|

Aggiungi un segnalibro per cominciare

Ulteriori informazioni
Abstract_Lights_P_0152
28 febbraio 202425 minuti di lettura

Innovation Law Insights

28 febbraio 2024
Artificial Intelligence

Un importante passo avanti nell’applicazione dell’AI Act: l’AI Office è stato istituito

Il 21 febbraio 2024 è entrata in vigore la decisione della Commissione Europea che istituisce la nascita dell’Ufficio europeo per l’Intelligenza Artificiale (“AI Office”).

L’AI Office dovrà lavorare per lo sviluppo e l’utilizzo di un’Intelligenza Artificiale (“AI”) affidabile, proteggendo al contempo dai molti rischi legati all’utilizzo di tale tecnologia. Questo rappresenta un importante tassello per la creazione di un unico sistema di governance europeo dell’AI.

Quali saranno i compiti dell’AI Office?

Secondo quanto previsto all’articolo 63 lett. a dell’ultima versione dell’AI Act pubblicata il 2 febbraio 2024, il ruolo dell’AI Office sarà principalmente di supervisione del mercato e controllo sui modelli di AI ad uso generale. Infatti, il nuovo organismo avrà un ruolo cruciale in quel processo di segnalazione predisposto per i modelli di GPAI che determinano un rischio sistemico e che potranno anche essere segnalati da un gruppo di esperti, per l’appunto all’AI Office, che avrà tutti i poteri necessari per condurre le valutazioni sui rischi sistemici. Ma vediamo meglio quali saranno nello specifico i compiti.

  1. Supporto nell’attuazione dell’AI Act: per riuscire ad attuare l’AI Act uniformemente su tutto il territorio UE, all’AI Office, sono stati attribuiti molteplici compiti, tra cui (i) lo sviluppo di strumenti, metodologie e parametri di riferimento per la valutazione delle capacità e della portata dei modelli di AI di uso generale e per la classificazione dei modelli con rischi sistemici; (ii) la collaborazione con i principali sviluppatori di AI, la comunità scientifica ed altri esperti in materia al fine di sviluppare codici di condotta all’avanguardia; e (iv) redigere orientamenti e linee guida.

  2. Rafforzamento dello sviluppo e utilizzo di un’AI affidabile: per raggiungere questo scopo, l’AI Office potrà, in collaborazione con gli attori pubblici e privati, oltre che con le startup, promuovere campagne e azioni per cogliere i benefici economici e sociali dell’AI all’interno dello spazio UE e fornire consulenza sulle best practice e accesso a tutte le strutture di supporto europee per l’adozione dell’AI.

  3. Promozione della cooperazione internazionale: l’AI Office dovrà adottare una strategia internazionale volta a promuovere l’approccio dell’UE sull’AI affidabile, la cooperazione e la governance internazionale in materia di AI e sostenere lo sviluppo e l'attuazione di accordi internazionali sull'AI, compreso il sostegno degli Stati membri.

  4. Collaborazione con istituzioni, esperti e stakeholder: l’AI Office lavorerà a stretto contatto con il Comitato Europeo per l’AI, composto dai rappresentanti degli Stati Membri, e con il Centro europeo per la trasparenza algoritmica (ECAT). Il gruppo di esperti e scientifici indipendenti sarà quindi completato con una selezione equilibrata di rappresentati di diversi settori, tra cui l’industria, le start-up e il mondo accademico, senza escludere la possibilità di collaborare con singoli esperti, organizzazioni e la community open-source. L’AI Office supervisionerà anche l’AI Pact, che consentirà alle imprese di interagire con la Commissione e altri stakeholders, potendo ad esempio condividere le best practices, il tutto in un’ottica anticipatoria e di preparazione rispetto all’attuazione dell’AI Act.

Conclusioni

Con l’introduzione dell’AI Office, si segna un passo avanti per quanto riguarda la regolamentazione dell’AI nello spazio dell’UE. Tale autorità avrà un ruolo molto simile a quello svolto dall’EDPB per quanto riguarda l’applicazione del GDPR. L’AI Office, infatti, infatti non sarà l’unica autorità predisposta alla sorveglianza del mercato in materia di AI, a questa andranno aggiunte le autorità nazionali dei 27 paesi membri, ancora in fase di istituzione.

Su un simile argomento può essere di interesse l’articolo “L’AI Act è stato Approvato: Tutto Quello Che Dovete Sapere”.

 

Data Protection & Cybersecurity

Le problematiche privacy del riconoscimento facciale negli aeroporti

Il riconoscimento facciale è una tecnologia che consente di identificare o autenticare una persona fisica a partire da una sua immagine digitale del viso. In particolare, i dati trattati consistono in dati biometrici, vale a dire, dati personali che rivelano caratteristiche fisiche, fisiologiche o comportamentali uniche di un individuo.

In particolare, uno dei campi in cui è maggiormente utilizzata questa tecnologia, è quella dei controlli aeroportuali. Il riconoscimento facciale negli aeroporti è in rapida espansione, sia negli Stati Uniti che nel resto del mondo, con lo scopo di migliorare la sicurezza, l’efficienza e la comodità dei viaggi aerei. Tuttavia, questa tecnologia presenta anche dei rischi significativi per la privacy e i diritti fondamentali dei passeggeri, che richiedono una regolamentazione adeguata e una valutazione di impatto.

  • Come funziona il riconoscimento facciale negli aeroporti

Il riconoscimento facciale negli aeroporti può essere utilizzato in diverse fasi del percorso dei passeggeri, come il check-in, il deposito bagagli, il controllo di sicurezza, l’imbarco, l’immigrazione e la dogana. Il processo si basa su tre passaggi principali:

  1. Acquisizione: una telecamera o un dispositivo mobile cattura l’immagine del viso del passeggero, che viene poi convertita in un formato digitale.
  2. Confronto: il sistema confronta l’immagine acquisita con una o più immagini di riferimento, che possono provenire da una banca dati governativa, da un documento d’identità, da una prenotazione aerea o da un’applicazione volontaria del passeggero.
  3. Decisione: il sistema restituisce un risultato, che può essere una conferma o un rifiuto dell’identità o dell’autenticazione del passeggero, oppure una richiesta di ulteriori verifiche manuali.
  • Quali sono le norme applicabili al riconoscimento facciale negli aeroporti in UE?

Il riconoscimento facciale negli aeroporti implica il trattamento di dati biometrici, che sono considerati dati sensibili o categorie particolari di dati personali ai sensi dell’articolo 9 del GDPR. Questo significa che il loro trattamento è in linea di principio vietato, salvo che ricorrano alcune eccezioni, tra cui:

  • il consenso esplicito del passeggero, che deve essere libero, informato, specifico e revocabile;
  • il rispetto di obblighi legali in materia di diritto del lavoro e di sicurezza sociale;
  • la tutela degli interessi vitali del passeggero o di un’altra persona fisica;
  • l’esercizio o la difesa di un diritto in sede giudiziaria;
  • motivi di interesse pubblico rilevante, previsti dal diritto dell’Unione o degli Stati membri, a condizione che siano proporzionati e rispettino l’essenza del diritto alla protezione dei dati.

Inoltre, il trattamento di dati biometrici per il riconoscimento facciale negli aeroporti deve rispettare i principi generali del GDPR, tra cui la liceità, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza. Il trattamento deve anche essere sottoposto a una valutazione d’impatto sulla protezione dei dati, che tenga conto dei rischi per i diritti e le libertà dei passeggeri e delle misure adottate per mitigarli. Infine, il trattamento deve garantire i diritti degli interessati, tra cui il diritto di accesso, di rettifica, di cancellazione, di limitazione, di opposizione e di portabilità dei dati.

  • Quali sono le opportunità e le sfide del riconoscimento facciale negli aeroporti

Il riconoscimento facciale negli aeroporti offre delle opportunità per migliorare l’esperienza dei passeggeri, riducendo i tempi di attesa, le code, i controlli manuali e i documenti cartacei. Inoltre, la tecnologia può aumentare la sicurezza, facilitando l’identificazione di soggetti sospetti, ricercati o inadatti al volo. Infine, il riconoscimento facciale può contribuire a una maggiore efficienza e sostenibilità del settore aereo, ottimizzando l’uso delle risorse e riducendo le emissioni di CO2.

Tuttavia, il riconoscimento facciale negli aeroporti presenta anche delle sfide per la protezione dei dati personali, che richiedono una regolamentazione adeguata e una valutazione di impatto. Tra le principali sfide rientrano:

  • la necessità di garantire il consenso libero e informato dei passeggeri, evitando situazioni di coercizione, discriminazione o penalizzazione per chi non accetta il trattamento;
  • la necessità di assicurare la trasparenza e l’informazione dei passeggeri, spiegando chiaramente le finalità, le modalità, i destinatari e i diritti relativi al trattamento;
  • la necessità di limitare le finalità e i dati trattati, evitando usi secondari, accessi non autorizzati o condivisioni illecite dei dati biometrici;
  • la necessità di garantire l’esattezza e l’aggiornamento dei dati, prevenendo errori, falsi positivi o negativi, o alterazioni dei dati biometrici;
  • la necessità di limitare la conservazione dei dati, cancellando o anonimizzando i dati biometrici non appena non sono più necessari per le finalità per cui sono stati raccolti;
  • la necessità di proteggere l’integrità e la riservatezza dei dati, adottando misure tecniche e organizzative adeguate per prevenire violazioni, furti o perdite dei dati biometrici;
  • la necessità di rispettare i diritti degli interessati, consentendo loro di accedere, rettificare, cancellare, limitare, opporsi e portare i propri dati biometrici;
  • la necessità di garantire la conformità alle norme nazionali e internazionali, armonizzando le diverse legislazioni e cooperando con le autorità competenti.

Conclusioni

Il riconoscimento facciale negli aeroporti è una tecnologia in rapida espansione, che offre delle opportunità per migliorare l’esperienza, la sicurezza e l’efficienza dei viaggi aerei. Tuttavia, la tecnologia presenta anche dei rischi significativi per la privacy e i diritti fondamentali dei passeggeri, che richiedono una regolamentazione adeguata e una valutazione di impatto. Il GDPR fornisce un quadro normativo di riferimento per il trattamento di dati biometrici, che devono essere trattati in modo lecito, trasparente, proporzionato e sicuro, nel rispetto dei principi, dei diritti e delle garanzie previsti dal regolamento. Le autorità nazionali e europee, gli operatori aeroportuali e le compagnie aeree, i fornitori di tecnologia e i passeggeri devono collaborare per assicurare un uso responsabile e etico del riconoscimento facciale negli aeroporti, che bilanci le esigenze di innovazione e di protezione dei dati personali, mirando costantemente ad evitare potenziali discriminazioni derivanti dall’utilizzo di questi sistemi.

Su un simile argomento può essere di interesse l’articolo “Riconoscimento facciale: pubblicate le nuove Linee Guida dell’EDPB”.

La Commissione apre un’indagine nei confronti di un social network per violazione delle disposizioni contenute nel DSA

La Commissione Europea ha recentemente annunciato di aver aperto un procedimento formale nei confronti di un noto social network, qualificato come Very Large Online Platform (VLOP) per violazioni del Digital Services Act (DSA).

In particolare, al social network erano già state presentate, nel settembre 2023, dalla Commissione tre richieste formali relative in particolare ai contenuti illegali, alla protezione dei minori e all’accesso ai dati.

Con il recente comunicato stampa, la Commissione ha annunciato di aver deciso di iniziare un procedimento formale, non ritenendo quindi sufficienti le risposte del social network.

L’indagine si concentrerà principalmente sul rispetto degli obblighi del DSA:

  • in relazione alla valutazione e mitigazione dei rischi sistemici per quanto riguarda gli effetti negativi derivanti dalla progettazione del sistema del social network in questione, che si avvale anche di algoritmi e che potrebbe causare dipendenze comportamentali. Inoltre, la Commissione proprio in relazione a questo punto ha sottolineato come le misure implementate dalla piattaforma volte alla mitigazione di questi rischi, in particolare gli strumenti di verifica dell’età, non sembrerebbero essere ragionevoli, proporzionate ed efficaci;

  • in tema di protezione dei minori. In particolare, si fa riferimento alle norme che impongono di mettere in atto misure appropriate e proporzionate per garantire un elevato livello di privacy, sicurezza e protezione dei minori, in particolare per quanto riguarda le impostazioni di privacy predefinite per i minori ed il funzionamento dei sistemi di raccomandazione; 

  • di mettere a disposizione degli utenti un registro consultabile ed affidabile contenente le informazioni sulla pubblicità presentata dal social network;

  • in tema di trasparenza. La Commissione vorrebbe infatti valutare Le misure che sono state intraprese dal social network al fine di aumentare la trasparenza della piattaforma. È stato rilevato, in particolare che ci sarebbero presunte carenze per quanto riguarda l’obbligo di dare ai ricercatori l’accesso ai dati accessibili al pubblico della piattaforma.

Si tratta del secondo procedimento formale iniziato dalla Commissione Europea in relazione agli obblighi disposti dal DSA.

Ora la Commissione avrà il compito di continuare a raccogliere prove e potrà anche adottare delle misure esecutive nei confronti del social network, quest’ultimo potrà proporre azioni volte a porre rimedio alle questioni oggetto del provvedimento che la Commissione avrà la facoltà di accettare. Se verrà valutato la piattaforma non abbia adempiuto agli obblighi imposi dal DSA, rischia una sanzione equivalente al 6% del fatturato annuo globale.

Su un argomento simile può essere d’interesse l’articolo “DSA: In vigore gli obblighi per le grandi piattaforme online”.

 
Gaming & Gambling

I white label e le skin dei siti di gambling saranno vietati in Italia?

La bozza di legge volta a definire il nuovo quadro del gambling a distanza in Italia potrebbe vietare le white label, ma analizziamolo più in dettaglio.

Innanzitutto, cosa sono i white label o skin dei siti di gambling? I white label sono piattaforme o siti web di gioco online funzionali, sviluppate da fornitori specializzati, che vengono vendute a investitori e aziende, i quali possono poi facilmente brandizzare il prodotto. Ciò consente loro di entrare rapidamente nel mercato del gambling senza dover sviluppare un proprio prodotto di casinò online fin dall’inizio, risparmiando molto tempo e costi.

Il Parlamento sta attualmente lavorando su una normativa che potrebbe diventare una rivoluzione per il mercato italiano del gioco a distanza. In particolare, una delle disposizioni più discusse riguarda il potenziale divieto dei white lable o skin di siti di gambling.

In effetti, il disegno di legge prevede l’obbligo per l’operatore con una concessione italiana di procedere all’ attivazione da parte del titolare della concessione, previa autorizzazione dell’ADM e in coerenza con le specifiche regole tecniche stabilite dall’ADM, di un sito Internet con un dominio nazionale di primo livello gestito direttamente dal concessionario, collegato alla sua concessione e di proprietà del titolare della concessione, con l’esclusione della possibilità per il titolare della concessione di rendere il sito segnalato disponibile a terzi con qualsiasi soluzione tecnica o di interfaccia.

A mio parere, la disposizione è ambigua perché

  • non chiarisce se il sito Internet debba essere unico o rappresenti un requisito minimo; e
  • il divieto di renderlo disponibile a terzi non si applicherebbe nel caso in cui il titolare della concessione gestisca il sito.

In assenza di ulteriori chiarimenti, una soluzione che consenta la creazione di white label potrebbe essere quella di assegnare il nome di dominio al titolare della concessione con un diritto di riacquisto alla fine dell’accordo, con un’autonomia di gestione da concedere al titolare della concessione, che darebbe al soggetto che desidera stabilire un sito di tipo while label”  una quota di ricavi. In alternativa, gli operatori potrebbero acquisire più concessioni, ma lo vedo difficile con un costo per una concessione sui giochi a distanza di 7 milioni di euro.

Questa disposizione mira a combattere la pratica di avere un gran numero di skin di gioco sotto la stessa concessione. Infatti, l’attuale regime delle concessioni prevede la possibilità di avere un numero illimitato di nomi a dominio collegati alla stessa concessione, ma i giocatori possono avere un solo conto di gioco per concessione.

Vedremo l’evoluzione del disegno di legge che è stato molto criticato. Sullo stesso argomento, può leggere l’articolo La Bozza di Decreto sull’Assegnazione di Concessioni relative ai Giochi Online in Italia.

 
Intellectual Property

L’interpretazione delle rivendicazioni nei giudizi UPC

Due recenti pronunce rese rispettivamente dalle divisioni locali di Düsseldorf e di Monaco hanno affrontato il tema della “claim construction”, delineando i criteri da seguire nell’interpretazione delle rivendicazioni per definire l’ambito di protezione di un brevetto (procedimenti e UPC_CFI_452/2023 e UPC_CFI_292/2023).

Al riguardo, la divisone locale di Düsseldorf si è espressa in merito alla rilevanza che possono assumere le dichiarazioni rese dalle parti nell’ambito della procedura di concessione del brevetto al fine di interpretarne le rivendicazioni e determinarne dunque la portata, ritenendo che, in linea di principio, esse non hanno alcun rilievo.

Infatti, secondo la Corte, da una lettura dell’articolo 24(1)(c) UPCA in combinato disposto con l’articolo 69 CBE, deriva che ai fini dell’interpretazione delle rivendicazioni brevettuali debbano essere presi in considerazione esclusivamente la descrizione e i disegni che lo accompagnano. Le semplici dichiarazioni rese da una delle parti durante la procedura di concessione sono pertanto irrilevanti al fine di determinare l’ambito di protezione del titolo; tuttalpiù, secondo la Corte, esse potrebbero avere un valore indicativo in merito a come l’esperto del ramo può intendere la caratteristica in questione.

A distanza di qualche giorno, anche la divisione locale di Monaco si è espressa in materia di “claim construction”, affermando che la formulazione originaria delle rivendicazioni del brevetto, unitamente alle modifiche a questa apportate durante la procedura di concessione, può costituire un valido ausilio interpretativo delle rivendicazioni del brevetto così come concesso.

Nella medesima pronuncia, la Corte ha altresì delineato un importante principio in materia di protective letters, in virtù del quale se ad essere soccombente è la parte che ha instaurato il giudizio, questa è tenuta a rimborsare alla controparte anche i costi sostenuti per il deposito della protective letter, che devono essere dunque ricompresi tra le spese processuali. Infatti, secondo la divisione locale di Monaco, le protective letters divengono parte integrante del procedimento non appena vengono trasmesse al giudice o al Collegio ai sensi dell’articolo 207.8 delle Rules of Procedures. Per un approfondimento sull’istituto delle protective letters, trovate un nostro contributo qui.

La decisione resa dalla divisione locale di Monaco è stata impugnata e attualmente il giudizio pende avanti la Corte di appello (procedimento CoA_1/2024). Sarà interessante vedere se i principi delineati in primo grado saranno condivisi da quest’ultima.

Sempre in materia di UPC può essere interessante l’articolo: “Sospensione del procedimento innanzi all’UPC in pendenza di un giudizio di opposizione avanti all’EPO”.

 
Technology Media and Telecommunication

Regolamento DORA: il primo set di RTS e ITS sotto esame della Commissione

Il 17 gennaio 2025, data di entrata in vigore del Regolamento DORA (il Regolamento (UE) 2022/2554 – Digital Operational Resilience Act), non è così lontano come sembra.

Gli operatori economici soggetti al Regolamento, infatti, si stanno sempre di più adoperando per implementare quei principi e quegli obblighi che DORA impone per la corretta gestione del rischio operativo digitale. Ciò, sia con riferimento alle procedure e ai meccanismi interni, sia con riferimento ai rapporti contrattuali che rientrano nell’ambito di applicazione del Regolamento.

Un punto cruciale del processo di adeguamento è l’implementazione degli obblighi che le Autorità Europee di Vigilanza (ESA, EBA e EIOPA – le AEV) hanno delineato negli standard tecnici.

Si tratta dei c.d. implementing technical standard e regulatory technical standard (rispettivamente, ITS e RTS), la cui stesura è demandata direttamente dal Regolamento alle AEV e che hanno lo scopo di specificare e dettagliare alcuni obblighi e principi di DORA.

DORA ha previsto due set di standard. Il primo, pubblicato lo scorso 17 gennaio, è ora sotto esame della Commissione Europea. Il secondo terminerà il processo di consultazione pubblica il prossimo 4 marzo, e sarà poi inviato alla Commissione Europea il 17 luglio. Per maggiori informazioni sulla procedura di approvazione degli standard tecnici è possibile consultare il seguente articolo: Regolamento DORA: prime prove di normativa secondaria | DLA Piper.

Nell’attesa che il primo set venga definitivamente approvato dalla Commissione ed entri in vigore, è comunque possibile iniziare ad adeguarsi agli obblighi che gli standard prevedono. Per quanto una rigida applicazione non sia necessaria (considerando che gli stessi potrebbero subire modifiche), è comunque fondamentale iniziare a conoscere il contenuto e gli obbiettivi degli RTS e ITS. Ciò permetterà di evitare di dover implementare tutti gli obblighi di entrambi i set di standard eccessivamente a ridosso dell’entrata in vigore del Regolamento e, in definitiva, di trovarsi impreparati alla rivoluzione che DORA prevede.

Possiamo quindi brevemente esaminare il contenuto dei primi 4 standard inclusi nel primo set.

  • ITS sul Registro di informazioni in relazione ai contratti con fornitori di servizi TIC

L’articolo 28 del Regolamento, richiede che le entità finanziarie mantengano un registro contenente tutte le informazioni relative ai contratti in essere con i fornitori di servizi TIC. Lo scopo di questo registro è duplice. Da un lato, garantire alle entità finanziarie di avere una mappa dei rapporti con i fornitori terzi sempre aggiornata. Dall’altro lato, permettere alle AEV di verificare, tramite la consultazione del registro, se e in che misura l’entità finanziaria stia adempiendo ai propri obblighi.

Con questo ITS, dunque, le AEV mirano a costruire un modello di registro uguale per tutte le entità finanziarie. Ciò permetterà una più chiara identificazione delle informazioni che devono essere effettivamente contenute nel registro. Inoltre, garantirà alle AEV una più veloce revisione dello stesso (non dovendo così “studiare” la struttura del registro di ciascuna entità finanziaria).

L’ITS, oltre a fornire una vera e propria mappa di come deve essere strutturato il registro e a quali informazioni esso deve contenere, include altresì alcune informazioni utili in merito alla tenuta del registro stesso.

A titolo esemplificativo, è richiesto che le informazioni siano adeguatamente verificate, costantemente aggiornate e facilmente accessibili e intellegibili. Inoltre, le informazioni relative a ciascun contratto con il fornitore TIC dovranno essere mantenute nel registro per un periodo di almeno 5 anni a seguito della relativa cessazione.

  • RTS sulla Policy interna per i fornitori di servizi TIC che supportano funzioni critiche o importanti

Quando i servizi TIC che il fornitore somministra all’entità finanziaria supportano una funzione critica o importante, DORA richiede che l’entità finanziaria abbia un approccio più cauto, che le permetta di mantenere un controllo costante sul fornitore. In quest’ottica, l’articolo 28(2) del Regolamento richiede alle entità finanziarie di dotarsi di una policy che delinei chiaramente le strategie da adottare in relazione a tali fornitori e le procedure che l’entità finanziaria ha elaborato per consentire quel necessario controllo costante.

Lo scopo, dunque, di questo RTS è quello di fornire alle entità finanziaria il contenuto minimo di tale policy. In tal senso, l’RTS copre diverse aree.

Innanzitutto, viene specificato che la policy dovrà indicare una metodologia che l’entità finanziaria adotta per individuare le funzioni critiche o importanti. A ciò si collega la necessaria indicazione di tutte le funzioni interne coinvolte in questo assessment, nonché la suddivisione dei diversi ruoli e compiti.

In secondo luogo, lo standard prevede alcuni contenuti specifici in relazione ai contratti con i fornitori terzi. La policy, l’RTS, dovrà specificare alcuni contenuti minimi che le entità finanziarie dovranno necessariamente inserire all’interno dei contratti con i fornitori che supportano funzioni critiche o importanti.

Da ultimo, l’RTS prevede che la policy debba, attraverso procedure e misure definite, garantire all’entità finanziaria di mantenere il controllo sul fornitore e dotarsi di tutti gli strumenti adeguati a tale scopo.

  • RTS sui criteri di classificazione degli incidenti relativi alle TIC

L’articolo 18 del Regolamento DORA prevede un elenco di criteri per la classificazione degli incidenti legati alle tecnologie di informazione e comunicazione. Si tratta di un aspetto particolarmente rilevante del Regolamento in quanto, qualora l’incidente debba classificarsi come grave, l’entità finanziaria sarà destinataria di specifici obblighi di notifica.

Tuttavia, la lista di criteri prevista da DORA non fornisce particolari indicazioni in merito alla rilevanza di un criterio sopra un altro o a quando un criterio debba ritenersi soddisfatto.

L’obbiettivo di questo RTS è, dunque, quello di precisare come debbano essere letti i criteri nel loro insieme, di istruire su come procedere alla valutazione di un incidente e di chiarire quali siano le soglie di materialità rilevanti.

Di particolare rilevanza è che l’RTS individua il criterio soglia per la classificazione degli incidenti come gravi. In particolare, se l’incidente non ha impattato servizi critici, non potrà in ogni caso ritenersi grave. Qualora, invece, il criterio sia verificato, all’entità finanziaria è richiesta una ulteriore valutazione circa il raggiungimento degli altri criteri previsti.

  • RTS per l’armonizzazione degli strumenti metodi e procedure per la gestione del rischio TIC

L’ultimo RTS previsto nel primo set risponde all’esigenza di costruire un quadro di gestione del rischio TIC che sia il più possibile armonizzato.

Lo standard in questione, che risulta essere anche il più corposo, include l’indicazione di numerose policy e procedure che devono essere adottate dalle entità finanziarie ed andranno a costituire gli elementi del relativo quadro di gestione del rischio.

Oltre a indicare puntualmente gli strumenti da adottare e il relativo contenuto, l’RTS prevede altresì alcuni criteri generali per l’implementazione di tali strumenti. A titolo esemplificativo, è possibile citare l’obbligo di revisione di tali strumenti, la necessità di indicare i ruoli e i relativi compiti per ciascuna funzione individuata come responsabile degli strumenti addottati, l’indicazione circa le conseguenze del mancato rispetto delle policy e procedure adottate, etc.

Nell’attesa che l’RTS venga definitivamente approvato dalla Commissione, è comunque opportuno che le entità finanziarie valutino se tutti gli elementi oggetto di tali policy e procedure siano adeguatamente coperti.

Per una disamina di quella che è la struttura del Regolamento DORA e degli obblighi in esso contenuti è possibile consultare il seguente articolo: “Regolamento DORA approvato e in vigore: obblighi di cybersecurity”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta,Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Claudia Galatioto, Laura Gastaldi, Vincenzo GiuffréMarco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

 

Competenze correlate

TechnologyConsumer Goods, Food and RetailIntellectual Property
    Cookie PolicyNote legaliModern SlaveryPrivacy PolicyWhistleblowingMappa del sito

    DLA Piper è uno studio legale internazionale che opera attraverso diversi soggetti giuridici distinti e separati. Per ulteriori informazioni su tali soggetti e sulla struttura di DLA Piper, si prega di fare riferimento alla pagina delle Note legali su questo sito Internet. Tutti i diritti riservati. Avviso legale.

    © 2024 DLA Piper