Comitato Italiano per lo sviluppo
Osservatorio Crittografico Europeo
sulla Sicurezza dei Minorenni nel web3
[crittografia e quantum computing]
Osservatorio Crittografico Europeo
sulla Sicurezza dei Minorenni nel web3
La rivoluzione digitale in atto ha generato in questi ultimi anni l’emergere di paradigmi e di architetture non soltanto tecnologiche, ma organizzative e sociali, che sostituiscono la tradizionale impostazione centralizzata con il concetto di “rete” decentralizzata e distribuita: un web lungo i cui nodi si sviluppa
la trasmissione della fiducia e del valore, quello che noi vorremmo per il web3. Grazie alla cultura diffusa della tecnologia DLT e dei diversi protocolli blockchain, tali paradigmi sono al centro della riflessione di diversi osservatori che in questi anni sono nati sul territorio italiano ed europeo sia in quanto strumenti abilitanti sia intesi come occasione di crescita per il Paese; e a tal fine non è sufficiente indagarli nei loro principi teorici e nelle loro applicazioni, ma è indispensabile coinvolgere cittadini e istituzioni sia per ridurre le barriere tra governance e fruizione dei servizi sia per disegnare e realizzare servizi che abbiano un impatto reale e un’efficacia misurabile.
La proposta qui articolata di co-creazione di un Comitato italiano per la cogenerazione di un Osservatorio Crittografico Europeo per la Sicurezza dei Minorenni partendo da una gestione più decentralizzata dei dati personali e degli attributi [crediti formativi] nasce per differenziarsi da quelli esistenti con la mission di unire in un'unica piazza phygital in un luogo di incontro aperto e interconnesso di confronto e di co-sperimentazione su temi che toccano il cuore della rivoluzione digitale e virtuale [da web 2 a web 3] e che abbracciano aspetti tecnologici, economici, di governance, di sicurezza, giuridici, politici, sociali. La finalità principale è la co-generazione di un ecosistema interconnesso [unica multi-piattaforma degli osservatori crittografici statali dei Paesi dell’UE] dove far incontrare e sviluppare competenze multidisciplinari e trasversali, in grado di porsi come interlocutore privilegiato dei policymaker, degli stakeholder e delle parti sociali all’interno di enti locali della Pubblica Amministrazione nello spirito dei principi ispiratori e degli obiettivi strategici di un Osservatorio evoluto e interconnesso con gli altri enti partecipanti al programma europeo. Il digitale e il virtuale possono rendere una società più resiliente, passando dal concetto di economia sociale basata sulla competitività al concetto di “economia rigenerativa”, efficiente e efficace soprattutto dal punto di vista sociale.
Prima dell’avvento della fase di infodemia da Covid-19 i ragionamenti sulle potenzialità insite nel processo di riforma digitale erano orientati verso la previsione di un nuovo orizzonte entro cui inserire gli archetipi sociali, economici, dell’organizzazione dell’impresa e del lavoro, oggi ciascuno di noi ha acquisito una propria, personale maggiore consapevolezza sul contributo che il digitale e - il virtuale - può offrire al sistema Paese. Oggi quando stampiamo, firmiamo, scansioniamo un documento e, infine, lo inviamo allegato all’e-mail, siamo consapevoli che digitalizzato significa molto di più di questo semplice processo. Si tratta della consapevolezza che questi passaggi sono conseguenti all’introduzione di nuovi strumenti all’interno di un paradigma novecentesco che sa ancora di ciclostile. Oggi la nostra coscienza digitale non può prescindere da un’interfaccia web, da un accesso tramite SPID
[presto attraverso un'interfaccia web 3.0 come l’IT wallet potremmo scambiare dati peer-to-peer, programmare una videoconferenza, studiare in virtual learning o lavorare in smart sono acronimi, locuzioni e termini che, filtrati dal mood tipico del distanziamento sociale, possono rivelare nuove e migliori potenzialità. Volgendo lo sguardo alle recenti passate esperienze pandemiche del lustro appena trascorso, ci lasciamo alle spalle l’idea di un futuro ottimistico ma fuori fuoco, tipico dei ragionamenti che prima condividevamo sulle potenzialità del digitale senza averle effettivamente sperimentate, e la ragionevole speranza che l’introduzione al metaverso sia scevra da obblighi di tutela di salute pubblica. Il nostro Ritorno al Futuro deve essere necessariamente più consapevole in particolare quando si trattano i dati relativi ai minorenni.
Il Regolamento UE 2021/241 del Parlamento europeo e del Consiglio del 12 febbraio 2021, pubblicato sulla Gazzetta ufficiale dell’Unione europea (GU) del 18 febbraio 2021 serie L (Legislazione) in vigore dal 19 febbraio 2021, istituisce il Dispositivo per la Ripresa e la Resilienza (Recovery and Resilience Facility: RRF) dell’Unione europea, definendone i contenuti, gli obiettivi e i criteri per l’assegnazione dei finanziamenti agli Stati membri. Il Dispositivo per la Ripresa e la Resilienza rappresenta il fulcro del pacchetto di incentivi del NextGenerationEU dell’Unione che, come noto, ammonta a 750 miliardi di Euro.
Il Dispositivo per la Ripresa e la Resilienza consente alla Commissione di raccogliere capitali sui mercati finanziari per ripianare i danni economici e sociali provocati dalla pandemia da coronavirus. Il dispositivo è in stretta correlazione con le priorità della Commissione a garanzia di una ripresa sostenibile e inclusiva che favorisca la transizione verde e digitale. Il RRF ha un campo di intervento ben delimitato, articolato in 6 pilastri, i quali definiscono le tipologie di riforme e di investimenti che possono essere selezionati nei Piani Nazionali per la Ripresa e la Resilienza.
La trasformazione digitale rappresenta uno dei 6 pilastri. I Piani Nazionali di Ripresa e Resilienza devono dedicare alla transizione digitale almeno il 20% della spesa complessiva per investimenti e riforme. Il Sistema Italia ha dedicato al digitale il 21,05% delle risorse complessive, per investimenti che supereranno i 40 MLD di euro. In questo dinamico contesto che si svilupperà per il prossimo Decennio Digitale Europeo la nostra iniziativa di costituire un Osservatorio phygital ha l’obiettivo di aprire una finestra sulle iniziative del PNRR per la trasformazione digitale,nella consapevolezza che alla Pubblica Amministrazione spetta ora più che mai un ruolo chiave, complementare alle imprese, nell’adottare e guidare processi di digitalizzazione e virtualizzazione che possano generare benefici per cittadini e imprese, influenzando la capacità di innovazione di entrambi senza nuocere alla sicurezza e allo sviluppo di uno spirito critico” nelle nuove generazioni di utenti del già presente web3 decentralizzato, ancora una volta sotto il dominio delle BigTech.
Il capitalismo della sorveglianza dei minorenni da parte delle BigTech
Un’indagine antitrust europea ha inflitto una multa ala multinazionale Microsoft sul suo servizio di chat e video Teams con l’accusa che Microsoft, avendo integrato Teams in Office, potrebbe aver svantaggiato i concorrenti che offrono software di comunicazione simili come Slack (di proprietà di Salesforce, azienda che ha presentato denuncia all’Ue contro Microsoft nel 2020) o Zoom. Sempre sulle mosse di Microsoft, l’Autorità europea ha dichiarato che l’investimento del colosso del software di 10 miliardi in ChatGpt di OpenAi potrebbe essere soggetto alle regole europee che vigilano sull'eccessiva concentrazione di potere dei colossi tecnologici (il Digital Market Act, da ora DMA). Il 16 maggio la Commissione europea ha dichiarato che META è indagata per potenziali violazioni delle norme UE sui contenuti online relative alla sicurezza dei bambini, che potrebbero portare a multe salate: ma dopo gli annunci chi certifica che queste multe abbiano effetti positivi rispetto la difesa dei diritti dei minorenni? La Commissione europea ha avviato un procedimento formale contro TikTok per presunte violazioni degli obblighi di trasparenza e tutela dei minori, nel mirino ci sarebbero il design dell’app, che creerebbe dipendenza e alimenterebbe l’effetto tana di coniglio, i limiti al tempo di utilizzo, le procedure per la verifica dell’età e le impostazioni sulla privacy previste di default. La Commissione europea ha avviato una procedura d'infrazione contro X.com (ex Twitter) per investigare sul modo in cui la piattaforma è stata gestita da quando il miliardario Elon Musk è diventato CEO. Diversi esponenti della Commissione hanno dichiarato di essere preoccupati per una serie di nuove funzionalità aggiunte al social network sotto la gestione di Elon Musk. Il 4 marzo Bruxelles ha multato Apple per 1,8 miliardi accusandola di aver abusato della propria posizione dominantesul mercato ai fini della distribuzione agli utenti iPhone e iPad di applicazioni di streaming musicale sul suo Apple store. L’11 gennaio è trapelata la notizia che la Corte di Giustizia europea dovrebbe confermare la multa antitrust da 2,42 miliardi inflitta dall’Ue a Google per aver favorito il proprio shop online nella comparazione dei prezzi con altri concorrenti. Il 25 marzo i regolatori antitrust dell'UE hanno dichiarato che Meta, Apple e Google di Alphabet sarebbero stati indagati per potenziali violazioni del DMA.
Nel settembre 2023, l'UE ha selezionato 22 servizi cosiddetti “gatekeeper” gestiti da Alphabet, Amazon, Apple, Meta, Microsoft e ByteDance, proprietario di TikTok, dando loro sei mesi di tempo per conformarsi alle disposizioni del DMA, volte a rendere più semplice per gli utenti europei la mobilità tra servizi concorrenti. Ad aprile, le autorità antitrust dell'UE hanno designato il sistema operativo di Apple per iPad come gatekeeper ai sensi del DMA. Meta e TikTok hanno fatto ricorso contro lo status di gatekeeper a novembre, e quest'ultimo ha perso un tentativo di sospendere la sua designazione a febbraio. Ad ottobre, l’autorità britannica che regola i media ha chiesto alla Competition and Market Authority di indagare sul dominio di Amazon e Microsoft nel mercato del cloud nel Regno Unito. L’autorità fa riferimento a caratteristiche che rendevano più difficile per le aziende cambiare o combinare fornitori di servizi cloud. La CMA completerà la sua indagine entro aprile 2025, ricorda Reuters. Il garante della concorrenza francese ha dichiarato a marzo di aver multato Google per 250 milioni di euro (272 milioni di dollari) per violazioni legate alle norme sulla proprietà intellettuale dell'UE nei suoi rapporti con gli editori dei media. Il Wall Street Journal ha riferito a settembre che il regolatore aveva perquisito gli uffici locali di Nvidia. Il garante della concorrenza aveva divulgato la perquisizione ma non aveva nominato l'azienda, dicendo solo che era nel "settore delle schede grafiche". Nvidia ha rifiutato di commentare. Google ha accettato di modificare le sue pratiche sui dati degli utenti per porre fine a un'indagine antitrust tedesca volta a limitare il suo potere di mercato basato sui dati, ha detto l'ufficio del cartello tedesco a ottobre. Gli impegni di Google darebbero agli utenti più scelta su come vengono utilizzati i loro dati attraverso le sue piattaforme, ha detto il regolatore. Il garante della concorrenza italiano il 5 giugno ha multato Meta per 3,5 milioni di euro per quelle che ha descritto come pratiche commerciali sleali. L'agenzia antitrust ha dichiarato di aver avviato un'indagine su Apple per presunto abuso della sua posizione dominante nel mercato delle app: ma chi verificherà l’esito delle indagini? Ad aprile 2023, ha preso provvedimenti contro Meta per un presunto abuso della sua posizione nel paese, in un'indagine riguardante i diritti sulla musica pubblicata sulle piattaforme del gruppo.
L'autorità olandese per la privacy ad aprile ha raccomandato che le organizzazioni governative smettano di utilizzare META finché non sarà chiaro cosa succede ai dati personali degli utenti delle pagine META del governo. Il regolatore della concorrenza del paese ha detto a ottobre di aver respinto le obiezioni di Apple contro multe di 50 milioni di euro (54,4 milioni di dollari) per non aver rispettato le normative volte a limitare la posizione dominante del suo App Store. Apple farà ricorso contro la decisione nei tribunali olandesi. L'agenzia spagnola per la protezione dei dati ha ordinato a maggio una sospensione provvisoria di due prodotti Meta previsti per essere lanciati nelle elezioni del Parlamento Europeo su META. Un gruppo di startup che rappresenta oltre 700 startup in Spagna ha presentato a maggio un reclamo riguardo alle pratiche cloud di Microsoft al regolatore antitrust del paese, citando diverse presunte pratiche anti concorrenziali negli ultimi anni. Le autorità di regolamentazione europee hanno avviato una lunga serie di indagini sulle BigTech e molte delle 8 sorelle potrebbero dover affrontare pesanti multe in base alla Legge sui Servizi Digitali (DSA) dell'Unione Europea, a causa della certezza che in questi anni questi colossi del capitalismo della sorveglianza non hanno volutamente affrontare adeguatamente i rischi per i minorenni europei che vivono in una sorta di “infosfera” basata su deep fake e fake news oggi ancora più difficili da distinguere dopo l'avvento dell’AI generativa massificata dal OpenAI.
Le tecnologie abilitanti un modello di Osservatorio blockchain certificatoSecondo l’Osservatorio Blockchain del Politecnico di Milano oggi possiamo contare
su circa 600 progetti ufficiali con un tasso di crescita del 90% nei seguenti principali ambiti di applicazione:
In diversi paesi UE sono già molte le applicazioni in ambito PA. Sicuramente da citare l’esperienza dell’Estonia nell’ambito della costruzione di una società digitale e il percorso di Dubai, una delle Smart City più avanzate che pone la blockchain al centro del suo percorso verso la digitalizzazione dei servizi cittadini. In Italia sono in corso alcune sperimentazioni in ambito legaltech:
Decentralizzazione e gestione in alta affidabilità dei servizi della P.A.
Come riconosciuto dalla Risoluzione del Parlamento Europeo del 3 ottobre 2018, le tecnologie dei registri distribuiti possono avere un impatto profondo e sistemico sulla qualità e sulla struttura tradizionale della governance pubblica, e se adeguatamente progettate, possono rappresentare uno strumento affidabile per un’evoluzione decentralizzata dell’ecosistema digitale pubblico. La trasformazione delle modalità di creazione, gestione, conservazione, fruizione e accesso a dati e servizi della P.A. attraverso i registri distribuiti può comportare vantaggi di rilievo a seconda dei contesti di utilizzo. Le modalità di soddisfacimento dei suddetti requisiti, in riferimento alla PA, potranno essere valutate nel loro specifico contesto di applicazione, anche in conformità o in sinergia con le linee guida e i requisiti tecnici suggeriti da AgID e le politiche comunitarie, con particolare riferimento al Mercato Unico Digitale, e i tavoli di lavoro europei dedicati alla trasformazione digitale del settore pubblico, quali ad esempio l’OECD E-Leaders Thematic Group on Emerging Technologies, e l’European Blockchain Partnership (EBP); gli enti di standardizzazione europei e internazionali, quali CEN-CENELEC Focus Group on Blockchain and Distributed Ledger Technologies (DLT), ISO TC 307 – Blockchain & Distributed Ledger Technologies, ITU FG DLT, UN/CEFACT.
Per quanto riguarda gli altri membri dell’Unione Europea, il 1° novembre 2018 sono entrati in vigore a Malta tre provvedimenti che regolamentano Blockchain, criptovalute e DLT (Distributed Ledger Technology): il Virtual Financial Assets Act e il Malta Digital Innovation Authority Act, che ha istituito un ente per le attività innovative a carattere non finanziario e l’Innovative Technology Arrangements and Services Act volto a definire in diversi ambiti la tecnologia DLT, compresi gli smart contract. In particolare, il Virtual Financial Asset Act (VFA) si occupa di regolamentare le ICO (Initial Coin Offering) rendendo obbligatorio un White Paper volto a fornire un quadro generale e una descrizione degli aspetti di ogni progetto da inviare preventivamente alla Malta Financial Services Autority (MFSA), l’Autorità maltese per i servizi finanziari e poi da rendere pubblico.
Si stabilisce inoltre quale tipologia di Virtual Financial Assets (VFA) può essere emessa tramite ICO e si dettano le regole per l’ammissione alla negoziazione
su una piattaforma DLT. La Francia ha iniziato l’integrazione della “tecnologia Blockchain” nel suo sistema giuridico dopo aver creato i c.d. minibond con l’ordinanza n. 520 del 28 aprile 2016. Con il decreto n. 2018-1226 del 24 dicembre 2018 sull’utilizzo dei dispositivi elettronici di registrazione condivisi per la rappresentazione e la trasmissione di titoli finanziari e per il rilascio e il trasferimento dei c.d. minibond sono state considerate legali a tutti gli effetti le transazioni finanziarie attraverso i registri distribuiti. Il Lussemburgo ha approvato il 14 febbraio 2019 una norma che equipara i token digitali ai prodotti finanziari dematerializzati, fornendo agli operatori del mercato finanziario certezza giuridica in merito all’emissione di token. I paesi europei al di fuori
dell’Unione Svizzera e Repubblica di San Marino hanno fornito definizioni normative delle tecnologie in esame e il Liechtenstein, con il c.d. “Blockchain Act”, ha sottolineato il legame e lo sviluppo della tecnologia Blockchain nell’ambito di un sistema monetario digitale privato, Bitcoin, per poi porne in evidenza la capacità di registrare assets come moneta digitale, prevenendo forme di manipolazione e garantendo la sicurezza delle transazioni attraverso “procedure matematiche pure (tecnologie di cifratura, crittografia) e regole definite”. L’Unione europea Commissione e Consiglio hanno avviato un lavoro di analisi e di approfondimento in materia di DLT e Blockchain Technology. Alcuni paesi dell’Unione, tra i quali l’Italia, hanno firmato la “European
Blockchain Partnership” (EBP) e stanno cooperando per la creazione della “European Blockchain Services Infrastructure” (EBSI) con il compito di realizzare servizi digitali transfrontalieri, caratterizzati dai più alti standard in termini di privacy, L’European Banking Authority (EBA) ha pubblicato nel gennaio 2019 gli esiti della valutazione richiesta dalla Commissione europea ai sensi, in particolare, del regolamento EU 575/2013 e delle direttive EU 2015/2366 e 2009/110/CE sull’applicabilità e adeguatezza delle normative europee rispetto alle criptovalute.
L’EBA ha raccomandato alla Commissione EU di porre in essere ulteriori analisi nel corso del 2019 al fine di definire un adeguato contesto a livello europeo e ha identificato alcune attività che porrà in essere nel corso del 2019 per monitorare le attività delle istituzioni finanziarie nella gestione delle criptovalute e nelle relative politiche di comunicazione alla clientela. L’European Data Protection Board (EDPB), costituito ai sensi del regolamento n. 2016/679 (GDPR) dai rappresentanti delle Autorità per la protezione dei dati personali degli Stati EU ed EFTA e dall’European Data Protection Supervisor ha deciso di pubblicare nel biennio 2019-2020 linee guida, opinioni o raccomandazioni in merito all’applicazione del GDPR alla Blockchain. Alcuni Paesi hanno introdotto regimi di Sandbox (Paesi Bassi, Regno Unito), mentre altri hanno previsto degli appositi “canali fintech” (Germania). L’EBA ha pubblicato nel gennaio 2019 un Report sugli “Innovation facilitators” (Innovation Hubs e Regulatory Sandboxes) che analizza l’applicazione di questi strumenti nei vari paesi europei, con particolare riferimento al settore fintech. LE sandboxes diventano quindi un parametro regolamentare: ipotesi studiata anche dal Legislatore Italiano con emendamento al Decreto Crescita e dalle Autorità Amministrative indipendenti (CONSOB) L’iniziativa della Consob, prima nel suo genere, di mettere in discussione pubblica il documento “Le offerte iniziali e gli scambi di cripto-attività” secondo un’innovativa formula che è stata già definita di better regulation, in cui viene effettuata una sorta di “istruttoria legislativa” da parte del regolatore acquisendo pareri ed opinioni dal mercato, esperti e consumatori. La scelta della Consob di non applicare sic et simpliciter la nozione di prodotto finanziario, con la relativa regolazione, agli utility token ed a quelli ibridi, creando un’apposita categoria quale quella di cripto-attività, crea di fatto una “sandbox” non esclusiva, che fornisce sicurezza giuridica agli operatori che vogliano avviare tali tipologie di offerte, ricollegate a delle iniziative imprenditoriali contemporaneamente offrendo adeguate tutele e garanzie ai potenziali investitori.
Trust nella supply chain
Il 31% delle grandi aziende tedesche utilizza già o prevede di adottare OpenChain ISO/IEC 5230 Il modello di riferimento dell’OCESM è in linea con la visione
di OpenChain dove la catena di fornitura in cui l'open source viene fornito con informazioni di gestione dei processi affidabili e coerenti. Il progetto OpenChain conta una vasta comunità globale di oltre 1.000 aziende che collaborano per rendere la catena di fornitura più rapida, efficace ed efficiente collaborando con i progetti gemelli presso The Linux Foundation come SPDX (SBOM), OpenSSF (Security), TODO
Group (OSPO) e CHAOSS (Metrics) per contribuire a promuovere la gestione aziendale
dell'open source. Questi sono gli standard attuali
● OpenChain ISO/IEC 5230
Lo standard internazionale per i programmi di conformità delle licenze open source
● OpenChain ISO/IEC 18974
Lo standard di settore per i programmi di garanzia della sicurezza open source lo stesso modello si potrebbe applicare anche nel mondo blockchain e crittografia con l’integrazione di modelli di algoritmi di superintelligenze settoriali Made in UE per lo sviluppo di un Mercato AI Unico Digitale Europeo basato su dati crittografati.
Strategia europea "Think Open" per il software open source
La Commissione Europea con la nuova Strategia per il Software Open Source ha dimostrato ai molti detrattori dell’open source [collegati alle BigTech] quanto sia importante verso il raggiungimento degli obiettivi della strategia digitale generale della Commissione e il contributo al programma Europa Digitale. La strategia interna, sotto il tema "Think Open", definisce una visione per incoraggiare e sfruttare il potere trasformativo, innovativo e collaborativo dell'open source, dei suoi principi e delle pratiche di sviluppo. Promuove la condivisione e il riutilizzo di soluzioni software, conoscenze e competenze, per fornire servizi europei migliori che avvantaggiano la società e riducono i costi per la società.
La Commissione si impegna ad aumentare l'uso dell'open source non solo in settori pratici come l'IT, ma anche in ambiti in cui può essere strategico. Gli obiettivi principali della nuova strategia sono consentire alla Commissione di:
L’attuazione della strategia sarà guidata da 6 principi: pensare aperto, trasformare, condividere, contribuire, proteggere, mantenere il controllo: in pratica, la Commissione mira a rafforzare una cultura lavorativa interna che è già in gran parte basata sui principi dell’open source e a raggiungere gli obiettivi della strategia attraverso le seguenti azioni concrete :
La Commissione, che già utilizza l’open source per molti dei suoi principali servizi TIC e soluzioni software, ha rafforzato il ruolo di questo tipo di software a livello interno. La strategia 2014-2017 pone un accento particolare sugli appalti, sul contributo a progetti di software open source e sulla fornitura come open source di una quota maggiore del software sviluppato all'interno della Commissione. Gli obiettivi specifici della strategia sono:
1] Parità di trattamento negli appalti
La Commissione garantirà condizioni di parità per il software open source nell'acquisizione di nuove soluzioni software. Ciò significa che le soluzioni open source e le soluzioni proprietarie saranno valutate su base paritaria, essendo entrambe valutate sulla base del costo totale di proprietà, compresi i costi di uscita.
2] Contributo alle comunità
I servizi della Commissione parteciperanno sempre più alle comunità di software open source per basarsi sugli elementi costitutivi open source utilizzati nel software della Commissione.
3] Chiarimento degli aspetti giuridici
Per agevolare la collaborazione con le comunità open source, gli sviluppatori della Commissione beneficeranno di un'adeguata formazione e consulenza giuridica su come affrontare le questioni relative alla proprietà intellettuale relative al software open source.
La finanza e le tecnologie dell'informazione Made in UE
L’articolo 28 del Regolamento, richiede che le entità finanziarie mantengano un registro contenente tutte le informazioni relative ai contratti in essere con i fornitori di servizi TIC. Lo scopo di questo registro è duplice. Da un lato, garantire alle entità finanziarie di avere una mappa dei rapporti con i fornitori terzi sempre aggiornata. Dall’altro lato, permettere alle AEV di verificare, tramite la consultazione del registro, se e in che misura l’entità finanziaria stia adempiendo ai propri obblighi. Con questo ITS, dunque, le AEV mirano a costruire un modello di registro uguale per tutte le entità finanziarie. Ciò permetterà una più chiara identificazione delle informazioni che devono essere effettivamente contenute nel registro. Inoltre, garantirà alle AEV una più veloce revisione dello stesso (non dovendo così “studiare” la struttura del registro di ciascuna entità finanziaria). L’ITS, oltre a fornire una vera e propria mappa di come deve essere strutturato il registro e a quali informazioni esso deve contenere, include altresì alcune informazioni utili in merito alla tenuta del registro stesso.
A titolo esemplificativo, è richiesto che le informazioni siano adeguatamente verificate, costantemente aggiornate e facilmente accessibili e intellegibili. Inoltre, le informazioni relative a ciascun contratto con il fornitore TIC dovranno essere mantenute nel registro per un periodo di almeno 5 anni a seguito della relativa cessazione.
★ RTS sulla Policy interna per i fornitori di servizi TIC che supportano funzioni critiche o importanti
Quando i servizi TIC che il fornitore somministra all’entità finanziaria supportano una funzione critica o importante, DORA richiede che l’entità finanziaria abbia un approccio più cauto, che le permetta di mantenere un controllo costante sul fornitore. In quest’ottica, l’articolo 28 (2) del Regolamento richiede alle entità finanziarie di dotarsi di una policy che delinei chiaramente le strategie da adottare in relazione a tali fornitori e le procedure che l’entità finanziaria ha elaborato per consentire quel necessario controllo costante. Lo scopo, dunque, di questo RTS è quello di fornire alle entità finanziaria il contenuto minimo di tale policy. In tal senso, l’RTS copre diverse aree. Innanzitutto, viene specificato che la policy dovrà indicare una metodologia che l’entità finanziaria adotta per individuare le funzioni critiche o importanti. A ciò si collega la necessaria indicazione di tutte le funzioni interne coinvolte in questo assessment, nonché la suddivisione dei diversi ruoli e compiti. In secondo luogo, lo standard prevede alcuni contenuti specifici in relazione ai contratti con i fornitori terzi. La policy, l’RTS, dovrà specificare alcuni contenuti minimi che le entità finanziarie dovranno necessariamente inserire all’interno dei contratti con i fornitori che supportano funzioni critiche o importanti. Da ultimo, l’RTS prevede che la policy debba, attraverso procedure e misure definite, garantire all’entità finanziaria di mantenere il controllo sul fornitore e dotarsi di tutti gli strumenti adeguati a tale scopo.
★ RTS sui criteri di classificazione degli incidenti relativi alle TIC
L’articolo 18 del Regolamento DORA prevede un elenco di criteri per la classificazione degli incidenti legati alle tecnologie di informazione e comunicazione. Si tratta di un aspetto particolarmente rilevante del Regolamento in quanto, qualora l’incidente debba qualificarsi come grave, l’entità finanziaria sarà destinataria di specifici obblighi di notifica. Tuttavia, la lista di criteri prevista da DORA non fornisce particolari indicazioni in merito alla rilevanza di un criterio sopra un altro o a quando un criterio debba ritenersi soddisfatto. L’obbiettivo di questo RTS è, dunque, quello di precisare come debbano essere letti i criteri nel loro insieme, di istruire su come procedere alla valutazione di un incidente e di chiarire quali siano le soglie di materialità rilevanti. Di particolare rilevanza è che l’RTS individua il criterio soglia per la classificazione degli incidenti come gravi. In particolare, se l’incidente non ha impattato servizi critici, non potrà in ogni caso ritenersi grave. Qualora, invece, il criterio sia verificato, all’entità finanziaria è richiesta una ulteriore valutazionecirca il raggiungimento degli altri criteri previsti.
★ RTS per l’armonizzazione degli strumenti metodi e procedure per la gestione del rischio TIC L’ultimo RTS previsto nel primo set risponde all’esigenza di costruire un quadro di gestione del rischio TIC che sia il più possibile armonizzato. Lo standard in questione, che risulta essere anche il più corposo, include l’indicazione di numerose policy e procedure che devono essere adottate dalle entità finanziarie ed andranno a costituire gli elementi del relativo quadro di gestione del rischio. Oltre a indicare puntualmente gli strumenti da adottare e il relativo contenuto, l’RTS prevede altresì alcuni criteri generali per l’implementazione di tali strumenti. A titolo esemplificativo, è possibile citare l’obbligo di revisione di tali strumenti, la necessità di indicare i ruoli e i relativi compiti per ciascuna funzione individuata come responsabile degli strumenti adottati, l’indicazione circa le conseguenze del mancato rispetto delle policy e procedure adottate, etc. Nell’attesa che l’RTS venga definitivamente approvato dalla Commissione, è comunque opportuno che le entità finanziarie valutino se tutti gli elementi oggetto di tali policy e procedure siano adeguatamente coperti.
Il futuro dei dati dei minorenni di oggi
Un'età minima per la presenza dei minorenni sui social network è stata stabilita, ma è spesso violata, e in Italia non esiste una normativa specifica sulla tutela dell’immagine dei minori o, più in generale, che regolamenti la loro presenza sui social. Su Youtube, Instagram, Tik Tok sono delle star, emulati dai loro coetanei e corteggiati dai brand: sono i baby influencer, bambini e ragazzi seguiti sui loro profili social da milioni di follower che visualizzano, commentano e condividono ogni loro post, video e fotografia. E poi ci sono i genitori, che postano foto dei figli mettendo in piazza la loro vita per conquistare quel secondo di popolarità e una manciata di like in più. Minori e social media sono un binomio vincente, ma in tutto questo come viene tutelata la privacy dei più piccoli? E come viene regolamentato quello che per i baby influencer diventa un vero e proprio lavoro? Le normative e il rispetto delle leggi di riferimento devono essere aggiornate nelle procedure, non nella forma. In Italia i minori di 14 anni non possono aprire un profilo social. È il Gdpr (General Data Protection Regulation), ovvero l’atto legislativo dell’Unione europea entrato in vigore nel 2018 che regolamenta il trattamento dei dati e il diritto alla privacy, che si pronuncia sull’età minima consentita per essere presente sui social. In particolare, l’articolo 8 dice che il trattamento dei dati personali è lecito per quanto riguarda «l’offerta diretta di servizi della società dell’informazione» ai minori, dal 16esimo anno di età. Prima serve il consenso del genitore o di chi ne fa le veci. Gli Stati membri possono stabilire un’età inferiore, ecco perché in Italia il divieto sussiste fino ai 14 anni. Nello specifico, un minore non può iscriversi su META, Instagram, Twitter, Snapchat o WhatsApp sotto i 13 anni, mentre tra i tredici e i 14 serve la supervisione dei genitori. La realtà, tuttavia, è molto diversa. Secondo una ricerca effettuata nel 2019 da Osservare Oltre (Associazione Nazionale Presidi ed eTutorweb) per il Tg3 è emerso che l’84% dei ragazzi tra i 10 e i 14 anni è in possesso di un profilo social. Per farlo, nessuno ha dichiarato la sua vera età al momento dell’iscrizione, che per il 22% è avvenuta addirittura in presenza di un genitore. E siccome in Italia le false dichiarazioni sono reato solo se fatte a un pubblico ufficiale, di fatto i minori si iscrivono sui social e nel caso dei baby influencer ne diventano protagonisti. Rischi di internet e dei social network per i più giovani: la legge che non viene rispettata, infatti in Italia non esiste una specifica normativa di riferimento sulla tutela dell’immagine dei minori o, più in generale, che regolamenti la loro presenza sui social, se qualcuno ritiene che vi sia una situazione compromessa, può fare una segnalazione per un procedimento civile Quindi, in assenza di una legge, si procede come negli altri casi. Secondo la legge (art. 1, comma 2, legge 19.7.91, n. 216) tutti possono fare una segnalazione di una situazione di pregiudizio che coinvolge minorenni. A parte alcuni casi, tra cui abbandono, negligenza e prostituzione, le segnalazioni non sono obbligatorie, se pur opportune. In mancanza di una normativa, l’autorità giudiziaria subentra solo in caso di necessità. In ambito civile tutto è rimesso al concetto di superiore interesse del minore e di opportunità. Significa che, fatta una segnalazione, è l’autorità giudiziaria a prendere in esame la situazione di volta in volta. Per esempio, se viene aperto un contenzioso per l’eccessiva esibizione del minore, magari da parte di uno dei due genitori o del minore stesso in conflitto d’interesse col genitore, sarà il giudice a valutare, per l’appunto in considerazione del superiore interesse del minore e dell’opportunità, il singolo caso. Solo in quella circostanza il giudice può fare tutte le verifiche necessarie, dagli eventuali contratti del minore con le aziende nel caso di influencer a come vengono gestiti i guadagni, dal tempo di esposizione del minore alle modalità. Un'età minima per la presenza dei minorenni sui social network è stata stabilita, ma è spesso violata. E in Italia non esiste una normativa specifica sulla tutela dell’immagine dei minori o, più in generale, che regolamenti la loro presenza sui social. Su Youtube, Instagram, Tik Tok sono delle star, emulati dai loro coetanei e corteggiati dai brand: sono i baby influencer, bambini e ragazzi seguiti sui loro profili social da milioni di follower che visualizzano, commentano e condividono ogni loro post, video e fotografia. E poi ci sono i genitori, che postano foto dei figli mettendo in piazza la loro vita per conquistare quel secondo di popolarità e una manciata di like in più.
Minori e social media sono un binomio vincente, ma in tutto questo come viene tutelata la privacy dei più piccoli? E come viene regolamentato quello che per i baby influencer diventa un vero e proprio lavoro? Le normative e le leggi di riferimento sono assenti o insufficienti, fanno acqua da tutte le parti, ma nessuno sembra accorgersene. Il Gdpr (General Data Protection Regulation), ovvero l’atto legislativo dell’Unione europea entrato in vigore nel 2018 che regolamenta il trattamento dei dati e il diritto alla privacy, che si pronuncia sull’età minima consentita per essere presente sui social. In particolare, l’articolo 8 dice che il trattamento dei dati personali è lecito per quanto riguarda «l’offerta diretta di servizi della società dell’informazione» i minori, dal 16esimo anno di età. Prima serve il consenso del genitore o di chi ne fa le veci. Gli Stati membri possono stabilire un’età inferiore, ecco perché in Italia il divieto sussiste fino ai 14 anni. Se qualcuno ritiene che vi sia una situazione compromessa, può fare una segnalazione per un procedimento civile In mancanza di una normativa, l’autorità giudiziaria subentra solo in caso di necessità In ambito civile tutto è rimesso al concetto di superiore interesse del minore e di opportunità. Significa che, fatta una segnalazione, è l’autorità giudiziaria a prendere in esame la situazione di volta in volta. Eppure, anche situazioni molto diffuse, come genitori che postano foto dei figli senza il loro assenso, sono condannabili. Ne è un esempio la sentenza emessa dal tribunale di Roma a tutela di un minore che aveva fatto una segnalazione contro la propria madre. La madre era accusata di pubblicare sul profilo META foto del figlio senza il suo consenso, rivelando dettagli della sua vita fino a comprometterne l’equilibrio psicologico e la socialità. Il minore, in questo caso, ha chiesto e ottenuto la possibilità di andare a studiare all’estero per tutelare la propria immagine nei confronti di una situazione compromessa nel luogo in cui viveva a causa dell’esposizione perpetrata sui social dalla madre, ma per un ragazzo che fa una segnalazione, quanti minori subiscono la stessa situazione senza protestare? E quanti baby influencer conoscono i loro diritti?
Nel 2020 secondo la classifica Forbes, lo youtuber più pagato è stato Ryan Guan, conosciuto sul web come Ryan Kaji, ha guadagnato 30 milioni di dollari all’età di 9 anni e vive in Texas e il suo canale Youtube, “Ryan World”, è stato aperto dai suoi genitori e popolato da video del piccolo Ryan che apre scatole di giocattoli visti anche un miliardo di volte. Al terzo posto della classifica c’è un altro minore, la bambina russa Anastasia Radzinskaya che a sei anni ha guadagnato 18,5 milioni di dollari. Molti sono anche i baby influencer famosi in Italia, come Amelia, con il suo profilo social è Ameli TVIT, con 3,75 milioni di follower. Un fenomeno che non accenna a fermarsi e per cui le leggi però sembrano restare indietro. In Francia è stata approvata una nuova legge per la protezione dei minorenni sui social media tanto che fatto parlare di sé la legge sui baby influencer a detta di molti pionieristica.
La norma francese parla espressamente di minori e social media regolamentando le attività lavorative delle baby celebrità minori di 16 anni contro lo sfruttamento e, in merito ai guadagni, obbligando che vengano versati su un conto corrente intestato a loro e non utilizzabile fino al raggiungimento del 16esimo anno di età. Anche le aziende devono ora ricevere autorizzazioni prima di siglare contratti coi minori, i quali, sempre secondo la legge, vedono riconosciuto il diritto all’oblio. In Italia, per contro, tutto quello che c’è allo stato attuale è una proposta di legge ferma al gennaio 2020 sullo sfruttamento dell’immagine dei minori, che però si riferisce soltanto alla regolamentazione dei concorsi di bellezza. Tra libertà e controllo si gioca il diritto d'informazione dei minori quando navigano in rete oggi, ma nel web3? In un equilibrio precario di questa “infosfera intossicata” dobbiamo essere più vigili e diffondere una diversa cultura dei pericoli di internet per chi ancora è in una delicata fase di maturazione, ma anche dei loro diritti, stabiliti dalla Convenzione sui diritti dell'infanzia e dell'adolescenza. La mission dell’Osservatorio Crittografico Europeo per la Sicurezza dei Minorenni nel web3 nasce per indagare continuamente il mercato dell’economia dell’attenzione e analizzare in tempo reale i dati relativi all’uso delle tecnologie abilitanti da parte dei giovani creatori del web 3.0.
Avviare processi di alfabetizzazione ludica sulla crittografia e sul calcolo quantistico nelle scuole dell’obbligo italiano consentirebbe a tutta la Scuola Digitale e alla Comunità Educante di acquisire una nuova consapevolezza sul valore del dato digitale consentendo una difesa intelligente contro la guerra delle fakenews e dei deep fake che imperversano per intossicare l'evoluzione della rete internet.
Siamo alla ricerca di partner sostenibili ed etici per l’attivazione del OCESM ITALIA.
contattate il Comitato Scientifico info@ocesm.eu
______________________________________________________________________________________
OCESM_proposta_custodito_blockchain_710c4a5e4d9e6613d33211d22008400d7bc14f4c2b287107934d3ff917b39b95
PER UNA SICUREZZA INFORMATICA E LA GARANIZA CHE I DATI DEI NOSTRI FIGLI NON SIANO UTILIZZATI DALLE BIGTECH PER CONDIZIONARE LE DECISIONI DI ACQUISTO DELLE FUTURE GENERAIZONE ALPHA e XYZ
OCESM - Salviamo i nostri dati, difendiamo i nostri figli.
COMMENTI SU OCSEM
Enrioc T.
Federica F.
Fabrizio F.
Grazie per aver inviato un messaggio.
Risponderemo ilpiù presto possibile.