Avv. Alessandro Palmigiano, Avv. Marco Cassata

Con una recente pronuncia, il collegio di Milano dell’Arbitro Bancario Finanziario ha fatto chiarezza sugli obblighi gravanti sull’intermediario in caso di operazioni di acquisto fraudolente effettuate con una carta di credito rubata.

>>>Leggi l’intervento<<<

Indice

1. La vicenda

La parte ricorrente proponeva reclamo al proprio intermediario, disconoscendo una serie di operazioni indebitamente effettuate con la propria carta di credito a seguito di furto/smarrimento debitamente denunciati alle autorità.

Data l’infruttuosità del reclamo presentato, si rivolgeva all’Arbitro Bancario Finanziario e chiedeva il rimborso delle somme pagate con la sua carta di credito dopo il furto/smarrimento della stessa.

Il Collegio, esaminata la documentazione prodotta, accertava il diritto di parte ricorrente il diritto al rimborso delle somme oggetto delle operazioni contestate.

Potrebbero interessarti anche:

2. I motivi della decisione

Nel motivare la propria decisione, il Collegio ha fatto chiarezza in ordine alle regole dettate dal d.lgs. 11/2010, in forza del quale l’onere della prova sulla regolarità della autenticazione, della registrazione e della contabilizzazione delle operazioni grava sull’intermediario.

In caso di mancato assolvimento di tale onere, quindi, l’intermediario sarà sempre costretto a sopportare le conseguenze delle operazioni disconosciute.

Il Collegio rilevava inoltre che, ai sensi dell’art. 10-bis d.lgs. n. 11/2010, come novellato dal d.lgs. n. 218/2017, (cfr. art. 5, comma 6), “i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente quando l’utente:

1. a) accede al suo conto di pagamento on-line;
2. b) dispone un’operazione di pagamento elettronico;
3. c) effettua qualsiasi azione,tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”.

L’art. 2, comma 1, lett. q-bis, del predetto testo normativo definisce l’“autenticazione forte del cliente” quale “basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
La banca si difendeva asserendo che le operazioni erano dei pagamenti contacless ed autorizzati dal ricorrente.

Il Collegio però riteneva tale difesa infondata e contraria alle disposizioni di legge.

Con specifico riferimento ai pagamenti contactless, l’art. 11 reg. n. 2018/389,prevede, tra l’altro, che l’importo di ogni singola operazione non superi i € 50,00. Nel caso in esame le quattro operazioni contactless superavano tutte la suddetta soglia, risultando quindi disposte in violazione dell’art. 11.
Anche riguardo ai restanti due pagamenti effettuati “tramite utilizzo fisico della carta nella modalità chip&signature” il Collegio rilevava che dai log si desumeva la mancata digitazione del pin, anche in violazione delle condizioni generali del contratto dello strumento di pagamento, il cui art. 1, co. 5, prevede proprio l’utilizzo congiunto della carta e del pin ai fini dell’autorizzazione.

Data la mancata adozione dei dovuti accorgimenti in fase di autenticazione delle operazioni, il Collegio accoglieva le domande di parte ricorrente disponendo la restituzione delle somme oggetto delle operazioni contestate.

11La pubblicazione sul sito internet della ASL di dati personali relativi agli accessi civici viola la privacy e non è giustificata dalla trasparenza.

>>>Leggi Ordinanza ingiunzione n.199 del 26 maggio 2022<<<

     Indice

1. I fatti

Il Garante per la protezione dei dati personali aveva avviato una istruttoria nei confronti di una Azienda sanitaria locale (ASL), avendo avuto notizia di una possibile violazione della normativa in materia di privacy a causa di una pubblicazione di dati personali sul sito web dell’azienda.

In particolare, all’esito della verifica compiuta dal Garante, era emerso che nella sezione amministrazione trasparente di detta ASL era possibile accedere ad una pagina web dove erano consultabili due files contenenti il registro provvisorio delle richieste di accesso agli atti da parte di oltre mille richiedenti, nei quali erano contenuti alcuni dati quali l’oggetto, il mittente e il destinatario della richiesta. Nel campo oggetto e mittente, detti documenti, contenevano dati personali degli interessati, quali il nominativo del soggetto o del suo rappresentante legale, ed in molti casi erano contenuti anche dei dati relativi alla salute degli interessati: infatti, considerando che le richieste di accesso agli atti riguardavano ovviamente (trattandosi di una ASL) documentazione sanitaria, nel campo “oggetto” vi erano spesso delle descrizioni dettagliate di quanto richiesto come per esempio il riferimento alle visite per accertare stati di invalidità oppure ad analisi tossicologiche oppure a visite psichiatriche ecc.

Ritenendo che la condotta sopra descritto potesse configurare una violazione della normativa privacy, il Garante ha dato avvio al procedimento sanzionatorio nei confronti dell’ASL, invitando quest’ultima a presentare le proprie memorie.

La struttura sanitaria si è difesa sostenendo la non volontarietà della condotta e affermando che i file in questione erano stati caricati sul sito internet per mero errore materiale, in quanto si trattava dei file provvisori e non di quelli definitivi. Secondo l’ASL, infatti, i file provvisori avrebbero dovuto essere lavorati ed epurati di tutti i dati personali, per poi creare un file definitivo da caricare sul sito internet. A conferma del fatto che si trattassi di un errore materiale, l’ASL adduceva il fatto che per tutti gli altri registri degli accessi civici, relativi ad altri anni, non si era verificata la problematica di cui sopra, in quanto i file erano stati caricati on line solo dopo la loro lavorazione.

Inoltre, la struttura sanitaria sosteneva che dopo aver ricevuto la comunicazione da parte del Garante aveva provveduto immediatamente a porre in essere numerose azioni per analizzare la problematica e per porvi rimedio; infine, segnalava di non aver ricevuto nessuna lamentela o segnalazione da parte degli interessati, anche perché i dati non erano di immediata consultazione ai visitatori del sito, poiché per potervi accedere i naviganti avrebbero dovuto compiere un inter informatico molto lungo.

Potrebbero interessarti anche: 

2. La decisione del Garante

Preliminarmente il Garante ha ricordato la nozione di “dato personale”, inteso come qualsiasi informazione che riguarda una persona fisica identificata o identificabile (“interessato”), nonché la stessa nozione di “identificabile”, secondo cui si considera tale la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In secondo luogo, il Garante ha ricordato che i “dati relativi alla salute”, sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ebbene, i soggetti pubblici, come l’ASL, possono in generale diffondere dati personali secondo quanto previsto dal Codice privacy e in generale nel rispetto del principio di minimizzazione, mentre è vietato diffondere i dati relativi alla salute, in quanto rientranti nelle categorie di dati personali.

Il Garante ha, quindi, precisato che, con il termine diffusione si intende la possibilità di dare conoscenza dei dati a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

All’esito dell’istruttoria è emerso che il trattamento dati effettuato dall’ASL, come sopra descritto, non era conforme alla disciplina in materia di privacy, per il fatto che la pubblicazione delle informazioni come sopra individuate all’interno dei campi “oggetto” e “mittente” del registro delle richieste di accesso agli atti pubblicate sul sito internet istituzionale nella sezione “trasparenza”, sostanzia una diffusione dei dati personali, anche relativi alla salute. Tale trattamento, in particolare, è stato posto in essere in violazione del divieto di diffusione dei dati sulla salute degli interessati, del principio di minimizzazione dei dati (in quanto i dati pubblicati non erano limitati a quanto necessario in base alle finalità per cui erano stati trattati, cioè la trasparenza dell’amministrazione) e delle indicazioni contenute nelle linee guida ANAC e nella circolare ministeriale in tema di trasparenza (secondo cui le pubbliche amministrazioni possono pubblicare anche dati che non sono obbligate a pubblicare, ma devono farlo nel rispetto della normativa privacy).

In considerazione di quanto sopra, il Garante ha ritenuto di applicare un’ordinanza ingiunzione nei confronti dell’azienda sanitaria locale, con cui è stata comminata una sanzione pecuniaria amministrativa, mentre è stato ritenuto di non dover disporre ulteriori misure correttive in quanto la struttura sanitaria aveva già provveduto a rimediare alla propria condotta illecita.

Nella quantificazione della sanzione pecuniaria da adottare, il Garante, da un lato, ha tenuto conto del fatto che la violazione è stata colposa (cioè dovuta ad un mero errore materiale) ed ha riguardato dati personali (anche relativi alla salute), per circa 3 anni, riferiti a più di mille soggetti. Dall’altro lato, però, il Garante ha anche valutato che non sono state ricevute segnalazioni o lamentele per la suddetta condotta e che è possibile che i dati non siano stati visti da numerose persone, in considerazione dei plurimi passaggi informatici che l’internauta avrebbe dovuto compiere per poter accedere ai dati. In considerazione di tutto quanto sopra, il Garante ha ritenuto congruo determinare l’ammontare della sanzione pecuniaria nei confronti della azienda sanitaria locale nella misura di €. 46.000.

Volume consigliato

Il Garante privacy sanziona la banca per aver comunicato al genitore di una cliente i dati dei rapporti bancari intrattenuti da quest’ultima con la banca.

>>>Leggi qui l’ordinanza n.202 del 26 maggio 2022<<<

Indice

1. I fatti

Una signora aveva inviato, per il tramite del proprio avvocato, un reclamo al Garante privacy con il quale sosteneva che la propria banca aveva compiuto un illecito trattamento dei suoi dati personali. In particolare, la reclamante sosteneva che l’istituto bancario avesse comunicato, senza alcuna presupposto che legittimasse tale comunicazione, al proprio genitore i dati relativi ai rapporti bancari che la stessa reclamante aveva con la suddetta banca. Inoltre, la signora riferiva che tali dati erano poi stati prodotti in un giudizio che era pendente dinanzi al Tribunale di Bari e per di più essi presentavano la dicitura “ad uso interno”.

In considerazione del reclamo ricevuto, il Garante per la protezione dei dati personali aveva prima chiesto chiarimenti alla banca in ordine ai fatti descritti dalla signora e successivamente aveva avviato il procedimento sanzionatorio nei confronti dell’istituto di credito.

La banca si era difesa nel suddetto procedimento sostenendo che la comunicazione dei dati si era verificata in quanto un dipendente della locale filiale dell’istituto di credito aveva accolto la richiesta, formulata oralmente e proveniente dal genitore della reclamante, di avere copia della movimentazione del conto corrente della figlia. La banca precisava, inoltre, che tale genitore aveva avuto la facoltà di operare sul conto corrente della figlia fino al raggiungimento della maggiore età di quest’ultima (proprio in quanto esercente la potestà genitoriale sulla stessa) e che l’errore da parte dell’operatore della filiale era avvenuto in buona fede proprio perché per tanto tempo il genitore aveva sempre operato sul conto nell’interesse della figlia quale esercente la potestà genitoriale, quindi l’operatore non aveva verificato se il genitore avesse avuto ancora la facoltà di agire sul conto nell’interesse della figlia.

In secondo luogo, la banca rilevava che l’errore dell’operatore della filiale era avvenuto anche perché il genitore della correntista apparteneva al personale in quiescenza della stessa banca e pertanto c’era una conoscenza personale tra tali due soggetti che aveva indotto l’operatore a non verificare se il genitore aveva ancora la facoltà di accedere ai dati bancari della figlia.

Infine, l’istituto di credito aveva precisato che lo stesso richiede ai proprio dipendenti di seguire un piano di formazione in materia di protezione dei dati personali proprio con l’intento di sensibilizzarli sui principi di base del trattamento dati.

Potrebbe interessarti anche: Privacy e banche: che fine fanno i dati dei clienti?

2. La decisione del Garante

Dall’istruttoria svolta, il Garante ha ritenuto che sia stato accertato che la banca, attraverso il proprio dipendente operatore di filiale, abbia effettuato un accesso non giustificato ai dati bancari della reclamante e li abbia poi comunicati a un soggetto terzo non autorizzato, senza che vi fosse stato il consenso dell’interessato o comunque un altro presupposto che legittimasse la comunicazione.

Secondo l’Autorità, non è possibile applicare al caso di specie la buona fede, richiamata dalla banca, in quanto essa sussiste (ed esclude la responsabilità per una condotta posta in essere) solo nel caso in cui (tale) condotta è inevitabile, in quanto vi sono degli elementi positivi, estranei all’autore della condotta, che siano idonei a ingenerare in tale autore la convinzione che la sua condotta sia lecita, nonché quando l’autore abbia fatto tutto il possibile per rispettare la legge.

In considerazione di ciò, il Garante ha ritenuto che la banca abbia posto in essere un trattamento illecito, in violazione dei principi generali in materia di protezione dei dati personali ed ha conseguentemente comminato un’ Ordinanza ingiunzione nei confronti della banca.

In particolare, il Garante per la protezione dei dati personali, ai fini della quantificazione della suddetta sanzione pecuniaria, ha preso in considerazione una serie di elementi, fra i quali il fatto che la violazione è stata rilevante in quanto relativa ai principi di base della protezione dei dati personali, il fatto che si trattava di dati di particolare delicatezza (anche se non appartenenti alla categoria dei dati particolari, di cui al GDPR), il fatto che la banca era già stata destinataria solo un anno prima di un provvedimento correttivo per una analoga violazione effettuata dal proprio personale dipendente (da cui il Garante ha ricavato che la necessità che la banca debba prestare più attenzione circa il rispetto delle proprie direttive da parte dei suoi dipendenti), nonché il fatto che la banca non ha neanche avviato una riflessione sulle istruzioni fornite al proprio personale in ordine alle richieste di accesso ai dati bancari.

Ebbene, bilanciando tutti i suddetti elementi e volendo applicare una sanzione che rispetti i principi di effettività, proporzionalità e dissuasività richiamati dal GDPR, il Garante per la protezione dei dati personali ha valutato altresì quale fossero le condizioni economiche della banca (determinate in base ai ricavi conseguiti nell’esercizio di imposta 2020 e ricavati dal relativo bilancio) e conseguentemente ha ritenuto di determinare la sanzione pecuniaria amministrativa a carico della banca nella misura di €.100.000.

Volume consigliato

Nel 20° anniversario della istituzione della corte penale dell’Aja

A vent’anni dall’istituzione, la Corte penale internazionale  riafferma il suo modello di giustizia  penale internazionale, grazie al sostegno di un ampio gruppo di Stati e all’attivismo del Procuratore Khan nel perseguire i criminali di guerra in Ucraina. In atto c’è la fase delicata e complessa della raccolta delle prove, ma un monito esplicito  è venuto dai primi mandati di arresto per i crimini di guerra commessi dai russi nella guerra contro la Georgia del 2008. Anche l’Italia sta procedendo nel dare definitiva attuazione allo Statuto della Corte, promuovendo in questi giorni il suo Codice dei Crimini Internazionali.

L’Italia dovrà dunque sostenere questo percorso, non dimenticando un altro anniversario e un luogo fondativo: il 17 luglio 1998  è a Roma che fu approvato lo Statuto della Corte penale internazionale, ricordato nella comunità dei giuristi come lo “Statuto di Roma”.

     Indice

1. Due eventi significativi per la giustizia penale internazionale
2. Le ragioni di una riflessione sulla Corte penale internazionale
3. La scelta della giustizia penale internazionale sull’Ucraina
4. Il monito dei mandati d’arresto per i crimini di guerra in Georgia
5. L’Italia e lo Statuto di Roma

1. Due eventi significativi per la giustizia penale internazionale

Nel panorama degli organi di informazione nazionali – tranne qualche rara eccezione, e riferita per lo più a siti di specifico interesse professionale – sono passati pressoché inosservati due momenti di particolare interesse per il diritto internazionale, con particolare riferimento al tema sempre discusso e in continua evoluzione della giustizia penale internazionale.

Il primo evento si riferisce alla Conferenza ad Alto livello convocata dalla Corte penale internazionale (CPI) dell’Aja il 1° luglio scorso per commemorare il 20° anniversario della sua istituzione. Il riferimento è alla data del 1° luglio 2002 quando, dopo quattro anni dall’approvazione dello Statuto istitutivo, noto come lo Statuto di Roma,  furono raggiunte le ratifiche necessarie per l’entrata in vigore internazionale e quindi sugellare l’effettiva istituzione della Corte.

Il secondo momento riguarda la nota diffusa il 30 giugno scorso sul sito della Corte penale dell’Aja, in cui si dà conto della avvenuta emissione di tre mandati di arresto emessi nei confronti di due alti dirigenti russi e di uno georgiano per crimini di guerra riferiti al contesto del conflitto che nel 2008 vide la Russia invadere la  Georgia nei territori dell’Ossezia del Sud e dell’Abcasia, autoproclamatisi come regioni “autonome”.

La minore attenzione data sui due temi può essere in parte giustificata dal maggior interesse dei media per le fasi critiche del conflitto ucraino e per i concomitanti vertici internazionali. In verità anche l’attenzione  sui temi giuridici con implicazioni internazionali è stata  destinata alle eclatanti decisioni della giustizia francese di non concedere l’estradizione ad un gruppo di ex terroristi italiani. Una vicenda che ha una connessione con i temi in trattazione, perché in essa ha avuto rilievo in particolare la questione dibattuta del vulnus dei processi celebrati in contumacia, che non risponderebbero ai requisiti del “giusto processo” richiesti dall’articolo 6 della Convenzione europea dei diritti dell’ uomo (CEDU).

2. Le ragioni di una riflessione sulla Corte penale internazionale

Per gli osservatori più attenti, tuttavia, non può sfuggire un’altra ragione che potrebbe invece avere inciso su questa disattenzione sulle iniziative citate riguardanti la Corte penale dell’Aja. Si potrebbe infatti trattare di quel sentiment diffuso in molti ambiti, anche dell’informazione, che tendenzialmente continua a guardare non con molta fiducia alla effettività della giurisdizione della CPI. In buona sostanza, sono in molti ad essere scettici sulla possibilità che un giorno si possa portare a processo realmente Putin e la sua nomenclatura per i crimini di guerra commessi in Ucraina, e in generale non si riconosce pure una sostanziale efficacia della Corte, nella considerazione che Nazioni rilevanti come gli stessi Stati Uniti, Israele, oltre che Federazione Russa e Cina, non hanno ratificato lo Statuto istitutivo.

Si tratta di argomenti che hanno certamente un fondamento, tuttavia le prospettive della giustizia penale internazionale non possono certamente sacrificarsi in questa semplificazione, in particolare per una sola considerazione. É  la Storia a dimostrare con fatti compiuti che i regimi autocratici possono essere soggetti ad improvvisi e radicali cambiamenti e le guerre possono evolvere in modi inaspettati. Gli esempi poi dei Tribunali di Norimberga e Tokio, nonché quelli dell’ex Jugoslavia e del Ruanda, nonché quelli dei vari c.d. tribunali misti o internazionalizzati, hanno dimostrato che nel tempo il percorso della giustizia penale internazionale, se vi è la cooperazione e la determinazione di una buona parte della comunità degli Stati, può compiersi inesorabilmente.

3. La scelta della giustizia penale internazionale sull’Ucraina

Venendo dunque al contesto più concreto della guerra in Ucraina, le riflessioni attuali sui profili del diritto internazionale penale assumono un rilievo del tutto particolare e radicalmente innovativo nell’ evoluzione della giurisdizione della Corte penale internazionale, che sicuramente vede un  continuo working in progress. In primo luogo vanno ridimensionate le riserve sulla condizione di non poter procedere, in atto, per il crimine di “aggressione” , inteso come l’attacco illegittimo contro la sovranità di uno Stato (articolo 8 bis dello Statuto CPI), perché tanto la Russia quanto l’Ucraina non hanno ratificato lo Statuto della CPI, e dovrebbe esserci una determinazione del Consiglio di Sicurezza, non realisticamente ipotizzabile visto il potere di veto di Russia e Cina. La questione va ridimensionata perché, intanto, se non può essere configurata come “crimine”, comunque l’aggressione de iure è già illecito internazionale imputabile sul piano della responsabilità degli Stati, come peraltro già sancito nei confronti della Federazione Russa in almeno due Risoluzioni dell’Assemblea delle Nazioni Unite e in una pronuncia della Corte Internazionale di Giustizia.

Ma soprattutto l’aspetto fondamentale è questo: la Corte penale internazionale ha potuto attivarsi per i restanti crimini internazionali che rientrano nella sua competenza, senza ombra di dubbio per i crimini di guerra perseguibili ex articolo 8 dello Statuto, poi anche per i crimini contro l’umanità ex articolo 7, e, se ne ricorreranno i presupposti, anche per  genocidio ex articolo 6 dello Statuto. La piena affermazione della giurisdizione della Corte penale dell’Aja peraltro, a differenza di altre occasioni, non è rimasta una mera enunciazione di principio, perché è stata subito tradotta in una serie di iniziative concrete.  A monte c’è stata certamente la scelta lungimirante dell’Ucraina di avviare a suo tempo la procedura di “accettazione” di giurisdizione della Corte per i crimini di guerra, contro l’umanità e il genocidio (come si è accennato, la procedura non ha riguardato il crimine di “aggressione”, ma potrebbe essere incluso in un prossimo futuro).

Determinante è stata anche un’altra scelta, non certamente occasionale o formale, compiuta il 2 marzo scorso da un gruppo iniziale di 39 Paesi,  con in testa la Lituania, l’Italia e gli altri paesi dell’Unione Europea, insieme a Australia, Canada, Colombia, Costa Rica, Georgia, Islanda, Lichtenstein, Nuova Zelanda, Norvegia, Svizzera, Regno Unito e Irlanda. Questi  hanno presentato il c.d. referral ex art. 14 dello Statuto, la richiesta ufficiale al Procuratore della Corte penale internazionale dell’Aja di avviare indagini sui crimini internazionali perpetrati nella guerra in Ucraina. Ciò  ha consentito al Prosecutor Karim Khan  di attivarsi celermente, aggirando anche il passaggio della autorizzazione a procedere della Pre-Trial Chamber. L’iniziativa  ha anche avuto un forte valore simbolico nel conferire legittimazione internazionale e maggiore forza al Procuratore della Corte, il quale intanto ha fatto pubbliche dichiarazioni volte a richiamare le parti sull’osservanza delle norme del diritto internazionale umanitario e dei conflitti armati, e poi ha subito stabilito un saldo rapporto di cooperazione giudiziaria con la magistratura ucraina e con Eurojust. Ha quindi diretto e coordinato i team investigativi inviati in Ucraina, ed egli stesso si è recato tre volte in territorio di guerra per compiere sopralluoghi e verifiche dirette sul luogo dei massacri, annunciando  anche l’imminente costituzione di un ufficio distaccato della Corte penale internazionale in Ucraina. Molto esplicite sono state le parole del Procuratore Khan nell’ultima visita compiuta il 15 giugno: “ Mi sono recato a Kharkiv, nell’est dell’Ucraina. Ho verificato gli ingenti danni causati a questa città e ascoltato i racconti delle sofferenze subite dai civili. Il mio messaggio a coloro con cui ho parlato è stato chiaro: la legge rimane al loro fianco e in prima linea. Hanno diritti fondamentali che devono essere rivendicati anche in tempo di guerra”. Ed ha aggiunto: “Il mio Ufficio sta agendo con urgenza per dimostrare a tutti coloro che sono coinvolti in questo conflitto che hanno responsabilità dirette secondo il diritto internazionale, per le  quali non sono ammesse eccezioni: ogni persona che prende una pistola, guida un carro armato o lancia un missile deve sapere che può essere ritenuta responsabile dei crimini commessi”.

Gli ultimi resoconti ufficiali dell’autorità giudiziaria ucraina parlano di oltre 20.000 casi di crimini di guerra accertati, riferiti a gravi distruzioni di edifici civili, presidi sanitari, beni culturali ed altre strutture non costituenti obiettivi militari, a spoliazioni e ruberie sistematiche, ma anche alle drammatiche vicende delle esecuzioni dirette, delle uccisioni indiscriminate di civili e di prigionieri di guerra, alla cattura di ostaggi e al trasferimento illegale di civili e di altre persone protette, nonché a gravissimi riscontri su episodi di stupri, torture ed atti lesivi della dignità umana, tutte gravissime violazioni alle previsioni delle Convenzioni dell’Aja e di Ginevra, espressamente richiamate nello Statuto della Corte penale internazionale.

Potrebbero interessarti anche

4. Il monito dei mandati d’arresto per i crimini di guerra in Georgia

In questo contesto, dunque, va letta l’altra vicenda accennata in premessa. Anche se i fatti si riferiscono al 2008, la notizia dei mandati d’arresto per i crimini di guerra commessi in territorio georgiano rappresenta un vero e proprio monito per chi sta conducendo la guerra di aggressione in Ucraina, per varie ragioni. La prima è certamente riferita alle analogie delle situazioni.  Il conflitto tra Georgia e Russia si sviluppa con la dissoluzione dell’Unione Sovietica in una prima fase,  tra il 5 gennaio 1991 e il 24 giugno 1992, quando deflagra la “prima guerra in Ossezia del Sud”, conclusasi con il cessate il fuoco  e lo schieramento di un’operazione di peacekeeping costituita da militari georgiani, russi ed osseti. Nel 2008 si arriva alla  “seconda guerra in Ossezia del Sud”, nota come guerra dei cinque giorni o guerra d’agosto,  che porta, il 7 agosto, il Presidente georgiano Saakashvili ad annunciare un cessate il fuoco unilaterale. Nonostante un accordo ulteriore con la Francia come garante, da allora la Russia occupa de facto i territori, anche questi autoproclamati “repubbliche autonome”. In generale, sulla base di varie fonti internazionali indipendenti e di una inchiesta ufficiale dell’Ue,  il conflitto sarebbe costato la vita di circa 800 persone, e in un  rapporto nel 2009 di Human Rights Watch si sostiene che, pure nei giorni successivi al ritiro delle truppe georgiane, le forze filorusse dell’Ossezia del sud “hanno distrutto deliberatamente e sistematicamente villaggi abitati da popolazioni di etnia georgiana”. Si è parlato anche dell’esodo forzato di oltre 190.000 georgiani.

Altre analogie con le vicende ucraine si rinvengono nei contenuti resi noti dei mandati d’arresto della Corte. I destinatari sono tre alti dirigenti russi e/o georgiani. Il primo è il tenente generale Mikhail Mindzayev, cittadino russo 67enne originario dell’ Ossezia del Nord,  alto ufficiale di polizia poi divenuto Ministro degli Affari interni dell’ amministrazione de facto dell’ Ossezia del Sud. Il secondo è Gamlet Guchmazov, di cittadinanza russa e presumibilmente anche georgiana, 46enne anch’egli originario dell’ Ossezia del Sud, diretto responsabile della discussa struttura di detenzione di  Tskhinvali, nota come “Isolator” o “KPZ”. Il terzo è David Georgiyevich Sanakoev, 46 enne,  “rappresentante presidenziale per i diritti umani” dell’amministrazione de facto dell’ Ossezia del Sud, una specie di garante dei diritti umani o difensore civico che avrebbe dovuto tutelare la popolazione.

L’accusa nei loro confronti è di “crimini di guerra”, configurabili in varie condotte tipicizzate all’articolo 8 dello Statuto della Corte penale internazionale. In particolare le responsabilità penali dirette riguardano una serie di fatti compiuti in danno della popolazione civile georgiana in quanto tale, ed in particolare nei confronti di un gruppo di persone arrestate nella parte osseta del Sud della Georgia. Si tratta di  ingiuste detenzioni, maltrattamenti e condizioni disumane poste in essere nel citato famigerato centro di detenzione Isolator. Le imputazioni concernono anche la circostanza che i georgiani sono stati utilizzati come strumento di contrattazione dalla Russia e dall’Ossezia del Sud  per ottenere uno scambio di prigionieri, per cui di fatto sono stati costretti a lasciare le loro terre d’origine. Da qui le imputazioni specifiche di avere operato arresti illegali, torture e trattamenti disumani, oltraggi alla dignità personale, prese di ostaggi e trasferimenti illegali di civili, inclusi anziani e bambini.

L’analogia dunque è del tutto evidente con l’Ucraina, per gli arresti, i processi illegali e le condizioni di detenzione in cui sono tenuti  i combattenti arresisi a Mariupol, nonché con la situazione di molti civili costretti all’esodo forzato e trasferiti illegalmente in centri di raccolta e poi in lontane regioni russe. Il monito vale quindi per i funzionari e i dirigenti militari russi e per i collaborazionisti del Donbass che stanno compiendo analoghe iniziative, inscenando processi privi di fondamenti giuridici, conclusisi con condanne a morte nei confronti di presunti “mercenari”, in realtà cittadini stranieri legittimati ad intervenire per difendere l’aggredita Ucraina, e indirizzando la popolazione dei territori occupati in falsi “corridoi umanitari” per costringerli a trasferirsi anche in regioni sperdute della Russia orientale.

5. L’Italia e lo Statuto di Roma

Non v’è dubbio che ora rimane il problema della eseguibilità dei mandati, anche nella considerazione che la Corte penale dell’Aja non può celebrare processi in absentia degli imputati. Ma si tratta di un problema che potrà essere affrontato a suo tempo,  perché intanto vale il mandato d’arresto emesso da un organo collegiale che ha vagliato con rigore  i capi d’accusa,  che vincola comunque i tre destinatari a rimanere in territorio russo, e in ogni caso sub iudice fine alla fine della loro vita, se non si presentano, perché per i crimini per cui sono perseguiti non valgono regole di prescrizione.

In ogni caso, anche questi provvedimenti sono i primi riscontri di un rinnovato impulso ad una idea di effettività della giurisdizione penale internazionale che la Corte dell’Aja sembra più decisa ad affermare dopo i drammatici resoconti degli eccidi compiuti in Ucraina. E in questo processo sta contribuendo anche l’Italia che, oltre alla partecipazione all’iniziativa del referal,  in maniera riservata sostiene i  team investigativi ucraini in stretto coordinamento con Eurojust, e ha annunciato l’intendimento di varare finalmente un  Codice dei crimini internazionali. Proprio in questi giorni il Ministero della Giustizia sta esaminando la proposta di articolato normativo sul nuovo Codice dei Crimini Internazionali presentato da una Commissione di giuristi che ha concluso i lavori il 30 maggio. Sul progetto probabilmente il Governo presenterà a breve un disegno di legge per essere sottoposto all’approvazione del Parlamento. Gli addetti ai lavori stanno ancora approfondendo aspetti intrepretativi e questioni aperte, perché la materia richiede di  adeguare l’ ordinamento interno in principi innovativi e radicali, come quelli riguardanti l’esclusione delle immunità e della prescrizione, e investe anche il riparto di giurisdizione tra magistrature ordinaria e militare. Il percorso non è facile,  ma l’importante è che l’Italia dia un senso concerto alla sua cultura giuridica e non dimentichi un altro imminente anniversario e un luogo fondativo: il 17 luglio 1998  è a Roma che fu approvato il documento più completo della nuova giustizia penale internazionale, lo Statuto della Corte penale internazionale, che non a caso nella comunità dei giuristi è ricordato come lo Statuto di Roma.

Il 29 giugno scorso, con la firma del Presidente del Tribunale di Milano Dott. Fabio Roia  sono state promulgate e inviate a diversi soggetti istituzionali, i “Criteri orientativi per la liquidazione del danno non patrimoniale per perdita del rapporto parentale” elaborati dall’Osservatorio per la Giustizia Civile del Tribunale di Milano con le tabelle sull’argomento.

Si tratta dell’adozione, da parte dell’Osservatorio del cosiddetto “criterio a punti” che era stato sostenuto dalla Suprema Corte di Cassazione con la sentenza 105791/2021, che aveva indicato le Tabelle elaborate dal Tribunale di Roma, le quali, sino a oggi, erano le uniche ad essere state compilate e segnalate da parte della Cassazione come rispondenti al modello corretto che la stessa aveva suggerito.

Il Presidente del Tribunale di Milano, nella sua breve introduzione al documento, fa presente l’importanza culturale dell’iniziativa,  nel solco della tradizione dell’Osservatorio per la Giustizia Civile del Tribunale di Milano, nonostante si sottolinei l’assenza di “alcuna pretesa paranormativa”.

Indice

1. In che cosa consiste il rapporto parentale (parentela, genitorialità, famiglia)
2. Il documento
3. I valori e i limiti massimi di risarcimento
4. Gli elementi di giudizio e l’allegato

1. In che cosa consiste il rapporto parentale (parentela, genitorialità, famiglia)

La parentela è un vincolo costituito da legami biologici, sociali, culturali e giuridici, tra le persone che hanno in comune uno stipite (art.74 c.c.)

Il termine deriva dal latino parens, parentis che però significava propriamente genitori.

Nel mondo romano quando si parlava della parentela si utilizzava il termine propinqui, che significa “coloro che sono vicini”.

In linguistica i termini utilizzati per indicare un grado di parentela sono detti singenionimi.

La genitorialità è il processo di promozione e sostegno dello sviluppo fisico, emotivo, sociale e intellettuale di un bambino dall’infanzia all’età adulta.

Il concetto di genitorialità è relativo alla complessità del processo di crescere un bambino, e non esclusivamente alla relazione biologica.

Il soggetto più comune impegnato nella genitorialità è il genitore biologico del bambino, anche se altri possono essere un fratello maggiore, un nonno, un tutore legale, uno zio, un altro membro della famiglia, o un amico di famiglia.

Anche i governi e la società possono avere un ruolo nell’educazione dei figli e in molti casi i bambini orfani o abbandonati ricevono attenzioni parentali da non consanguinei.

Altri possono essere adottati, cresciuti in affidamento o collocati in un orfanotrofio.

Gli stili genitoriali variano a seconda del periodo storico, della razza o etnia, della classe sociale e di altre caratteristiche sociali.

La ricerca ha sostenuto che la vicenda genitoriale, sia in termini di attaccamento di qualità variabile, sia di psicopatologia genitoriale, in particolare sulla scia di esperienze avverse, può condizionare f la sensibilità dei genitori e gli esiti sul bambino,

La famiglia è un nucleo sociale rappresentato da due o più individui che vivono nella stessa abitazione e, di norma, sono legati tra loro da rapporti di parentela o di affinità.

Il termine famiglia proviene dal latino familia, “gruppo di servi e schiavi patrimonio del capo della casa”, e a sua volta deriva da famŭlus, “servo, schiavo”.

Nella familia romana erano inclusi anche la sposa e figli del pater familias, dal momento che legalmente appartenevano a lui.

Nei Paesi sviluppati una famiglia è definita in modo specifico come un gruppo di persone affiliate da legami di consanguineità, vale a dire, da discendenza da progenitori comuni, oppure da legami affettivi acquisiti e riconosciuti da parte della legge per la presenza del vincolo del matrimonio o di un’unione civile, o per un’adozione, oppure per un legame sorto de facto in virtù di una convivenza.

In genere nella civiltà occidentale la famiglia è basata sul rapporto coniugale.

Potrebbero interessarti anche:

2. Il documento

Il documento che porta la firma del Dott. Damiano Spera, Presidente dell’Osservatorio di Milano oltre che degli altri Magistrati referenti più attivi all’interno dello stesso consesso milanese (Ilaria Gentile, Elena Riva Crugnola e Adriana Cassano Cicuto) evidenzia la modalità di compilazione avvenuta attraverso il monitoraggio di circa 600 sentenze, suddividendo il documento stesso in capitoli, nei quali sono riportate le relative tabelle che sono di due tipi:

• Quella per la perdita di genitori, figli, coniugi non separati, parti dell’unione civile o conviventi di fatto.
• Quella per la perdita di figli e nipoti.

3. I valori e i limiti massimi di risarcimento

Sono stati fissati per entrambe diversi valori del punto con dei limiti massimi di risarcimento:

• Per la prima: 3365,00 €. La forbice indicata va da € 168250,00 a € 336500,00 senza che tale “cap” possa essere superato se non nel caso di circostanze definite come “eccezionali”.
• Per la seconda: 1461,20 € con una forbice che va da € 24350,00 a € 146120,00 come “cap” con le stesse indicazioni per il massimo delineati più sopra.

4. Gli elementi di giudizio e l’allegato

Vengono poi indicati gli elementi di giudizio con i rispettivi punteggi che servono da moltiplicatore del valore del punto che sono:

• Età della vittima primaria (da 4 a 28 punti)
• Età della vittima secondaria (da 4 a 28 punti)
• Convivenza (da 16 a 8 punti)
• Sopravvivenza di altro o altri congiunti del nucleo familiare primario del de cuius (da 16 a 19 punti)
• Qualità della relazione affettiva (sino a 30 punti con un metodo esplicativo legato a particolari situazioni allegate e provate e che vengono riportate in tabella).

In allegato sono presenti esempi di calcolo risarcitorio confrontati con il monitoraggio e una serie di domande e risposte sulle tabelle milanesi integrate a punti.

La soluzione proposta, in relazione alla particolarità delle modalità consolidate di studio e promulgazione delle tabelle di Milano, che hanno visto partecipare alla discussione Magistrati e altri esperti, come Avvocati e medici legali, viene indicata come condivisa da parte della maggioranza dei partecipanti anche se, a dire il vero, per la prima volta, il percorso per arrivare al documento è stato irto di ostacoli, essendo stato abbastanza tormentato e anche contestato da fonti autorevoli.

Consigliamo il volume:

È stato approvato e firmato il decreto che permetterà all’Agenzia delle Entrate di incrociare i dati dei contribuenti dell’anagrafe tributaria con i dati riportati nelle dichiarazioni dei redditi, quelli relativi al patrimonio, agli immobili, ed allo stile di vita, allo scopo di “stanare” il maggior numero di evasori fiscali potenziali o conclamati.

Il software anti evasori VERA (Verifica dei Rapporti Finanziari) è stato “licenziato” a seguito dell’approvazione espressa dall’Autorità Garante per la Protezione dei Dati Personali, che si è assicurata che vengano rispettati i principi del Regolamento Europeo per la Protezione dei Dati (GDPR) ovvero che i dati vengano anonimizzati per tutta la fase iniziale di analisi, e che vengano poi ricondotti alle persone fisiche identificate solo nella fase successiva e finale, per cui la base giuridica del trattamento sarà appunto il provvedimento di lotta contro l’evasione fiscale.

L’intelligenza artificiale che supporta il sistema VERA dispone di un elevato livello di precisione, ma per evitare errori le operazioni saranno sempre supportate dal controllo umano. Ogni intervento umano verrà opportunamente tracciato con registrazione dei log e i soggetti deputati a trattare i dati verranno debitamente formati e autorizzati al trattamento.

Indice

1. Ma come funziona in pratica questo algoritmo?
2. Altre misure di sicurezza

1. Ma come funziona in pratica questo algoritmo?

Grazie all’intelligenza artificiale di VERA, sarà possibile incrociare i dati che emergono dalle dichiarazioni dei redditi con i dati presenti sul web, proprio quel patrimonio di informazioni che volontariamente, ogni giorno, diamo in pasto ai social ed a piattaforme di cui non sappiamo sostanzialmente nulla e che invece di noi sanno tutto, al fine di comporre un identikit del contribuente. Il fine è di stabilire se i redditi dichiarati siano congrui e compatibili con lo stile di vita condotto, incrociando anche i dati delle app di pagamento (Satispay, Apple pay e simili), i registri immobiliari e gli acquisti registrati in qualsiasi banca dati digitale.

VERA concentrerà i controlli verso i comportamenti fraudolenti e in caso di incongruità segnalerà il caso (anonimo) all’Agenzia delle Entrate. Solo dopo la segnalazione si potrà accedere al nominativo reale del contribuente, per effettuare i dovuti controlli e per permettere all’interessato di esercitare i suoi diritti (ivi compresi quelli di difesa e di rettifica).

L’inevitabile compressione del diritto alla privacy è stata oggetto di giudizio di bilanciamento, che tuttavia vede le attività di prevenzione e contrasto all’evasione fiscale come prevalenti in quanto obiettivi principali dell’ordinamento, in nome e in ragione delle quali alcuni diritti dei cittadini possono essere limitati e compressi, anche per le esigenze di attuazione del PNRR.

2. Altre misure di sicurezza

Oltre alla misura dell’anonimizzazione fino al momento della segnalazione, è stato imposto all’Agenzia delle Entrate ed alla Guardia di Finanza di trattare esclusivamente i dati personali indispensabili al raggiungimento delle finalità di analisi del rischio di evasione ai sensi della legge n. 190/2019 (principio di minimizzazione) e di mettere in atto azioni e misure finalizzate ad evitare l’utilizzo di dati non aggiornati o inesatti, nonché idonee misure di sicurezza tecnica e organizzativa, per garantire la riservatezza e l’integrità delle informazioni elaborate.

Per quanto riguarda le policy di conservazione dei dati, questi non potranno essere conservati oltre il secondo anno successivo a quello in cui matura l’accertamento ed in nessun caso, comunque, la conservazione potrà estendersi dopo la chiusura di eventuali contenziosi che dovessero instaurarsi.

Infine, per quanto attiene l’accesso ai propri dati da parte dei contribuenti, ferma restando la possibilità per ciascun interessato di fare rettificare i propri dati inesatti (diritto garantito dal GDPR), sono diverse al momento le ipotesi di procedura.

Il contribuente potrebbe aver diritto di accesso dal momento della consegna del processo verbale di constatazione, dalla notifica dell’atto istruttorio ovvero dal momento dell’atto di verifica per gli interessati sottoposti a controllo vero e proprio.

Dello stop del Garante Privacy a Google Analytics si è già parlato in lungo e in largo, ma resta ancora il tema caldo del momento. E se ormai gli enti pubblici e privati sanno di avere 90 giorni per “adeguarsi” al provvedimento dell’Autorità, che ha dichiarato illegittimo il trasferimento dei dati verso gli Stati Uniti, il problema vero è: che cosa fare in pratica? Qualcuno dice di eliminare Analytics e basta, altri di utilizzare versioni “compliant” dello stesso tracciatore come GA4, oppure di utilizzare software alternativi, che però non sono e non saranno mai come l’originale. Ma la confusione resta alta.

Che cosa devono fare, quindi, le aziende?

      Indice

1. Soluzione radicale: rimuovere Google Analytics
2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability
3. Soluzione attendista: non fare niente e aspettare
4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

1. Soluzione radicale: rimuovere Google Analytics

Non tutti si possono permettere di rinunciare tout court ai servizi di GA, ma il mercato offre soluzioni alternative: Web Analytics Italia per le PA (suggerito dalla stessa AgID), Matomo, Piwik, Plausible per i privati. Gli addetti ai lavori affermano che nessuno di questi servizi offre il medesimo grado di utilità ed affidabilità di GA, ma si tratta di soluzioni che non solo permettono un maggior controllo sui dati, ma soprattutto di mantenerli nel perimetro dell’Unione Europea, e dunque di bypassare il problema del trasferimento dei dati verso gli USA; considerati paese pericoloso in ambito di data protection.

2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability

Si fa presto a dire Google Analytics. In verità, scegliere in maniera adeguata e consapevole passa attraverso una analisi, compiuta dal Titolare, sull’effettivo utilizzo di GA nella propria organizzazione, per comprendere in primo luogo quali dati vengono effettivamente fatti transitare verso gli USA (dati comuni, IP, dati particolari).

In assenza di prescrizioni da parte del Garante, che sarebbero incompatibili con il regime di accountability sancito dal GDPR, ciascun Titolare potrebbe, magari attraverso una valutazione di impatto, stabilire innanzi tutto se l’utilizzo di GA è davvero indispensabile, secondariamente se sia possibile sostituirlo con servizi alternativi, oppure rischiare e continuare ad usarlo con correttivi, mettendo in atto le “misure tecniche ed organizzative” necessarie per garantire la sicurezza dei dati anche in caso di utilizzo di GA.

Sulla vicenda leggi anche: Google Analytics dichiarato “illegale” dal Garante: e ora che succede?

3. Soluzione attendista: non fare niente e aspettare

Biden e Von Der Leyen si sono stretti la mano sull’accordo per il trasferimento die dati tra Unione Europea e Stati Uniti, quindi qualcosa prima o poi si muoverà a livello politico. Lo sanno gli addetti ai lavori e lo sa il Garante, che infatti non ha sanzionato la società che ha dato il la a tutta la vicenda, ma l’ha soltanto ammonita e le ha concesso 90 giorni per mettersi in regola.

Una tattica attendista, dunque, potrebbe essere la strategia giusta da adottare per quelle aziende che non possono o non vogliono mettere in campo soluzioni tecniche rischiose e costose, ma al contempo non possono o non vogliono rinunciare ad utilizzare GA sui propri siti: anche in questo caso l’accountability tutto copre e tutto permette, salvo poi essere in grado di documentare questa scelta in maniera consapevole e fondata sulla data protection by design.

4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

Oggi è GA nell’occhio del ciclone, ma considerato che giornalmente utilizziamo soluzioni informatiche made in USA, non possiamo essere certi che domani non toccherà a Microsoft o Apple, tanto per fare due nomi a caso.

Quindi, prima che la tentazione di abbandonare del tutto l’informatica e tronare alla cara vecchia Olivetti Lettera 32, aziende ed enti pubblici dovrebbero utilizzare l’affaire GA per cogliere un’opportunità: quella di sfruttare l’obbligo di compliance come propulsore per ripensare alla propria strategia di data protection, non più in mera ottica di “mi devo adeguare perché è obbligatorio”, ma “voglio gestire consapevolmente i dati, perché sono la ricchezza della mia azienda”: un’ottica innovativa che farebbe veramente entrare le aziende italiane nella rivoluzione digitale di cui si parla tanto e per la quale rischiamo, diversamente, di essere irrimediabilmente in ritardo e pertanto tagliati fuori.

Volume consigliato: