da Redazione | Mar 4, 2025 | Diritto civile
La vendita internazionale è la base per la crescita economica delle imprese e del Paese, consentendo ai soggetti commerciali di espandere il proprio mercato oltre i confini nazionali. Tuttavia, la natura transnazionale di tali operazioni rende necessario individuare con precisione quale normativa regoli il rapporto contrattuale tra le parti e quale sia l’autorità giurisdizionale competente in caso di controversia.
Nel diritto internazionale privato dell’Unione Europea, le questioni relative alla legge applicabile ai contratti di vendita internazionale e alla competenza giurisdizionale sono disciplinate principalmente da tre fonti normative. Il Regolamento (CE) n. 593/2008 (Roma I) stabilisce i criteri per determinare la legge applicabile in assenza di una scelta esplicita delle parti. Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la competenza giurisdizionale e il riconoscimento delle decisioni giudiziarie all’interno dell’Unione Europea.
Il presente contributo analizzerà sommariamente i criteri di individuazione della legge applicabile nei contratti di vendita internazionale, i principi che regolano la competenza giurisdizionale e le strategie contrattuali per prevenire controversie in ambito transfrontaliero.
Vendita internazionale di beni e determinazione della legge applicabile
Nell’ambito della vendita internazionale, la questione relativa alla legge applicabile al contratto riveste un ruolo di centrale importanza, in quanto disciplina gli obblighi reciproci delle parti e regola le conseguenze dell’eventuale inadempimento. L’ordinamento dell’Unione Europea fornisce una cornice normativa chiara per individuare la disciplina giuridica applicabile ai contratti transfrontalieri, evitando conflitti normativi che potrebbero pregiudicare la certezza del diritto e la prevedibilità delle decisioni giudiziarie.
Il Regolamento (CE) n. 593/2008 (Roma I) rappresenta il principale strumento di diritto internazionale privato in materia contrattuale e sancisce il principio cardine della libertà di scelta delle parti. L’articolo 3 del Regolamento dispone che i contraenti possono designare la legge applicabile al loro rapporto contrattuale, purché tale scelta sia espressa o risulti con ragionevole certezza dai termini del contratto o dalle circostanze della fattispecie. La selezione della legge regolatrice è di fondamentale rilevanza nella vendita internazionale, in quanto consente alle parti di stabilire ex ante il quadro normativo di riferimento, evitando incertezze interpretative e possibili controversie sulla disciplina applicabile.
Qualora le parti non abbiano effettuato una scelta esplicita, il Regolamento Roma I stabilisce un criterio di collegamento oggettivo. L’articolo 4, paragrafo 1, lettera a) prevede che, in assenza di una clausola di elezione della legge applicabile, il contratto di vendita internazionale di beni mobili sia regolato dalla legge dello Stato in cui il venditore ha la propria residenza abituale.
Tale disposizione si giustifica con la considerazione che il venditore è colui che esegue la prestazione caratteristica del contratto, ovvero la fornitura della merce. Per effetto di questa norma, un’impresa italiana che cede beni a un soggetto estero, in assenza di diversa pattuizione, vedrà regolato il proprio rapporto dalla legge italiana.
A tale disciplina si affianca la Convenzione delle Nazioni Unite sui contratti di vendita internazionale di beni mobili (CISG), adottata a Vienna nel 1980, la quale si applica automaticamente quando entrambe le parti contraenti hanno sede in Stati aderenti alla Convenzione, salvo espressa esclusione da parte delle stesse. La CISG regola vari aspetti della vendita internazionale, tra cui la formazione del contratto, gli obblighi del venditore e dell’acquirente, nonché le conseguenze dell’inadempimento.
Vendita internazionale di beni e competenza giurisdizionale
Nell’ambito della vendita internazionale, la frammentazione normativa tra i diversi ordinamenti giuridici potrebbe ingenerare incertezze sul riparto di competenza e sulla giurisdizione, con il rischio di lungaggini procedurali e difficoltà nell’esecuzione delle decisioni giudiziarie.
A tal fine, il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina la giurisdizione nelle controversie civili e commerciali all’interno dell’Unione Europea, fornendo criteri chiari e uniformi per determinare il foro competente nei contratti di vendita internazionale.
Secondo la regola generale sancita dall’articolo 4 del Regolamento Bruxelles I-bis, un soggetto domiciliato in uno Stato membro deve essere convenuto dinanzi ai tribunali dello Stato in cui ha il proprio domicilio. Tale principio garantisce la tutela della parte convenuta, imponendo al creditore di agire nel foro naturale del debitore.
Tuttavia, in materia contrattuale, il Regolamento prevede un’importante deroga alla regola generale, disciplinata dall’articolo 7, paragrafo 1, lettera b), che consente di convenire una parte anche dinanzi al giudice del luogo in cui l’obbligazione contrattuale dedotta in giudizio è stata o deve essere eseguita. Nel caso di un contratto di vendita internazionale di beni mobili, il luogo di esecuzione dell’obbligazione è quello in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
La determinazione del luogo di consegna è dunque fondamentale per stabilire la competenza giurisdizionale in una controversia derivante dalla vendita internazionale. Se le parti non hanno previsto specifiche condizioni di consegna, il giudice dovrà accertare quale fosse il luogo effettivo di esecuzione della prestazione caratteristica.
Vendita internazionale di beni, clausola di foro e incidenza della clausola “franco magazzino”
Nel contesto della vendita internazionale, le parti contrattuali possono evitare incertezze in merito alla giurisdizione mediante l’inserimento di una clausola di elezione del foro, ossia una disposizione contrattuale che individua il giudice competente per la risoluzione delle eventuali controversie derivanti dal rapporto commerciale.
Il Regolamento (UE) n. 1215/2012 (Bruxelles I-bis) disciplina le condizioni di validità di tali pattuizioni, prevedendo che le parti possano convenire, in forma scritta o mediante una prassi consolidata, che una determinata autorità giurisdizionale abbia competenza esclusiva in caso di controversie contrattuali.
L’articolo 25 del Regolamento Bruxelles I-bis sancisce il principio secondo cui una clausola di scelta del foro è valida ed efficace se è stata stipulata: (i) per iscritto o verbalmente con conferma scritta, (ii) secondo usi che le parti conoscevano o avrebbero dovuto conoscere, oppure (iii) nell’ambito di relazioni commerciali precedenti che abbiano consolidato una consuetudine tra i contraenti. La previsione di una clausola di foro consente di evitare l’incertezza derivante dall’applicazione dei criteri generali di competenza giurisdizionale e permette alle imprese di pianificare con maggiore sicurezza la gestione del rischio legale nella vendita internazionale.
Un ulteriore elemento di rilievo nella vendita internazionale riguarda la clausola “franco magazzino” la quale incide direttamente sulla determinazione del foro competente. Con tale clausola, il venditore si libera dall’obbligo di consegna nel momento in cui mette la merce a disposizione dell’acquirente presso il proprio magazzino o stabilimento. Ne consegue che il rischio e la responsabilità per il trasporto ricadono interamente sull’acquirente, il quale si assume l’onere di provvedere al ritiro della merce e alla sua spedizione.
Dal punto di vista della competenza giurisdizionale, la clausola “franco magazzino” ha una rilevanza determinante, poiché il luogo di esecuzione dell’obbligazione contrattuale coincide con la sede del venditore. In base all’articolo 7, paragrafo 1, lettera b, del Regolamento Bruxelles I-bis, il giudice competente nelle controversie relative alla vendita internazionale è quello del luogo in cui la merce è stata consegnata o avrebbe dovuto essere consegnata secondo il contratto.
Pertanto, laddove il contratto preveda una consegna “franco magazzino”, è ragionevole ritenere che la competenza spetta al tribunale dello Stato in cui il venditore ha la propria sede, in quanto la prestazione caratteristica del contratto si considera eseguita nel momento in cui la merce viene resa disponibile presso il suo stabilimento.
La combinazione della clausola di foro esclusivo e della clausola “franco magazzino” rappresenta un efficace strumento di tutela per il venditore che operi nella vendita internazionale, in quanto consente di rafforzare la propria posizione giuridica in caso di contenzioso con il compratore. La previsione congiunta di entrambe le clausole nei documenti contrattuali e commerciali permette di radicare la giurisdizione nel paese del venditore e di semplificare l’eventuale azione di recupero del credito.
Vendita internazionale di beni e tutela del creditore in caso di inadempimento
Nell’ambito della vendita internazionale, il mancato pagamento del corrispettivo da parte del compratore rappresenta una delle problematiche più ricorrenti per le imprese che operano nel commercio transfrontaliero.
La Convenzione di Vienna del 1980 (CISG) disciplina in modo specifico le conseguenze dell’inadempimento contrattuale nella vendita internazionale. In particolare, ai sensi dell’articolo 53, l’acquirente ha l’obbligo di pagare il prezzo pattuito e di accettare la consegna della merce nei termini previsti dal contratto. Qualora il compratore ometta di adempiere all’obbligo di pagamento, il venditore può avvalersi dei rimedi previsti dagli articoli 61 e seguenti, che comprendono la richiesta di esecuzione forzata del pagamento, la risoluzione del contratto e la richiesta di risarcimento del danno. Tuttavia, la CISG non disciplina gli aspetti procedurali relativi all’azione di recupero del credito, i quali sono regolati dal diritto nazionale dello Stato competente.
Uno degli strumenti più efficaci per ottenere rapidamente il pagamento del credito è il procedimento per decreto ingiuntivo, che consente al creditore di ottenere un titolo esecutivo senza dover intraprendere un’azione ordinaria di cognizione. In base all’articolo 633 del codice di procedura civile italiano, il decreto ingiuntivo può essere richiesto quando il credito risulta fondato su prova scritta, quale una fattura, un ordine di acquisto, un documento di trasporto o una conferma d’ordine sottoscritta.
Un’ulteriore tutela, particolarmente utile per rapporti transfrontalieri UE, è offerta dal Regolamento (CE) n. 1896/2006, che ha introdotto il procedimento europeo d’ingiunzione di pagamento, applicabile nelle controversie transfrontaliere tra parti domiciliate in Stati membri diversi. Tale strumento consente al creditore di ottenere un titolo esecutivo europeo senza dover avviare procedimenti giurisdizionali in più ordinamenti, garantendo una maggiore rapidità ed efficienza nell’azione di recupero del credito nella vendita internazionale.
La tutela legale nella vendita internazionale
L’individuazione della legge applicabile e della competenza giurisdizionale in un contratto di vendita internazionale è un elemento strategico di centrale importanza per facilitare l’eventuale azione di recupero del credito in caso di mancato pagamento da parte del compratore estero.
Il nostro Studio Legale è a disposizione per assistere imprese e operatori commerciali nei rapporti di vendita internazionale, fornendo un supporto altamente qualificato nella redazione della documentazione contrattuale e nella gestione delle controversie transfrontaliere. Offriamo un servizio di consulenza strategica per mitigare i rischi legali, strutturare accordi che garantiscano la massima tutela e, laddove possibile, radicare la giurisdizione in Italia e la competenza dinanzi ai tribunali nazionali.
Assistiamo i nostri clienti sia nella fase preventiva di negoziazione e stipula dei contratti, sia nella fase patologica del rapporto contrattuale, affiancandoli nelle azioni di recupero del credito e nelle strategie di tutela giudiziaria.
da Redazione | Feb 26, 2025 | Diritto Penale
Phishing è il termine con cui si identifica una delle più insidiose forme di truffa informatica, caratterizzata dall’inganno finalizzato alla sottrazione di dati sensibili e informazioni riservate. L’evoluzione tecnologica e la crescente digitalizzazione delle attività quotidiane hanno ampliato le possibilità di comunicazione e gestione dei servizi online, ma al contempo hanno esposto gli utenti a nuove minacce. Il phishing, in particolare, si avvale di tecniche fraudolente attraverso le quali il soggetto agente, comunemente noto come phisher, induce la vittima a rivelare spontaneamente dati personali, quali credenziali di accesso a servizi bancari, numeri di carte di credito e informazioni finanziarie.
L’attacco si concretizza mediante l’invio di comunicazioni apparentemente legittime, che riproducono i segni distintivi di istituti bancari, enti pubblici o aziende note, al fine di persuadere l’utente a fornire informazioni riservate o a eseguire azioni che compromettano la sicurezza dei suoi dati. Generalmente, il phishing avviene attraverso e-mail fraudolente, messaggi di testo o chiamate telefoniche, all’interno delle quali la vittima viene indotta a cliccare su link malevoli o a scaricare allegati dannosi, con il conseguente rischio di compromissione dei propri dispositivi e dell’integrità delle informazioni personali.
L’impatto del phishing non si esaurisce nel mero contesto informatico, ma determina rilevanti conseguenze economiche e giuridiche per le vittime, che possono subire ingenti perdite patrimoniali e la violazione della propria privacy. L’elevato grado di sofisticazione delle tecniche adottate dai phisher, unito alla crescente difficoltà nel riconoscere le comunicazioni fraudolente, rende indispensabile un’attenta analisi del fenomeno, con l’obiettivo di comprenderne le modalità operative e individuare misure efficaci di prevenzione e tutela.
Phishing e social engineering: il meccanismo dell’inganno
Phishing e ingegneria sociale rappresentano due fenomeni strettamente connessi, in quanto il successo degli attacchi si fonda sull’applicazione di tecniche psicologiche volte a manipolare il comportamento della vittima. L’ingegneria sociale, infatti, è l’insieme di strategie basate sulla persuasione e sullo sfruttamento delle reazioni automatiche della mente umana, con lo scopo di indurre il soggetto passivo a compiere un’azione specifica senza che questi si renda conto di essere stato influenzato da un soggetto esterno.
Nel contesto del phishing, il truffatore elabora messaggi ingannevoli che riproducono fedelmente il linguaggio, la struttura e i segni distintivi di comunicazioni ufficiali inviate da istituti bancari, enti pubblici o aziende. L’obiettivo è quello di suscitare nella vittima un senso di urgenza o di pericolo, inducendola a ritenere che sia necessario compiere un’azione immediata per evitare presunte conseguenze negative.
Un esempio tipico è rappresentato dai messaggi che informano l’utente di un presunto problema di sicurezza del proprio conto bancario, della necessità di aggiornare le credenziali di accesso o di verificare transazioni sospette. Simili comunicazioni sono progettate per far leva sulla paura e sull’ansia della vittima, spingendola ad agire impulsivamente senza effettuare i necessari controlli.
L’efficacia del phishing è accresciuta dalla capacità del phisher di creare un contesto comunicativo verosimile e coerente, che lasci intendere alla vittima di avere il controllo della situazione e di poter risolvere il problema autonomamente.
A tale scopo, il linguaggio utilizzato nelle comunicazioni fraudolente è attentamente calibrato per mantenere un tono istituzionale e rassicurante, evitando espressioni eccessivamente intimidatorie che potrebbero destare sospetti. L’elemento psicologico gioca un ruolo determinante nella riuscita dell’attacco, poiché il soggetto passivo, convinto di agire in modo razionale e autodeterminato, finisce per eseguire le istruzioni dell’attaccante, fornendo i propri dati personali o accedendo a piattaforme compromesse.
Le diverse forme di phishing e il loro funzionamento
Il phishing è un fenomeno in costante evoluzione, caratterizzato dall’adattamento delle tecniche di attacco alle nuove abitudini digitali degli utenti e ai sistemi di sicurezza implementati dalle piattaforme online. Sebbene il principio di base rimanga invariato, esistono diverse varianti di phishing, ciascuna con modalità operative specifiche, studiate per aumentare l’efficacia dell’inganno e rendere più complesso il riconoscimento della truffa. Per una sintesi sulla descrizione del fenomeno, rinviamo al sito della Polizia Postale.
Una delle forme più comuni è il deceptive phishing, che si basa sull’invio massivo di comunicazioni fraudolente a un numero indeterminato di utenti, senza una selezione specifica della vittima. Il messaggio, solitamente veicolato tramite e-mail, riproduce l’identità grafica e il linguaggio di enti bancari, piattaforme di pagamento o servizi online di largo utilizzo, inducendo il destinatario a inserire le proprie credenziali di accesso in una pagina web contraffatta. Questa tipologia di attacco si caratterizza per l’approccio generico, in quanto mira a raggiungere il maggior numero possibile di utenti, confidando nel fatto che una percentuale di essi cadrà nella trappola.
Un’evoluzione del phishing tradizionale è rappresentata dallo spear Phishing, una tecnica più sofisticata che prevede una fase preliminare di raccolta delle informazioni sulla vittima, al fine di personalizzare il messaggio-esca. A differenza del deceptive Phishing, che si affida a una strategia indiscriminata, lo spear Phishing colpisce in modo mirato, utilizzando dettagli specifici sulla persona o sull’organizzazione attaccata per conferire maggiore credibilità alla comunicazione fraudolenta. L’elemento distintivo di questa variante è l’elevato grado di verosimiglianza, che riduce la capacità della vittima di riconoscere la natura ingannevole del messaggio.
Ulteriori varianti del phishing includono lo smishing e il vishing, che differiscono dal modello classico per il mezzo di comunicazione impiegato. Lo smishing sfrutta l’invio di SMS contenenti link dannosi o richieste di informazioni personali, mentre il vishing utilizza chiamate telefoniche nelle quali il truffatore si spaccia per un operatore di banca, un ente pubblico o un servizio clienti, inducendo la vittima a fornire dati sensibili. In questi casi, l’attacco si avvale spesso della tecnica dello spoofing, che consente di alterare il numero di telefono del mittente per far apparire la chiamata come proveniente da un’istituzione affidabile.
Tra le forme più recenti di phishing si segnala il deepfake phishing, una tecnica che combina l’uso dell’intelligenza artificiale con strumenti di manipolazione multimediale avanzati. Di tale nuova tipologia tratteremo nei paragrafi seguenti.
Phishing e il quadro giuridico: truffa e frode informatica
Il phishing rappresenta una condotta illecita priva di una specifica incriminazione autonoma all’interno del codice penale italiano. Tuttavia, la sua realizzazione si articola attraverso comportamenti riconducibili a diverse fattispecie criminose, tra cui la truffa prevista dall’art. 640 c.p., la frode informatica disciplinata dall’art. 640-ter c.p., la sostituzione di persona ex art. 494 c.p. e l’accesso abusivo a un sistema informatico sanzionato dall’art. 615-ter c.p.. L’inquadramento giuridico della fattispecie varia a seconda delle modalità con cui il phishing viene perpetrato e degli strumenti utilizzati dal soggetto agente per appropriarsi indebitamente delle informazioni riservate della vittima.
La qualificazione del phishing come truffa ai sensi dell’art. 640 c.p. è stata oggetto di dibattito in dottrina e giurisprudenza. La disposizione punisce chi, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno. Il soggetto agente utilizza un messaggio decettivo, inducendo la vittima a ritenere autentica una comunicazione fraudolenta e a compiere volontariamente un’azione che determina un pregiudizio economico. La condotta del phisher, pertanto, può rientrare nella nozione di truffa tradizionale, in quanto l’induzione in errore della vittima avviene mediante raggiri finalizzati all’ottenimento di un vantaggio patrimoniale illecito.
L’applicazione dell’art. 640-ter c.p., che disciplina la frode informatica, diventa rilevante qualora l’attacco si realizzi attraverso l’alterazione di un sistema informatico o telematico. La norma punisce chiunque, “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico”, ottenga un profitto illecito con danno altrui.
Tale disposizione potrebbe trovare applicazione nei casi in cui il phishing si concretizzi mediante l’uso di malware o software autoinstallanti che sottraggono dati sensibili della vittima senza che vi sia un’interazione consapevole da parte di quest’ultima. Secondo un recente orientamento giurisprudenziale, la frode informatica potrebbe applicarsi anche alle condotte più “tradizionali”, qualora l’attaccante riesca a ottenere il profitto intervenendo senza diritto su sistemi informatici (es. facendo uso delle credenziali precedentemente sottratte per eseguire un bonifico).
Un ulteriore profilo giuridico del phishing riguarda la sostituzione di persona, sanzionata dall’art. 494 c.p., qualora l’attaccante utilizzi illecitamente l’identità di un soggetto terzo, come un istituto bancario o un ente pubblico, per rendere più credibile l’inganno. Tale condotta si realizza quando il truffatore falsifica l’intestazione di un’e-mail o manipola l’identità del mittente per far apparire la comunicazione come proveniente da un soggetto istituzionale reale.
Infine, nelle ipotesi in cui l’autore del reato utilizzi le credenziali sottratte per accedere indebitamente agli account online della vittima, potrebbe configurarsi il il reato di accesso abusivo a un sistema informatico o telematico, previsto dall’art. 615-ter c.p.. La disposizione punisce chi si introduce in un sistema informatico protetto senza autorizzazione o vi si mantiene contro la volontà del titolare. Tale reato assume particolare rilevanza nei casi in cui il phishing abbia come obiettivo il controllo degli account bancari della vittima o l’accesso a dati riservati custoditi in piattaforme online.
La sovrapposizione tra queste diverse fattispecie penali dimostra come la condotta, nel suo complesso, possa integrare una pluralità di reati, a seconda delle modalità esecutive adottate dal phisher. La giurisprudenza ha chiarito che, in determinati casi, può configurarsi un concorso di reati.
Phishing e nuove tecnologie: l’intelligenza artificiale al servizio della frode
Il phishing è un fenomeno in continua evoluzione, che trae vantaggio dall’innovazione tecnologica per affinare le proprie modalità operative e incrementare il tasso di successo degli attacchi. L’introduzione di strumenti avanzati, tra cui sistemi di intelligenza artificiale, ha reso le truffe informatiche ancora più sofisticate e difficili da individuare, riducendo sensibilmente la capacità delle vittime di riconoscere la natura fraudolenta delle comunicazioni ricevute.
L’intelligenza artificiale, grazie alla capacità di elaborare grandi quantità di dati e simulare il linguaggio naturale, viene impiegata dai criminali informatici per generare contenuti personalizzati che aumentano la credibilità dei messaggi di phishing. Gli algoritmi avanzati consentono di analizzare i comportamenti digitali delle vittime, raccogliere informazioni dai social network e creare messaggi ingannevoli altamente verosimili.
Un ulteriore sviluppo che ha incrementato la pericolosità del phishing è rappresentato dall’impiego della tecnologia deepfake, che sfrutta l’intelligenza artificiale per creare contenuti multimediali falsificati. Questa innovazione ha portato alla diffusione di una nuova forma di attacco, nota come deepfake phishing, che si distingue per l’utilizzo di video, immagini o messaggi audio alterati in modo da riprodurre fedelmente l’aspetto e la voce di persone reali. Attraverso questi strumenti, i truffatori possono impersonare dirigenti aziendali, funzionari di enti pubblici o persone di fiducia della vittima, aumentando la probabilità che quest’ultima cada nell’inganno.
Il deepfake phishing ha trovato particolare applicazione nelle frodi aziendali e nei tentativi di CEO fraud, in cui i criminali informatici si spacciano per alti dirigenti di un’azienda e inducono dipendenti o collaboratori a effettuare bonifici fraudolenti o a condividere informazioni riservate. La capacità di generare contenuti audio e video realistici rende questa tipologia di attacco estremamente efficace, poiché la vittima, ritenendo di interagire con un interlocutore affidabile, difficilmente mette in dubbio l’autenticità della richiesta.
L’evoluzione tecnologica ha inoltre ampliato il raggio d’azione del phishing, consentendo la creazione di siti web contraffatti con livelli di realismo sempre più elevati. Gli attacchi che un tempo si limitavano alla semplice riproduzione grafica di una pagina web ora sfruttano l’intelligenza artificiale per replicare in tempo reale le interazioni tipiche di un portale legittimo, generando risposte dinamiche agli utenti e simulando il comportamento di un servizio autentico. Queste tecniche avanzate riducono la percezione del rischio e inducono le vittime a inserire le proprie credenziali senza sospettare la natura fraudolenta del sito visitato.
L’influenza delle nuove tecnologie sul phishing dimostra come la criminalità informatica sia in grado di adattarsi rapidamente ai cambiamenti del panorama digitale, sfruttando strumenti innovativi per perfezionare le proprie strategie fraudolente. La crescente sofisticazione degli attacchi richiede un approccio integrato alla sicurezza informatica, basato su una combinazione di prevenzione, formazione degli utenti e strumenti avanzati di protezione, al fine di contrastare efficacemente le minacce emergenti.
Prevenire il phishing: strategie e accorgimenti per difendersi
La prevenzione è l’elemento cardine nella difesa contro le frodi informatiche, poiché il riconoscimento tempestivo dei segnali d’allarme può evitare conseguenze dannose per gli utenti e le organizzazioni. La protezione contro il phishing si fonda su una combinazione di buone pratiche di sicurezza informatica, strumenti tecnologici avanzati e un’adeguata consapevolezza del rischio.
Uno degli aspetti fondamentali della prevenzione è il riconoscimento delle caratteristiche comuni degli attacchi Phishing. Le comunicazioni fraudolente presentano spesso elementi ricorrenti, tra cui un linguaggio persuasivo che richiama situazioni di emergenza, la richiesta di inserire credenziali personali, link che rimandano a pagine web contraffatte e mittenti dall’apparenza ingannevole.
L’analisi critica del contenuto di un’e-mail o di un messaggio, unita alla verifica dell’indirizzo del mittente e dell’autenticità dei collegamenti ipertestuali, rappresenta il primo strumento di autodifesa. Nessuna istituzione bancaria o azienda affidabile richiede l’inserimento di dati sensibili tramite e-mail o SMS, pertanto, la ricezione di simili richieste deve essere considerata un chiaro indicatore di un tentativo di Phishing.
Un ulteriore accorgimento essenziale è l’utilizzo dell’autenticazione a più fattori, che aggiunge un ulteriore livello di protezione agli account personali e aziendali. Questo sistema impedisce agli aggressori di ottenere accesso non autorizzato anche nel caso in cui riescano a sottrarre le credenziali di accesso, poiché sarà necessario un secondo codice di verifica generato su un dispositivo di proprietà dell’utente. L’implementazione di password robuste e uniche per ciascun servizio online riduce, inoltre, il rischio che la compromissione di un singolo account possa estendersi ad altre piattaforme.
L’installazione e l’aggiornamento regolare di software di sicurezza, tra cui antivirus, firewall e filtri anti-phishing, contribuisce in modo significativo alla protezione dalle minacce informatiche. Molti servizi di posta elettronica integrano già sistemi di rilevamento automatico che segnalano i messaggi sospetti o li collocano direttamente nella cartella spam. Tuttavia, è opportuno adottare ulteriori misure, come l’abilitazione di funzionalità avanzate di protezione della navigazione e l’uso di estensioni browser progettate per identificare siti web malevoli prima che l’utente inserisca informazioni sensibili.
Un ruolo determinante nella prevenzione del phishing è svolto dalla cybersecurity awareness, ovvero la formazione degli utenti sui rischi legati alle truffe informatiche e sulle corrette pratiche di comportamento online. In ambito aziendale, l’adozione di programmi di formazione periodica per il personale riduce sensibilmente la vulnerabilità delle organizzazioni agli attacchi mirati.
Molti attacchi di phishing, infatti, prendono di mira dipendenti e dirigenti per ottenere accesso alle infrastrutture informatiche aziendali, sfruttando la mancanza di consapevolezza sui rischi informatici. L’organizzazione di simulazioni di attacchi phishing, in cui gli utenti vengono esposti a e-mail fraudolente create a scopo didattico, rappresenta un metodo efficace per migliorare la capacità di riconoscere e reagire correttamente ai tentativi di frode.
Nel caso in cui si sospetti di aver ricevuto una comunicazione fraudolenta, è essenziale evitare di cliccare su link o scaricare allegati, e verificare l’autenticità del messaggio contattando direttamente l’ente o l’azienda presunta mittente attraverso i canali ufficiali. In caso di dubbio, è sempre preferibile non eseguire alcuna azione e procedere a una verifica preventiva. Le autorità di regolamentazione e gli istituti bancari forniscono strumenti per segnalare i tentativi di phishing, contribuendo così a identificare e bloccare gli attacchi in corso.
In definitiva, la prevenzione del Phishing richiede un approccio multidisciplinare, che combini tecnologie di protezione, consapevolezza e buone pratiche di sicurezza digitale.
Conclusioni: cosa fare in caso di attacco phishing
La crescente sofisticazione delle tecniche di attacco rende essenziale l’adozione di misure preventive efficaci, basate sulla consapevolezza dei rischi e sull’utilizzo di strumenti di sicurezza avanzati. Il riconoscimento tempestivo dei segnali di un tentativo di phishing, unito all’applicazione di protocolli di autenticazione e verifica, è la strategia più efficace per evitare di cadere vittima di truffe informatiche.
Nel caso in cui un attacco abbia già avuto successo, è fondamentale intervenire immediatamente, segnalando l’accaduto alle autorità competenti, contattando il proprio istituto bancario per limitare i danni finanziari e adottando misure per ripristinare la sicurezza dei propri account e dispositivi.
La protezione dalle frodi informatiche non può prescindere da un’adeguata consulenza legale e da un’efficace gestione della sicurezza cibernetica. Il nostro Studio fornisce supporto specializzato a privati e aziende nella prevenzione e gestione delle conseguenze derivanti da attacchi informatici, offrendo assistenza nella valutazione dei rischi, nella predisposizione di strategie di tutela e nella difesa dei diritti di reati informatici.
da Redazione | Feb 21, 2025 | Notizie e Aggiornamenti Legislativi
Riportiamo di seguito alcune informazioni sul ricorso alla Corte di Giustizia, patrocinato dall’avvocato Luca D’Agostino, sul tema del downlisting nel regime di tutela del lupo, riportate sulla stampa nazionale ed europea.
Il ricorso, promosso da cinque associazioni ambientaliste e animaliste – Green Impact, Earth, Nagy Tavak, LNDC Animal Protection e One Voice – è stato depositato dinanzi al Tribunale dell’Unione Europea con l’obiettivo di ottenere l’annullamento della Decisione (UE) 2024/2669 del Consiglio, con la quale l’Unione Europea ha proposto alla Convenzione di Berna il declassamento del lupo grigio (Canis lupus) dall’Appendice II all’Appendice III della Convenzione stessa. Tale modifica, che ha ricevuto il voto favorevole dell’Unione Europea nella riunione del 3 dicembre 2024, comporta una riduzione del regime di protezione del lupo, aprendo la strada a misure di gestione meno rigorose e potenzialmente più permissive delle pratiche di abbattimento (v. Comunicato Stampa).
Le associazioni ricorrenti sostengono che la Decisione impugnata sia viziata da profili di illegittimità, tra cui il mancato rispetto dei principi di precauzione, proporzionalità e del criterio della best available science, nonché l’assenza di una motivazione fondata su dati scientifici aggiornati e verificabili.
Il ricorso alla Corte di Giustizia mira a ottenere non solo l’annullamento della Decisione del Consiglio, ma anche di tutti gli atti successivi connessi, inclusa la proposta dell’UE alla Convenzione di Berna e il voto espresso in quella sede. L’accoglimento del ricorso avrebbe effetti giuridici rilevanti, in quanto determinerebbe l’invalidità dell’intero procedimento di declassamento del lupo, impedendo che la modifica della Convenzione di Berna possa essere applicata nell’ordinamento giuridico europeo.
I motivi espressi nel ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea si fonda su due principali motivi di diritto, entrambi connessi alla violazione delle norme europee in materia di protezione della biodiversità e al mancato rispetto dei principi sanciti dal Trattato sul Funzionamento dell’Unione Europea (TFUE), dalla Direttiva Habitat e dalla Carta dei Diritti Fondamentali dell’UE (v. notizia del ricorso pubblicato in Gazzetta Ufficiale).
Le ricorrenti lamentano la violazione dell’art. 191, paragrafo 3, TFUE, dell’art. 6, paragrafo 1, TUE e dell’art. 37 della Carta dei Diritti Fondamentali dell’Unione Europea, in quanto il Consiglio ha adottato la Decisione impugnata senza tenere conto dei dati scientifici e tecnici disponibili.
Il ricorso alla Corte di Giustizia evidenzia come la documentazione scientifica esistente – compresi i rapporti elaborati dalla Large Carnivore Initiative for Europe (LCIE) e da altri istituti di ricerca accreditati – indichi chiaramente che il lupo non ha raggiunto uno stato di conservazione favorevole in Europa. Nonostante ciò, il Consiglio e la Commissione hanno deciso di proporre il declassamento della specie basandosi sugli stessi dati che, nel 2022, avevano portato l’Unione Europea a rifiutare una proposta analoga avanzata dalla Svizzera.
Inoltre, la giurisprudenza della Corte di Giustizia dell’UE ha più volte ribadito che le deroghe al regime di protezione del lupo possono essere concesse solo se non pregiudicano il mantenimento di uno stato di conservazione soddisfacente della popolazione della specie nella sua area di ripartizione naturale. Tale principio, espresso nelle recenti sentenze C-436/22 e C-601/22, è stato completamente ignorato dal Consiglio nel proporre il declassamento della specie a livello continentale, senza considerare le differenze nei singoli stati membri e senza garantire una valutazione rigorosa basata su parametri scientifici aggiornati.
Oltre alla violazione di tali principi, il ricorso alla Corte di Giustizia evidenzia come la Decisione impugnata si ponga in contrasto con la Raccomandazione n. 56 (1997) del Comitato Permanente della Convenzione di Berna, che impone che le modifiche agli allegati della Convenzione avvengano in modo coerente e fondato sulle migliori conoscenze scientifiche disponibili. Il mancato rispetto di tali obblighi mina l’intero impianto normativo europeo in materia di tutela della fauna selvatica, creando un precedente pericoloso che potrebbe essere esteso ad altre specie protette.
A ulteriore conferma delle criticità della Decisione impugnata, il Mediatore Europeo ha recentemente aperto un fascicolo d’indagine, sollevando dubbi sulla trasparenza del processo decisionale e sulla metodologia adottata dalla Commissione Europea nella raccolta e nella valutazione dei dati scientifici. L’assenza di un’adeguata istruttoria e il peso preponderante delle pressioni politiche nella decisione finale rappresentano ulteriori elementi che il Tribunale dell’Unione Europea dovrà valutare nell’ambito del giudizio di annullamento.
I prossimi sviluppi del ricorso alla Corte di Giustizia
Il ricorso alla Corte di Giustizia dell’Unione Europea contro il declassamento del lupo ha ora raggiunto un’importante fase procedurale. L’atto introduttivo è stato formalmente registrato e pubblicato nella Gazzetta Ufficiale dell’Unione Europea,
Le Associazioni ricorrenti (v. Comunicato sulla stampa internazionale) ribadiscono la loro posizione secondo cui il declassamento del lupo è stato adottato in violazione delle migliori conoscenze scientifiche disponibili, con un’eccessiva ingerenza di considerazioni politiche prive di fondamento tecnico. La giurisprudenza della Corte di Giustizia ha più volte stabilito che le decisioni relative alla protezione della fauna selvatica devono essere basate su dati scientifici solidi e su un’istruttoria rigorosa, senza essere distorte da pressioni di natura socio-economica che non trovano riscontro nei dati oggettivi.
Nei prossimi mesi, il procedimento giudiziario proseguirà con le memorie difensive delle istituzioni convenute, seguite dall’eventuale fase dibattimentale, durante la quale il Tribunale dell’Unione Europea sarà chiamato a valutare la legittimità della Decisione del Consiglio UE e la fondatezza dei motivi di ricorso presentati dalle Associazioni.
L’esito del ricorso alla Corte di Giustizia avrà un impatto significativo non solo sulla tutela del lupo grigio in Europa, ma anche sui futuri standard di protezione della biodiversità nell’Unione. In un contesto globale in cui la crisi ecologica e la perdita di biodiversità sono riconosciute come emergenze prioritarie, la vicenda giudiziaria in corso rappresenta un banco di prova per l’efficacia della governance ambientale europea e per il rispetto dei principi sanciti dai Trattati dell’Unione.
Per ulteriori informazioni sul ricorso alla Corte di Giustizia contattaci qui.
da Redazione | Feb 17, 2025 | Diritto Penale
L’impiego dell’IA in ambito medico sta determinando una trasformazione profonda nel settore sanitario, in particolare nel campo della diagnostica medica. La capacità di analizzare grandi quantità di dati clinici, individuare schemi e formulare ipotesi diagnostiche ha reso l’intelligenza artificiale uno strumento “di frontiera” per il miglioramento delle prestazioni sanitarie, incidendo significativamente sul rapporto tra medico e paziente.
L’IA non si limita a supportare il medico, ma può apprendere e modificare il proprio funzionamento nel tempo, rendendo ancora più complessa l’individuazione delle responsabilità in caso di errore diagnostico. Tale evoluzione pone questioni giuridiche di rilevante spessore, in particolare in relazione alla responsabilità penale derivante dall’utilizzo di sistemi automatizzati nella pratica medica. Il problema della corretta imputazione dell’errore diagnostico, infatti, dipende dal ruolo attribuito all’IA, che può essere impiegata come strumento di supporto o come vero e proprio sostituto della decisione medica.
In quest’ultimo caso, l’attribuzione della responsabilità non riguarderebbe più esclusivamente il medico, ma si estenderebbe ai produttori e sviluppatori di tali sistemi, con il conseguente interrogativo sull’applicabilità delle attuali norme penali a scenari di crescente automazione nella sanità.
Il presente contributo rappresenta una versione estesa dell’approfondimento già pubblicato su HealthTech360.
IA in ambito medico e il ruolo della diagnostica automatizzata
L’introduzione dell’IA in ambito medico ha determinato un mutamento significativo nella metodologia diagnostica, incidendo sia sulla raccolta e interpretazione dei dati clinici sia sul processo decisionale del medico.
Tradizionalmente, l’attività diagnostica si articola in una serie di fasi ben definite che includono la raccolta delle informazioni cliniche rilevanti, la formulazione di una diagnosi differenziale, l’approfondimento del quadro clinico e, infine, l’individuazione della diagnosi definitiva.
L’avvento di strumenti basati su intelligenza artificiale ha reso possibile un potenziamento dell’intero processo, superando il tradizionale utilizzo della tecnologia quale mero supporto alla raccolta dati e consentendo invece l’autonoma elaborazione di ipotesi diagnostiche da parte di sistemi avanzati.
Il funzionamento di questi strumenti si basa su modelli matematici capaci di analizzare enormi quantità di dati clinici, individuando correlazioni e schemi non immediatamente percepibili dall’occhio umano. L’IA in ambito medico consente così di identificare con maggiore precisione patologie complesse, migliorando l’accuratezza e la tempestività della diagnosi, in particolare nei settori della diagnostica per immagini, della medicina predittiva e della personalizzazione dei trattamenti terapeutici.
Tuttavia, il passaggio da un modello in cui l’IA rappresenta uno strumento di supporto a uno in cui assume un ruolo preponderante nel processo diagnostico solleva delicate questioni giuridiche. La capacità degli algoritmi di adattarsi autonomamente all’esperienza clinica, modificando nel tempo il proprio comportamento sulla base dei dati raccolti, introduce un ulteriore elemento di complessità, poiché rende più difficile prevedere e controllare l’esito delle decisioni generate dal sistema.
IA in ambito medico: il quadro normativo e gli obblighi cautelari
A livello normativo, i sistemi di intelligenza artificiale utilizzati nella sanità rientrano nella categoria dei dispositivi medici, come stabilito dalla Direttiva 85/374/CEE e dal Regolamento (UE) 2017/745, che disciplinano la sicurezza e l’immissione in commercio di prodotti medici.
Sul piano civilistico, l’inserimento degli strumenti IA-based tra i dispositivi medici implica l’applicazione della disciplina sulla responsabilità da prodotto difettoso, attribuendo ai fabbricanti l’onere di garantire che il sistema non presenti difetti che possano causare danni ai pazienti.
Un ulteriore riferimento normativo – oggi di centrale importanza – è il Regolamento sull’Intelligenza Artificiale (AI Act), recentemente approvato dal Parlamento europeo, che disciplina gli obblighi specifici per i fornitori di sistemi di IA ad alto rischio. In virtù dell’articolo 6, i sistemi IA impiegati nella diagnostica medica rientrano tra quelli sottoposti a requisiti più stringenti in termini di trasparenza, gestione del rischio e conformità alle normative di sicurezza.
Il Regolamento impone ai produttori di adottare misure di controllo rigorose per garantire che i sistemi rispettino standard elevati di qualità e sicurezza, attraverso la gestione del rischio, la sorveglianza post-commercializzazione e l’implementazione di procedure di verifica periodica delle prestazioni del software.
Particolare attenzione è riservata alla trasparenza del processo decisionale dell’IA, che rappresenta una delle criticità più rilevanti nel settore sanitario. I sistemi basati su reti neurali profonde e machine learning possono infatti operare in modalità black box, rendendo difficile per il medico e per le autorità di controllo comprendere il percorso logico attraverso cui l’algoritmo è giunto a una determinata conclusione diagnostica.
L’AI Act stabilisce pertanto che i produttori devono garantire tracciabilità e spiegabilità degli output generati dall’IA, affinché il professionista sanitario possa valutare in modo consapevole le informazioni fornite e prendere decisioni in linea con le migliori pratiche mediche.
Parallelamente agli obblighi gravanti sui produttori, la normativa prevede doveri specifici per le strutture sanitarie e per i professionisti medici che utilizzano sistemi IA nella loro attività. La giurisprudenza, in particolare, riconosce che il medico conserva una posizione di garanzia nei confronti del paziente, con il dovere di verificare l’attendibilità dello strumento diagnostico e di valutarne criticamente i risultati. Questo principio comporta che, anche in presenza di un sistema IA certificato, il sanitario non possa affidarsi passivamente alle indicazioni fornite dall’algoritmo, ma debba sempre esercitare un controllo attivo e responsabile.
L’inosservanza di tali obblighi potrebbe determinare l’insorgere di responsabilità penale in caso di errore diagnostico, soprattutto laddove il medico abbia omesso di valutare con diligenza l’affidabilità del sistema o abbia adottato una diagnosi automatizzata senza sottoporla a una verifica clinica adeguata.
IA in ambito medico: focus sui profili di responsabilità
L’utilizzo dell’IA in ambito medico solleva rilevanti questioni circa la responsabilità penale del personale sanitario, soprattutto nei casi in cui l’impiego di tali tecnologie comporti errori diagnostici con conseguenze dannose per il paziente. La responsabilità può riguardare diverse figure, tra cui il medico, la struttura sanitaria e il produttore del sistema IA, a seconda delle circostanze in cui si verifica l’evento lesivo.
Uno dei principali riferimenti normativi in questo ambito è rappresentato dall’articolo 590-sexies, comma 1, c.p., che disciplina la responsabilità colposa per morte o lesioni personali in ambito sanitario. Come noto, tale disposizione prevede che il medico possa andare esente da responsabilità se ha rispettato le linee guida e le buone pratiche clinico-assistenziali, ma l’applicazione di questa norma ai sistemi IA risulta problematica, in quanto le best practice in materia di intelligenza artificiale sono in continua evoluzione e spesso non codificate in modo uniforme (o non codificate affatto).
Ciò crea un’incertezza giuridica che potrebbe tradursi in un aumento del contenzioso penale nei confronti dei professionisti sanitari che decidono di avvalersi di strumenti basati sull’IA in ambito medico per formulare diagnosi o definire percorsi terapeutici.
Peraltro, individuare con certezza il nesso di causalità tra il difetto del sistema IA e l’evento lesivo rappresenta un aspetto particolarmente complesso, soprattutto in presenza di dispositivi che operano in maniera autonoma e il cui comportamento può variare nel tempo in funzione dell’apprendimento automatico.
Un ulteriore profilo di responsabilità coinvolge la struttura sanitaria, che è tenuta a garantire un utilizzo appropriato delle tecnologie IA e a predisporre adeguati protocolli di verifica e sorveglianza. La struttura può essere chiamata a rispondere per responsabilità contrattuale, con l’onere della prova liberatoria a proprio carico, mentre il medico risponde in termini di responsabilità extracontrattuale, con la necessità per il paziente di dimostrare il nesso causale tra l’errore diagnostico e il danno subito.
Sul piano penale, la colpa professionale del medico potrebbe configurarsi qualora venga dimostrato che l’adozione del sistema IA sia avvenuta con negligenza, imperizia o imprudenza, ad esempio utilizzando un algoritmo privo delle necessarie certificazioni o facendo affidamento su un software che presenta limiti tecnici non adeguatamente considerati.
Le problematiche connesse alla responsabilità penale per l’uso dell’IA in ambito medico sono acuite dalla natura stessa di questi sistemi, che spesso operano in modo opaco e difficilmente comprensibile persino per gli stessi sviluppatori. La crescente diffusione di tecniche di deep learning ha accentuato il problema della black box AI, ossia l’incapacità di spiegare con precisione il ragionamento seguito dall’algoritmo per giungere a una determinata diagnosi. Questa caratteristica rende estremamente complesso per il medico controllare e verificare la correttezza delle informazioni fornite dal sistema, con il rischio di attribuire erroneamente la responsabilità dell’errore diagnostico al professionista sanitario, pur in assenza di una reale possibilità di intervento correttivo da parte di quest’ultimo.
In questo scenario, appare evidente che la responsabilità penale in ambito sanitario sta affrontando una fase di profonda trasformazione, in cui l’attribuzione della colpa non può più basarsi esclusivamente sui criteri tradizionali della colpa medica o della responsabilità da prodotto.
IA in ambito medico e la complessità dell’accertamento della responsabilità
L’accertamento della responsabilità penale per errore diagnostico, in caso di utilizzo dell’IA in ambito medico, rimane in assoluto la questione più spinosa e controversa. Essa coinvolge una pluralità di soggetti e impone un’analisi approfondita delle dinamiche che hanno portato all’evento lesivo. A differenza dei modelli tradizionali di imputazione della colpa in ambito sanitario, nei quali il nesso di causalità tra condotta del medico ed evento dannoso può essere ricostruito con criteri consolidati, l’introduzione dell’intelligenza artificiale potrebbe richiedere una revisione delle categorie giuridiche applicabili, a causa dell’autonomia e dell’evoluzione continua degli algoritmi.
Uno dei principali problemi riguarda la difficoltà di individuare il soggetto responsabile nel caso in cui un sistema IA diagnostico generi un errore con conseguenze dannose per il paziente. L’architettura di questi dispositivi prevede la partecipazione di diversi attori, tra cui i programmatori e sviluppatori dell’algoritmo, i produttori del dispositivo medico, i responsabili della manutenzione e degli aggiornamenti, nonché il personale sanitario che utilizza il sistema nella pratica clinica.
Tale frammentazione dei ruoli rende arduo stabilire in quale fase del processo si sia verificata la disfunzione che ha determinato l’errore diagnostico e, di conseguenza, attribuire la responsabilità penale a un determinato soggetto.
Inoltre, la capacità dei sistemi IA in ambito medico di apprendere autonomamente dall’esperienza clinica introduce un ulteriore elemento di incertezza nell’attribuzione della colpa. Le reti neurali e i modelli di machine learning non funzionano attraverso un insieme statico di regole prestabilite, bensì modificano il proprio comportamento nel tempo in base ai dati raccolti e alle interazioni con il contesto operativo.
Questo meccanismo, pur migliorando l’efficacia diagnostica nel lungo periodo, determina una crescente difficoltà nell’identificare le cause di un eventuale errore e nel comprendere se esso sia dovuto a un difetto originario del software, a un problema di addestramento dell’algoritmo o a un utilizzo non conforme da parte del medico.
In un simile contesto, il tradizionale approccio basato sull’imputazione della colpa per imperizia, imprudenza o negligenza rischia di risultare inadeguato, poiché il medico potrebbe non avere alcun controllo diretto sul processo decisionale dell’algoritmo e, al tempo stesso, il produttore potrebbe non essere in grado di prevedere con esattezza il comportamento futuro del sistema.
Un ulteriore fattore di complessità è rappresentato dalla combinazione dell’IA in ambito medico con altri strumenti digitali, come dispositivi di monitoraggio remoto o strumenti di imaging medico avanzato, che possono influenzare l’esito delle diagnosi attraverso l’integrazione di dati provenienti da fonti multiple. In questi casi, la ricostruzione del nesso di causalità tra il malfunzionamento del sistema e l’evento dannoso si complica ulteriormente, poiché la responsabilità potrebbe derivare non da un singolo errore, ma da un’interazione tra più fattori tecnologici.
Alla luce di queste problematiche, risulta evidente che i criteri tradizionali di attribuzione della responsabilità penale in ambito medico necessitano di un adeguamento per poter rispondere alle nuove sfide poste dall’intelligenza artificiale. Il diritto penale, fondato su principi di certezza e prevedibilità, si trova di fronte alla necessità di bilanciare la tutela dei pazienti con il rischio di creare un sistema di responsabilità eccessivamente gravoso per i medici e le strutture sanitarie.
In questo scenario, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di garantire un equo riparto delle responsabilità tra i soggetti coinvolti, evitando di generare una criminalizzazione eccessiva dei professionisti sanitari per eventi che, di fatto, potrebbero dipendere da variabili difficilmente controllabili.
IA in ambito medico e la collaborazione uomo-macchina: un nuovo modello di responsabilità
L’integrazione dell’IA in ambito medico nella pratica diagnostica ha determinato una ridefinizione dei rapporti tra il medico e gli strumenti tecnologici, sollevando interrogativi non solo in merito alla responsabilità individuale, ma anche riguardo alla possibile configurazione di una forma di responsabilità condivisa tra uomo e macchina.
Tradizionalmente, gli strumenti diagnostici erano considerati meri ausili del medico, il quale conservava un ruolo preminente nella valutazione delle informazioni cliniche e nella formulazione della diagnosi. Con l’avvento dei sistemi IA in ambito medico, in grado di elaborare autonomamente ipotesi diagnostiche e suggerire percorsi terapeutici, si sta delineando un nuovo paradigma in cui la decisione medica non è più il risultato esclusivo del ragionamento umano, ma deriva da una cooperazione tra professionista sanitario e algoritmo.
In questa prospettiva, l’IA in ambito medico non può essere considerata alla stregua di un semplice strumento consultivo, bensì deve essere interpretata come un elemento attivo nel processo decisionale. Tale cambiamento incide direttamente sull’imputazione della responsabilità penale, poiché il medico potrebbe essere chiamato a rispondere non solo per le proprie scelte, ma anche per gli errori derivanti dall’adozione delle indicazioni fornite dall’intelligenza artificiale. La questione diviene ancora più complessa nei casi in cui il sistema diagnostico abbia operato in modo non trasparente, fornendo risultati basati su correlazioni statistiche di difficile interpretazione.
Dal punto di vista giuridico, si aprono due possibili scenari. Nel primo, il sanitario conserva un ruolo di supervisione e controllo sul sistema IA in ambito medico, assumendo la piena responsabilità delle decisioni adottate sulla base delle analisi algoritmiche. In questo caso, la colpa del professionista potrebbe essere configurata qualora si dimostrasse che ha fatto affidamento in modo acritico su un sistema IA senza verificarne l’attendibilità o senza adottare ulteriori accertamenti clinici.
Nel secondo scenario, il medico e il sistema IA operano in una relazione di cooperazione decisionale, in cui il professionista segue le indicazioni dell’algoritmo in quanto ritenute altamente affidabili sulla base di dati oggettivi e standardizzati. In questa ipotesi, la responsabilità potrebbe essere distribuita tra il medico, il produttore del sistema IA e la struttura sanitaria, configurando un modello di cooperazione colposa.
La distinzione tra cooperazione colposa e concorso di cause indipendenti assume qui un rilievo fondamentale, poiché nel primo caso i soggetti coinvolti sono consapevoli di operare in un contesto di responsabilità condivisa, mentre nel secondo le condotte colpose restano autonome e non riconducibili a una collaborazione consapevole.
Un altro aspetto di particolare interesse riguarda l’eventuale responsabilità dei programmatori e degli sviluppatori del sistema IA, qualora il software utilizzato dal medico presenti difetti strutturali che abbiano influito sulla formulazione della diagnosi. In tal caso, si potrebbe configurare una responsabilità diretta dei produttori per prodotto difettoso, ai sensi delle normative europee in materia di dispositivi medici. Tuttavia, l’assenza di un criterio chiaro per stabilire il grado di autonomia dell’algoritmo rende incerta l’applicabilità delle norme tradizionali, poiché le attuali disposizioni sulla colpa professionale si basano su un modello di responsabilità che presuppone l’intervento umano come elemento centrale.
Il dibattito sulla responsabilità penale per l’uso dell’IA in ambito medico impone una riflessione sulla necessità di un aggiornamento normativo che tenga conto delle nuove dinamiche collaborative tra uomo e macchina. Il diritto penale tradizionale, fondato su categorie statiche di colpa e dolo, si trova a dover affrontare una realtà in cui le decisioni cliniche non sono più frutto della volontà esclusiva del medico, ma derivano dall’interazione con sistemi tecnologici sempre più avanzati.
L’assenza di una disciplina specifica su questi aspetti potrebbe portare a una distribuzione irrazionale della responsabilità, penalizzando eccessivamente il medico o, al contrario, lasciando impuniti gli errori derivanti da un utilizzo improprio dei sistemi IA. In tale contesto, diviene necessario individuare modelli di imputazione della colpa che siano in grado di bilanciare l’esigenza di tutela del paziente con il progresso tecnologico, evitando di ostacolare l’innovazione per il timore di un’eccessiva esposizione al rischio penale.
Conclusioni: prospettive future e scelte di politica criminale
L’evoluzione dell’IA in ambito medico sta modificando profondamente i parametri tradizionali della responsabilità penale in ambito sanitario, rendendo sempre più evidente la necessità di un adeguamento normativo. L’impiego di sistemi di intelligenza artificiale nella diagnostica e nella formulazione delle scelte terapeutiche ha sollevato questioni complesse che riguardano l’attribuzione della colpa, il rapporto tra medico e macchina e la necessità di garantire un livello adeguato di sicurezza per il paziente senza scoraggiare l’innovazione tecnologica.
Una delle principali criticità emerse riguarda il vuoto normativo in materia di responsabilità derivante dall’utilizzo di dispositivi IA in ambito medico. Se da un lato il diritto penale tradizionale impone che l’imputazione della colpa si basi su criteri di prevedibilità ed evitabilità dell’evento, dall’altro l’autonomia e l’evoluzione continua degli algoritmi complicano l’applicazione di tali principi, determinando il fenomeno del responsibility gap.
L’assenza di un controllo diretto da parte del medico sulle decisioni dell’algoritmo e l’impossibilità di prevedere con assoluta certezza il comportamento futuro del sistema IA potrebbero determinare situazioni in cui nessun soggetto possa essere chiamato a rispondere penalmente, oppure, al contrario, portare a una responsabilità generalizzata che rischierebbe di penalizzare ingiustamente i professionisti sanitari.
Si dovrebbe al riguardo meditare su un modello di responsabilità plurisoggettiva che riconosca il ruolo attivo di tutti i soggetti coinvolti nella progettazione, nello sviluppo e nell’utilizzo dell’IA in ambito medico. In questa prospettiva, la responsabilità penale non ricadrebbe esclusivamente sul medico, ma sarebbe distribuita tra le diverse figure professionali coinvolte nella creazione e gestione del sistema IA, compresi i programmatori, i produttori di software e i responsabili della manutenzione degli algoritmi. Questo modello permetterebbe di superare le rigidità del sistema attuale, attribuendo la colpa in maniera proporzionata rispetto al grado di influenza che ciascun soggetto ha esercitato nella determinazione dell’errore diagnostico.
Sotto il profilo della politica criminale, la tendenza più ragionevole sembra essere quella di evitare una criminalizzazione generalizzata dell’uso dell’IA nella sanità, limitando l’intervento punitivo alle ipotesi di colpa grave e dolo, e rafforzando invece i meccanismi di compliance e controllo preventivo.
L’adozione di protocolli chiari sull’uso dell’IA, l’obbligo di trasparenza nell’addestramento degli algoritmi e l’istituzione di un sistema di certificazione per i dispositivi IA in ambito medico potrebbero costituire strumenti più efficaci per garantire la sicurezza dei pazienti rispetto a un’applicazione indiscriminata delle sanzioni penali.
Alla luce di queste considerazioni, è evidente che l’IA in ambito medico pone sfide inedite per il diritto penale, che non può più limitarsi a interpretare l’intelligenza artificiale come un semplice strumento, ma deve riconoscere il ruolo attivo che essa gioca nel processo diagnostico e terapeutico. La transizione verso un modello di responsabilità condivisa e l’adozione di nuovi criteri di imputazione della colpa rappresentano passi fondamentali per garantire un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali dei pazienti.
In questo scenario in continua evoluzione, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di coniugare le esigenze della scienza medica con i principi fondamentali del diritto penale, evitando sia la deresponsabilizzazione totale dei soggetti coinvolti, sia l’imposizione di oneri eccessivi che potrebbero ostacolare il progresso della medicina digitale.
Il nostro studio legale, da sempre attento alle evoluzioni normative e tecnologiche, offre consulenza specializzata in compliance nel settore delle nuove tecnologie, con particolare attenzione all’integrazione dell’IA nei processi aziendali. Attraverso un approccio multidisciplinare, supportiamo aziende, sviluppatori e strutture sanitarie nell’adozione di disruptive technologies in conformità con la normativa vigente, minimizzando i rischi giuridici e promuovendo un utilizzo responsabile dell’intelligenza artificiale.
La prevenzione è il fulcro della nostra attività: affianchiamo i nostri clienti nella definizione di protocolli operativi, nell’adeguamento ai requisiti normativi e nella predisposizione di modelli organizzativi che assicurino un impiego dell’IA quanto più possibile immune da rischi e orientato alla sicurezza e alla tutela dei diritti fondamentali.
da Redazione | Feb 14, 2025 | Diritto d'Impresa
La clausola di salvaguardia NIS 2 permette un’applicazione più proporzionata della normativa. Al riguardo, il Decreto legislativo 4 settembre 2024, n. 138 (c.d. Decreto NIS 2) ammette la possibilità per le imprese di una esenzione soggettiva con deroga ai criteri di commisurazione delle medie e grandi imprese.
Più precisamente, il combinato disposto dei commi 4 e 12 dell’art. 3 del decreto NIS prevede che: «Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce […]L’Autorità nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalità di cui all’articolo 40, comma 1».
Con la pubblicazione del Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024, n. 221 sulla Gazzetta Ufficiale del 10 febbraio 2025, sono stati definiti i criteri e le modalità con cui determinati soggetti possono richiedere l’esenzione dagli obblighi previsti dal Decreto NIS 2, qualora l’inclusione nel perimetro di applicazione della normativa risulti sproporzionata rispetto alla loro effettiva operatività in ambito di cybersicurezza.
L’introduzione della Clausola di salvaguardia NIS 2 si inserisce nel quadro delle misure adottate per l’attuazione della Direttiva (UE) 2022/2555 (NIS 2), finalizzate a garantire un livello elevato e uniforme di sicurezza informatica all’interno dell’Unione Europea.
Il legislatore ha riconosciuto la necessità di prevedere meccanismi di esenzione per quei soggetti che, pur rientrando nel perimetro di applicazione della normativa, presentano caratteristiche tali da giustificare una deroga agli obblighi previsti. Il DPCM 221/2024 stabilisce quindi i criteri per accedere alla clausola di salvaguardia NIS 2, individuando specifici requisiti di indipendenza operativa che devono essere soddisfatti affinché un’impresa possa richiedere l’esclusione dal regime di compliance previsto dal Decreto NIS 2.
L’esenzione mira a evitare che le imprese con un impatto marginale nel contesto della cybersicurezza nazionale o che presentano un’elevata autonomia operativa rispetto al gruppo di appartenenza siano gravate da obblighi sproporzionati rispetto al loro ruolo effettivo nel sistema informatico e di rete nazionale. La possibilità di ottenere tale esenzione è però subordinata alla verifica di rigorosi criteri di indipendenza, i quali saranno analizzati nei paragrafi successivi.
Criteri di applicazione della clausola di salvaguardia NIS 2
Il DPCM 221/2024, all’articolo 3, definisce i criteri specifici per la richiesta di applicazione della Clausola di salvaguardia NIS 2, stabilendo le condizioni che un soggetto deve soddisfare per essere escluso dagli obblighi previsti dal Decreto NIS 2. In particolare, la normativa individua come elemento essenziale la totale indipendenza operativa e informatica del soggetto richiedente rispetto alle altre imprese collegate.
Affinché un’impresa possa beneficiare della clausola di salvaguardia NIS 2, essa deve attestare la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate. Ciò significa che i sistemi informativi e le infrastrutture di rete utilizzati dal soggetto richiedente devono essere completamente autonomi e non devono dipendere, in alcun modo, dalle infrastrutture informatiche delle altre aziende appartenenti al medesimo gruppo.
L’indipendenza deve riguardare non solo le componenti hardware e software, ma anche i flussi di dati e le interconnessioni, evitando qualsiasi forma di interdipendenza tecnologica che potrebbe compromettere la separazione operativa.
Parallelamente, la normativa richiede che il soggetto dimostri la totale indipendenza delle proprie attività e dei propri servizi NIS rispetto alle imprese collegate. In altri termini, le attività e i servizi che rientrano nell’ambito di applicazione del Decreto NIS 2 non devono essere in alcun modo influenzati da altre realtà societarie appartenenti allo stesso gruppo. La separazione deve essere assoluta, senza alcuna condivisione di risorse operative, tecniche o di personale che possa compromettere l’autonomia della gestione dei servizi NIS.
Non tutti i soggetti rientranti nel perimetro di applicazione della normativa possono richiedere l’attivazione della clausola di salvaguardia NIS 2. L’articolo 3, comma 10, del Decreto NIS 2 stabilisce infatti che determinati enti e organizzazioni, in ragione della loro natura e delle funzioni svolte, non possono beneficiare di tale esenzione.
Pertanto, prima di presentare la richiesta, è necessario verificare con attenzione l’effettiva sussistenza dei requisiti di indipendenza operativa e tecnologica, al fine di evitare il rigetto dell’istanza da parte dell’Autorità nazionale competente NIS.
L’individuazione di criteri così stringenti evidenzia come il legislatore abbia voluto limitare l’accesso alla Clausola di salvaguardia NIS 2 ai soli soggetti che, per caratteristiche oggettive, risultano realmente estranei ai rischi sistemici connessi alla cybersicurezza nazionale.
Procedura per richiedere e applicare la clausola di salvaguardia NIS 2
Il DPCM 221/2024 stabilisce che la richiesta di applicazione della clausola di salvaguardia NIS 2 debba essere presentata attraverso un’apposita procedura. In particolare, l’articolo 4 del DPCM disciplina le modalità con cui i soggetti che ritengano di possedere i requisiti di indipendenza operativa e tecnologica possono ottenere l’esenzione dagli obblighi previsti dalla normativa.
Il procedimento ha inizio con la registrazione del soggetto richiedente sulla piattaforma digitale prevista dall’articolo 7, comma 1, del Decreto NIS 2. Nel corso di tale registrazione, il soggetto deve esplicitamente dichiarare di soddisfare i requisiti previsti dall’articolo 3 del DPCM 221/2024, attestando la totale indipendenza dei propri sistemi informativi e di rete e la totale indipendenza delle proprie attività e servizi NIS rispetto alle imprese collegate.
La dichiarazione deve essere resa in modo veritiero e completo, in quanto le informazioni fornite saranno oggetto di verifica da parte dell’Autorità nazionale competente NIS.
La scadenza per la presentazione della richiesta è fissata al 28 febbraio 2025, termine entro il quale tutti i soggetti interessati dovranno aver completato la procedura di registrazione e trasmissione dell’istanza. Una volta inoltrata la richiesta, l’Autorità nazionale competente NIS procederà alla valutazione delle dichiarazioni rese, verificando la sussistenza effettiva delle condizioni per l’applicazione della clausola di salvaguardia NIS 2.
L’esito del procedimento verrà comunicato al soggetto richiedente attraverso la stessa piattaforma digitale utilizzata per la registrazione. Qualora l’Autorità nazionale competente NIS accolga la richiesta, il soggetto sarà esonerato dagli obblighi previsti dalla normativa. In caso di rigetto, invece, il soggetto dovrà conformarsi pienamente alla normativa, implementando tutte le misure di cybersicurezza previste per la propria categoria di appartenenza.
È importante sottolineare che la richiesta di esenzione è soggetta a responsabilità dichiarativa, in quanto l’articolo 76 del DPR 445/2000 prevede sanzioni per le dichiarazioni mendaci rese nell’ambito di procedimenti amministrativi. Di conseguenza, la compilazione della richiesta deve essere effettuata con la massima attenzione, evitando inesattezze o omissioni che potrebbero pregiudicare l’accoglimento dell’istanza o determinare conseguenze sanzionatorie per il soggetto richiedente.
Clausola di salvaguardia NIS 2: attenzione alla corretta gestione degli adempimenti
Il DPCM 221/2024 ha chiarito con precisione i criteri di applicazione della clausola, evidenziando la necessità di un’indipendenza assoluta sia dal punto di vista informatico che gestionale. La normativa ha introdotto requisiti stringenti, proprio per evitare che l’esenzione possa essere richiesta in assenza di reali presupposti.
La procedura per ottenere l’applicazione della Clausola di salvaguardia NIS 2 deve essere gestita con particolare attenzione, poiché prevede la presentazione di una dichiarazione formale da parte del soggetto richiedente, il quale è tenuto ad attestare, sotto la propria responsabilità, la totale indipendenza dei propri sistemi informativi e di rete e delle proprie attività e servizi NIS rispetto alle imprese collegate. Inoltre, l’Autorità nazionale competente effettuerà verifiche sulle istanze presentate, valutando caso per caso la fondatezza delle dichiarazioni rese.
Considerata la complessità della disciplina e la necessità di garantire la piena conformità alle disposizioni del Decreto NIS 2, è opportuno che le imprese valutino con attenzione la propria posizione prima di procedere con la richiesta di esenzione. Un’analisi accurata dei requisiti e una gestione scrupolosa della procedura possono ridurre il rischio di errori o dichiarazioni inesatte, che potrebbero comportare il rigetto dell’istanza o altre conseguenze sul piano amministrativo.
In questo contesto, il supporto di figure specializzate in compliance normativa e cybersicurezza può risultare di particolare utilità, sia nella fase di valutazione preliminare sia nella predisposizione della documentazione necessaria, assicurando un approccio metodico e conforme alle prescrizioni della normativa vigente.
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2. Applicazione della clausola di salvaguardia NIS 2
