Innovazione e diritto: le novità della settimana

Privacy

Il report ENISA 2021 sulla cybersecurity indica gli attacchi ransomware come minaccia principale

Il report ENISA Threat Landscape è il dossier annuale dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) sul panorama delle minacce sulla cybersecurity nello Spazio Economico Europeo e ha individuato quest’anno, senza sorpresa, gli attacchi ransomware come principale minaccia.

L’ENISA ha recentemente rilasciato la nona edizione del report, che fornisce una prospettiva esaustiva su vulnerabilità e minacce più rilevanti per il tessuto sociale europeo nel periodo compreso tra aprile 2020 e luglio 2021. Il report identifica le minacce di cybersecurity “del momento”, fornendo un’analisi su diffusione e gravità di agenti e vettori di attacco in Europa. L’ENISA presta particolare attenzione ai “trend” del settore, identificando i threat actors più comuni, le relative tecniche offensive, prospettando un quadro delle relative misure di mitigazione del rischio e risposta agli incidenti di sicurezza.

Tra le principali minacce di cybersecurity indentificate, una menzione particolare spetta agli attacchi ransomware, veri protagonisti della scena dell’information security nazionale ed europea. L’ENISA Threat Landscape identifica i ransomware come la principale minaccia informatica per le imprese europee per il 2020-2021. Le criptovalute, d’altro canto, restano il metodo di pagamento più comune per i threat agents, solitamente affiliati ad organizzazioni internazionali di stampo criminale.

Comuni strumenti di attacco come malware, phishing, cryptojacking mantengono un ruolo primario nel quadro europeo dei cyber-threats. Tuttavia, il trend di decrescita legato alla diffusione dei malware registrato nel 2020 trova ulteriore conferma nell’anno corrente. D’altro canto, il volume delle infezioni da cryptojacking ha raggiunto cifre record nel primo trimestre del 2021, rispetto agli ultimi anni.

Di regola, con il cryptojacking, i criminali informatici sfruttano segretamente la potenza di calcolo di un dispositivo compromesso per generare (ie, minare) criptovalute, senza apportare modifiche sostanziali ai sistemi infettati. Gli introiti associati al cryptojacking e la semplicità con cui tali offensive possono essere portate a compimento hanno incentivato l’ingresso di nuovi attori nello scenario internazionale, determinando un incremento esponenziale degli attacchi. È importante ricordare che i malware sono sempre più usati in “soluzioni combinate” dagli agenti di attacco. Attraverso offensive combinate, infatti, organizzazioni di cyber-criminali sfruttano la ghiotta occasione di moltiplicare introiti e probabilità di successo. La vittima di una campagna di phishing, ad esempio, potrebbe essere infettata contemporaneamente da un ransomware e un cryptojacker dopo aver cliccato incautamente su un link malevolo. Dal momento che un dispositivo integralmente crittografato da un ransomware non può funzionare come device utile al mining di criptovalute, l’agente di attacco può decidere quale delle minacce eseguire a seconda della configurazione hardware e software del dispositivo compromesso, delle misure di sicurezza implementate e delle prospettive di guadagno.

Alla luce delle implicazioni di recenti attacchi su larga-scala diretti a infrastrutture strategiche (si pensi al caso Solar Winds), ENISA sottolinea l’importanza di condurre adeguate attività di verifica, revisione e auditing sul livello di sicurezza e conformità alle best practise di settore per i fornitori. Gli attacchi diretti alla supply chain, in tal senso, stanno conoscendo una preoccupante diffusione.

Il COVID-19 ha fornito una nuova “esca” per gli attacchi di phishing. L’ENISA segnala una stabile crescita delle campagne di social-engineering  via e-mail. Il settore più colpito nel 2021, come prevedibile, è quello sanitario, facile preda di offensive malevole a causa di sistemi e strategie di prevenzione e risposta ai cyber-attacchi spesso inadeguate e obsolete. D’altro canto, ENISA sottolinea come le campagne DDoS (Distributed Denial of Service) nel 2021 siano sempre più mirate, persistenti e multivettoriali. L’avvento dell’IoT (Internet of Things), unitamente alla diffusione delle architetture di rete 5G, ha prestato il fianco a una nuova ondata di attacchi di tipo DDoS.

Ultima nota, quella relativa agli incidenti informatici accidentali, prevalentemente riferibili a minacce interne alle organizzazioni. Nel corso del 2020 e del 2021 si osserva una crescita esponenziale di data breach legati ad errori nella gestione dei dati e/o mal configurazioni di sistemi e architetture di rete da parte di aziende e professionisti. La pandemia da COVID-19, citando l’ENISA, ha accentuato l’assenza di un’adeguata “alfabetizzazione” alla sicurezza delle informazioni e, più in generale, all’uso di strumenti informatici. L’improvviso slancio verso la digitalizzazione ha agito come moltiplicatore per errori umani e insider threats, al punto da rappresentare il tassello più voluminoso nel quadro dei cyber-threats di 2021.

Su un simile argomento può essere interessante l’articolo “Come gestire un data breach da attacco ransomware”.

Limitazione dei diritti privacy degli interessati: pubblicate le nuove linee guida dell’EDPB

Lo European Data Protection Board (EDPB) ha pubblicato la versione finale delle Linee Guida 10/2020 sulla limitazione dei diritti privacy degli interessati ai sensi dell’Articolo 23 GDPR.

Il documento affronta il delicato tema delle restrizioni dei diritti degli interessati previsti dagli Articoli 12-22 del GDPR, tra cui figurano il diritto di accesso e rettifica dei dati nonché il diritto all’oblio.

L’Articolo 23 GDPR consente al diritto europeo o dello Stato membro cui è soggetto il titolare o il responsabile del trattamento di “limitare, mediante misure legislative,la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 a 22 qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali” nella misura in cui tale restrizione sia necessaria e proporzionata in una società democratica per salvaguardare una serie di interessi ritenuti dal legislatore particolarmente rilevanti. Tale principio segue la “stella polare” dell’Articolo 52 della Carta di Nizza, che impone l’uso della legge (di rango europeo o nazionale) quale unico strumento idoneo a determinare potenziali compressioni dei diritti fondamentali dei cittadini europei, in ossequio ai principi di necessità e proporzionalità.

Le Linee Guida stabiliscono che le misure legislative preordinate a sancire limitazioni ai diritti privacy degli interessati devono soddisfare il requisito di prevedibilità. L’EDPB analizza, poi, le motivazioni che possono sottostare ad una previsione legislativa idonea a comprimere i diritti degli interessati. Una misura normativa limitativa dei diritti privacy dovrebbe in ogni caso esplicitare il problema di riferimento, il modo in cui la previsione in esame intende affrontarlo e il motivo per cui le misure esistenti e/o meno intrusive non garantiscono una soluzione sufficiente. Sono, in tal senso, riportate le valutazioni che devono essere osservate dal legislatore e le misure con cui gli interessati possono esercitare i loro diritti dopo la revoca delle restrizioni. Particolare attenzione, inoltre, è rivolta alle conseguenze delle violazioni dell’Articolo 23 GDPR.

Con riferimento a libertà, diritti e obblighi limitabili ai sensi dall’Articolo 23 GDPR, l’EDPB precisa che “solo gli articoli da 12 a 22, l’articolo 34 del GDPR e l’articolo 5 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 12 a 22 possono essere limitati”. Di conseguenza, gli ulteriori diritti e obblighi in materia di protezione dei dati personali (ad esempio, il diritto di presentare un reclamo all’autorità di controllo in ossequio all’art. 77 del GDPR) non possono essere compressi sotto l’egida dell’Articolo 23 del GDPR.

Il provvedimento dell’EDPB assume un’importanza cruciale in un contesto giuridico e sociale fortemente mutato negli ultimi mesi a causa della pandemia da COVID-19 che ha fatto ripetutamente invocare l’introduzione di eccezioni ai diritti privacy. Il complesso rapporto tra privacy e gestione dell’emergenza da Covid-19, infatti, solleva argomenti circa l’opportunità di comprimere i diritti di cui agli Articoli 12-22 del GDPR al fine di garantire il bilanciamento di interessi ritenuti essenziali per il tessuto economico e sociale nazionale ed europeo (si pensi alla continuità operativa di interi settori industriali). Nel complesso quadro normativo l’EDPB indica la strada maestra: sarà sufficiente a garantire un lieto esito a questo inedito impasse?

Su un simile argomento può essere interessante l’articolo “Green Pass e Privacy: il “Sì” del Garante ai controlli sull’identità da parte dei gestori di bar e ristoranti”.

Technology, Media and Telecommunications

Consultazione AgCom sulla proroga dei diritti d’uso per reti radio a banda larga

Con Delibera n. 316/21/CONS, pubblicata lo scorso 19 ottobre, l’AGCom ha avviato una consultazione pubblica avente ad oggetto le “condizioni regolamentari per l’autorizzazione della proroga della durata dei diritti d’uso esistenti per reti radio a larga banda WLL nella banda 27.5 – 29.5 GHz”, anche denominata banda a 28 GHz.

L’Allegato A alla Delibera disciplina le modalità della consultazione e nel documento l’AGCom rende noto che il Ministero dello Sviluppo Economico “ha trasmesso all’Autorità le istanze di alcune società, con cui le medesime hanno avanzato richieste di proroga dei propri diritti d’uso esistenti WLL” sia nella banda a 28 GHz sia nella banda 24.5 – 26.5 GHz (denominata banda a 26 GHz), richiedendo all’AGCom il parere di sua competenza in merito a tale richieste di proroga. La scadenza dei diritti di uso delle frequenze attualmente assegnate sulla banda a 28 GHz è prevista per il 31 dicembre 2022.

Ad una prima analisi, l’Autorità spiega di non rilevare “preclusioni a valutare positivamente le istanze di proroga per i diritti d’uso nella banda a 28 GHz”, in quanto pare che tale proroga possa “assicurare benefici al mercato e agli utenti in termini di fornitura di servizi, anche in linea con gli obiettivi europei e nazionali di sviluppo della banda larga e ultra-larga, valorizzazione degli investimenti e maggiore garanzia di sostenibilità degli stessi, tutela dell’utenza e promozione della competizione per il complesso del mercato”. Conseguentemente, nell’Allegato A alla Delibera l’Autorità anticipa che “ritiene opportuno fissare un periodo autorizzabile per la proroga dei diritti d’uso WLL in banda 28 GHz per un tempo congruo ma non eccessivamente protratto, pari a 4 anni, con scadenza dei diritti d’uso pertanto al 31 dicembre 2026”. Inoltre, l’Autorità anticipa altresì che “è possibile prevedere anche l’opzione di una ulteriore e definitiva estensione della proroga per un periodo di tre anni, e quindi fino al 31 dicembre 2029”.

Quanto alle condizioni per la proroga, l’Autorità ritiene che, “in aggiunta agli obblighi attualmente collegati ai rispettivi diritti d’uso”, gli operatori a cui dovesse essere concessa la proroga, dovrebbero essere tenuti al rispetto di talune misure regolamentari, tra cui l’ “impegno al rispetto di una procedura di coordinamento delle frequenze che potrà essere definita dal MISE, ai fini della protezione, tra servizi co-primari in banda inclusi quelli satellitari, con la necessità di non pregiudicarne i relativi sviluppi”.

Come indicato nel documento di consultazione, all’esito della stessa l’Autorità adotterà il proprio parere che trasmetterà al MISE in merito alle richieste di proroga avanzate dagli operatori.

Su un simile argomento può essere interessante l’articolo “Avviata un’indagine su nuove modalità di assegnazione dello spettro radio al servizio dei settori verticali”.

Intellectual Property

UIBM: nuova modalità di accesso al portale dei servizi per i marchi e brevetti

A far data dal 2 novembre 2021 cambieranno le modalità di accesso al portale dei servizi (sezione dedicata alla presentazione delle domande on-line) dell’Ufficio italiano brevetti e marchi (UIBM). A rendere noto l’aggiornamento è stato lo stesso UIBM con un annuncio pubblicato lo scorso 22 ottobre.

In particolare, l’Ufficio comunica che l’accesso “sarà consentito, per tutti i cittadini residenti in Italia, esclusivamente tramite modalità di autenticazione basata su SPID. Successivamente sarà possibile accedere anche tramite CNS e CIE. Quest’ultima modalità di accesso consentirà di usufruire del servizio anche a tutti i cittadini dell’Unione Europea”.

Si tratta di un cambiamento rilevante, che tuttavia ha determinato non poche perplessità.

In vista del probabile disagio che accompagnerà le iniziali fasi di implementazione delle nuove modalità di accesso, il Consiglio dell’Ordine dei Consulenti in Proprietà Industriale ha comunicato agli iscritti di aver espresso le proprie preoccupazioni all’Ufficio e di aver evidenziato che, in ragione della complessità dell’operazione, sarebbe opportuna una proroga di almeno un mese per l’entrata in vigore della procedura.

Proroga che tuttavia non è stata accordata dall’UIBM, che ha invece comunicato l’imminente avvio di un comunicato recante maggiori informazioni sulla nuova procedura di accesso tramite SPID.

Con quest’ultimo avviso, intervenuto lo scorso 25 ottobre, dopo aver nuovamente invitato gli iscritti ad adeguarsi alle nuova modalità di accesso quanto prima, l’Ufficio ha specificato che “affinché gli operatori di secondo livello continuino ad operare con la nuova procedura è necessario anche che i rispettivi primi livelli creino nuovamente il proprio secondo livello sul portale. In caso di operatore di secondo livello che agisce per conto di più operatori di primo livello, tale operazione dovrà essere svolta da tutti quanti i rispettivi operatori di primo livello. Tali operazioni potranno essere effettuate solo dopo che la nuova procedura sarà entrata in funzione.”

Relativamente alle modalità di invio all’utente delle ricevute di presentazione delle domande appena depositate e del relativo modello F24 precompilato, l’avviso chiarisce le formalità cui adeguarsi distinguendo tra operatori di primo e secondo livello.

Da ultimo, l’Ufficio rende noto che la corrispondenza continuerà ad essere inviata alla casella PEC indicata accanto al domicilio elettivo di ciascuna domanda e che non vi saranno modifiche rispetto alle modalità di caricamento dei documenti durante il deposito di una domanda.

Su un simile argomento, può essere interessante “Aperte dal 16 aprile 2020 le iscrizioni al registro dei marchi storici di interesse nazionale dell’UIBM”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Enila Elezi, Giulia Gialletti, Tamara D’Angeli, Filippo Grondona, Lara Mastrangelo, Giuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere l’analisi della bozza di Regolamento europeo sull’intelligenza artificiale curata dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi professionisti in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.