17 ottobre 202251 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

Sara Noggler sulle potenzialità degli NFT e metaverso per le aziende

In questo episodio di Diritto al Digitale, Sara Noggler illustra a Giulio Coraggio le potenzialità degli NFT e del metaverso per le aziende. Potete ascoltare l’episodio qui.

I dipendenti hanno diritto di conoscere i sistemi automatizzati a cui sono sottoposti

In questo episodio di Dirottare il Futuro di Panorama.it, Giulio Coraggio discute del decreto trasparenza e di come introduce notevoli obblighi di trasparenza nei confronti del datore di lavoro nei confronti dei dipendenti rispetto a sistemi automatizzati anche di monitoraggio. Potete ascoltare l’episodio qui.

Data Protection & Cybersecurity

Gli amministratori sono responsabili per un cyberattacco a danno della società?

Con la crescita dei rischi di cyberattacco, è importante valutare se gli amministratori di una società colpita da un attacco ransomware, ad esempio, possono essere ritenuti responsabili per negligenza nella mancata adozione di condotte volte a limitare il rischio.

Durante le ultime settimane, ho avuto il piacere di tenere una presentazione sulla gestione del rischio di cyberattacchi ransomware per le società a favore dei componenti del corso di formazione “In the Boardroom” dedicato ai professionisti che sono o ambiscono a diventare componenti del Consiglio di Amministrazione di società quotate in borsa. Quale parte della presentazione, abbiamo cercato di dare indicazioni pratiche e di condividere alcune “lessons learnt” da precedenti cyberattacchi. E il numero di domande ricevute ha mostrato come la questione sia di rilievo, anche in termini di possibile responsabilità per gli amministratori.

Questo articolo vuole fornire delle raccomandazioni agli amministratori di società quotate e non quotate sulle azioni da adottare in via preventiva, durante e dopo un cyberattacco.

Le dimensioni del cyber rischio per le aziende non possono essere sottovalutate

Per dare una indicazione delle dimensioni del rischio cyber per le aziende, c'è di media un attacco informatico ogni 39 secondi, il che non vuol dire che ogni attacco ha successo, ma che c’è un tentativo di accesso ai sistemi informatici delle aziende con questa frequenza.

Secondo una ricerca condotta da IBM, il costo medio per le aziende di un data breach nel 2022 è di US $ 4,35 milioni che aumenta a US $ 4,54 in caso di attacchi ransomware. Ovviamente si tratta semplicemente di una stima e il costo medio è superiore in certe giurisdizioni come gli Stati Uniti dove sfiora di US $ 10 milioni e l’Italia in cui è in linea con la media.

Sulla base della mia esperienza questa stima addirittura è ottimistica se si considerano casi in cui il business dell’azienda è globale. Inoltre, il costo dipende dal tempo necessario ad identificare l’accesso abusivo ai sistemi informatici che di media è superiore a 6 mesi. Più lungo è questo tempo di identificazione, tanto maggiore è la quantità di dati che potrebbero essere stati esfiltrati finché l’accesso è identificato. E ciò spesso accade quando l’hacker, il c.d. threat actor, inizia a criptare i sistemi informatici.

Inoltre, le conseguenze operative di un cyber attacco non vanno analizzate solo in termini di compromissione dei dati personali dei propri clienti e dipendenti. La criptazione dei sistemi informatici può bloccare l’operatività aziendale, anche perché gli attacchi di solito avvengono quando la società è meno pronta a reagire e.g. a Natale, durante il periodo estivo e durante i week-end. Se i dati criptati non possono essere ripristinati la linea di produzione, i negozi, i siti di eCommerce e tutta l’operatività aziendale sono bloccati e ci potrebbe essere perfino un problema di affidabilità del bilancio aziendale, senza considerare il possibile danno reputazionale che può portare alla perdita di clienti.

A ciò si aggiunga che esiste il rischio di sanzioni (che non sono assicurabili) non sono ai sensi della normativa privacy ma anche sulla base delle normative in materia di cybersecurity che ora stanno proliferando. Non ci sono state in Europa numerose class action per cyberattacchi, ma se l’attacco impatta clienti che si trovano ad esempio in California, il rischio di una azione di classe è elevato. A ciò si aggiunge che anche in Europa stanno aumentando notevolmente le azioni civili seriali degli individui i cui dati sono stati compromessi da un data breach che sono supportate da studi legali che hanno accordi di success fee.

Quali obblighi e responsabilità a carico degli amministratori per prevenire un cyberattacco?

Viste le dimensioni del cyber rischio per le aziende, il Consiglio di Amministrazione di società, soprattutto in caso di aziende quotate, deve monitorare le azioni intraprese per prevenire un cyberattacco e adottare prontamente le azioni correttive.

Purtroppo, questa situazione in alcuni casi non succede. Anche a causa dei costi della pandemia, ma in generale a causa della sopravvenienza di altre priorità, alcune aziende a volte

  • non svolgono periodici penetration test e analisi dello stato di maturità delle misure tecniche e organizzative adottate per ridurre il cyber risk;
  • quando queste analisi segnalano delle debolezze, non le gestiscono immediatamente, ma vengono aggiunte ad una “to-do-list” senza una specifica scadenza; e
  • fanno affidamento su di un incident response plan che non è stato testato e quindi potrebbe non funzionare correttamente in caso di attacco.

Non si tratta unicamente di raccomandare investimenti in misure di sicurezza perché il 95% dei cyberattacchi avvengono a causa di un errore umano. Ad esempio, un dipendente che ha cliccato su di un’e-mail di phishing, che utilizza sempre le stesse credenziali di autenticazione per account lavorativi e privati o che collega i dispositivi aziendali a chiavette USB o siti da cui il threat actor può entrare nei sistemi.

L’analisi del rischio cyber deve avere una notevole componente di formazione e di analisi dei processi organizzativi di controllo. Poiché non si può del tutto escludere il rischio di cyberattacco perché i cyber criminali sono sempre più avanti delle proprie vittime

  • le società devono essere in grado dimostrare di aver adottato tutte le misure richieste dalla normativa privacy e in materia di cybersecurity tramite un programma di cybersecurity compliance che richiede sofisticate conoscenze sia legali che tecniche perché l’onere della prova sarà sull’azienda;
  • l’adozione di una polizza assicurativa a copertura del rischio cyber può minimizzare gli effetti economici negativi sull’aziende e consentirgli di fare affidamento sui sistemi di incident response e sui consulenti del panel delle compagnie assicurative.

Cosa gli amministratori devono fare se accade cyberattacco a danno dell’azienda?

Sulla base della mia esperienza, se un’azienda subisce un cyberattacco di notevoli dimensioni l’amministratore delegato, il direttore generale e il Consiglio di Amministrazione sono immediatamente coinvolti. Mi è capitato di essere “catapultato” davanti all’AD di multinazionali per analizzare il rischio derivante da un cyberattacco durante le vacanze natalizie, le festività ed interminabili week-end. Il rischio per l’azienda derivante da un attacco cyber è così elevato che il top management dell’azienda è immediatamente coinvolto.

In questo contesto, alcuni degli scenari peggiori dal punto di vista della responsabilità degli amministratori, qualora un cyberattacco si verifichi, sono i seguenti

  • le azioni sopra elencate sono state discusse nel Consiglio di Amministrazione, ma nessuna attività è stata adottata;
  • le azioni di analisi del rischio sono state intraprese, una debolezza dei sistemi informatici è stata identificata, ma l’azienda non ha fatto nulla (o poco) per correggerle tempestivamente;
  • l’azienda realizzi di non aver pagato il rinnovo della polizza assicurativa a copertura del cyber rischio ritenendolo remoto e valutando la polizza eccessivamente costosa.

Tutti questi scenari si sono verificati sulla base della mia carriera professionale e i Consigli di Amministrazione dove sono stati analizzati non sono stati piacevoli.

Il CDA dovrà, tra gli altri,

  • analizzare le azioni correttive da adottare per minimizzare le conseguenze negative del cyber attacco,
  • valutare l’impatto economico dell’attacco, anche in termini di possibili sanzioni, per eventualmente informare gli azionisti e creare una riserva di bilancio, e
  • decidere se l’accaduto deve essere notificato alle autorità competenti e comunicato agli individui i cui dati sono stati compromessi.

Ma l’argomento più “spinoso” riguarda certamente la decisione di pagare o meno il riscatto in un attacco ransomware. Normalmente quando un attacco ransomware accade, succedono delle trattative stile “film poliziesco americano” con i cyber criminali per guadagnare tempo, ridurre l’importo richiesto e ottenere l’eventuale approvazione da parte della compagnia assicurativa. Nella maggior parte dei casi l’azienda farà di tutto per evitare di pagare il ransom perché

  • a seconda della giurisdizione e dell’identità del threat actor, potrebbe essere illegale,
  • non dà una garanzia che i dati saranno decriptati il che richiede anche una analisi della reputazione e del track record del threat actor; e
  • ci potrebbero essere dei danni reputazionali.

Tuttavia, in alcuni casi, l’azienda è con le spalle al muro perché ad esempio anche le copie di backup dei dati sono state criptate e non c’è modo di ripristinare i dati. In tal caso, l’azienda potrebbe considerare di pagare il ransom se non viola una normativa locale. Però il problema più complesso è di come approvare nel Consiglio di Amministrazione il pagamento del ransom. Non c’è un’unica risposta corretta e nessuna risposta è al 100% perfetta, si dovranno analizzare le circostanze del caso.

Come va comunicato il cyberattacco al pubblico?

Aldilà degli obblighi regolatori di notifica, la comunicazione di un cyberattacco al pubblico è decisamente delicata.

L’errore peggiore che si può fare è di “mentire”, negando l’accaduto. Ad oggi, gli hacker hanno spesso dei siti Internet e ci sono siti Internet dedicati alle informazioni relative ai cyberattacchi. Inoltre, il threat actor probabilmente pubblicherà dei dati esfiltrati sul dark web per fornire la prova dell’esfiltrazione e sollecitare il pagamento del ricatto.

Bisogna fare in modo che il pubblico abbia notizia del cyberattacco dall’azienda prima di averla dalla stampa per poter mantenere un rapporto di fiducia. Inoltre, in caso di cyberattacchi globali, si deve tener conto della cultura locale nella comunicazione. E’ possibile creare delle FAQs per rispondere ai quesiti ma è necessario un call center o in ogni caso avere delle persone dedicate a rispondere alle (numerose) richieste di chiarimento da parte dei clienti e dipendenti.

La maggior parte delle autorità privacy hanno un indirizzo e-mail dedicato per gestire i reclami degli utenti e il CSIRT monitora tutti gli attacchi che impattano le aziende, il che rende il rischio di sanzioni maggiore.

Cosa gli amministratori devono raccomandare dopo l’emergenza del cyberattacco?

Capita sempre più spesso che le aziende vittima di un cyberattacco ne subiscano un altro nei 12/24 mesi successivi. In questi casi, le aziende non hanno analizzato accuratamente la dinamica dell’attacco, non possono assicurarsi che il threat actor non sia ancora nei sistemi aziendali e non hanno adottato le azioni correttive per rimediare all’attacco.

In questi casi, una eventuale responsabilità degli amministratori potrebbe essere ancora più difficile da gestire perché l’azienda sarebbe un recidivo.

Questo articolo illustra solo alcuni dei punti di attenzione per gli amministratori nella gestione del rischio cyber, fermo restando che la dinamica degli attacchi è in continua evoluzione e quindi anche le azioni correttive vanno adottate.

Su di un simile argomento, può essere interessante l’articolo “Il report ENISA 2022 sugli attacchi ransomware fornisce nuove indicazioni rilevanti”.

Sanzione privacy nei confronti di Regione Lazio per il mancato aggiornamento dei dati personali

Con un recente provvedimento, il Garante per la protezione dei dati personali ha irrogato una sanzione di 100.000 euro nei confronti di Regione Lazio per non avere aggiornato i dati della piattaforma utilizzata dalle Aziende Sanitarie Locali (ASL) per l’invito agli screening oncologici, rilevando numerose criticità relative al trattamento di dati personali, anche sulla salute, di oltre 5 milioni di interessati.

La vicenda trae origine dall’inoltro di un reclamo al Garante da parte di una donna che aveva ricevuto dalla ASL di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995. A seguito della ricezione del reclamo, il Garante ha avviato un’istruttoria e accertato che, all’interno della piattaforma per la generazione degli inviti agli screening, la scheda "dettaglio assistito" della Piattaforma relativa alla figlia della reclamante risultava ancora regolarmente inserita.

L’Autorità ha contestato a Regione Lazio:

  • il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la Piattaforma;
  • la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso la Piattaforma;
  • la non corretta individuazione di una idonea base giuridica del trattamento fra quelle previste per il trattamento di dati personali appartenenti a categorie particolari. Infatti, Regione Lazio aveva citato disposizioni che regolano i trattamenti dei dati personali diversi da quelli sulla salute (ex art. 6 GDPR anziché ex art. 9) e aveva richiamato l’art. 2 septies del Codice Privacy che non riguarda il trattamento dei dati in esame, facendo altresì riferimento a misure di garanzia per il trattamento dei dati genetici e biometrici; e
  • elementi di contraddittorietà all’interno dell’informativa sul trattamento dei dati personali che, tra le altre cose, non indica in modo puntuale i tempi di conservazione dei dati, che sono solo genericamente formulati e non tengono conto della loro necessaria differenziazione in ordine alle diverse finalità perseguite dai soggetti a vario titolo coinvolti nel trattamento.

Alla luce della documentazione e delle informazioni acquisite in sede di istruttoria, l’Autorità ha quindi accertato la violazione, e ha quindi irrogato la sanzione:

  • dei principi di liceità, correttezza e trasparenza e di esattezza del dato (ai sensi dell’art. 5, par. 1 lett. a), e d) del GPPR); e
  • delle disposizioni concernenti: (i) la responsabilità del titolare del trattamento (art. 24 del GDPR), (ii) le basi giuridiche del trattamento (artt. 6 e 9 del GDPR), (iii) le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del GDPR).

Pertanto, il Garante ha dichiarato illecito il trattamento effettuato da parte di Regione Lazio e ha comminato una sanzione di 100.000 euro, prescrivendo anche l’implementazione di misure correttive volte a:

  • stabilire una corretta identificazione dei ruoli, delle finalità del trattamento e delle basi giuridiche del trattamento;
  • modificare e integrare le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali tramite informativa privacy.

Questa decisione è rilevante perché mostra il livello di attenzione che il Garante pone sul livello di dettaglio e le informazioni contenute nell’informativa sul trattamento dei dati personali. Inoltre, rimarca la necessità di conformarsi al principio di limitazione della conservazione: ciò significa che le aziende dovranno avere cura di individuare tempi di data retention specifici e differenziati in ordine alle diverse finalità di volta in volta perseguite, da indicare all’interno delle informative privacy da fornire agli interessati. Non è, quindi, GDPR-compliant adottare delle indicazioni generiche sulle tempistiche di conservazione o delle formule “catch-all”, da estendere a tutti i trattamenti effettuati a prescindere dalle specifiche finalità perseguite.

Su di un simile argomento, può essere interessante il podcast “Come preparare la propria azienda ad una ispezione del Garante privacy?”.

Technology Media & Telecommunications

Annunciata l’adozione del Digital Services Act (DSA): novità sul regime di responsabilità degli ISPs

Con il comunicato stampa del 4 ottobre 2022 il Consiglio dell’Unione Europea ha annunciato l’adozione del tanto atteso Digital Services Act (DSA), il Regolamento Europeo relativo a un mercato unico dei servizi digitali e che modifica la Direttiva eCommerce 2000/31/CE, introducendo novità in materia di responsabilità degli Internet Service Providers (ISPs).

Rispetto alla Direttiva eCommerce 2000/31/CE – che per sua natura stabiliva gli obiettivi che gli Stati Membri dovevano raggiungere, lasciando ai singoli Paesi la possibilità di decidere circa le modalità di attuazione – il DSA, trattandosi di un "Regolamento", ha il grande vantaggio di fornire norme armonizzate direttamente applicabili in tutti gli Stati Membri dell'UE, senza lasciare spazio alla discrezione dei singoli Stati.

Tra le novità più interessanti, oltre ad introdurre nuove regole per disciplinare la responsabilità degli ISPs, il DSA affronta anche il tema della giurisdizione sulle società straniere non aventi sede nel territorio comunitario. Infatti, così come espressamente stabilito dal Considerando 7 del Regolamento, per garantire l'efficacia delle norme e la parità di condizioni nel mercato interno dell'UE, tali regole si applicheranno a tutti gli ISPs, a prescindere dal loro luogo di stabilimento o ubicazione, nella misura in cui forniscono servizi all’interno del territorio europeo.

Il DSA si applica a un'ampia gamma di fornitori di servizi di intermediazione che vengono classificati in base al (i) tipo di servizio della società dell'informazione fornito e in base al (ii) settore e/o le dimensioni rispettive.

Rispetto alla prima classificazione, si individuano gli ISPs di semplice trasporto, c.d. mere conduit, di memorizzazione temporanea, c.d. caching e di memorizzazione di informazioni fornite dal destinatario su richiesta di quest’ultimo, c.d. hosting. In base al secondo criterio, invece, le piattaforme intermediarie di servizi vengono suddivise in quattro categorie: 1) i servizi di intermediazione che offrono infrastrutture di rete, quali fornitori di accesso a Internet o registrar di nomi di dominio; 2) i servizi di hosting quali i servizi cloud e di web hosting; 3) le piattaforme online intese come mercati online, app store, piattaforme dell'economia collaborativa e piattaforme dei social media; infine, 4) le piattaforme online di grandi dimensioni.

Per quanto riguarda il regime di responsabilità degli ISPs, il DSA riprende al Capo II le disposizioni sull'esenzione dalla responsabilità dei prestatori di servizi intermediari, definite safe harbour, negli stessi termini in cui erano già previste dalla Direttiva eCommerce 2000/31/CE agli artt. 12-15.

Al Capo III del DSA, invece, vengono precisati gli obblighi in materia di dovere di diligenza degli ISPs con un’integrazione progressiva di regole di dettaglio rivolte alle varie sottocategorie di prestatori. In particolare:

  • la Sezione I comprende norme di carattere generale applicabili a tutti gli ISPs;
  • la Sezione II stabilisce obblighi supplementari applicabili agli hosting providers che includono un meccanismo di "notice and take down" per garantire la rimozione di contenuti, prodotti e servizi illegali online e il conseguente obbligo, qualora tali prestatori decidano di rimuovere o disabilitare informazioni specifiche fornite dagli utenti, di fornire al destinatario una motivazione sufficientemente adeguata;
  • la Sezione III fissa regole specifiche applicabili a tutte le piattaforme online, che si aggiungono a tutto quanto già previsto dalle Sezioni I e II; e
  • la Sezione IV definisce per le piattaforme online di dimensioni molto grandi obblighi rafforzati per la gestione dei rischi sistemici, che si sommano alle previsioni di cui alle Sezioni I, II e III.

La versione finale del DSA è stata firmata dal Presidente del Parlamento Europeo e dal Presidente del Consiglio in data 4 ottobre 2022. Ora, il testo definitivo dovrà essere pubblicato sulla Gazzetta Ufficiale dell’UE ed entrerà in vigore venti giorni dopo tale pubblicazione. La legge sui servizi digitali sarà, poi, direttamente applicabile in tutta l'UE quindici mesi dopo la sua entrata in vigore o a partire dal 1º gennaio 2024, se la data risulterà posteriore. Mentre, per quanto riguarda gli obblighi delle piattaforme online e dei motori di ricerca di dimensioni molto grandi, la legge si applicherà prima, tra la primavera e l’estate del 2023.

Con questo nuovo pacchetto di norme, l’Unione Europea ha voluto aggiornare ed integrare le previgenti regole a tutela dell’ambiente digitale. Gli obblighi previsti dalla legge sui servizi digitali si applicheranno a tutti i servizi digitali che collegano i consumatori a beni, servizi o contenuti, implementando nuove procedure per una più rapida rimozione dei contenuti illegali, ma allo stesso tempo garantendo la protezione dei diritti fondamentali degli utenti.

Su un simile argomento può essere interessante l’articolo "Presentate le proposte di normativa europea sulla responsabilità per l’intelligenza artificiale e l’era digitale".

La nuova infrastruttura cloud per la Pubblica Amministrazione: il Polo Strategico Nazionale

Recentemente è partita la fase operativa di realizzazione del Polo Strategico Nazionale, ovvero l’infrastruttura ad alta affidabilità che ha l’obiettivo di dotare la Pubblica Amministrazione di efficienti soluzioni cloud.

Lo scorso agosto 2022 è stato siglato l’avvio dei lavori di realizzazione e gestione tramite la firma del contratto da parte del capo del Dipartimento per la trasformazione digitale e il rappresentante legale della società di nuova costituzione – partecipata da TIM, Leonardo, CDP Equity e Sogei. La tempistica è dettata dal Piano Nazionale di Ripresa e Resilienza (PNRR) e le caratteristiche di sicurezza dei dati sono definite nella Strategia Cloud Italia.

La creazione del Polo Strategico Nazionale è uno dei tre pilastri di tale strategia, insieme alla classificazione dei dati e dei servizi pubblici ad opera dell’Agenzia per la cybersicurezza nazionale e la migrazione verso il cloud di dati e servizi digitali della PA. La nascita del Polo Strategico Nazionale sarà centrale per portare il 75% delle amministrazioni italiane a utilizzare servizi in cloud entro il 2026. L’obiettivo di realizzazione del sistema operativo italiano, anche mediante l’adozione del cloud computing nel settore pubblico, si baserà sul principio del “cloud first”, richiedendo, dunque, che le amministrazioni, al fine di definire e sviluppare nuovi progetti, servizi e acquisire nuovi software, prediligano il paradigma cloud rispetto a qualsiasi altra opzione tecnologica.

Il tutto si inserisce in un più ampio piano di accelerazione della trasformazione digitale dell’Italia, al fine di proporre un’offerta di servizi digitali e infrastrutture tecnologiche sicure, efficienti, affidabili e autonome, in linea con i principi di tutela della privacy. Il Polo Strategico Nazionale ospiterà i dati ed i servizi critici e strategici delle amministrazioni centrali, delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali, lasciando alle amministrazioni la possibilità di scegliere il Polo Strategico Nazionale anche per i dati ordinari.

Il progetto, inoltre, favorirebbe la riqualificazione della spesa pubblica con una riduzione dei costi sostenuti dalle PA per gli investimenti e la gestione delle infrastrutture, contribuendo ad aumentare l’efficienza energetica, attraverso la riduzione dei consumi anche in ottica di sostenibilità ambientale. In particolare, è prevista la realizzazione di un’architettura distribuita su quattro Data Center, interconnessi fra di loro con connettività ultra broad in fibra ottica per assicurare continuità operativa in tempo reale, in spazi certificati secondo i più elevati standard disponibili. Il Polo Strategico Nazionale, inoltre, offrirà servizi infrastrutturali on-demand di tipo tradizionale, private cloud, servizi di gestione della sicurezza IT, servizi di disaster recovery e business continuity, servizi professionali a supporto delle amministrazioni e servizi di assistenza ai fruitori dei servizi erogati.

Con la firma del contratto gli operatori si sono impegnati a fornire, inter alia, “servizi core” quali Housing, Hosting, IaaS Private, IaaS Shared, altri servizi di IaaS e Cloud, nonché la correlata migrazione sulla base di apposito contratto stipulato con le singole amministrazioni. Tali servizi saranno integrati dalle attività di manutenzione e il loro contenuto potrà essere modificato consensualmente per consentire un costante aggiornamento rispetto alle tecnologie rese disponibili sul mercato, nonché per integrare nuovi servizi frutto dell’evoluzione tecnologica o gestionale.

Su un simile argomento, può essere interessante l’articolo: “Cloud Nazionale: una opportunità da € 1,9 miliardi con la migrazione dei dati della PA”.

Rimborso dei costi sostenuti dagli operatori in relazione alle intercettazioni di comunicazioni elettroniche: le conclusioni dell’AG Collins

Il 6 ottobre 2022 sono state pubblicate le conclusioni dell’Avvocato Generale (AG) Collins nella causa C-339/21 relative alla questione pregiudiziale sottoposta alla Corte di Giustizia se gli Stati membri sono tenuti a prevedere il rimborso integrale dei costi sostenuti dai fornitori di servizi di comunicazione elettronica per effettuare le intercettazioni di comunicazioni elettroniche su richiesta delle autorità nazionali competenti.

La causa C-339/21 trae origine da una domanda di rinvio pregiudiziale formulata dal Consiglio di Stato, chiamato a pronunciarsi sulla sentenza con cui il TAR Lazio ha respinto i ricorsi con i quali alcuni operatori di comunicazioni elettroniche operanti in Italia hanno impugnato il decreto interministeriale del 28 dicembre 2017 che stabilisce le condizioni per l’esecuzione delle c.d. prestazioni obbligatorie – tra le quali sono comprese le intercettazioni – e prevede le tariffe che sono corrisposte agli operatori di comunicazioni elettroniche per il rimborso dei costi legati all’esecuzione di tali prestazioni.

Gli operatori hanno impugnato il decreto interministeriale – adottato dal Ministero della giustizia e dal Ministero dello sviluppo economico, di concerto con il Ministero dell’economie e delle Finanze, ai sensi dell’art. 96, co. 2 del Codice delle Comunicazioni Elettroniche – lamentando in particolare che le relative tariffe non sono idonee a coprire integralmente i costi sostenuti per l’effettuazione delle intercettazioni.

Precisamente, gli operatori sostengono che il decreto interministeriale – che fisserebbe tariffe eccessivamente basse che coprirebbero solo un’esigua parte dei costi in cui essi incorrono nell’intercettare comunicazioni elettroniche – sarebbe:

  • discriminatorio, in quanto discriminerebbe i fornitori di servizi di comunicazione elettronica di dimensioni maggiori, che verosimilmente effettuano più attività di intercettazione rispetto agli operatori di dimensioni più piccole. Inoltre, il decreto opererebbe una discriminazione nei confronti dei fornitori di servizi di comunicazione elettronica italiani, poiché i fornitori stabiliti in altri Stati membri non sono tenuti a sopportare i costi delle intercettazioni;
  • sproporzionato, poiché imporrebbe notevoli costi non recuperabili dai fornitori di servizi di comunicazione elettronica e ciò potrebbe incidere sull’adeguata fornitura dei servizi di comunicazione elettronica e compromettere la sostenibilità economica di taluni fornitori di servizi di telecomunicazione;
  • non trasparente, in quanto i fornitori di servizi di comunicazione elettronica non avrebbero avuto la possibilità di esprimere le proprie osservazioni nel corso del procedimento che ha condotto all’adozione delle tariffe previste dal decreto interministeriale.

Nel contesto di tale procedimento, il Consiglio di Stato ha dunque sottoposto alla Corte di Giustizia la questione pregiudiziale se il diritto dell’Unione europea osti “ad una norma nazionale che, nel delegare all’autorità amministrativa il compito di stabilire il compenso da riconoscere agli operatori di telecomunicazioni per lo svolgimento obbligatorio delle attività di intercettazione di flussi di comunicazioni disposte dall’autorità giudiziaria, non imponga di attenersi al principio dell’integrale ristoro dei costi concretamente affrontati e debitamente documentati dagli operatori in relazione a tali attività”.

Nelle sue conclusioni, l’AG Collins osserva che non vi sarebbe alcun elemento che corrobori l’affermazione secondo cui il decreto interministeriale discriminerebbe i fornitori di dimensioni maggiori rispetto a quelli di dimensioni minori, posto che pare probabile che “l’impatto finanziario del costo delle intercettazioni legali rispetto agli introiti sia simile per tutti i fornitori di servizi di comunicazione elettronica”. Inoltre, il fatto che “i fornitori di servizi di comunicazione elettronica stabiliti in altri Stati membri siano normalmente soggetti a un obbligo di cooperare con le autorità nazionali del territorio in cui sono stabiliti, anziché con le autorità giudiziarie italiane” non costituisce una discriminazione tra operatori italiani e operatori stranieri.

Quanto alla censura relativa al fatto che il decreto impugnato non rispetterebbe il principio di proporzionalità, l’AG Collins osserva che l’obiettivo del decreto interministeriale – che “sembra essere quello di limitare la spesa pubblica” per l’attività di effettuazione di intercettazioni “condividendola con gli operatori economici” attivi nel settore – “risulta essere un obiettivo legittimo di interesse generale”. In merito alla questione se il decreto interministeriale ecceda quanto necessario per conseguire tale obiettivo, l’AG osserva che “il giudice del rinvio può verificare se l’onere che tale decreto pone a carico dei fornitori di servizi di comunicazione elettronica sia manifestamente eccesivo”, aggiungendo che “sembra poco probabile che l’onere finanziario” che il decreto pone a carico dei fornitori “possa compromettere la fornitura” dei servizi di comunicazione elettronica da parte degli operatori o “la sostenibilità finanziaria” dei fornitori.

Infine, quanto alla lamentata mancanza di trasparenza, l’AG Collins osserva che “non è affatto evidente che il principio di trasparenza inglobi il diritto dei fornitori di comunicazione elettronica di partecipare attivamente al procedimento che ha condotto alla fissazione delle tariffe controverse”.

Alla luce di queste considerazioni, l’AG Collins conclude che il diritto europeo – e, in particolare, la Direttiva UE 2018/1972 che istituisce il codice europeo delle comunicazioni elettroniche – “non esige che la normativa nazionale preveda il rimborso integrale dei costi sostenuti dai fornitori di servizi di comunicazione elettronica per permettere l’intercettazione di comunicazioni elettroniche disposta dalle autorità giudiziaria”; gli Stati membri, conformemente a quanto previsto dalla Direttiva, “possono ricorrere a un meccanismo di compensazione di tali costi, a condizione che esso sia non discriminatorio, trasparente e proporzionato”.

Su un simile argomento può essere interessante l’articolo “La Corte di Giustizia dell’UE si pronuncia nuovamente sulla conservazione dei dati relativi al traffico e all’ubicazione riguardanti le comunicazioni elettroniche”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Camila Crisci, Tamara D’Angeli, Enila Elezi, Filippo Grondona, Lara Mastrangelo, Alessandra Tozzi, Carlotta Busani, Carolina Battistella, Deborah Paracchini, Vincenzo Giuffré, Cristina Criscuoli, Giulia Zappaterra, Maria Chiara Meneghetti, Giacomo Lusardi, Tommaso Ricci e Maria Rita Cormaci.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.

Stampa