphabet, Meta, Amazon, Microsoft, ByteDance.
Primo fatto
Dopo anni di istruttoria, il Garante della privacy ha sanzionato UniCredit con una multa da 2,8 milioni di euro per violazione dei dati personali di migliaia di clienti ed ex clienti, per una violazione avvenuta nel 2018 e, con un secondo provvedimento, ha sanzionato con una multa da 800mila euro la società incaricata di effettuare i test di sicurezza, Ntt Data Italia. Per definire l’entità della sanzione il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca, mentre tra le attenuanti ha preso in considerazione la tempestiva adozione di misure correttive, le iniziative di informazione nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.
“Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente” afferma la nota emessa da Garante che continua: “Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti attaccati, aveva comportato anche l’individuazione del Pin di accesso al portale. I dati erano resi disponibili nella risposta Http fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking”.
Nel corso della complessa attività istruttoria, erano state rivelate diverse violazioni della normativa sulla privacy, in particolare, “l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare Pin deboli”.
L’intervento dell’Autorità nei confronti di Ntt Data Italia, invece, si deve alla seguente motivazione. “Dalle verifiche effettuate dal Garante, in particolare è emerso che Ntt Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno. Inoltre, Ntt Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività”.
Ma in una nota giunta in redazione da Ntt Data Italia, l’azienda dichiara che impugnerà in tribunale il provvedimento del Garante, confermando il suo impegno nel garantire elevati standard di conformità agli obblighi in materia di protezione dei dati personali. La motivazione: “Ntt Data Italia non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate”.
Un provvedimento che, in ogni caso, farà storia perché ribadisce che non solo il titolare dei dati è responsabile della violazione dei dati ma lo è anche il responsabile della sicurezza, chiamato a risponderne e a pagare per i danni arrecati.
Secondo fatto
L’8 marzo il Garante Privacy ha avviato una istruttoria nei confronti di OpenAI (già in passato oggetto di osservazione) per il nuovo modello di intelligenza artificiale, denominato Sora, in grado di creare scene dinamiche, realistiche e fantasiose, partendo da poche istruzioni testuali.
L’istruttoria, in cui il garante chiede a OpenAI di fornire una serie di chiarimenti, è stata avviata “considerate le possibili implicazioni che il servizio Sora potrebbe avere sul trattamento dei dati personali degli utenti che si trovano nell’Unione europea e in particolare in Italia”. La risposta – richiesta entro 20 giorni – riguarderà diversi quesiti per capire se il nuovo modello di intelligenza artificiale sarà un servizio disponibile al pubblico in Europa e in Italia, quali saranno le sue modalità di addestramento (fonti, dati utilizzati, categorie escluse come convinzioni religiose, filosofiche, opinioni politiche, dati genetici, salute, vita sessuale), quali i suoi limiti.
Una istruttoria che ribadisce quanto l’Europa (e l’Italia) nella partita tecnologia sull’AI – che si gioca soprattutto nei grandi centri di ricerca e nelle aziende americane (OpenAI in primis) e cinesi – ponga attenzione sugli aspetti normativi ed etici, pronta a promulgare l’AI Act, la prima legge a livello mondiale che detta confini a utilizzi leciti dell’AI stessa.
Terzo fatto
Dal 7 marzo è pienamente operativo il nuovo regolamento sui mercati digitali voluto dalla commissione europea, il Digital Markets Act (Dma), per arginare gli abusi degli operatori dominanti (gatekeeper) e dar vita a un mercato digitale più competitivo, nel quale possano crescere anche operatori digitali più piccoli e dove i consumatori europei potranno avere più scelta tra concorrenti.
“A partire dal 7 marzo, le grandi piattaforme concepite come gatekeeper devono rispettare precisi obblighi o incorrere in pesanti sanzioni“ precisa Thierry Breton, commissario europeo per il mercato interno confermando il “D-day per il Digital Markets Act” , dopo anni in cui si è cercato con procedure non sempre chiare di porre fine alle pratiche anticoncorrenziali dei colossi di Internet.
Fissate regole precise per i servizi digitali principali – browser Internet, servizio di mappatura, applicazioni, pubblicità online, app store… – e confermati gli obblighi e i doveri per Apple, Alphabet, Meta, Amazon, Microsoft e ByteDance (le sei big tech gatekeeper designate il 6 settembre 2023 dalla Commissione Europea) che devono rispettare e dimostrare la loro effettiva conformità al regolamento sui mercati digitali, descrivendo le misure adottate attraverso relazioni di conformità.
Sei piattaforme molto potenti, con un fatturato annuo di almeno 7,5 miliardi di euro generato all’interno dell’Unione Europea negli ultimi tre anni, una valutazione di mercato superiore ai 75 miliardi di euro, almeno 45 milioni di utenti finali mensili e 10 mila utenti aziendali, il controllo di uno o più servizi di piattaforma di base in almeno tre paesi membri dell’Unione. Aziende a cui fanno capo i servizi digitali più utilizzati come i social TikTok, Facebook, Instagram, Linkedin, Youtube, i sistemi di messaggistica come Whatsapp e Messenger, i sistemi operativi come Android, iOs, Windows, i motori di ricerca Safari, Chrome, Bing oppure i servizi come Google Maps, Google Play, Google Shopping, Amazon Marketplace, App Store e Meta Marketplace ….
Tra le richieste del Dma ad esempio l’interoperabilità tra i sistemi (ad esempio Meta, che gestisce Messanger e Whatsapp, dovrà rendere queste app interoperabili con servizi concorrenti che ne fanno richiesta, idem per ByteDance proprietaria di TikTok) cosi come rimane prioritario garantire la privacy dei dati degli utenti che seppure già regolamentata dal Gdpr spesso è finita sotto inchiesta (le multe miliardarie comminate in questi anni lo confermano). Margrethe Vestager, commissaria europea alla concorrenza, ha dichiarato che “ciò che ci aspettiamo dai gatekeeper è un cambiamento di comportamento”, una maggior cooperazione con Bruxelles informandola tempestivamente su operazioni, fusioni e acquisizioni, garantendo accesso ai servizi dei concorrenti, evitando di imporre le proprie soluzioni integrate come browser Internet o applicazioni. E’ della scorsa settimana la multa europea ad Apple per abuso di streaming musicale.
La normativa Dma prevede sanzioni fino al 10% del fatturato globale dell’azienda che trasgredisce, multa che arriva al 20% in caso di comportamento recidivo ma si spinge anche fino alla sospensione dei servizi. Certo, sarà complicato monitorare tutti gli aspetti della normativa, un lavoro che coinvolge da una parte le 80 persone di Bruxelles che lavorano sul Dma, dall’altra le migliaia di dipendenti che i gatekeeper hanno dedicato a implementare le richieste della legge. Ma è finalmente legge.
© RIPRODUZIONE RISERVATA