Ransomware

I ransomware: che cosa sono e come prevenirli

La nascita, l’evoluzione e le tecniche per prevenire gli attacchi ransomware

 

Introduzione

Nell’era della digitalizzazione, in cui viviamo, le informazioni sono accessibili 24 ore su 24, 7 giorni su 7. Tutto può esser fatto comodamente dal proprio divano con un semplice clic, in modo efficiente, rapido e senza alcuno sforzo. Tuttavia, esiste sempre il risvolto della medaglia. Infatti, se da un lato la digitalizzazione ha semplificato tutti quei processi di archiviazione documentale accelerandoli ed implementato le modalità di ricerca delle informazioni, dall’altro, la minaccia che tali dati possano essere oggetto di attacchi informatici[1] è dietro l’angolo. Il ransomware è uno di questi.

 

Che cosa sono e che tipologie di ransomware esistono?

Il ransomware è una particolare categoria di malware che infetta il dispositivo al cui interno viene installato rendendo inaccessibili tutti i dati in esso contenuti con una chiave di criptazione al fine di richiedere il pagamento di un ransom (riscatto) per riottenerne la disponibilità.

Mentre alcune strutture fondamentali del ransomware non sono difficili da identificare per un individuo esperto, la maggior parte dei malware ransomware utilizzano una struttura chiamata “cryptoviral pressure[2], in cui i dati nel sistema compromesso vengono criptati e resi di difficile accesso.

Gli attacchi perpetrati dai ransomware sono in costante aumento.

Non a caso, oggi, le stime portano a considerare tali attacchi come i cybersecurity threats che maggiormente intaccano ogni settore: privati, istituzioni e società sono i bersagli.

Possono essere classificati in diverse tipologie: il più dannoso e aggressivo è il crypto ransomware, capace di criptare tutti i dati della vittima prescelta, e il locker ransomware che invece blocca il computer della vittima impendendo all’utente di accedere al sistema.

In un attacco ransomware opportunamente lanciato, recuperare i dati senza la chiave di decrittazione è un problema concreto. Gli aggressori lanciano convenzionalmente attacchi ransomware utilizzando un Trojan che viene rappresentato come una funzionalità legittima in modo che l’utente sia indotto a scaricarlo o aprirlo. A questo punto il trojan svolge la funzionalità prevista contestualmente all’installazione di diversi tipi di malware compreso il ransomware.

Sfortunatamente la vittima non ha la garanzia che, a seguito del pagamento del riscatto, il cyberattacker provveda alla decodifica dei dati. Molto spesso accade che le vittime vengano truffate e venga chiesto loro il pagamento di un ulteriore riscatto per riottenere i dati “rubati”.

 

L’evoluzione del ransomware nella storia

Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito.

Il primo ransomware nacque alla fine degli anni ’80, diffondendosi con il nome di “PC Cyborg o AIDS”. Il malware aveva la capacità di criptare tutti i file contenuti nella directory C. Tuttavia, ciò avveniva soltanto dopo il novantesimo riavvio del sistema; infatti, a quel punto, veniva richiesto all’utente di rinnovare la propria licenza attraverso l’invio della somma di 189$ in una busta indirizzata alla PC Cyborg Corp.

Con l’avvento del nuovo millennio, le strategie di attacco informatico mutarono. Nel 2007 attraverso “WinLock”, si iniziò non più a criptare i file contenuti in un PC ma a limitare l’accesso al desktop da parte degli utenti. Il ransomware, infatti, assumeva il controllo dello schermo proiettando su di esso immagini pornografiche. Lo sblocco era possibile solo a seguito del pagamento di una somma attraverso SMS.

In tempi più recenti, nel 2017, due ransomware hanno fatto conquistato la scena. Si tratta di “CryptoLocker” e “TorrentLocker”, ovvero trojan che infettano computer con sistema operativo Windows. Possono presentarsi sottoforma di allegato di posta elettronica in formato .zip ed al cui interno è presente un file .exe (eseguibile) camuffato da word o Pdf. I ransomware funzionano perché spesso vengono spediti attraverso indirizzi e-mail attribuibili apparentemente ad istituzioni. Una volta installati, i malware iniziano a cifrare tutti i file contenuti nel disco rigido e le condivisioni di rete mappate localmente con la chiave pubblica e salvano ogni file cifrato in una chiave di registro.

 

Le fasi di attività del ransomware

Il “ciclo di vita” di un ransomware consta di 5 fasi:

  1. deployment (insinuazione),
  2. installazione,
  3. comando e controllo,
  4. distruzione ed
  5. estorsione.

 

Per ciò che concerne il deployment, sono svariate le modalità d’insinuazione del ransomware nel sistema bersaglio. Si può ricorrere al c.d. drive-by-download” che installa automaticamente il malware nel sistema senza l’interazione dell’utente oppure a tecniche di social engineering come il phishing che consente di inviare ad una singola vittima o ad un gruppo di individui e-mail contenenti link o allegati dannosi che installano il malware quando l’utente clicca o scarica.

La seconda fase riguarda l’installazione, il che significa che il ransomware è radicato all’interno del sistema operativo ed è pronto per spiegare i suoi effetti. Dopo l’installazione, il ransomware non inizia ad operare immediatamente ma, soltanto in un momento successivo inizia a crittografare i file di dati. Se installato in un sistema Windows, il crypto-ransomware imposta le chiavi nel registro e si attiva automaticamente quando il sistema viene riavviato.

Una volta che il ransomware è stato installato ed è attivo, esso inizia a comunicare con il server C&C (Command-and-Control) in modo da poter ottenere le istruzioni. Questi server vengono gestiti dai cyberattacker e per loro tramite trasmettono tutte le istruzioni ai sistemi compromessi. Lo scopo per il quale si comunica con il server C&C è quello di ottenere la chiave di crittografica grazie alla quale si procederà con l’encrypt dei dati del sistema bersaglio.

La fase successiva riguarda la distruzione. Infatti, dopo aver ottenuto le chiavi di crittografia, il ransomware inizia l’attività di ricerca dei contenuti all’interno del sistema al fine di procedere con la crittografia degli stessi.

La fase conclusiva riguarda l’estorsione. Dopo aver criptato i file, il ransomware fa visualizzare sullo schermo della vittima una videata in cui si afferma che all’interno del proprio sistema vi sono dei file compromessi e per riottenerne il possesso e quindi l’accesso sarà necessario pagare il riscatto entro un determinato periodo di tempo. L’importo può variare a seconda del tipo di ransomware installato e della quantità di dati compromessi. In generale la maggior parte delle varianti di ransomware richiede il pagamento di un riscatto del valore dai $ 300 ai $ 500.

 

Come poter fronteggiare un “ransomware attack”

Quando si ha a che fare con qualsiasi tipo di software maligno o attacco malware la migliore tecnica di prevenzione possibile è non farsi trovare del tutto impreparati. Infatti, una buona conoscenza da parte dell’utente sui vettori di attacco del malware e sulle modalità operative con cui quest’ultimo si diffonde nel sistema, spesso si rivela essere la strategia più efficace.

Tra tutti i tipi di malware, il ransomware è quello più invasivo e pericoloso; non a caso le misure preventive dovrebbero essere attuate in un momento precedente al diffondersi del ransomware nella rete del sistema preso di mira.

Alcune delle migliori tecniche di prevenzione riguardano il mantenere i backup dei dati sempre aggiornati, assicurarsi che i sistemi operativi siano aggiornati con le patch attuali e soprattutto provvedere all’installazione sul proprio sistema di software anti-malware con file di firma attendibili.

In alternativa creare delle policy di restrizione del software potrebbe tutelare da attacchi come quelli perpetrati dal già menzionato ransomware CryptoLocker.

Inoltre, sicuramente da annoverare tra le migliori strategie di prevenzione, sia in riferimento a sistemi individuali che a sistemi più complessi come quelli aziendali, è l’installazione di sistemi Intrusion Detection System e Intrusion Prevention System (IDS e IPS).

L’IDS è un sistema in grado di individuare in anticipo attacchi verso un computer o una rete ed ha la funzione di controllo e analisi di tutte le attività di reta al fine di scovare un traffico di dati insolito.

Invece, l’IPS, dopo aver appurato la possibilità di un attacco, oltre ad informare l’amministratore attiva immediatamente le misure di sicurezza adeguate ad affrontare l’eventuale attacco.

È opportuno tenere in considerazione altresì l’utilizzo di adeguati firewall al fine di monitorare l’intera attività di rete.

Infine, è fortemente raccomandato fornire al personale delle organizzazioni un’adeguata formazione in tema di sicurezza informatica, così da apprendere le tecniche di ingegneria sociale, le azioni da compiere quando si è stati attaccati ed infine i soggetti da coinvolgere quando si riscontrano attività sospette sui sistemi.

Informazioni

[1] Si guardi anche: http://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/

[2] “Proofpoint,”[Online]. Disponible: https://www.proofpoint.com/it/threat-reference/ransomware ;


Data breach

Il data breach: cos'è e come gestirlo

Come agire in compliance con quanto previsto dal Regolamento GDPR nel caso di un data breach

 

Introduzione

Con l’entrata in vigore il 25 Maggio 2018 del Regolamento Europeo 679/2016, più comunemente conosciuto come General Data Protection Regulation (GDPR), si è posta l’attenzione su un tema della protezione dei dati personali, con l’obiettivo di armonizzare definitivamente la regolamentazione in materia ma anche per rispondere positivamente alle nuove sfide lanciate dalle tecnologie digitali[1].

Non a caso, uno degli aspetti cruciali riguarda il c.d. Data Breach, che, ai sensi dell’art. 4, punto 12 GDPR, consiste in “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati[2].

 

Tipologie di violazione e come reagire ad un data breach

L’ordinamento italiano prevede alcune ipotesi specifiche di obbligo di notificazione delle violazioni dei dati personali, come ad esempio nel campo della biometria o dei trattamenti sanitari, mentre il Regolamento estende l’obbligo di notificazione a tutti i titolari del trattamento.

Si possono verificare tre diverse tipologie di violazione:

  • di riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali (es.: invio mail a soggetto diverso dal corretto destinatario);
  • di integrità, in caso di modifica non autorizzata o accidentale dei dati personali (es.: virus che altera un database);
  • di disponibilità/accesso, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali (es.: smarrimento pc, chiavetta usb, smartphone).

 

Inoltre, è opportuno notare che una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

Se riscontrare una violazione dell’integrità o della riservatezza può apparire agevole, certamente non può dirsi lo stesso per una violazione della disponibilità.

Esempi di perdita di disponibilità possono rintracciarsi nella cancellazione accidentale di dati per opera di una persona non autorizzata, oppure un attacco da c.d. “blocco di servizio” (denial of service) che rende i dati personali temporaneamente o permanentemente inaccessibili.

I data breach vanno affrontati e gestiti nel minor tempo possibile, ciò per evitare l’insorgenza o l’aggravamento di danni fisici, materiali o immateriali alle persone fisiche.

L’evento pregiudizievole non deve in alcun caso essere celato, poiché il suo oscuramento potrebbe amplificarne gli effetti e inibire forme di reazione pubblica e dell’interessato.

 

Come reagire ad un data breach

È chiaro che nel momento in cui si chiede al titolare del trattamento di porre rimedio a una violazione, il titolare stesso dovrebbe, in primo luogo, essere in grado di riconoscerla.

Secondo il Considerando 85 la violazione se non affrontata in modo adeguato e tempestivo può provocare “danni fisici, materiali o immateriali alle persone fisiche, ad esempio […] discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata”.

La violazione dei dati personali è sintomo di vulnerabilità e quindi di un sistema di sicurezza ormai obsoleto che necessita degli opportuni adeguamenti e aggiornamenti.

Non a caso, soprattutto nelle compagini societarie, si sente spesso parlare dei concetti di privacy by design e privacy by default.

La protezione dei dati personali deve essere garantita già in fase di progettazione (by design) per qualsiasi tipo di progetto che comporti l’utilizzo di dati personali (sito internet, software, soluzione IT, ambiente di lavoro etc.).

Inoltre, devono essere previste opportune misure per garantire che siano trattati by default (cioè come impostazione predefinita) solo i dati personali necessari in ogni fase del trattamento («minimizzazione dei dati»): dalla raccolta alla cancellazione dei dati e non soltanto durante l’elaborazione.

 

Quando notificare la violazione all’Autorità di controllo?

La notifica del data breach viene disciplinata all’interno del GDPR agli artt. 33 e 34.

L’art. 33 GDPR e del Considerando 85 disciplinano la notifica all’Autorità di controllo, statuendo che essa debba avvenire ad opera del Titolare del trattamento “senza ingiustificato ritardo” e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il Titolare sarà esonerato dall’obbligo di notifica se in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Ad incidere sulla necessità o meno di notifica vi è il disposto del Considerando 76 GDPR, il quale, fornendo indicazioni sulla determinazione del rischio tale da far attivare l’obbligo di notifica, prevede una serie di parametri ritenuti idonei a rappresentare gli effetti pregiudizievoli per gli interessati dal data breach.

Tali parametri riguardano:

  • la tipologia di violazione (distruzione, perdita o sottrazione di dati);
  • le caratteristiche del titolare dei dati (istituto di credito, istituto scolastico, struttura sanitaria ecc.);
  • la natura e la sensibilità dei dati violati;
  • le particolari categorie di soggetti eventualmente coinvolti nella violazione.

 

In tale ipotesi, il data breach, affinché sia notificato in maniera corretta deve:

  • descrivere la natura della violazione dei dati personali;
  • comunicare i dati del responsabile della protezione dei dati;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o che si prefigge di attuare il titolare del trattamento dei dati.

 

Può, tuttavia, capitare che il titolare non abbia, entro le 72 ore in cui è tenuto a notificare la violazione, tutte le informazioni e le specifiche della violazione. Ciononostante, il titolare sarà tenuto a comunicare tale situazione all’Autorità di controllo che accorderà una nuova scadenza al fine di permettere a quest’ultimo di reperire ed inviare le informazioni aggiuntive sulla violazione verificatasi.

 

Quando, invece, la violazione deve essere comunicata all’interessato?

L’art. 34 GDPR disciplina il caso in cui la notificazione del data breach debba essere effettuata, oltre che nei confronti dell’Autorità di Controllo, anche nei confronti dei soggetti interessati, ovvero delle persone fisiche cui si riferiscono i dati personali oggetto del data breach.

Il legislatore europeo, ben consapevole delle possibili conseguenze che potrebbero scaturire sul piano reputazionale e sul rapporto di fiducia con l’interessato, ha previsto che l’obbligo di comunicazione all’interessato debba essere effettuato solo in presenza di due condizioni:

  • l’idoneità della violazione di impattare la sfera dell’interessato e
  • il livello elevato di tale rischio.

 

Infatti, il testo dell’art. 34 GDPR recita quanto segue: “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Dalla lettura dell’articolo si nota subito come, a differenza di quanto previsto dall’art. 33 GDPR, non sia previsto un termine temporale prestabilito entro il quale l’interessato deve essere edotto della violazione.

Altra differenza rispetto alla notifica di cui all’art. 33 GDPR si rintraccia nelle modalità di comunicazione. Infatti, se per la notifica all’Autorità di Controllo il GDPR prevede particolari formalità, la comunicazione all’interessato deve essere resa con “linguaggio semplice e chiaro, tale da far comprendere istantaneamente all’interessato quanto occorso e le attività da intraprendere a seguito della violazione.

A maggior tutela dell’interessato, il comma 4 dell’art. 34 GDPR prevede una ulteriore supervisione da parte dell’Autorità di controllo qualora il titolare tardi nella comunicazione. Infatti, si disciplina che “nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda …”.

Tuttavia, il comma 3 dell’articolo 34 prevede anche delle ipotesi in cui non sia obbligatoria la comunicazione all’interessato, ovvero quando sia soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

 

Le sanzioni previste in caso di mancata notifica o comunicazione

Il mancato rispetto degli obblighi previsti dagli articoli 33 e 34 GDPR può comportare diverse sanzioni:

  • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità (articolo 58 GDPR);
  • sanzioni amministrative pecuniarie sino all’importo di € 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 83 GDPR);
  • risarcimento del danno in favore dell’interessato (articolo 82 GDPR).

Informazioni

https://www.garanteprivacy.it/ ;

Ziccardi-Perri, Tecnologia e diritto. Vol. 2: Informatica giuridica, Giuffrè, 2019;

EDPB Guidelines 01/2021.


InsurTech

L'InsurTech: tecnologia applicata al settore assicurativo

Nascita e diffusione dell’InsurTech: caratteristiche, benefici e insidie

 

Cos’è l’InsurTech?

Negli ultimi anni l’utilizzo in continua crescita di Internet e l’implementazione di reti di telecomunicazione sempre più efficienti e “veloci”, ha fatto sì che la tecnologia permeasse anche quei settori del mercato rimasti a lungo inalterati.

Sembra che l’attività secolare dell’assicurazione sia finalmente in cambiamento.

Le compagnie assicurative storiche sono minacciate non solo da giganti della tecnologia come Amazon che entrano nel mercato (Seekings 2017), ma anche da agili entità start-up che stanno sfruttando il potere della tecnologia per innovare il loro modo di conquistare quote di mercato.

Il settore assicurativo ha recepito con positività l’ondata innovativa apportata dalla meno recente nascita della FinTech e, non a caso, è stata protagonista di svariati e massicci investimenti a livello globale.

L’InsurTech, è questo il nominativo accostato al fenomeno, identifica tutto ciò che è innovazione technology-driven[1] in ambito assicurativo: software, applicazioni, startup, prodotti, servizi.

Il termine nasce dalla fusione tra le parole “insurance” e “technology” e viene rappresentata da quell’insieme di tecnologie in grado di assicurare livelli di precisione ed accuratezza ineguagliati in termini di capacità predittiva tali da permettere a startup di InsurTech, come ad esempio la cinese ZhongAn Insurance, di attirare milioni di utenti e sottoscrivere milioni di polizze.

Oltre agli investimenti veri e propri in startup, alcune compagnie di assicurazione e riassicurazione hanno tentato di tenere il passo configurando acceleratori e incubatori d’imprese o entrando in partnership con startup InsurTech.

“Munich Re”, ad esempio, attraverso la sua impresa controllata “Digital Partners”, investe in startup InsurTech, sforzandosi di conquistare la fiducia e di collaborare con i nuovi operatori “disruptor”.

Nel prossimo futuro, l’area che potrebbe essere maggiormente interessata dal fenomeno è l’Asia, nonostante la nascita delle imprese InsurTech sia da individuarsi nel territorio degli Stati Uniti d’America[2].

Infatti, gli USA si attestano al primo posto con circa il 56% di tutte le operazioni tecniche assicurative poste in essere da società di InsurTech dal 2012 ad oggi[3].

Ciononostante, la rapida crescita e l’inarrestabile sviluppo di tali tecnologie del settore assicurativo celano corrispondenti problematiche da risolvere ed elementi da normare[4].

 

Le diverse categorie di startup InsurTech

La prima categoria di startup InsurTech è costituita dalle assicurazioni peer-to-peer.

Questo sistema di assicurazione organizza gli assicurati in gruppi d’acquisto, con l’obiettivo di far ottenere loro un risparmio sulle tariffe; successivamente, il premio pagato dai clienti viene suddiviso in due quote: una parte è destinata ad una compagnia assicurativa standard, con cui l’azienda InsurTech collabora, l’altra parte è versata nel conto unico del gruppo (cash back pool)[5].

Alla fine di ciascun anno le somme del conto comune rimaste inutilizzate vengono ridistribuite agli utenti del gruppo (claims-free bonus) e, nel caso il conto comune risulti azzerato o incapiente, interviene un’altra assicurazione a coprire la perdita, con un meccanismo di “stop loss”.

La prima assicurazione peer-to-peer è nata nel 2010 con l’azienda tedesca “Friendsurance” e si è evoluta in questi ultimi anni:

  • la prima fase segue il modello descritto sopra, definito “modello del broker” ed ha come protagonista proprio “Friendsurance”;
  • la seconda fase vede il suo esponente principale nell’azienda statunitense “Lemonade”, la prima compagnia di assicurazione puramente peer-to-peer.

 

“Lemonade” non rimborsa gli assicurati, ma dona il denaro rimanente dopo i risarcimenti ad opere di beneficienza, scelte dai clienti, inoltre, non opera come semplice distributore, ma si assume personalmente il rischio, configurandosi, quindi, come un assicuratore digitale.

La seconda categoria di startup InsurTech è costituita dai broker digitali che forniscono servizi di brokeraggio assicurativo attraverso soluzioni tecnologiche moderne come portali on-line o applicazioni mobili, considerate la spina dorsale della prima generazione di InsurTech.

Una delle prime startup di brokeraggio digitale è “Knip”, nata in Svizzera nel 2013 si rivolge agli assicurati tramite app veicolando l’assicurato verso servizi di gestione polizze e consulenza sulla copertura.

I broker hanno ricoperto un ruolo rilevante nello scenario assicurativo ma negli ultimi anni è messa a rischio a causa della disruption digitale che, con gli strumenti “data & analytics”, riesce a determinare i rischi ed indirizzare il cliente verso la compagnia più adatta in tempi più celeri e con modalità più funzionali rispetto ai broker tradizionali.

Lo sviluppo dei broker digitali si fonda su:

  • creazione di un software in grado di automatizzare la gestione del ciclo vitale del prodotto assicurativo, dalla sottoscrizione alla fatturazione delle polizze (cd. Brokerage managment system);
  • connettività con gli assicuratori, così da poter beneficiare di costanti scambi di dati al fine di offrire prodotti più congeniali ai clienti;
  • “cloud”, che permette ai broker digitali di spostare i software applicativi di base su un centro dati esterno per migliorare le prestazioni, la flessibilità e la sicurezza, salvaguardando i dati e migliorando il servizio clienti.

 

La terza categoria di startup InsurTech è costituita dai Cross sellers assicurativi.

Tale categoria di startup fonda il suo business sulla pratica del cross-selling, consistente nell’abbinare polizze assicurative a prodotti o servizi di natura non assicurativa.

Un esempio è fornito da “Simplesurance”, startup berlinese fondata nel 2012, che consente ai provider di shopping on-line, come Amazon, di vendere i propri prodotti abbinandovi una copertura assicurativa appropriata.

Utilizzando una piattaforma cross-selling tecnologica, i negozi on-line possono, quindi, vendere polizze assicurative ed incrementare i propri ricavi; così facendo, i clienti traggono un beneficio da questo servizio poiché possono acquistare immediatamente una copertura assicurativa adatta alle loro esigenze, senza dover fare alcuna ricerca[6].

 

Benefici dell’InsurTech

La diffusione a “macchia d’olio” delle società di InsurTech è dovuta al fatto che esse siano riuscite a conciliare innovazione e funzionalità; infatti, le tecnologie poste alla loro base trovano compiuta applicazione lungo tutto il ciclo di vita del prodotto assicurativo.

Non sorprende che vi sia stata una crescente diffusione delle tecnologie all’interno delle compagnie assicurative, in parte a causa della concorrenza sul mercato, ma anche perché tali tecnologie promette benefici sostanziali che possono includere:

  • il miglioramento delle attività di investimento degli assicuratori attraverso l’uso di algoritmi, intelligenza artificiale (“AI”)[7] o altri nuovi metodi;
  • misurazioni più precise del rischio assicurativo sottostante con big data;
  • una maggiore protezione degli assicuratori contro i rischi operativi, come la prevenzione della frode assicurativa o del riciclaggio di denaro.

 

Inoltre, la tecnologia applicata al settore offre vantaggi anche ai i clienti delle agenzie assicurative:

  • rendendo più conveniente per i consumatori l’acceso ai prodotti assicurativi o snellendo processi come ad es. il trattamento dei sinistri;
  • presentando loro una gamma sartoriale di prodotti e servizi.

 

Infatti, nella fase precontrattuale si possono fornire al cliente diverse soluzioni, come ad es. il digital service provisioning, in grado di supportare il cliente nella ricerca dei migliori prodotti assicurativi in termini economici e di copertura.

Nella fase post-contrattuale, invece, le tecnologie impiegate potrebbero rendere maggiormente agevole e funzionale la gestione dei sinistri attraverso la creazione di piattaforme che, ad esempio, colleghino assicurati, officine automobilistiche e assicuratori (es. Snapsheet).

Altro impiego può riscontrarsi nelle operazioni di back office per la sottoscrizione e la gestione del rischio attraverso strumenti di analisi dei dati più accurati invece di affidarsi a semplici proxy.

 

Rischi e problematiche

Nonostante i potenziali benefici in grado di apportare, l’InsurTech non è esente da insidie.

Infatti, le compagnie assicurative, nell’andare ad implementare una strategia digitale devono tener conto della regolamentazione che, proprio in ragione della stringente disciplina di questo settore, ostacola l’accesso di nuove startup nel mercato anche a causa degli elevati requisiti sia in termini d’idoneità per ottenere l’autorizzazione sia in termini di capitale.

L’imposizione di requisiti stringenti costituisce un elemento fondamentale per garantire la tutela dei soggetti assicurati, tuttavia, potrebbe costituire un ostacolo all’approccio digitale e alla concorrenza nel mercato assicurativo.

Nel mondo di oggi, i dati stanno diventando un bene indispensabile, portando le industrie a trasformare i loro processi aziendali e le catene del valore in catene data-driven.

I Big Data sono caratterizzati dalle 5 V: Volume, Velocità, Varietà, Veridicità e Valore.

Nell’era dei Big Data, la veridicità è uno degli aspetti fondamenti. Mentre in passato questa era spesso trascurata finché i dati venivano raccolti da più fonti eterogenee, la veridicità è oggi una questione di preminente rilevanza (ad esempio, a causa dell’aumento di fake news).

La veridicità si occupa dell’incertezza dei dati dovuta a incoerenze e inganni deliberati; questi problemi creano dati offuscati, ostacolando un’analisi futura accurata e corretta e limitando la comprensione dei dati conducendo a potenziali frodi assicurative.

Anche nel XXI secolo, la frode assicurativa sta dilagando sul mercato.

Le stime raccolte negli Stati Uniti riferiscono che le richieste fraudolente di assicurazione per i soli gioielli costano agli assicuratori circa due miliardi di dollari l’anno.

Le modalità con cui frodi assicurative possono essere perpetrate sono svariate: ad es. i criminali informatici possono utilizzare delle identità rubate per ottenere delle nuove polizze e per poi procedere a false richieste di risarcimento o modificare le informazioni sui beneficiari per ricevere i fondi dei sinistri.

Questa proliferazione di dati ha permesso alle imprese InsurTech e alle compagnie assicurative più lungimiranti e consolidate di sfruttare una proposta di vendita unica e un vantaggio competitivo.

Tuttavia, la semplicità con cui è possibile reperite tale vastità di informazioni attraverso la tecnologia, ha posto problemi circa la sicurezza informatica e protezione dei dati personali.

I dati personali potrebbero essere stati generati (ad esempio, la posizione GPS da dispositivo mobile) o raccolti (ad esempio, i social network) da più fonti eterogenee. Dal punto di vista etico, i proprietari dei dati (compresi gli assicuratori) dovrebbero chiedere il consenso dei loro clienti prima di utilizzare questi dati per scopi di analisi.

In particolare, gli assicuratori dovranno prestare attenzione alla fonte e alle modalità di raccolta di tale tipologia di dati in modo da essere trasparenti in merito al loro utilizzo.

Inoltre, le aziende con clienti in Europa devono rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679) che si occupa della privacy e della protezione dei dati di un individuo.

È probabile che l’InsurTech renda maggiormente eclatanti queste preoccupazioni poiché consente di profilare i clienti utilizzando una gamma molto più vasta di informazioni, le quali potenzialmente possono minare l’equità e creare effetti discriminatori (ad esempio, la Corte di Giustizia Europea ha vietato agli assicuratori di differenziare i premi per l’assicurazione auto in base al sesso).

Informazioni

http://www.dirittoconsenso.it/2020/12/29/strategia-italiana-intelligenza-artificiale-luci-ombre/

Vinnie Lauria – “Free From Legacy Baggage, Asian Insurtech Firms Are Reimagining The Insurance Industry”

Andrew Johnston, ‘Quarterly InsurTech Briefing Q1 2019’

Tanguy Catlin – “Insurtech—The threat that inspires”, online: https://www.mckinsey.com/industries/financial-services/our-insights/insurtech-the-threat-that-inspires

Roland Berger – Copy them? Work with them? Or buy them? InsurTechs and the digitization of insurance”

Alexander Braun, Florian Schreiber – The Current InsurTech Landscape: Business Models and Disruptive Potential”

http://www.dirittoconsenso.it/2020/05/18/impatto-ia-corporate-governance/

[1] Per approfondimenti sul tema si guardi anche http://www.dirittoconsenso.it/2020/12/29/strategia-italiana-intelligenza-artificiale-luci-ombre/

[2] Vinnie Lauria, “Free From Legacy Baggage, Asian Insurtech Firms Are Reimagining The Insurance Industry”

[3] Andrew Johnston, ‘Quarterly InsurTech Briefing Q1 2019’

[4] Tanguy Catlin et al, “Insurtech—The threat that inspires”, online: https://www.mckinsey.com/industries/financial-services/our-insights/insurtech-the-threat-that-inspires

[5] “Copy them? Work with them? Or buy them? InsurTechs and the digitization of insurance”, Roland Berger

[6] “The Current InsurTech Landscape: Business Models and Disruptive Potential”, Alexander Braun, Florian Schreiber

[7] Si veda anche: http://www.dirittoconsenso.it/2020/05/18/impatto-ia-corporate-governance/


Illeciti connessi ai nomi a dominio

Gli illeciti connessi ai nomi a dominio

Descrizione dei principali illeciti connessi ai nomi a dominio nel nostro ordinamento

 

Gli illeciti civili connessi ai nomi a dominio

È intuitivo che attraverso Internet sia possibile realizzare illeciti connessi ai nomi a dominio di diversa natura, primi fra tutti illeciti civili. Questi sono ricondotti, dalla dottrina dominante, alla fattispecie della confusione dei segni distintivi. Si sta verificando un uso indiscriminato dei segni distintivi delle imprese, tale per cui oggi “è possibile parlare di nuove pratiche confusorie della rete[1].

Appare emblematica la distinzione dogmatica degli illeciti civili proposta dalla dottrina[2], secondo cui è possibile individuare:

  • gli illeciti di Internet, ossia quelli compiuti dai soggetti stessi che gestiscono la rete e ne permettono l’accesso;
  • gli illeciti contro Internet tra cui rientrerebbero quei comportamenti da parte di tutti quei soggetti che hanno interesse a danneggiare il funzionamento stesso delle Rete di Internet; e poi,
  • gli illeciti per mezzo di Internet, consistenti in tutti quegli illeciti già realizzabili per mezzo degli strumenti ordinari e che, all’occorrenza, possono essere realizzati anche con il mezzo di Internet.

 

Il domain grabbing o cybersquatting

L’atteggiamento più diffuso è quello relativo al c.d. domain grabbing o cybersquatting che, letteralmente, rimanda al concetto di un’occupazione abusiva sullo spazio del nome a dominio[3].

In effetti, l’illecito connesso ai nomi a dominio maggiormente praticato sarebbe proprio quello di registrare abusivamente dei nomi a dominio riconducibili a marchi altrui, in specie se celebri o rinomati, posto che il titolare del marchio non potrà registrare il corrispondente nome di dominio in quanto già illecitamente registrato da altri, posto che non possono coesistere due nomi a dominio identici[4].

Più precisamente, per domain grabbing si deve intendere quella pratica confusoria consistente nella registrazione presso la Naming Authority del marchio appartenente a terzi e con il solo fine di fruire della notorietà del suddetto marchio.

La registrazione da parte di terzi soggetti di un nome a dominio corrispondente ad altri segni distintivi notori segue la regola del first come first served, secondo la quale la registrazione del nome a dominio avvenuta con priorità sui successivi legittima l’uso regolare dello stesso.

La giurisprudenza di merito[5], però, sembra individuare nel domain grabbing un’autentica contraffazione, individuabile nella speculazione compiuta sul nome di dominio di segno distintivo celebre, in un contesto nel quale, però, il titolare del segno distintivo merita di ottenere tutela a prescindere dall’effettivo utilizzo del nome di dominio contraffatto.

Così, in particolare, la giurisprudenza[6] ha ritenuto sussistere la pratica del domain grabbing con riferimento a quelle ipotesi in cui, seppur con riferimento a prodotti o servizi non affini, il titolare del domain name inseriva nella denominazione del Second Level Domain il segno grafologico riferibile al marchio celebre, con la conseguenza che il titolare del nome di dominio otteneva il vantaggio indiscusso di accaparrarsi un largo numero di clienti-consumatori che non avrebbe conseguito, nello stesso ristretto tempo, ove fosse stato costretto a ricorrere agli usuali mezzi della pubblicità, se non dopo un consistente lasso di tempo[7].

Il nome a dominio, liberamente registrato, non rispetterebbe due dei principi fondamentali che interessano sia il marchio che gli altri segni distintivi: il principio di territorialità, dato che il nome a dominio registrato non avrebbe una valenza limitata ad un particolare territorio, ma risulterebbe estesa su tutto lo spazio della Rete di Internet; inoltre, verrebbe ignorato il principio di specialità o di relatività merceologica, secondo il quale è possibile la coesistenza di marchi simili o identici tra loro, purché appartenenti a soggetti diversi e facenti riferimento a prodotti diversi, onde evitare il pericolo di confusione tra i consumatori.

 

Il linking

Altro illecito connesso ai nomi a dominio e quello del linking che, invece, accade per il tramite di un link l’utente della rete venga rimandato dalla pagina del sito (sul quale aveva iniziato la consultazione) ad un sito diverso appartenente ad altro soggetto[8].

La dottrina[9], a tal proposito, ha operato un’ulteriore distinzione della pratica in oggetto: ha individuato la pratica del deep-linking[10], consistente nell’inserire un link nella pagina web su cui naviga l’utente, con l’effetto di rimandare quest’ultimo, in caso di click sul collegamento ipertestuale, direttamente su una terza pagina senza che vi sia la possibilità di individuare la home page appartenente al nome di dominio terzo. Viceversa, il “surface-linking”, consente di far visualizzare all’utente l’home page del nome di dominio terzo, potendosi rendere conto della sua identificazione, pur essendo rinviato ad un link esterno a quello in cui si ritrova ad operare.

Infine, la dottrina ha individuato la pratica del framing (letteralmente, dall’inglese, “nella cornice”) che consisterebbe nel creare una cornice (posizionata nella pagina internet per prima visitata dall’utente) all’interno della quale è visibile immediatamente un riquadro di altra pagina internet (con nome a dominio terzo) a cui il sistema predetto vorrebbe rimandare[11]. In tal senso, si avrebbe una piena confusione tra i segni distintivi riconducibili ad una data impresa e quelli che altro soggetto terzo utilizza in modo abusivo, anche perché la cornice in oggetto continuerebbe ad essere visualizzata dall’utente in ogni altra pagina del sito internet a cui si collega.

 

Il metatag

Una terza pratica di illecito connesso ai nomi a dominio attiene all’utilizzo dei metatag: Si tratta, nello specifico, secondo la definizione fornita dalla dottrina[12], di comandi alfanumerici, invisibili agli utenti ma decodificati dai motori di ricerca, con i quali vengono adoperate delle parole chiave in grado di posizionare il sito di interesse al vertice del motore di ricerca, al fine di rendere quel sito più visibile alla platea degli utenti di Internet.

L’uso dei metatag è generalmente ben tollerato dall’ordinamento giuridico[13], ad eccezione di quei casi in cui esso venga utilizzato con effetti distorsivi del gioco della concorrenza, in quanto volto a creare confusione tra gli utenti di Internet si verifica quando il metatag (di un marchio altrui contraffatto) collochi al vertice del motore di ricerca quel sito che rinvia al prodotto contraffatto, piuttosto che a quello originario. L’utente\consumatore è così indotto a credere di trovarsi sul sito riconducibile al prodotto originale, invece che sul sito del prodotto contraffatto.

La dottrina ha parlato, al riguardo, di “invisible trademark infringement[14].

Con riguardo alla tutela che in questo caso dovrebbe trovare applicazione contro gli illeciti posti in essere dall’uso confusorio dei metatags, la giurisprudenza è sembrata attestarsi sulla disciplina concorrenziale di cui all’art. 2598 c.c.[15], in quanto atto di concorrenza sleale più che di contraffazione del marchio.

 

Gli illeciti penali

Con riguardo ai possibili illeciti connessi ai nomi a dominio perseguibili nel campo penale, vi è subito da dire che forte è l’esigenza di assicurare una tutela dal punto di vista dell’immissione dei contenuti in Internet ad opera di terzi. Difatti, il tema della sicurezza informatica, in generale, consiste nell’assicurare che le risorse di un’organizzazione o di un utente siano usate unicamente nei casi e nei modi previsti dalle norme e dagli accordi intercorsi tra le parti.

Sulla tutela del nome di dominio è intervenuta una pronuncia del Tribunale di Torino[16] che ha affrontato il problema della tutela civilistica dei nomi a dominio, con un inevitabile riflesso anche nella disciplina penale.

Nel particolare, si trattava di un utilizzo illegittimo di un nome utilizzato per registrare un dominio da parte di un soggetto, che non aveva però alcun legame con il dominio stesso.

In sede cautelare ex art. 700 c.p.c., il Tribunale ha inibito l’uso di un dominio registrato ed ha imposto alla Registration Authority italiana di revocare l’assegnazione del suddetto dominio effettuata a favore del convenuto. La ricorrente – giovane e famosa attrice – si era, infatti, trovata nell’impossibilità di registrare un dominio corrispondente al proprio nome, poiché già registrato da una società che affermava di avere individuato tale nome a dominio unendo i nomi di tre personaggi di fantasia e che, a ben vedere, erano venuti a comporre le generalità della ricorrente.

La medesima società, tra l’altro, si era persino dichiarata disponibile a cedere il medesimo nome solo a fronte di una cospicua somma (da qui, il fenomeno individuato dai giudici di merito dell’illecito connesso ai nomi a dominio del domain grabbing). La malafede della parte convenuta è evidente e si evince dalla apparente violazione delle regole di «naming» sotto il profilo dell’assunzione di responsabilità circa la mancanza di interesse di terzi a registrare quel nome a dominio o di lesione di diritti dei terzi.

Per quanto riguarda questo indebito utilizzo di nome, il caso in oggetto merita una riflessione sulle ripercussioni in campo penale poiché un dominio aziendale può essere riconducibile ad un marchio registrato presso l’Ufficio marchi e brevetti rendendo di per sé applicabile la disciplina penale prevista dal codice agli artt. 473, 474 e 517 c.p.[17].

Tuttavia, ogni qual volta l’acquisizione, la registrazione ed il conseguente utilizzo di un nome altrui siano avvenuti al di fuori di qualsiasi forma di consenso del titolare, al solo fine di «appropriarsi» del valore di mercato di tale nome ed ottenerne eventualmente un corrispettivo per la cessione ricorre la fattispecie prevista dall’art. 494 c.p. (sostituzione di persona).

L’art. 494 c.p. sanziona, infatti, il comportamento di chi, al fine di procurare a sé o ad altri un vantaggio (o di recare ad altri un danno) inducendo in errore un terzo, sostituisce illegittimamente la propria all’altrui persona, attribuendo a sé un falso nome o un falso stato o una qualità a cui la legge attribuisce effetti giuridici. Si tratta di una situazione facilmente applicabile alle descritte ipotesi di «domain grabbing», anche perché la norma non considera solo la possibilità che l’uso indebito del nome altrui sia avvenuto per trarne un profitto, ma anche solo per arrecare ad altri un danno, come nel caso in cui si voglia impedire l’altrui registrazione.

Si sottolinea che il comportamento, per poter assumere rilievo penale, deve essere tale da «indurre» taluno in errore; ciò, indirettamente, presuppone una valutazione sulla idoneità della sostituzione a determinare tale effetto.

In questo senso nessun dubbio può sorgere nel caso in cui un soggetto fisico, presentandosi come tale, assuma e dichiari le generalità di altro soggetto fisico. In termini più problematici si pone l’applicabilità dell’indicazione di «persona» anche ad una «persona giuridica»; sul punto, in assenza di specifiche indicazioni della Cassazione, non si può escludere un’interpretazione «estensiva», non avendo il legislatore specificato espressamente la fattispecie in materia. Sulla base di tale presupposto potrebbe assumere autonoma valenza penale anche la registrazione di un dominio con l’indicazione di una società già «esistente» sul mercato: nel caso in cui la ragione sociale altrui risulti già registrata come marchio, devono ritenersi applicabili in via esclusiva gli artt. 473 e ss. c.p., atteso che l’art. 494 c.p., quale norma «sussidiaria», è applicabile solo «se il fatto non costituisce un altro delitto contro la fede pubblica».

Nel caso in cui, infine, sia una società ad «appropriarsi» di un nome di un privato, come nel caso sopra riportato, pare in astratto non ravvisabile quella «idoneità» astratta all’induzione in errore implicitamente richiesta dalla norma, ferma restando la possibilità di agire in sede civile sia per finalità cautelari che per fini risarcitori.

Informazioni

V. TREVISAN & G. CUONZO, Proprietà industriale, intellettuale e IT;

M. MEGALE, ICT e diritto nella società dell’informazione;

E. TOSI E., Le responsabilità civili dei prestatori di servizi della società dell’informazione;

C. VACCÀ, Nomi di dominio, marchi e copyright;

A. FITTANTE, La rilevanza del nome a dominio ed il conflitto con i marchi e gli altri segni distintivi;

Tribunale Parma, 26/02/2001;

Tribunale Roma, 11/02/2010;

A. COGO, Linking e framing al vaglio della Corte di giustizia dell’Unione Europea;

G. CASSANO, Meta-tag: il primo caso italiano;

E. TOSI, Contraffazione di marchio e concorrenza sleale in internet: dal classico domain grabbing all’innovativo key-word marketing confusorio;

Tribunale Torino, 21/12/2010;

C. PARODI, Responsabilità del provider;

[1] V. TREVISAN & G. CUONZO, Proprietà industriale, intellettuale e IT, Wolters Kluwer, 2017, p. 268.

[2] M. MEGALE, ICT e diritto nella società dell’informazione, Giappichelli, 2016, pp. 263-285; E. TOSI E., Le responsabilità civili dei prestatori di servizi della società dell’informazione, Resp. civ., 2008, pp. 3 ss.; C. VACCÀ, Nomi di dominio, marchi e copyright, Giuffré Editore, 2005, pp. 237-262.

[3] Per approfondimenti sul tema dei Nomi a dominio si veda anche: http://www.dirittoconsenso.it/2020/12/07/nomi-a-dominio-informatica-e-diritto/

[4] A. FITTANTE, La rilevanza del nome a dominio ed il conflitto con i marchi e gli altri segni distintivi, Dir. Industriale, 2018, 1, pp. 84 ss

[5] Cfr. Tribunale Parma, 26/02/2001.

[6] Cfr. Tribunale Roma, 11/02/2010.

[7] Ibidem.

[8] Cfr. A. COGO, Linking e framing al vaglio della Corte di giustizia dell’Unione Europea, Giur. It., 2014, pp. 10 ss.

[9] Cfr. A. COGO, op. cit., pp. 10 ss..

[10] Cfr. A. FITTANTE, op. cit., pp. 84 ss.

[11] Cfr. A. COGO, op. cit., pp. 10 ss.; A. FITTANTE, op. cit., pp. 84 ss. il quale in particolare, ritiene che non sussista una rilevante differenza concettuale tra la pratica del linking e quella del framing considerato che, viste nella loro sostanza, entrambe le pratiche rimandano ad un fenomeno di collegamento ipertestuale. Viceversa, la differenza sarebbe costituita soltanto dalla modalità con cui si accederebbe all’una o, piuttosto, all’altra pratica: difatti, il linking sarebbe costituito da un link in ipertesto; il framing, invece, corrisponderebbe ad una cornice all’interno della quale compare il link in ipertesto sotto la forma di colori, immagini, suoni o video, quest’ultimo, tuttavia, in grado di attirare di gran lunga l’utente rispetto al mero link statico.

[12] Cfr. G. CASSANO, Meta-tag: il primo caso italiano, Corriere Giur., 2001, 8, pp. 1087 ss.

[13] Ci si riferisce, in particolare, al caso degli Adwords di Google che consiste nel posizionamento di metatag nel motore di ricerca predetto, dietro apposito pagamento. Si tratta, in altre parole, di un link pubblicitario che finisce, in modo dichiarato, tra i link pubblicitari di Google. Essi risultano ampiamente consentiti dall’ordinamento italiano anche se, invero, non si può sottacere la circostanza che essi danno luogo ad un risultato analogo a quello della pratica scorretta di metatags, in quanto consistono nel porre al vertice della ricerca determinati nomi a dominio i quali, in assenza di tale collocamento, non avrebbero la medesima “forza” di ricerca.

[14] Cfr. A. FITTANTE, op. cit., pp. 84 ss.; E. TOSI, Contraffazione di marchio e concorrenza sleale in internet: dal classico domain grabbing all’innovativo key-word marketing confusorio, in Riv. Dir. Ind., 2009, 4-5, pp. 387 ss.

[15] Art. 2598 (Atti di concorrenza sleale) c.c.: “Ferme le disposizioni che concernono la tutela dei segni distintivi e dei diritti di brevetto, compie atti di concorrenza sleale chiunque:

1) usa nomi o segni distintivi idonei a produrre confusione con i nomi o con i segni distintivi legittimamente usati da altri, o imita servilmente i prodotti di un concorrente, o compie con qualsiasi altro mezzo atti idonei a creare confusione con i prodotti e con l’attività di un concorrente;

2) diffonde notizie e apprezzamenti sui prodotti e sull’attività di un concorrente, idonei a determinare il discredito o si appropria di pregi dei prodotti o dell’impresa di un concorrente;

3) si vale direttamente o indirettamente di ogni altro mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda”.

[16] Cfr. Tribunale Torino, 21/12/2010.

[17] Cfr. C. PARODI, Responsabilità del provider, op cit., pp. 1549 ss.


Nomi a dominio

I nomi a dominio: tra informatica e diritto

Analisi degli aspetti informatici e giuridici legati ai nomi a dominio nel nostro ordinamento

 

Cosa sono i nomi a dominio?

I nomi a dominio sono oramai entrati a far parte dell’utilizzo quotidiano ogniqualvolta si naviga su Internet.

Si definisce “nome a dominio”, secondo una nozione eminentemente pragmatica, quello strumento tecnico-informatico che assume la forma di un indirizzo telematico, associato a ciascuna delle singole risorse presenti nella Rete di Internet[1].

Si è venuto a costituire, a partire dagli anni ‘90, un nuovo mercato della domanda e dell’offerta di natura digitale, in un contesto nel quale, però, i tradizionali segni distintivi (il marchio, la ditta e l’insegna) trovavano compiuta regolamentazione a differenza dei nomi a dominio.

Equivale ad una mera denominazione, al pari di ogni altro nomen già presente nell’ordinamento giuridico, che consente al suo utilizzatore di essere individuato, nella Rete di Internet in cui opera, in modo inequivocabile ed unico rispetto ad ogni altro soggetto ivi presente[2].

Il sistema informatico elaborato per consentire l’attribuzione di un unico e solo indirizzo telematico al suo utilizzatore è stato il c.d. Domain Name System (DNS).

Una definizione in senso giuridico di “domain name” è anche offerta dalla giurisprudenza, la quale afferma: “per domain name, versione alfanumerica dell’indirizzo Ip, deve intendersi “il segno che consente l’identificazione e l’accesso ad un determinato computer dalla rete Internet e quindi il collegamento con un certo utente da parte della generalità di tutti gli altri computer ed utenti connessi in rete (Tribunale Mantova Ord., 05/06/2004)”.

 

Gli aspetti informatici

Il tema dei “nomi a dominio”, pertanto, non può prescindere da una prima fondamentale descrizione dell’ambiente tecnologico in cui essi sono sorti e continuano ad operare.

Come noto, essi operano nel sistema della Rete di Internet, lo spazio telematico in cui si ha la trasmissione di segnali continui al fine di connettere i diversi punti presenti in Rete. A tal proposito, le Reti, a seconda della loro estensione, possono distinguersi in locali (le reti LAN – Local Area Network) che consentono la trasmissione di dati all’interno di un’area circoscritta, come le aziende; in geografiche, tra cui è possibile distinguere la MAN (Metropolitan Area Network, con un’estensione nel raggio di 50 km), la Wan (World Area Network), con estensione ad un’intera Nazione, e, infine, la GAN (Global Area Network) che è la vera e propria rete di Internet di cui tutti ci avvaliamo e che opera in un contesto globale[3].

In origine, il sistema di identificazione dei soggetti host sulla Rete era costituito dal c.d. Internet Protocol (o indirizzo IP)[4], ancora oggi ampiamente utilizzato. Difatti, quest’ultimo consiste in un indirizzo composto esclusivamente da numeri combinati tra loro, i quali permettono di identificare tanto l’indirizzo di Rete percorso, quanto l’indirizzo del singolo host posizionato all’interno di quella rete[5].

L’indirizzo costituente il nome a dominio deve essere inserito all’interno di una stringa informatica, denominata URL[6]. Tale indirizzo, pertanto, partendo da destra verso sinistra, è composto, innanzitutto, da un nome a dominio di primo livello o TLD (Top Level Domain), o altresì conosciuto come “suffisso”; esso è, poi, seguito da un nome a dominio di secondo livello o SLD (Second Level Domain), e così via, a seconda della specificazione che si vuole ottenere[7].

La peculiarità sta nel fatto che i domini di primo livello sono generalmente riconducibili ad entità di tipo territoriale (ccTDL) o connessi proprio al tipo di attività (gTDL) che svolge l’utilizzatore del nome a dominio; invece, i domini di secondo livello costituiscono la parte identificativa e maggiormente distintiva[8] del nome di dominio. Infine, i “sottodomini” di livello successivi, gerarchicamente subordinati ai domini di primo e di secondo livello, sono quelli che consentono di scendere nel dettaglio degli indirizzi telematici, con un grado di specificazione che è collegato alla quantità di domini in uso presso il suo utilizzatore.

 

Tipologia di nomi a dominio

I generic Top Level Domain furono creati da IANA (Internet Assigned Numbers Authority) la quale, incaricata dal Governo degli Stati Uniti, quando ancora Internet veniva gestito da ARPANet (Advanced Research Project Agency) con finalità di comunicazione tra le basi militari americane tra gli anni 60’ e gli anni 70’ del secolo scorso, ne individuò 7: 1) “.com”; 2) “.gov”; 3) “.int”; 4) “.mil”; 5) “.net”; 6) “.org”; 7) “.edu”, i quali, in particolare, i nn. 1), 5) e 6) erano rivolti a persone fisiche e giuridiche; il n. 2) era riservato esclusivamente al governo degli Stati Uniti; il n. 3) era riservato alle organizzazioni istituite tramite trattati internazionali; il n. 4) era riversato esclusivamente alle istituzioni militari statunitensi; il n. 7) era riservato alle istituzioni accademiche statunitensi.

Successivamente, la IANA affidò ad altre tre agenzie il compito di creare e di attribuire nuovi nomi a dominio (c.d. attività di naming). Da una tale iniziativa nasce la ARIN (American Registry for Internet Numbers) con competenza territoriale su tutte le Americhe; la RIPE – NCC (Reseaux IP Européèns) con competenza territoriale sull’Europa, Medio Oriente, nonché alcuni Paesi dell’Africa e dell’Asia ed, infine, l’APNIC (Asian Pacific Network Information Center) per l’Estremo Oriente.

Dal novembre 2000 l’organizzazione di riferimento per l’assegnazione dei nomi a dominio è, invece, l’ICANN (Internet Corporation for Assigned Names and Numbers) la quale opera come ente-non profit nella gestione degli indirizzi IP e nell’assegnazione dei nomi a dominio ed ha, tra gli altri, il compito di vigilare sulle regole di concorrenza dei nomi a dominio dettate dal governo statunitense.

 

La disciplina giuridica precedente al d. lgs. 10/02/2005, n. 30

Dal punto di vista giuridico, invece, il problema centrale deriva dal fatto che i nomi a dominio non sono stati, in origine, sottoposti a nessuna disciplina in particolare e ciò a causa del fatto che il legislatore non ha mai creato una disciplina specifica.

La necessità di riconoscere al nome di dominio una disciplina apposita e specifica non è dettata da un mero intento filo-tecnologico di adeguare il nostro Paese ai continui cambiamenti che il settore dell’Informatica ci riserva; quanto, in realtà, di stimolare il legislatore a prendere coscienza che i nuovi strumenti, oramai entrati a far parte dell’uso quotidiano di ciascun utente, non possono essere lasciate al caso o, addirittura, alla “auto-regolamentazione” da parte degli stessi utenti.

A tal proposito, è necessario fin da subito osservare che, in una primissima fase iniziale, ben antecedente all’introduzione del Codice, gli unici strumenti in mano agli interpreti fossero le procedure di naming e la disciplina dei segni distintivi: duplice nucleo di fonti[9], ove, però, la prima aveva natura regolamentare e, comunque, limitata a considerare i domain names esclusivamente sotto il profilo tecnico ed, in ogni caso, avente origine pattizia con valenza per le sole parti aderenti all’Authority di Registrazione[10]; la seconda, invece, era la disciplina a carattere normativo, offerta dalla legge marchi citata e che, invero, poteva riuscire ad assumere valenza per il domain name, grazie ad una speciale forza attrattiva di natura analogica, soltanto se e quando il dominio in questione avesse raggiunto una sufficiente capacità distintiva[11].

 

L’impatto del Codice della Proprietà Industriale sui nomi a dominio: dottrina e giurisprudenza a confronto

Con il Codice della Proprietà Industriale (c.p.i.)[12], introdotto alla luce del d. lgs. 10/02/2005, n. 30, finalmente, il legislatore è intervenuto per dare una risposta alle incessanti pressioni della dottrina e della giurisprudenza. Con l’introduzione della normativa in esso contenuta, tutte le opinioni contrastanti che si sono registrate sia tra gli studiosi, sia tra i giudici di merito possono dirsi definitivamente superate. Sicché, l’unica disciplina effettivamente applicabile a partire dall’entrata in vigore del c.p.i. è soltanto quella ivi contenuta.

Con il c.p.i. il legislatore ha fatto propria l’opinione per lungo tempo sostenuta in dottrina ed in giurisprudenza e l’ha direttamente posta alla base del codice, sancendo, la totale equiparazione dei nomi a dominio alla categoria dei segni distintivi.

Il Codice, pertanto, presenta una parte a contenuto sostanziale ed un’altra a contenuto procedurale.

Nella parte sostanziale, rileva, in primo luogo, l’art. 12 c.p.i., rubricato come “novità”, ove già al primo comma, lett. b) – ed in ciò si può notare la sostanziale innovazione operata dal legislatore – è affermato che non è ammessa la registrazione di un marchio che sia identico o simile “a un segno già noto come ditta, denominazione o ragione sociale, insegna” e, perfino, che sia simile o identico ad un nome a dominio, quando concreto sia il pericolo di confusione tra i due segni.

Un altro riferimento al nome a dominio, nella parte sostanziale del codice, si riscontra all’art. 22 c.p.i ove è affermato – per completare il discorso già iniziato al precedente art. 12 c.p.i. – che, in ossequio al principio di unitarietà dei segni distintivi, “è vietato adottare come ditta, denominazione o ragione sociale, insegna e nome a dominio di un sito (…) un segno uguale o simile all’altrui marchio se, a causa dell’identità o dell’affinità tra l’attività di impresa dei titolari di quei segni ed i prodotti o servizi per i quali il marchio è adottato, possa determinarsi un rischio di confusione per il pubblico che può consistere anche in un rischio di associazione fra i due segni”.

Sicché, emerge che il livello minimo di confusione affinché esso rilevi come illecito civile, secondo la norma, è anche il rischio di associazione tra i due segni.

Tuttavia, già la dottrina precedente al Codice della Proprietà Industriale, individuava nel nome a dominio “il «luogo virtuale» di contatto tra l’imprenditore ed il suo potenziale cliente, da intendersi come lo strumento idoneo a costituire un collegamento diretto tra i due soggetti indicati[13]. Non a caso, in dottrina si è parlato di “segno distintivo virtuale[14], proprio per indicare che il nome a dominio sarebbe dotato di quella medesima capacità distintiva che lo accomunerebbe agli altri segni distintivi tipici, ma che è, al contempo “virtuale”, nel senso di operare in un ambiente completamente dematerializzato, quale è Internet.

Altra dottrina ha posto l’accento sul fatto che la natura giuridica del nome a dominio non potrebbe essere ricondotta tout court a quella dei segni distintivi vista la forte differenza funzionale ed ontologica che vi sarebbe tra i vari strumenti di comunicazione[15].

Nondimeno, non renderebbe pienamente assimilabili le due categorie, al di là dell’oggettiva diversa provenienza, altresì, il luogo in cui essi vengono ad operare. Invero, se da un lato entrambi si caratterizzano per il fatto di rientrare nella natura di beni – sia pure con le opportune limitazioni rispetto alla nozione giuridica di cui all’art. 810 c.c. – essi sono destinati ad operare in due ambienti completamente diversi: i segni distintivi tipici, in un luogo inevitabilmente chiuso, qual è quello dato dal territorio nazionale; i nomi a dominio, invece, posta la loro appartenenza al mondo del “cyberspazio”, si trovano a sfuggire da ogni confine e tentativo dei legislatori di “reclusione” all’interno di una disciplina specifica.

Invero, questi problemi vengono ritenuti superabili dalla dottrina maggioritaria in quanto, in primis, ritengono che sia innegabile riconoscere anche ai nomi di dominio una precipua funzione distintiva: si pensi alla possibilità che essi hanno di ricondurre gli utenti dalle pagine internet ai beni o servizi prodotti dalle imprese, nonché alla funzione pubblicitaria che essi rivestono, propriamente intesa come capacità di attrarre i potenziali clienti all’acquisto dei medesimi. Pertanto, ben evidente sarebbe l’attitudine dei nomi di dominio di comunicare verso gli utenti la provenienza merceologica e produttiva del bene o del servizio così identificato.

E ciò appare pienamente coerente se si considera che anche la ditta o l’insegna sono stati protetti proprio sulla base del principio di unitarietà dei segni distintivi e, cioè, in quanto essi, unitamente al marchio registrato.

Analogamente, anche il domain name, che dovrebbe rispondere al medesimo principio, posto che è stato ricondotto sotto l’alveo dei segni distintivi per effetto di un’estensione interpretativa secondo le opinioni dominanti, sarebbe stato oggetto di tutela non in sé e per sé, ma in quanto avesse trovato corrispondente tutela nel marchio registrato.

Orbene, alla luce dell’introduzione del Codice del 2005 e, specialmente, con l’art. 22 che ha accolto tutte le varie considerazioni fornite dalla dottrina e dalla giurisprudenza, ogni dubbio interpretativo risulta quanto mai superato. Difatti, grazie a questa e alle altre norme, che espressamente disciplinano il tema dei nomi a dominio nel Codice della Proprietà Industriale, è finalmente possibile affermare che anche il nome di dominio deve essere considerato alla stregua di un autonomo segno distintivo, sia pure atipico[16].

Informazioni

PICA, Commercio telematico, voce del Digesto – sez. civile, 2003;

TOSI, Tutela dei nomi di dominio e segni distintivi, voce del Digesto – sez. commerciale, 2003;

VACCÀ, Nomi di dominio, marchi e copyright, Giuffré Editore, 2005;

MEGALE, ICT e diritto nella società dell’informazione, Giappichelli, 2016;

BERTACCHI, Il nome a dominio e la tutela del marchio, Impresa, 2001;

PICA, Internet, Digesto – Penale, 2004;

AIMO, Internet, domain names e diritti di proprietà intellettuale sui segni distintivi: le prime decisioni;

PALAZZOLO, Alcuni spunti in tema di regolamentazione dei nomi di dominio: la pignorabilità, il potere di disposizione del titolare registrante e la disciplina pubblicistica;

TREVISAN & CUONZO, Proprietà industriale, intellettuale e IT, Wolters Kluwer, 2017;

Tribunale Bologna Sez. feriale Ord., 28/09/2009;

Tribunale Mantova Ord., 05/06/2004.

[1] Si vedano, tra gli altri, i seguenti Autori: G. PICA, Commercio telematico, voce del Digesto – sez. civile, 2003; E. TOSI, Tutela dei nomi di dominio e segni distintivi, voce del Digesto – sez. commerciale, 2003.

[2] C. VACCÀ, Nomi di dominio, marchi e copyright, Giuffré Editore, 2005.

[3] Cfr. M. MEGALE, ICT e diritto nella società dell’informazione, Giappichelli, 2016.

[4] Esso risulta rappresentato da un insieme di numeri di 32 bit con il valore decimale dei quattro bytes che lo compongono (per esempio 100.115.180.145).

[5] Una spiegazione più analitica di come funziona l’architettura di Internet appare essenziale ai fini di una maggiore intelligibilità degli argomenti sopra esposti. Per host deve intendersi un computer collegato ad una Rete e destinato a comunicare con i c.d. router (letteralmente, instradatori) che sono costituiti da altrettanti computer, i quali assolvono alla funzione di connettere tra loro reti diverse, G. PICA, Internet, Digesto – Penale, 2004.

[6] Acronimo di “Uniform Resource Locator” che sta ad indicare, appunto, il “luogo” digitale ove deve essere inserito l’indirizzo telematico.

[7] Cfr. A. BERTACCHI, Il nome a dominio e la tutela del marchio, Impresa, 2001; M. MEGALE, op. cit; E. TOSI, op. cit.

[8] Anche la giurisprudenza si espressa in tal senso: si veda Tribunale Bologna Sez. feriale Ord., 28/09/2009 ove si è affermato che “in tema di marchi e rapporti con i nomi a dominio, la funzione distintiva viene esclusivamente svolta dal Second Level domain (SLD), costituito da una sequenza di lettere, eventualmente parole, senza che possa utilizzarsi lo spazio per separare le medesime, con la conseguenza che frequentemente più parole vengono a susseguirsi senza interruzione. Deve essere quindi esclusa l’attitudine distintiva del termine generico “lavoro” laddove invece l’inserimento del nome dell’impresa è idoneo a svolgere tale scopo”.

[9] È stato affermato in dottrina che “la doppia natura – tecnica e giuridica – dei nomi di dominio si manifesta anche nel doppio quadro regolatorio di riferimento: da un lato la normativa statuale in materia di marchi e dall’altro la disciplina regolamentare dell’indirizzo telematico considerato esclusivamente sotto il profilo tecnico”, in E. TOSI, Tutela dei nomi di dominio e segni distintivi; Cfr. anche A. PALAZZOLO, Alcuni spunti in tema di regolamentazione dei nomi di dominio: la pignorabilità, il potere di disposizione del titolare registrante e la disciplina pubblicistica.

[10] Cfr. E. TOSI, Tutela dei nomi di dominio e segni distintivi. Altra dottrina fa, tuttavia, notare che, per quanto le regole di naming fossero prive di riconoscimento legislativo e di quell’autorevolezza che soltanto norme equiparate alla legge possono mostrare, nondimeno, queste regole assumono comunque un “potere legale vincolante”, posto che rappresentano l’unica procedura da seguire per chiunque intenda ottenere la registrazione di un nome a dominio. Giova rilevare, inoltre, che secondo una certa dottrina sarebbe possibile parlare, addirittura, della disciplina dei nomi a dominio come di un “ordinamento a sé stante” vista la particolare importanza che rivestono le regole tecniche per la procedura di registrazione dei nomi a dominio e di tutte le conseguenze, anche giuridiche, che da tali regole discendono.

[11] Cfr. E. TOSI, Tutela dei nomi di dominio e segni distintivi.

[12] Per approfondimenti si veda http://www.dirittoconsenso.it/2019/09/12/proprieta-intellettuale-diritti/;

[13] V. P. SAMMARCO, op. cit.

[14] V. E. TOSI, op. cit.

[15] Cfr. S. AIMO, Internet, domain names e diritti di proprietà intellettuale sui segni distintivi: le prime decisioni.

[16] TREVISAN & CUONZO, Proprietà industriale, intellettuale e IT, Wolters Kluwer, 2017.


Term sheet

Il term sheet come strumento di negoziazione

In che modo il term sheet può configurarsi come facilitatore di negoziato? Quali sono gli aspetti che Startup Founders e Venture Capitalist devono tenere maggiormente in considerazione?

 

Introduzione al term sheet

Il term sheet, lettera d’intenti, nonché memorandum of understandings, sono espressioni utilizzate nella prassi per identificare la stessa tipologia di documento, ovvero un accordo fra fondatori della start up ed investitori, prodromico all’auspicato contratto di investimento, non finalizzato a vincolare le parti alla realizzazione dell’operazione di investimento, che è di estrema rilevanza ed utilità per le parti se predisposto secondo principi precisi ed in maniera aderente alla natura ed allo stadio della start up[1].

Il term sheet può essere considerato come punto di arrivo per le negoziazioni condotte fino a quel momento dai soci fondatori della startup insieme ai potenziali investitori e, allo stesso tempo, punto di partenza per le negoziazioni future che dovrebbero condurre alla finalizzazione dell’accordo di investimento. A tali accordi si ricorre nell’ambito di trattative molto complesse, finalizzate alla negoziazione di una pluralità di contratti ed hanno la funzione di riepilogare i contenuti essenziali e necessari dei singoli contratti ancora da perfezionare.

Il term sheet contiene generalmente una serie di eventi condizionanti il cui avveramento è necessario per poter dar corso all’investimento.

 

Termini economici (economic terms)

Due sono le cose di cui i venture capitalist realmente si preoccupano quando investono: termini economici e clausole di controllo.

Con l’espressione “termini economici” si fa riferimento al ritorno sugli investimenti per gli investitori in caso di un evento di liquidità, quale la vendita della società o la quotazione in borsa, e alle condizioni che regolano questo ritorno sull’investimento.

 

Il primo termine economico, e quello su cui gli imprenditori si concentrano maggiormente, è il prezzo dell’operazione/valutazione. La valutazione può essere effettuata in due diversi modi: pre-investimento (pre-money) e post-investimento (post-money):

  • La valutazione pre-money viene spesso utilizzata, soprattutto nei settori del private equity e del venture capital, per indicare la base di partenza per la determinazione del prezzo di sottoscrizione della partecipazione da parte del venture capitalist.
  • La valutazione post-money è la valutazione della società successiva al compimento dell’investimento che può essere calcolata o sommando l’ammontare dei nuovi capitali immessi nella startup, alla valutazione pre-money della stessa; oppure dividendo l’importo del nuovo investimento per il numero di azioni ricevute per quell’investimento e moltiplicando poi, la valutazione per azione, per il numero totale di azioni emesse dopo l’investimento.

 

Questa “riserva”, denominata option pool, generalmente varia dal 10% al 20% delle azioni riservate ma non ancora emesse, ma se gli investitori ritengono che debba essere più consistente insisteranno affinché l’incremento avvenga prima del finanziamento.

Esistono diversi approcci alla negoziazione:

  • si può negoziare la dimensione del pool, cercando ad es. di ottenere dai venture capitalist una riduzione dal 20% al 15%;
  • si può negoziare la valutazione pre-money accettando ad es. pool del 20% a fronte di una valutazione pre-money più alta; oppure
  • richiedere un aumento del pool post-money mantenendo invariata la valutazione pre-money a fronte di una valutazione più elevata in seguito all’investimento.

 

I metodi più comuni per stimare il valore di una startup sono:

  1. Metodo discounted cash flow (DCF) costituito da varie fasi procedurali basate sulla preventiva determinazione di elementi come il cash flow derivante dagli assets esistenti, il tasso di attualizzazione dipendente dalla rischiosità del business e la crescita prevista derivante dai nuovi investimenti.
  2. Metodo comparativo Scorecard basato sul confronto delle valutazioni pre-money di altri progetti di startup dello stesso settore, ma ormai attivi da qualche tempo. Tale metodo prende in considerazione variabili specifiche come ad es. le caratteristiche del managment, del prodotto o della tecnologia utilizzata.
  3. Metodo Venture Capital basato sul terminal talue/valutazione post-money (ROI) e sul terminal value ottenuto ricorrendo al “metodo dei multipli”, un sistema comparativo basato sul fatturato e sugli utili di società simili in assenza di variazioni di mercato.

 

Il secondo termine economico è rappresentato dalla liquidazione privilegiata (liquidation preference), di rilevante importanza in virtù della sua attitudine a determinare il modus operandi delle distribuzioni in seguito ad un evento di liquidità, come ad es. la vendita della società o della maggioranza della stessa.

Le componenti che costituiscono la liquidation preference sono due: la prelazione effettiva e la partecipazione.

Esistono tre gradi di partecipazione: la piena partecipazione (full partecipation), la partecipazione limitata (capped partecipation) e la non partecipazione (non partecipation):

  • La piena partecipazione significa che gli azionisti riceveranno una quota dei proventi della liquidazione su base as-converted, ossia come se l’ammontare ottenuto in seguito ad un evento di liquidità fosse convertito in azioni ordinarie sulla base del rapporto di conversione stabilito.
  • L’uso dell’espressione “partecipazione limitatasta ad indicare, invece, che gli azionisti ricevono parte dei proventi della liquidazione su base as-converted fino al raggiungimento di un certo tetto massimo.
  • La “non partecipazione” significa che gli azionisti non detengono i diritti partecipativi; in questo caso l’investitore ottiene la liquidation preference oppure la liquidità viene convertita in azioni ordinarie e l’investitore riceve l’ammontare che gli spetta.

 

Così, a metà degli anni Novanta, le società generalmente negoziavano le cd. clausole di kick-out attraverso le quali i diritti di partecipazione venivano gradualmente eliminati man mano che la società portava un ritorno al venture capitalist.

 

Il terzo termine economico è rappresentato dalle clausole pay-to-play, di rilevante importanza soprattutto nei round di piccola entità ed utile per l’imprenditore in quei momenti di difficoltà in cui la società ha bisogno di un nuovo finanziamento.

In presenza di tali clausole, gli investitori dovranno continuare a partecipare in maniera proporzionale a finanziamenti futuri (dovranno quindi continuare a pagare – pay) affinché le loro azioni privilegiate non vengano convertite in azioni ordinarie e mantenere così un ruolo attivo (play) nella società.

La presenza di una clausola play-to-play consente di concordare in anticipo l’impegno degli investitori rispetto a finanziamenti futuri, avendo, quindi, conseguenze rilevanti in termini economici in quanto costituiscono un limite ai diritti di prelazione per gli investitori senza partecipazione.

Quando le imprese vanno bene, gli investitori tendono a rinunciare alla clausola pay-to-play in presenza di un nuovo investitore che intende acquisire gran parte delle azioni connesse con il nuovo round.

 

Termini di controllo

Con “termini di controllo”, ci si riferisce invece ai meccanismi che regolano i diritti al voto e che consentono agli investitori di esercitare il controllo sulle attività o porre il veto ad alcune decisioni.

Non è infrequente che l’investimento del venture capitalist sia diviso in tranches, concretamente erogate al raggiungimento da parte della società di predeterminati obiettivi (milestones) di carattere tecnico e/o commerciale.

Così, il mancato raggiungimento del milestone libererà il venture capitalist dall’obbligo di erogare la tranche ancorata allo specifico obiettivo; ciò senza precludere la possibilità per lo stesso investitore di investire in futuro nella società, infatti quest’ultimo potrà continuare l’investimento ma a termini e condizioni diverse da quelle precedentemente negoziate.

Di seguito verranno analizzati i principali termini di controllo presenti nei term sheet.

 

Il principale meccanismo di controllo riguarda le procedure per l’elezione dei membri del Consiglio di Amministrazione.

Al venture capitalist viene, infatti, spesso riconosciuto il diritto di nomina di un determinato numero di componenti del Consiglio di Amministrazione della società e, se previsto, del Collegio Sindacale, i quali non ricevono, almeno nella maggioranza dei casi, deleghe operative ma il cui consenso è necessario affinché gli amministratori delegati possano porre in essere determinate operazioni.

Le motivazioni che spingono i venture capitalist a richiedere il diritto di nomina sono svariate e legate, in primis, alla possibilità di concorrere con i founders alla definizione delle linee strategiche del business, costituendo un rapporto fiduciario utile alla creazione di valore e, solo secondariamente, alla necessità di avere strumenti di monitoraggio interno.

Generalmente, al venture capitalist interessa avere un diritto di veto su tutte le operazioni che hanno carattere straordinario come ad es.: l’attribuzione di deleghe operative; la predisposizione del bilancio di esercizio, del business plan o del budget; le operazioni aventi ad oggetto la proprietà intellettuale della società; le operazioni con parti correlate.

 

Altro importante termine di contro che spesso viene inserito nei term sheet sono le clausole di tutela, consistenti, nel pratico, del diritto di veto che gli investitori possono esercitare rispetto a determinate azioni da parte della società.

Le disposizioni di tutela sono spesso duramente negoziate anche se nel tempo sono diventate sempre più standardizzate: da un lato gli imprenditori le vorrebbero ridotte al minimo; dall’altro i venture capitalist vorrebbero garantirsi un certo grado di controllo potendo esercitare il diritto di veto su una serie di azioni che la società potrebbe compiere soprattutto quando impattano sula posizione economica dei venture capitalist.

Senza l’accordo del venture capitalist non è possibile:

  • autorizzare l’emissione di nuove azioni/opzioni;
  • emettere stock option che prevedano privilegi superiori o uguali a quelli del venture capitalist;
  • vendere la società;
  • modificare l’atto costitutivo o lo statuto;
  • modificare la dimensione del Consiglio di Amministrazione.

 

Altro strumento di controllo è rappresentato dall’accordo drag-along che fornisce ad un sottoinsieme di investitori la possibilità di forzare, o appunto “trascinare” (drag along), tutti gli investitori e i fondatori in una vendita della società, a prescindere dalla loro opinione rispetto all’operazione.

Vi sono diversi meccanismi per affrontare i casi in cui il valore di vendita è inferiore alle liquidation preference, ivi inclusa la possibilità di prevedere alcune eccezioni; infatti, in tali situazioni è probabile che alcuni o tutti i venture capitalist perdano soldi nell’operazione.

In tale contesto i venture capitalist preferirebbero avere un controllo tale da poter obbligare gli altri azionisti a sostenere l’operazione; tuttavia, i principali titolari di azioni ordinarie hanno iniziato a rifiutarsi di votare a favore, a meno che i titolari di azioni privilegiate non rinunciassero in parte al loro diritto di prelazione in favore dei titolari di azioni ordinarie.

Quando si negozia una clausola di drag-along in una proposta di finanziamento da parte di un venture capitalist, la posizione di compromesso più comune è cercare di ottenere che i diritti di drag-along riguardino la maggioranza delle azioni ordinarie, non delle privilegiate.

 

Rivestono sicuramente un ruolo di primaria importanza i termini relativi ai diritti di informativa.

Il monitoraggio dell’investimento del venture capitalist presuppone che la società investita fornisca informazioni concernenti la situazione finanziaria e l’andamento del business.

Tipicamente si richiedono reports mensili di carattere essenzialmente qualitativo e reports trimestrali analitici e quantitativi, contenenti gli aggiornamenti sulle voci di conto economico e sulla posizione finanziaria della società, poi, ulteriori informazioni utili potranno emergere in occasione delle riunioni assembleari e del Consiglio di Amministrazione, nonché durante le riunioni periodiche tra il venture capitalist ed il management della società.

Sebbene possa non emergere dal term sheet è usuale che il venture capitalist proponga working meeting, ossia incontri periodici di aggiornamento finalizzati al confronto sulle eventuali problematicità della gestione aziendale e del business in generale.

 

Le informazioni riservate, oggetto di conoscenza e scambio tra il venture capitalist, la società e i founders, sono soggette ad obblighi di non divulgazione (clausole di riservatezza). Tale accordo è di norma sottoscritto prima dell’inizio della fase di valutazione relativa alla fattibilità dell’investimento da parte del venture capitalist.

Queste clausole vanno a beneficio sia della società che degli investitori e sono semplicemente un meccanismo che questi ultimi utilizzano per far sì che la società abbia legalmente il vincolo di occuparsi della tutela della proprietà intellettuale. Sarebbe, pertanto, consigliabile sottoscrivere questi accordi con i collaboratori all’atto dell’assunzione in modo che non nascano questioni in seguito, considerando che i venture capitalist insisteranno sempre su questo accordo.

In conclusione, il term sheet rappresenta un facilitatore del negoziato, ma solo ove predisposto in maniera corretta, diversamente rischia di diventare un’arma a doppio taglio per la start up ed i suoi fondatori.

Informazioni

M. Caruso, L’impresa innovativa. Startup e Venture Capital tra Diritto e Finanza.

E. Ries, The lean Startup.

A. Gervasoni, F. L. Sattin, Private Equity e Venture Capital.

S. Blank, B. Dorf, The Startup owner’s manual.

[1] Per ulteriori contenuti in merito alle PMI si guardi: http://www.dirittoconsenso.it/2018/06/15/la-riforma-delle-s-r-l-pmi/


Corporate Governance

L'impatto dell'IA sulla Corporate Governance

In che modo l’IA sta cambiando il mondo della Corporate Governance? Quali sono gli strumenti e le best pratices da seguire?

 

Inquadrare la Corporate Governance

La Corporate Governance, intesa come cornice istituzionale che regolamenta il processo di formulazione ed implementazione delle decisioni dell’impresa, è in continuo divenire ed oggetto di una continua evoluzione a livello europeo ed internazionale. Uno degli interrogativi più frequenti in quest’ultimo periodo riguarda l’impatto che le nuove tecnologie, e per esse l’Artificial Intelligence[1], hanno sugli assetti societari ed in particolare sulla Corporate Governance.

Tale dibattito, come alcuni studiosi evidenziano, è destinato a rinnovarsi continuamente poiché da un lato, è oggetto di un’evoluzione normativa che condiziona l’attività degli attori della corporate governance, e, dall’altro lato, gli attori stessi modificano il loro comportamento, nell’ottica di una creazione di valore sostenibile.

Molti dei più importanti operatori economici presenti sul mercato, infatti, proprio a partire da questo punto di osservazione, fatto di consapevolezza sull’innovazione e sul cambiamento, per restare competitivi, stanno rivedendo il business model e l’organizzazione interna in una chiave nuova, stanno ridefinendo la propria vision e con essa i propri obiettivi strategici, di rafforzare la cultura e l’engagement su tali tematiche, di ricercare un equilibrio tra recruiting e re-training.

 

Tecnologie “intelligenti” a disposizione delle società

L’Intelligenza Artificiale viene utilizzata all’interno delle compagini societarie per ricevere e analizzare informazioni dall’ambiente circostante e intraprendere azioni che influiscono su quell’ambiente nonché per svolgere compiti complessi come percezione visiva, riconoscimento vocale, processo decisionale o traduzioni tra lingue.

Tra le tecnologie più utilizzate rilevano:

  • le Behavioural Biometrics,
  • il Robot Process Automation,
  • l’Intelligence Process Automation e
  • gli Intelligence Business Process Management Suites.

 

Le Behavioural Biometrics analizzano i parametri comportamentali, riconoscendo ad esempio gli utenti autorizzati all’utilizzo o all’accesso ad un sistema tramite calcoli matematici e statistici.

I sistemi di identificazione biometrica, nel corso di una prima fase di “apprendimento”, raccolgono infatti i dati relativi al comportamento, sia fisico che cognitivo, degli utenti e li memorizzano sotto forma di parametri; poi, le informazioni così recuperate dal sistema vengono riunite per settare il range entro cui le azioni svolte sono considerate “nella norma”. Nel caso di anomalie e di comportamenti “inaspettati”, come nel frequentissimo caso della presenza di un malware, il sistema rileva che l’atteggiamento anomalo è indice di un uso fraudolento del dispositivo.

Il Robot Process Automation è una tecnologia di automatizzazione dei processi aziendale e può essere definito come un software che replica le azioni svolte da un operatore umano. Può essere implementata velocemente ed efficientemente senza alterare l’infrastruttura e i sistemi già esistenti ed è focalizzato nello svolgere attività manuali ripetitive e time consuming. Inoltre, può ridurre gli errori di processo, e conseguentemente, i costi che ne derivano per la risoluzione.

L’Intelligence Process Automation è rappresentata da soluzioni avanzate derivanti dalla combinazione di più soluzioni tecnologiche (es. RPA, Smart Information Capturing, AI), che permettono di automatizzare attività svolte dagli esseri umani.

Infine, gli Intelligence Business Process Management Suites sono software che hanno la capacità di velocizzare e semplificare la gestione ed il miglioramento dei processi aziendali monitorandone l’esecuzione.

Tali operazioni sono talora svolte da software differenti che comunicano tra loro, da programmi che misurano i dati e altri che contengono la descrizione dei processi “aggiornabile” con i dati dell’operatività. Tali software consentono di modellare i processi definendo i relativi attori, attività e applicazioni coinvolte. Inoltre, tali sistemi possono integrare un approccio di Social Business per garantire la valorizzazione delle qualità delle persone in maniera più libera e liberando la creatività molto spesso limitata da una organizzazione funzionale.

 

Prassi economico-societaria e IA

In tale periodo si sta assistendo al passaggio dalla platform governance alla community-driven governance. In particolare, i maggiori ed i più efficienti operatori economici presenti sul mercato stanno utilizzando tali tecnologie non soltanto per facilitare gli scambi economici, ma anche e soprattutto per consentire ad un numero sempre più elevato di stakeholders di partecipare ed avere un ruolo fondamentale negli asset societari.

Tale pratica avviene attraverso lo strumento del feedback che identifica un vero e proprio processo dove il risultato dell’azione di un sistema ha ripercussioni sul sistema stesso, in questo caso il generale andamento del mercato, influenzando così il comportamento futuro dell’operatore, nello specifico.

Mutano le esigenze del Top management e gli strumenti a disposizione per poter rispondere in modo tempestivo alle sfide strategiche già presenti oggi e a quelle che si intravedono nel domani, ma al contempo cambiano rapidamente anche i rapporti tra le funzioni all’interno dell’organizzazione, le risposte dei clienti all’offerta di prodotti e servizi e il coinvolgimento degli azionisti.

Secondo molti, l’Artificial Intelligence è destinata ad essere il motore centrale di una quarta rivoluzione industriale che cambierà in maniera incontrovertibile le nostre modalità di vita quotidiana. Le società maggiormente interconnesse baseranno i loro processi decisionali sull’analisi e lo sfruttamento dei c.d. Big Data; le firm, impregnate in mercati sempre più competitivi saranno in grado di accedere ai capitali e alle altre risorse a prezzi molto più convenienti e sarà possibile acquistare beni ed ottenere servizi da qualsiasi parte del mondo interagendo con servizi automatizzati non umani.

Una ricerca svolta nel 2015 dal World Economic Forum[2] ha affermato che entro il 2025, la corporate governance subirà un processo di robotizzazione di tale portata che gli amministratori artificiali divideranno i “posti a sedere” e soprattutto il potere decisionale con quelli umani.

Invero, già nel 2014 la Deep Knowledge Ventures[3], una venture capital fund con sede ad Hong Kong, ha annunciato la nomina di Vital, un algoritmo basato su intelligenza artificiale, quale membro del consiglio di amministrazione col compito vagliare le possibili perdite derivanti da eccessivi investimenti in progetti sopravvalutati.

La ratio alla base di tale scelta risiede nella capacità, di tale algoritmo, di automatizzare i processi di due diligence attraverso l’elaborazione di un enorme quantitativo di dati, tali da mettere in rilievo andamenti economici delle società analizzati non immediatamente percettibili dall’occhio umano.

Tuttavia, la DKV ha spiegato, in un cautionary statement alla nomina, che Vital opererà esclusivamente come un semplice “osservatore”, i cui consigli potranno supportare, in qualche modo, le decisioni prese dagli umani.

Nel 2016, la norvegese Tieto[4], un’azienda nordica leader nel settore IT, ha incluso nel suo consiglio di amministrazione un’intelligenza artificiale di nome Alicia T, facente parte di una business unit di nuova costituzione basata sui dati. Il suo compito fu quello di supportare il processo decisionale basato sui dati e innovare le nuove idee basate sui dati con l’aiuto della machine intelligence e dell’analisi avanzata dei dati.

Tecnicamente il membro è dotato di un sistema di interfaccia conversazionale in modo che sia possibile avere una discussione con esso e porre domande su qualsiasi cosa. Nella forma attuale, Alicia T è in una versione basica ma che continuerà ad evolversi sia nella forma che nella quantità di immagazzinamento dati.

Nonostante lo scenario tecnologico sia in rapida evoluzione, i tempi possono essere ancora immaturi per la comparsa di Roboboards – un termine che evoca il Robotaxi recentemente annunciato da Elon Musk – e che intuitivamente suggerisce consigli di amministrazione fatti (almeno in modo predominante) da membri non umani.

Un modo più equilibrato di pensare all’IA in sala riunioni è, invece, concettualizzarla non come sostituto, ma come supporto per gli amministratori umani, in modo che il consiglio di amministrazione possa diventare un luogo per la proficua interazione di “macchine intelligenti insieme a persone intelligenti”.

Di conseguenza, la ricerca sull’intelligenza artificiale tende a distinguere tra Assisted, Augmented e Autonomous AI in base al ruolo che svolge all’interno del processo decisionale:

  • l’Assisted Artificial Intelligence entra in gioco solo per svolgere compiti specifici;
  • l’Augmented Artificial Intelligence si limita a sostenere il processo decisionale umano;
  • l’Autonomous Artificial Intelligence opera al posto dell’essere umano – cioè come sostituto operativo dell’intelligenza umana.

 

IA: Blockchain e Corporate Governance

Le tecnologie basate sull’informazione stanno giocando un ruolo sempre più importante sia all’interno delle aziende che nei consigli di amministrazione, influenzando le modalità del processo decisionale e i suoi risultati.

Ciò vale in particolare per le aziende che operano in settori in cui i grandi dati, Internet e gli algoritmi sono i più importanti (ad esempio piattaforme come Amazon, Google, Uber, YouTube, Netflix, Facebook) ma ciò vale anche per le imprese che si affidano a tecnologie basate su piattaforme per sviluppare il proprio business (ad es. società finanziarie).

Le tecnologie basata sull’IA stanno causando cambiamenti significativi nel modo in cui le imprese si avvicinano e affrontano le questioni relative all’analisi delle informazioni e alla compliance. Anche la Corporate Governance potrebbe presto subire una revisione, rispondendo, in particolare, a un cambiamento radicale del consiglio di amministrazione.

La funzione del consiglio di amministrazione consiste oggi principalmente nella supervisione dei dirigenti: gli amministratori dedicano la maggior parte del loro tempo ai flussi informativi e al monitoraggio degli aspetti normativi e gestionali. L’IA potrebbe liberare gli amministratori da tali compiti, consentendo loro di dedicare più tempo a questioni di affari più rilevanti.

Ciò permetterebbe, a sua volta, l’emergere di un nuovo tipo di consiglio di amministrazione: snello, aperto, digitalizzato, orientato all’innovazione e operativa ponendo l’attenzione solo su aspetti strategici e di gestione operativa. In tale scenario anche la Blockchain può svolgere un ruolo importante nel facilitare questi cambiamenti all’interno del contesto aziendale.

La dottrina dominante sull’impatto potenziale della Blockchain sul rapporto tra azionisti e società non dovrebbe mettere in ombra la sua potenziale valenza ed utilità per i consigli di amministrazione.  Questo vale in particolare quando si tratta di monitoraggio, un’attività che la Blockchain può semplificare ad un in larga misura, aumentando la trasparenza e la certezza dei flussi di informazioni disponibili ai dirigenti.

La Blockchain potrebbe anche facilitare la tenuta dei libri contabili e aiutare a registrare l’intero processo decisionale: manager e dirigenti sarebbero quindi soggetti a “disintermediazione” ed a più efficaci controlli da parte del consiglio di amministrazione, che gli azionisti, a loro volta, supervisionerebbero più facilmente, in particolare per ciò che riguarda i potenziali conflitti di interesse.

La cosa più importante è che la Blockchain potrebbe rivelarsi utile nella costruzione di un modello di governance completamente decentralizzato, in cui i dipendenti, attraverso il voto, avrebbero, online, voce in capitolo nella definizione della strategia dell’azienda. L’IA può contribuire a questo processo in diversi modi, sia favorendo l’attivismo degli azionisti, sia aiutando gli amministratori ad affrontare le sfide associate a organizzazioni sempre più complesse, o dando ai responsabili delle decisioni accesso a valutazioni non contaminate dall’influenza dei dirigenti e dei maggiori azionisti.

Per comprendere l’impatto che l’IA può avere sulla Corporate Governance, alcuni legali gli studiosi hanno coniato il termine “CorpTech“. Nel caso delle cosiddette “società benefits“, in cui la massima “long-term make-profit maxim” viene accoppiata con la necessità di perseguire determinati fini sociali, l’IA potrebbe fornire un’assistenza vitale nel soppesare gli interessi dei vari stakeholder in gioco.

Tale coinvolgimento dell’IA potrebbe cambiare la struttura del consiglio di amministrazione, approssimando, forse, quelli che attualmente guadagnano terreno tra le piattaforme e i fondi che operano nei cosiddetti “mercati privati”.

Un consiglio di amministrazione modulato su una simile base garantirebbe una maggiore efficienza operativa senza soffrire una corrispondente diminuzione della qualità e dell’efficacia della supervisione sulle azioni manageriali o sulla trasparenza aziendale nel suo complesso.