Cosa possono fare le aziende manifatturiere per tutelare il proprio investimento in Intelligenza Artificiale? Questa consiste in algoritmi, software e dati raccolti lungo la catena del valore. Se questi elementi fossero illecitamente ceduti dai dipendenti ad altre aziende, o se fossero carpiti illegittimamente da terzi, l’impresa che ha investito perderebbe quel vantaggio competitivo che pensava di aver acquisito implementando l’IA. L’impresa può anzitutto tutelare gli algoritmi come segreto commerciale, formula ampia che riguarda l’intero know how aziendale. Deve trattarsi però di informazioni di apprezzabile valore economico e segrete, rese tali da comportamenti attivi dell’impresa. Per evitare guai, l’azienda può porre in essere sei regole e sei best practice riportate in seguito. Fra queste, però, si sottolinea l’importanza di perimetrare il segreto, che deve avere un contenuto definito, e di implementare delle policy di tutela, perché le informazioni siano condivise solo alle persone autorizzate.
Ma cosa succede quando la violazione si è verificata? L’azienda può esercitare l’azione ordinaria civile. Ma in Italia ci vogliono anni, prima che la giustizia faccia il suo corso. Può optare per l’azione cautelare: in questo caso occorrono mesi, e l’attività della concorrenza può essere inibita anche inaudita altera parte. Infine, l’ultima arma a disposizione dell’azienda è l’azione penale. Qui però, ad essere tutelato è il segreto industriale: e cioè le informazioni strategiche, quelle da cui dipende l’esistenza stessa dell’impresa.
Tutto ciò è emerso all’evento online “Intelligenza Artificiale: la tutela del know-how sul posto di lavoro”, organizzato da AFIL, l’Associazione Fabbrica Intelligente Lombardia che, guidata dal presidente Diego Andreis, porta all’attenzione della Regione le priorità della ricerca e innovazione della manifattura. AFIL sta realizzando una roadmap sull’Intelligenza Artificiale, nella quale verranno illustrate le priorità di R&I nell’ambito dell’IA, strategiche per il manifatturiero avanzato in Lombardia. Questo documento, che sarà una linea guida fondamentale per l’implementazione della Strategia di Specializzazione Intelligente della regione, evidenzierà anche le principali barriere per l’adozione e lo sviluppo dell’IA. Tra queste emergono barriere legali e regolamentari all’adozione di questa tecnologia, per cui occorre un approccio interdisciplinare. Ne hanno parlato le avvocatesse Gigliola Pirotta, Barbara Bottalico, Monia Baccarelli e Giulia Escurolle, nonché il cluster manager di AFIL Giacomo Copani.
AFIL e la roadmap sull’intelligenza artificiale
AFIL, soggetto di riferimento della Regione più industrializzata d’Italia per la definizione delle strategie di ricerca e innovazione nel settore manifatturiero, è nel pieno dell’elaborazione di una Roadmap regionale sull’Intelligenza Artificiale. «Sarà terminata entro l’estate – ha affermato Copani – e crediamo che la Regione la approverà entro la fine dell’anno». Un lavoro «grosso e impegnativo», che AFIL svolge insieme ad altri enti chiave per il territorio regionale, come il MADE (il competence center industria 4.0 di Milano), il Digital Innovation Hub Lombardia, della territoriale di Confindustria, il Joint Reserach Center della Commissione Europea, e altri.
Si tratta anzitutto di individuare le priorità della ricerca e dell’innovazione in questo ambito – le applicazioni adatte al particolare fabric del territorio, in modo da “mettere a terra” le potenzialità di questa tecnologia. «Ma si intende anche di rilevare le barriere all’adozione dell’AI, che vanno rimosse con una opportuna azione di policy e di supporto alle imprese». Molti di questi ostacoli sono di natura regolamentare, legale, etica o relativi agli standard. Di qui la partecipazione, alla definizione della Roadmap, di esperti in questi campi.
Cos’è l’Intelligenza Artificiale e perché si pone il problema della tutela
L’AI è costituita da software (talora utilizzati in collaborazione con hardware) che sono in grado di percepire l’ambiente che li circonda, acquisire ed interpretare dati, e formulare decisioni basate sull’evidenza raccolta per raggiungere un obiettivo prefissato. Fanno delle scelte che potrebbero essere assimilate a quelle degli umani. Dunque, sono tre gli elementi che danno vita all’AI. L’algoritmo, e cioè il procedimento attraverso il quale un sistema informatico risolve un determinato problema. Il software, e cioè l’insieme degli algoritmi scritti in un certo linguaggio di programmazione (codice sorgente) e poi codificati in un codice memorizzabile ed eseguibile da una macchina. I dati, e cioè le informazioni di cui l’AI si nutre.
Questi dati sono possono essere raccolti dallo shopfloor, o dalla filiera, lungo la linea di distribuzione. «Se venissero violati da terzi – ha affermato la Pirotta – ciò determinerebbe per l’azienda che ha investito in AI una perdita del vantaggio competitivo che pensava di aver acquisito». L’investimento in AI è sempre più importante, nel contesto manifatturiero. Nel 2020, è stato pari a 40 milioni di euro; ma si stima che grazie al PNRR (Piano Nazionale di Ripresa e Resilienza) e a Transizione 4.0 si assisterà ad un incremento considerevole nei prossimi anni. D’altra parte, nella manifattura ci sono casi d’uso tipici: dalla rete digitale di fornitura al monitoraggio dello shopfloor e delle macchine utensili.
Soluzione a basso costo per tutelare gli algoritmi dell’AI: il segreto commerciale
-
Gli algoritmi dell’AI nel contesto del segreto commerciale
Come tutelare gli algoritmi? La forma più agevole e meno costosa è quella del segreto commerciale, introdotto nel 2018 in una nuova norma del Codice della Proprietà Intellettuale (di cui parlerà la Baccarelli). Infatti, il segreto commerciale considera l’intero bagaglio di informazioni (a carattere tecnico industriale) e di conoscenze maturate nel corso dell’attività, ma anche le risorse strategiche come idee e soluzioni e tutto ciò che consente all’impresa di conquistare e mantenere un vantaggio competitivo sul proprio mercato di riferimento. L’intero know how dell’azienda, e dunque anche l’algoritmo. La normativa tutela le informazioni segrete, e cioè non conosciute dalla generalità degli operatori, e che hanno un valore economico. L’azienda deve aver adottato misure ragionevolmente adeguate per impedirne la divulgazione. «Il vantaggio di utilizzare il segreto commerciale – ha affermato la Pirotta – consiste nei costi molto limitati, nella possibilità di depositare, in seguito, un brevetto; lo svantaggio è che l’algoritmo protetto non può essere condiviso, e ciò potrebbe bloccare l’innovazione».
-
Sei regole che l’azienda deve seguire per gestire il segreto commerciale
Anzitutto, si tratta di perimetrare il segreto, di proteggerlo e di determinarne il valore anche in vista dei costi per mantenerlo celato a terzi; poi, occorre monitorare la sicurezza della segretezza sia nei confronti dei terzi che dei dipendenti (ed ex), consulenti e collaboratori. Ciò si può fare con investigazioni, con controllo diretto, a distanza e altro; ancora, bisogna essere in grado di dimostrare che il segreto è stato violato. Contano, ad esempio, i registri video crittografati e con data e ora, o le dichiarazioni notarili che riportano i protocolli di sicurezza definiti prima dell’illecito; inoltre, si deve identificare l’autore della violazione, ad esempio attraverso indirizzo IP è utilizzato per accedere al server; ancora, occorre essere in grado di correlare l’uscita di prodotti della concorrenza simili alla violazione di segreti da parte dei dipendenti; infine, bisogna adottare un protocollo standard che individui, prima di esperire la tutela civile o penale, una gradazione di rimedi interni.
-
Sei best practice per la gestione del segreto
Secondo la Pirotta, le aziende possono pertanto seguire sei best practice in materia. Quanto alla prima, l’impresa deve assegnare alla sicurezza del segreto specifiche persone, parcellizzando i diversi tipi di informazioni, per valore e misure da adottare; in secondo luogo, deve implementare policy e linee guida appropriate, stabilendo il divieto di condividere l’informazione salvo nei casi espressamente indicati; ancora, l’azienda deve effettuare test periodici di vulnerabilità dei sistemi di registro dei documenti elettronici chiave; inoltre, è tenuta a limitare l’accesso ai sistemi di registro al solo personale autorizzato e ad adottare tecniche di cifratura delle informazioni; in quinto luogo, anche i record cartacei devono essere accessibili ai soli dipendenti autorizzati. Vanno implementate tecniche di sorveglianza a monitoraggio, contrassegnando i documenti; infine, c’è la questione della gestione dell’ufficio. Per mantenere il segreto commerciale, occorre stabilire delle regole relative alle conversazioni al cellulare, alle interviste, all’utilizzo dei social, alla distruzione dei documenti e tanto altro.
Misure che l’azienda deve prendere nei confronti dei propri dipendenti, per la gestione sicura dei dati
-
La gestione dei dati da parte dei lavoratori
L’AI, come abbiamo visto, si nutre di dati. Ma chi li gestisce, materialmente? i dipendenti dell’azienda. Dunque, assume rilievo, per quest’ultima, porre in essere un insieme di iniziative nei confronti dei lavoratori per tutelare le informazioni. Anzitutto, va sottolineato che l’amministrazione dei dati, da parte dei dipendenti, può avvenire sia con una strumentazione aziendale – ad esempio tramite intranet o con i software gestionali – che da remoto, e quindi con un PC. In questa seconda modalità, per esempio, informazioni relative all’azienda possono essere presenti in una mail.
-
Cosa deve fare l’azienda se il lavoratore è in smart working?
Uno dei fenomeni connessi alla pandemia di Covid-19 è stato l’esplosione del lavoro agile, lo smart working. Consiste in una modalità diversa di esecuzione del lavoro subordinato: l’attività è decentrata, non svolgendosi più nel perimetro aziendale ma altrove – sovente nel domicilio del dipendente. Non ci sono, cioè, vincoli di orario o di luogo, ma di obiettivo. La strumentazione tecnologica viene messa a disposizione dall’azienda, e il datore di lavoro resta responsabile per la sicurezza del dipendente. C’è il rischio che gli strumenti che il dipendente utilizza siano vulnerabili ad attacchi esterni, e che ciò possa comportare l’acquisizione di informazioni aziendali da parte di soggetti terzi. Infatti, i dispositivi personali del lavoratore risultano spesso sforniti di adeguate protezioni. «Dunque – ha affermato la Bottalico – bisogna mettere in atto delle apposite misure tecniche di sicurezza, e ciò senza travalicare la sfera privata del lavoratore, con ingiustificate intromissioni nei dati personali del dipendente. È un equilibrio complesso, quello che va attuato: meglio confrontarsi con esperti in fatto di privacy».
-
Policy generali sulla tutela dei dati
Grazie ad apposite policy, l’azienda può chiedere ai lavoratori di: mantenere segrete le proprie credenziali di accesso (come password e pin); non lasciare i propri dispositivi disponibili in caso di assenza momentanea dalla propria postazione lavorativa; controllare le entrate ad internet ed ai servizi di posta elettronica; verificare la presenza di eventuali tracce malevoli prima di utilizzare supporti rimovibili, quali pendrive e memory card; curare l’osservanza di backup periodici; ed evitare l’uso di device aziendali al di fuori dell’ambito lavorativo. Dal momento che ogni impresa ha caratteristiche peculiari «le policy – ha affermato la Bottalico – vanno modulate su di esse. Si deve peraltro evitare di ingessare l’azienda con pratiche o procedure inutili ed ininfluenti sul piano della sicurezza informatica». Per rafforzare le policy, è inoltre opportuno prevedere sanzioni disciplinari.
L’azienda può brevettare l’AI?
Il brevetto è un titolo giuridico grazie al quale al detentore viene conferito un diritto esclusivo di sfruttamento di un’invenzione, in un territorio e per un periodo ben determinato. Consente di impedire ad altri di produrla, venderla o utilizzarla senza autorizzazione. La domanda è: è possibile “brevettare” l’intelligenza artificiale? Dipende. Non si può farlo con un algoritmo: è un metodo matematico; tuttavia, questa via non è chiusa nel caso del sistema, del software che “contiene” gli algoritmi. «Anche se – ha chiarito la Baccarelli – il brevetto è depositato, è pubblico, quindi l’azienda deve fare una valutazione di opportunità».
La normativa a tutela del know how
Ma in base a quale normativa può essere tutelato il know-how? In realtà, a più di una: ad esempio, l’articolo 2598 del codice civile (atti di concorrenza sleale); il Regolamento CE 772/2004 (relativo agli accordi di trasferimento della tecnologia); artt. 98 e 99 del Codice di proprietà industriale (tutela dei segreti commerciali); Regolamento UE 316/2014 (sempre in tema di accordi di trasferimento della tecnologia); Patent Box (regime di tassazione agevolata per le imprese che svolgono attività di ricerca e sviluppo: possono escludere dalla base imponibile il 50% dei redditi derivanti dall’utilizzo, anche congiunto, di determinati beni immateriali); direttiva UE 2016/943 (sulla protezione del know how riservato e sulle informazioni commerciali riservate – i segreti commerciali – contro l’acquisizione, l’utilizzo e la divulgazione illeciti). Quest’ultima è la direttiva “Trade secret”, cui hanno aderito Belgio, Repubblica Ceca, Danimarca, Irlanda, Francia, Croazia, Italia, Lituania, Ungheria, Malta, Paesi Bassi, Polonia, Slovacchia, Finlandia, Svezia e Regno Unito. Secondo la Baccarelli «ha migliorato norme già presenti nel codice della proprietà industriale».
Strumenti giudiziari (civili) per la tutela del know how
Nel caso in cui la violazione si sia verificata, di quali strumenti dispone l’azienda per ottenere giustizia? La tutela giudiziale è esercitata da una sezione specializzata in Impresa del Tribunale. Che cosa può chiedere l’azienda che si ritiene danneggiata? Può esercitare l’azione ordinaria, perché una certa condotta sia dichiarata illecita, e per ottenere misure correttive, il risarcimento del danno e sanzioni civili. «Il problema è che i tempi non sono brevi» – ha affermato la Baccarelli. Tempi più rapidi (mesi e non anni), invece, caratterizzano l’azione cautelare, che infatti dà vita ad un procedimento nel quale l’attore mira ad ottenere un provvedimento giudiziario con cui si tutela fin da subito una certa situazione giuridica. «Se il giudice ritiene che la domanda sia fondata, può inibire l’attività della concorrenza». E ciò può essere attuato senza che la parte soccombente sia preavvisata, e anche “inaudita altera parte”.
Il giudice può stabilire misure correttive e sanzioni civili. «Ad esempio, può imporre la pubblicazione del provvedimento, sanzione piuttosto pesante per la reputazione dell’impresa concorrente». All’estero, si sono verificati casi importanti di azioni giudiziarie. Ad esempio quello emerso a seguito della condotta dell’ingegnere automobilistico franco-statunitense Anthony Levandowski. Nel 2009, Levandowski ha co-fondato il programma di auto a guida autonoma di Google, ora noto come Waymo, di cui è stato responsabile tecnico fino al 2016. Nel 2016, ha co-fondato e venduto Otto, una società di trasporto a guida autonomo, la Uber Technologies. Nel 2018 ha co-fondato un’altra società del genere, Pronto, la prima azienda tecnologica a completare una guida fuoristrada in un veicolo autonomo nell’ottobre 2018. Nell’agosto 2020, Levandowski ha ammesso di aver scaricato illegalmente migliaia di file prima di lasciare Waymo, si è dichiarato colpevole di una delle 33 accuse ed è stato condannato a 18 mesi di prigione. Sei mesi dopo, è stato graziato dal presidente Donald Trump.
La tutela penale del know how
Il know how di una azienda è tutelato anche dal codice penale. Se ne occupa l’articolo 623, intitolato “Rivelazione dei segreti scientifici e industriali”. Per mettere in moto la macchina della giustizia, è necessaria la querela della persona offesa. La legge, in sostanza, punisce (con la reclusione fino a due anni) chiunque, venuto a conoscenza di segreti commerciali o invenzioni scientifiche a causa del suo ufficio o della sua professione, li riveli o li impieghi a proprio (o altrui) profitto. Stessa pena per chi svolge queste attività dopo aver carpito i segreti in modo abusivo. La sanzione è aumentata se il reato è commesso tramite strumenti informatici.
«Il bene tutelato – ha affermato la Escurolle – è il segreto industriale, che però non corrisponde a una qualsiasi informazione riservata, ma quelle di valore strategico, quelle da cui può dipendere l’esistenza stessa dell’azienda e della sua organizzazione». Ma da chi deve tutelarsi penalmente l’azienda? Nella maggior parte dei casi, dai dipendenti, per i quali, secondo la Escurolle, occorre una formazione e una sensibilizzazione specifica in materia.
