Articoli

Software Claudette: I.A. contro le clausole vessatorie

Avv. Vincenzo Colarocco

Nasce “Claudette”, il software basato sull’intelligenza artificiale che viene in soccorso dei consumatori per metterli in guardia dalle clausole vessatorie dei contratti stipulati unilateralmente e sottoscritti online. A guidare il relativo progetto è stato l’Istituto Universitario Europeo di Fiesole, con i Professori Giovanni Sartor e Hans-W- Micklitz, in collaborazione con gli ingegneri dell’Università di Bologna e dell’Università di Modena e Reggio Emilia.

A fronte di un aumento del 15% nel 2018 per l’e-commerce italiano, il valore mondiale degli acquisti online sembra stagliarsi attorno ai 2 milioni di euro. Tali acquisti vengono però effettuati, nella maggior parte dei casi, ignorando le clausole contrattuali o le condizioni di servizio. Già dieci anni fa, e dunque prima ancora dell’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), uno studio pubblicato sul Journal of Law and Policy for the Information Society rappresentava come la lettura effettiva delle sole privacy policy sarebbe costata, in termini di tempo, circa 200 ore l’anno per utente; a tanto si aggiunga lo scarso rilievo pratico di un analitico esame delle suddette clausole, stante il limitato potere contrattuale dell’utente in relazione a controparti quali Google, Facebook o Amazon.

Claudette si propone di contrastare l’inserzione delle clausole abusive attraverso l’automazione della fase di identificazione delle stesse secondo lo schema tipico dei meccanismi di machine learning: i ricercatori hanno raccolto i termini e le condizioni di servizio di alcune delle maggiori piattaforme online, quali, tra le altre, Google, Linkedin, Dropbox, World of Warcraft, Yahoo e Twitter, ed hanno ricondotto ciascuna clausola ad otto diverse categorie, tra le quali figurano: giurisdizione, legge applicabile e limitazioni di responsabilità. L’applicazione dell’I.A. al caso di specie ha portato ad un risultato senza dubbio significativo: l’8,6% delle frasi totali (segnatamente, 1032 delle 12011 inserite) è stato identificato come potenzialmente abusivo. Oltre ai consumatori, Claudette potrebbe essere d’ausilio anche agli stessi operatori del settore, come per esempio consulenti o avvocati, chiamati a pronunciarsi sulla legittimità dei regolamenti contrattuali predisposti dai propri clienti, in questo modo ottimizzando la fase di studio dei contratti e di conseguente identificazione delle clausole abusive.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.