Legge antipirateria: “Pene irragionevoli e obblighi assurdi”, protestano i provider
Anitec-Assinform e Assoprovider molto critiche sulla modifica della norma che impone ad alcuni operatori l'obbligo di denunciare reati di accesso abusivo ai sistemi informatici e frode informatica
Collaboratore
Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto
Nell’ambito dell’esame al Senato per la conversione in legge del DL n.113/2024, cd. DL Omnibus, sono stati introdotti emendamenti volti a rafforzare la lotta contro la pirateria digitale dei contenuti sportivi. Uno di questi impone a una serie di operatori del settore, come i motori di ricerca, i prestatori di servizi di accesso e i prestatori dei servizi della società dell’informazione, l’obbligo di segnalazione alle autorità giudiziarie dei reati di accesso abusivo ai sistemi informatici e di frode informatica, arrivando a prevedere fino ad un anno di reclusione per l’omessa segnalazione.
Obbligo che finora era previsto solo per pubblici ufficiali o per reati gravissimi come strage, terrorismo, attentato a cariche dello stato, sequestro di persona e poco altro. Non c’è però solo questa anomalia a preoccupare, come spiega in un comunicato Anitec-Assinform, l’Associazione Nazionale delle imprese ICT e dell’Elettronica di Consumo aderente a Confindustria.
In primo luogo, la norma appare eccessivamente sproporzionata e inefficace ai fini del contrasto ai fenomeni di pirateria online. I motori di ricerca, così come i prestatori di servizi di accesso alla rete e i fornitori di servizi della società dell’informazione, sono da considerarsi dei meri intermediari che non possono vedersi attribuita una responsabilità penale non coerente con la natura dei servizi da loro prestati.
Su un piano strettamente operativo, la norma non identifica criteri, modalità e condizioni che determinano l’effettiva condotta omissiva, a partire dall’effettiva conoscenza da parte dei soggetti intermediari della condotta di reati commessi da terze persone, il che comporterà evidenti difficoltà di applicazione della disposizione.
Questa misura è inoltre un unicum nel panorama europeo e configurerebbe addirittura una possibile violazione di principi fondamentali del diritto dell’UE a partire dal principio del cd. country of origin, il quale prevede che le imprese possano essere soggette esclusivamente alle norme del Paese in cui sono stabilite. Tale principio, infatti, ha il chiaro obiettivo di evitare che l’imposizione di norme nazionali ad aziende stabilite in altri Stati membri possa ostacolare il commercio intra-UE, intaccando la coesione economica e sociale dell’Unione.
Da ultimo, sottolinea Anitec-Assinform, “preme sottolineare che la nuova disciplina finirebbe per vanificare i buoni risultati raggiunti in attuazione della normativa vigente, che ha previsto l’introduzione della piattaforma unica centralizzata per il contrasto ai siti pirata di eventi sportivi online con l’istituzione di meccanismi di segnalazione e blocco di contenuti illegittimi”.
Particolarmente critica verso questa norma è anche Assoprovider, che chiede un immediato intervento del legislatore per rimuovere la minaccia di carcerazione e rivedere complessivamente questi emendamenti:“L’introduzione del rischio di carcerazione per gli ISP è una misura draconiana e sproporzionata. Questa norma non solo mette a repentaglio la libertà personale degli operatori del settore, ma rischia di paralizzare l’intero sistema delle telecomunicazioni in Italia” ha dichiarato Giovanbattista Frontera, presidente di Assoprovider.
L’associazione sottolinea in particolare i seguenti punti critici:
Rischio carcere ingiustificato: la minaccia di reclusione per un’attività di natura tecnica e commerciale è senza precedenti e ingiustificata
Impossibilità pratica: gli ISP non hanno gli strumenti né le competenze per determinare quali attività siano “penalmente rilevanti”
Sovraccarico del sistema giudiziario: il timore di sanzioni penali potrebbe portare a un eccesso di segnalazioni, intasando il sistema giudiziario
Impatto sulla concorrenza: questa norma colpirà in modo sproporzionato i piccoli e medi operatori, che non hanno le risorse per implementare sistemi di monitoraggio complessi
Conflitto con la privacy: l’obbligo di monitoraggio si scontra con le normative sulla protezione dei dati personali, mettendo gli ISP in una posizione legale insostenibile
L’Europa ha bisogno della IA, o sono le aziende IA ad avere bisogno dell’Europa?
Un gruppo di aziende capitanate da Meta avverte: la frammentazione normativa sull'intelligenza artificiale rischia di precludere al vecchio continente l’accesso alle tecnologie più avanzate. Abbiamo chiesto un parere all’avv. Sammarchi, che da oltre 30 anni si occupa di diritto europeo e trasformazione digitale
Editor del network DigitalWorld ItaliaGiornalista professionista con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatic... Leggi tutto
La scorsa settimana in Europa hanno fatto notizia da due documenti riguardanti l’intelligenza artificiale, ciascuno firmato da decine e decine di aziende del settore.
Uno è la dichiarazione AI Pact, con cui la Commissione ha chiesto alle aziende tech di impegnarsi a operare in modo conforme alla normativa europea AI Act anche prima della graduale entrata in vigore di obblighi e sanzioni (un percorso che richiederà 3 anni dall’approvazione).
L’altro è una lettera aperta originata da Meta ma firmata da molte aziende di peso, più tra gli utenti di Intelligenza Artificiale che tra i vendor, con cui si chiede all’Unione Europa… Ecco: non si capisce bene cosa i firmatari chiedano all’EU.
L’elenco dei firmatari è quasi mutualmente esclusivo: tra i 126 firmatari dell’AI Pact e i 49 della lettera aperta di Meta ci sono solo tre sovrapposizioni: Criteo, Mirakl e SAP. Notevole anche l’assenza, su entrambi i lati, di alcune importanti aziende del settore come Anthropic e Mistral.
La lettera di Meta si intitola “L’Europa ha bisogno di certezza normativa sulla IA”, e dopo la presentazione degli enormi vantaggi che la IA generativa può portare all’economia e alla vita delle persone, in particolare grazie ai modelli open source (come Llama, giustappunto di Meta), chiede genericamente di avere un insieme di regole unificate e applicate in modo consistente in tutta l’Unione, così come il GDPR ha rappresentato un framework normativo armonizzato. Che, in teoria, è proprio lo scopo dell’AI Act.
L’incontro/scontro tra aziende AI e l’Unione Europea
Per chiarirci un po’ le idee, non avendo ottenuto risposte da Meta o da alcuni firmatari che abbiamo contattato, abbiamo intervistato l’avv. Roberto Sammarchi, manager dell’innovazione, cassazionista e specialista in diritto dell’informazione, della comunicazione digitale e della protezione dei dati personali e ne è nata una piacevole chiacchierata.
DigitalWorld Italia – Che idea si è fatto del dibattito in corso tra aziende e istituzioni riguardo all’intelligenza artificiale?
Avv. Roberto Sammarchi
Avv. Roberto Sammarchi – Nell’ultimo anno si sono avvicendate bordate pro e contro l’intelligenza artificiale percepita come minaccia o come opportunità, spesso con azioni contrapposte da parte degli stessi player, i quali sembrano maestri nel mantenere viva la polemica nel dibattito per mantenere alta l’attenzione del pubblico e il traffico sul proprio sito web.
E in merito all’AI Act?
Il regolamento europeo rappresenta un importante, generoso e utile tentativo di creare ordine in una materia complessa per molti aspetti sfuggente, impalpabile e non priva di rischi.
Ha forse il limite di identificare, a mio avviso, più il rischio e che le opportunità e di non favorire un approfondimento della conoscenza tecnica del fenomeno che si vuole regolare.
Su questo filone europeo si sono inserite a livello nazionale, anche nel nostro paese, posizioni di carattere politico e normativo, anch’esse originate da atteggiamenti e preoccupazioni condivisibili, che pongono però l’accento prevalentemente sui rischi. Come professionista che si occupa da molti anni di tematiche legate alla sicurezza, il mio punto di vista è e che in presenza di una nuova tecnologia il rischio è inevitabile, ma è connesso a opportunità che dovrebbero essere sempre tenute in primo piano. Il rischio va gestito per minimizzare e se possibile eliminare il suo impatto, operando delle scelte non prive di incognite ma che devono essere praticabili per gli operatori, pronti a correggere le azioni sulla base di un controllo continuo dei processi di innovazione e dei loro effetti.
In questo senso, la chiamata alle armi formulata dai firmatari della lettera è comprensibile, anche se forse non del tutto condivisibile nelle intenzioni.
Veniamo quindi alla lettera di Meta, il riferimento al GDPR come framework unificato sembrerebbe quasi una captatio benevolentiae: ti elogio perché sto per chiederti qualcosa. Nocciolo della questione sarebbero infatti i provvedimenti presi dai Garanti Privacy in alcuni stati riguardo all’utilizzo dei dati di cittadini europei per l’addestramento di modelli di intelligenza artificiale (con il Garante italiano primo al mondo nel sollevare obiezioni, ormai quasi due anni fa).
Uno dei più frequenti e acuti commentatori italiani in tema di IA è il francescano Padre Paolo Benanti. Con una battuta, io direi che se la lettera fosse stata scritta da San Francesco, il suo contenuto sarebbe condivisibile con minore preoccupazione. Purtroppo gli attori coinvolti hanno rilevantissimi interessi economici, che ne condizionano l’obiettività.
Anche la proclamazione di buona volontà sulla disponibilità aperta della IA per il “bene comune” desta molte domande. Se una risorsa ad alto costo come l’IA viene messa a disposizione dai soggetti investitori in modo aperto e oggi in molti casi quasi gratuito, temo significhi che il prodotto non è quella risorsa ma qualcos’altro. In questo scenario, sembra di comprendere che il prodotto sono gli utilizzatori di quelle tecnologie, cioè, siamo noi. O più esattamente, i nostri dati raccolti attraverso forme più o meno dirette di acquisizione e monitoraggio.
Da questo punto di vista la lettera è condivisibile e allo stesso tempo preoccupante.
Si torna a puntare il dito più contro il GDPR, che pure la lettera elogia, che contro l’AI Act, non è così?
Esiste un problema di frammentazione della normativa non solo europea, ma anche nel quadro nazionale. Il problema che io incontro è che le norme, in particolare in ambito tecnico digitale, sono “egoiste”. Ciascuna pensa a sé stessa, nel senso che ciascuna ha un percorso di elaborazione che nasce da gruppi di lavoro tecnici, da un processo di consultazione di stakeholder e da una mediazione politica a valle, ma il tutto avviene all’interno di silos informativi in cui si parla sostanzialmente di un argomento e di quell’argomento soltanto. Che si parli di intelligenza artificiale, prodotti e servizi, contenuti digitali, di privacy o cyber sicurezza, ogni norma si occupa di quell’argomento – spesso molto complesso – in modo molto approfondito in senso verticale, ma manca la capacità o un complesso di strumenti per tirare delle linee orizzontali tra le diverse norme.
Le norme, in particolare in ambito tecnico digitale, sono “egoiste”. Ciascuna pensa a sé stessa
In che modo quindi le norme in materia di intelligenza artificiale impattano sul GDPR?
Le faccio un esempio concreto. In Italia, il Decreto Legislativo 81/2008 impone al datore di lavoro di adottare la tecnologia che, allo stato dell’arte, è più idonea minimizzare o eliminare i rischi che riguardano la salute e la sicurezza dei lavoratori. Questa è una norma assolutamente centrale, innovativa, che prevede l’obbligo di innovazione per la sicurezza.
In sostanza, in Italia è possibile commettere un omicidio colposo in materia di lavoro per omessa adozione di una tecnologia disponibile che avrebbe potuto evitare la morte a uno o più lavoratori. Ora, se da un lato potrei e dovrei utilizzare videocamere, sensori biometrici, dispositivi di monitoraggio ambientale che, anche abbinati all’intelligenza artificiale, possono rilevare il pericolo e lanciare avvisi o prendere provvedimenti a tutela del lavoratore, dall’altro rischio di commettere una violazione in materia di privacy o in materia di controllo a distanza dei lavoratori, con rilevanti rischi anche di natura penale.
In Italia è possibile commettere un omicidio colposo in materia di lavoro per omessa adozione di una tecnologia disponibile che avrebbe potuto evitare la morte a uno o più lavoratori
A questo quadro si sommano le norme in materia di intelligenza artificiale, che possono avere un ruolo determinante in un’analisi predittiva degli eventi da cui può derivare una minaccia per l’infermità delle persone. L’AI Act chiede alle imprese utilizzatrici di fare una valutazione del rischio, ma il tema è estremamente complesso quando si ha a che fare con sistemi e modelli applicativi di cui, per natura delle soluzioni tecnologiche adottate, non si può conoscere il funzionamento in modo esatto.
Considerando l’importanza delle finalità del Testo unico su salute e sicurezza, e il fatto che tecnologie come l’intelligenza artificiale sono estremamente promettenti come strumento per salvare vite negli ambienti di lavoro, penso sia necessario adottare un coordinamento da parte di tutti i soggetti coinvolti, e anche prevedere delle nuove forme di vigilanza collaborativa e quindi di un coinvolgimento attivo degli enti preposti ai controlli.
Credo che le “righe orizzontali” da tracciare attraverso l’interpretazione delle norme, e quindi l’uscita da questo scenario chiamiamolo di verticalizzazione non coordinata, siano un fondamentale contributo al miglioramento della sicurezza.
