Le aziende manifatturiere che offrono servizi e prodotti online devono affrontare una nuova sfida: entro il 17 febbraio 2024 devono risultare conformi all’iniziativa europea Dsa, acronimo di Digital service act, regolamento europeo in materia di servizi digitali. Il Dsa è progettato per rendere trasparente la profilazione dell’utente, azzerare la disinformazione, migliorare i meccanismi di rimozione di contenuti illegali e per garantire la tutela dei diritti fondamentali degli utenti online, compresa la libertà di parola. Non riguarda, ovviamente, solo le imprese citate, ma tutte quelle coinvolte a vario titolo nella catena dei servizi digitali: dai fornitori di quelli di intermediazione a quelli di hosting alle piccole e grandi piattaforme e mercati online. Anzi, su queste ultimi ricadono gli obblighi più pesanti, perché sono proporzionali alle dimensioni dei player. Tuttavia, le imprese manifatturiere partono sfavorite, perché a differenza di altri player in genere non hanno alcuna esperienza in materia. Lo sa bene AlixPartners, la società americana di consulenza e di turnaround a livello globale che si occupa anche di compliance e che ha definito una strategia per supportarle in questo passaggio.
Anzitutto, una premessa: occorre agire subito. Il fatto è che l’adeguamento comporta una trasformazione che incide su tutta l’azienda, e per questo occorre tempo.
Tre, infatti, sono le direttrici della strategia suggerita da AlixPartners. Sotto il profilo organizzativo, occorre definire una governance specifica, inter-funzionale, progettando un sistema di controlli e di audit indipendenti annuali con misure correttive. Sotto quello del business, le offerte devono coerenti con la trasparenza e con il contrasto alla manipolazione delle informazioni. Infine, sotto quello tecnologico, occorre dar vita ad interfacce in grado di chiarire agli utenti chi paga la diffusione dei contenuti e sulla base di quali parametri ci si ritrova a riceverli.
L’elaborazione dei dati dei minori per la definizione di profili di consumo viene messa al bando. Le sanzioni per gli inadempienti sono molto pesanti: in base al genere di violazione, dall’1% al 6% del fatturato annuo totale, più eventuali risarcimenti da parte di chi ha subito danno a causa delle inottemperanze. Ne abbiamo parlato con Toto Zammataro, cyber risk and security director, Marcello Bellitto e Piero Masera, partners & managing director di AlixPartners.
Le ragioni che hanno portato all’adozione del Dsa
1) A cosa serve il Dsa
Diverse sono le ragioni che hanno portato il Parlamento Europeo a votare a favore dell’adozione dell’iniziativa “Digital Services Act” (Dsa). I servizi digitali comprendono una vasta categoria di servizi online, dai semplici siti web ai servizi di infrastruttura internet e alle piattaforme. Si utilizzano per comunicare, fare acquisti, ordinare cibo, trovare informazioni, vedere film e ascoltare musica; sono in continua evoluzione. Servono alle imprese per favorire gli scambi transfrontalieri e l’accesso a nuovi mercati.
In prima battuta, si può dire che con il Dsa si intende «evitare la diffusione di fake news, e anzi si vuole fare in modo che le informazioni siano verificate e tracciate. Si cerca inoltre di favorire un’esperienza online positiva, garantendo la trasparenza dei contenuti» – afferma Zammataro.
2) La timeline
Si diceva che nel luglio 2022 il Parlamento Europeo ha adottato “in prima lettura” sia la legge sui servizi digitali che quella sui mercati digitali. La Dsa, dopo il passaggio al Consiglio dell’Unione Europea, è stata pubblicata nella Gazzetta Ufficiale dell’Unione il 27 ottobre 2022 ed è entrata in vigore il 16 novembre dello stesso anno. Il Dsa sarà applicabile in tutta l’EU quindici mesi dopo l’entrata in vigore (e quindi entro il 17 febbraio 2024).
«In pratica – afferma Bellitto – per l’applicazione c’è tempo; ma è ora che bisogna lavorare per essere pronti a recepire in tempo gli obblighi normativi».
Chi sono gli obbligati alla compliance per il Dsa?
1) Le aziende responsabili
Sostanzialmente, ci sono quattro categorie di obbligati.
La prima riguarda i fornitori di servizi di intermediazione; ad esempio, quelli di caching (la cache è un livello di storage veloce che memorizza un sottoinsieme di dati, per lo più di natura temporanea. Il caching consente di riutilizzare in modo efficiente dati già acquisiti o elaborati. Il Web caching si riferisce a documenti in rete – pagine Html, immagini, e altro – e permette di ridurre l’uso della banda e il tempo di accesso ad un sito online; Ndr). «Insomma, questi servizi di caching facilitano la fruizione di contenuti su internet; si pensi a CloudFlare o Akamai», dichiara Zammataro.
La seconda riguarda i fornitori di servizi di hosting, e cioè quelli che allocano sul web delle pagine di un sito, rendendole accessibili. Ad esempio, Hostinger, Ionos, SiteGround, DreamHost, Cloudways.
La terza concerne le piattaforme o i mercati online. Ad esempio, i siti web di viaggi, o di alloggi online. «Dal momento in cui un’azienda inizia a vendere online, fa parte di questa categoria», dice Bellitto.
La quarta, è quella delle “grandi” piattaforme, o dei “grandi” motori di ricerca. «Insomma, Facebook e Google, ad esempio. I “grandi” sono soggetti agli obblighi più stringenti», sottolinea Bellitto. Con quale criterio si giunge a questa classificazione? Tutte le piattaforme online devono pubblicare il numero di utenti attivi entro il 17 febbraio 2023. Se la platform o il motore di ricerca hanno più di 45 milioni di utenti (10% della popolazione in Europa), sono definiti “grandi” dalla Commissione Europea; in questo caso hanno solo quattro mesi per ottemperare agli obblighi della Dsa – che comprendono l’esecuzione e la fornitura alla Commissione della prima valutazione annuale dei rischi.
2) Le persone responsabili
Secondo Zammataro, nel caso di violazioni «c’è anzitutto una specifica responsabilità degli apici executive della società, come il ceo o i membri del cda. L’idea è che la riforma deve essere implementata in modo trasversale. Si fa l’esempio di un portale di e-commerce di un’impresa. In questo caso, dopo i soggetti citati, la responsabilità ricade anche sul leader del business dell’azienda e su quello della specifica linea di business coinvolta; su quello che presiede all’architettura digitale, sull’ufficio legale e su chi si occupa della compliance. Infine, su altri soggetti, come il responsabile marketing».
«In pratica – continua Bellitto -, come per il Gdpr, si vuole agire sul modus operandi delle aziende, e per conseguire questo risultato si coinvolgono più figure e più comparti dell’impresa».
Gli obblighi “differenziati” a seconda della categoria
1) Le due direttrici del provvedimento
Quanto alla prima, è quella tra l’utente e il fornitore di contenuti. «Quando l’utente accede ad un sito di e-commerce, l’offerta di prodotto non può essere falsa o fuorviante, e non può essere diretta ai minori se riguarda beni destinati agli adulti» – continua Zammataro.
Quanto alla seconda, riguarda i rapporti tra il fornitore del servizio e il regolatore, «e cioè l’agenzia di polizia o il rappresentante nazionale per la Dsa, quando si segnala al fornitore che alcuni contenuti sono inappropriati» – termina Zammataro.
2) I principali obblighi comuni a tutte le categorie
Questi sono quelli che interessano le aziende manifatturiere che hanno, o intendono avere, un commercio online dei propri prodotti.
Ad esempio, quello di segnalare in modo esplicito le condizioni di servizio e i relativi requisiti; ma anche quello di fornire informazioni puntuali sugli algoritmi che fanno sì che i sistemi possano consigliare questo o quel contenuto. La trasparenza nella pubblicità online dev’essere considerata come un elemento fondante: le pratiche ingannevoli, i dark pattern (interfacce accuratamente studiate e realizzate per indurre gli utenti a compiere azioni indesiderate e svantaggiose, come acquistare un’assicurazione troppo costosa o iscriversi a servizi in abbonamento non voluti; Nr) sono di fatto aboliti. Gli algoritmi, peraltro, potranno essere sempre contestati dagli utenti.
Le aziende, inoltre, sono tenute a istituire meccanismi di reclamo e risoluzione extragiudiziale delle controversie; a controllare le credenziali dei fornitori terzi; a denunciare i reati e a collaborare con le autorità.
3) Gli obblighi per le grandi piattaforme
Al di là dei citati doveri di comunicazione, le grandi piattaforme, così come definite, hanno degli obblighi specifici che incombono solo su di loro. Ad esempio, l’adozione di codici di condotta particolari, la definizione di ulteriori attività in termini di gestione rischi, la condivisione dei propri algoritmi con le autorità, il dovere di sottoporsi alla verifica della correttezza delle procedure adottate e dei dati di bilancio con audit indipendenti, e altro.
Ricorrendo talune circostanze, sono esenti da tali obblighi i provider di caching, trasporto e hosting, perché non ritenuti responsabili delle informazioni salvate su richiesta da parte di un destinatario.
Chi vigila sull’applicazione del regolamento: due nuove figure
Il Dsa anzitutto istituzionalizza una nuova figura di controllo: il Digital services coordinator, che è in sostanza l’autorità nazionale che deve vigilare sull’applicazione degli obblighi, sul coordinamento delle norme e redigere una relazione annuale sulle proprie attività. Indaga sugli illeciti con potere di ispezione e gestisce i reclami. Può imporre sanzioni e può chiedere, se necessario, l’intervento delle autorità giudiziarie delle Stato. I coordinatori dei singoli Stati membri, nominati entro il 17 febbraio 2024, formano il comitato europeo per i servizi digitali, a sua volta presieduto dalla Commissione Europea.
Le grandi piattaforma, a loro volta, nominano un compliance officer, figura interna che deve controllare l’osservanza del regolamento da parte delle aziende.
Rapporti con altre norme
«Non c’è solo il Dsa. Il nuovo regolamento si incrocia con altri», dice Bellitto.
On effetti ci sono anche il Dma (Digital market act, il nuovo regolamento che secondo l’Ue metterà fine alle pratiche sleali da parte delle aziende che fungono da “guardiani”, e cioè regolatori privati, nell’economia delle piattaforme online; Ndr), il Nis 2 (che sostituirà l’attuale legge sulla cybersicurezza dell’Ue, la direttiva Nis), e il Cra (Cyber resilience act, che stabilisce i requisiti di cybersicurezza per un’ampia gamma di prodotti hardware e software immessi sul mercato europeo, tra cui giochi, sistemi operativi, altoparlanti intelligenti e altro).
«Tutte queste norme rispondono a tematiche esplose con la digitalizzazione. La sfida è quella di armonizzare le nuove regolamentazioni alle altre, anche già operative», prosegue Bellitto.
Per la piccola manifattura l’impegno è più oneroso
«Per una telco adeguarsi al Dsa non è così difficile. Già per essere qualificata come tale, una Telco si è strutturata per essere compliant con normative, ad esempio quelle sulla privacy, di questo tipo. Per un’azienda manifatturiera le cose stanno diversamente: in genere non ha mai affrontato percorsi di questo tipo e non dispone di un comparto digitale attrezzato. Eppure, se intende rendere operativo un canale di vendita online, deve attrezzarsi. Per cui le conviene farsi seguire da un supporto specialistico esterno, nei primi tre o quattro anni», afferma Zammataro.
«Per un’azienda manifatturiera la necessità di essere compliant può derivare dalla sola sensorizzazione dei prodotti, e quindi dall’offerta di servizi ricorrenti che comporti la necessità della raccolta di dati dai clienti. Ora è il momento di prepararsi per tempo, e di capire cosa fare. L’impatto, in termini di spesa, può essere sottostimato. Se infatti i servizi sono oggetto di Dsa, costeranno di più, perché l’impresa dovrà assumere qualcuno che si occupi, appunto, di compliance», afferma Bellitto.
Cosa devono fare le aziende
«Non è solo una questione di algoritmi. Anzitutto occorre comprendere il dettato normativo; in secondo luogo, si tratta di agire in maniera olistica, nella consapevolezza che la compliance comporta un adeguamento secondo tre direttrici: tecnologica, organizzativa e di business», dice Bellitto.
In realtà, secondo AlixPartners, la direttrice più importante è quella organizzativa. Perché la nuova regolamentazione incide sull’azienda in senso lato. L’impresa deve anzitutto valutare se dispone dell’expertise e della struttura necessarie ad affrontare i rischi cui è esposta. Occorre “smantellare” i silos comunicativi che troppo spesso caratterizzano l’attività delle aziende. Infatti, le soluzioni funzionano solo se sono studiate, al contempo e in pieno accordo, dalle funzioni legale, business e tecnologica. È dunque necessario creare una nuova governance, che si occupi espressamente della Dsa. D’altra parte, se il comparto legale intende modificare un algoritmo perché l’offerta online ai clienti sia conforme alla normativa, è impensabile che il resto dell’azienda non partecipi a questa operazione. E il tutto dev’essere realizzato nella maniera più trasparente possibile.
Le politiche interne e le procedure devono essere definite con chiarezza; va peraltro istituito un unico punto di contatto, legale rappresentante per queste vicende. Occorre garantire che i termini di servizio riflettano chiaramente i diritti fondamentali. La funzione di conformità interna deve operare in modo indipendente dall’impresa e occorre tenere un audit annuale indipendente con azioni correttive.
La trasformazione del modello operativo deve idealmente essere molto leggera per non appesantire l’attività dell’impresa. A tal fine è necessario trasformare il modo di fare le cose e adottare «un approccio orientato al cambiamento culturale dell’azienda, responsabilizzando anzitutto il management, indicando la nuova missione e le azioni per conseguirla. Alla fine, la trasformazione riguarda lo stesso Dna dell’impresa, perché contempla una nuova necessità, quella di tutelare il cliente finale. A cascata, poi, tutti devono partecipare all’operazione», dice Masera.
Quanto al business, secondo Bellitto l’azienda deve rispondere a queste domande: «Come impatta tutto ciò sul business dell’azienda? Come quest’ultima deve cambiare i suoi servizi ed il modo di fare business?».
Ed è esattamente qui che il business incontra la direttrice tecnologica. Il fatto è che «non si deve realizzare un front-end digitale come quello per la privacy, quello con il quale si chiede all’utente quali cookie intende accettare i cookie» – afferma Masera. Piuttosto, occorre creare una interfaccia con segnalatori attendibili e un ambiente di controllo che permetta l’identificazione continua e la gestione dei rischi derivanti dall’utilizzo dei servizi oggetto della regolamentazione, nonché quella dei reclami degli utenti. «Occorre tracciare il percorso dell’utente e segnalare i contenuti non coerenti con la Dsa: Si deve pertanto intervenire sulle interfacce partendo dall’idea che la comunicazione sarà essenziale. Come si è detto, molte aziende partono quasi da zero, perché storicamente non hanno mai dovuto affrontare questioni di questo genere» – continua Masera.
Il sistema dev’essere in grado di realizzare la cooperazione e la condivisione dei dati con le autorità di controllo, comprese le specifiche dei sistemi algoritmici. Deve consentire risposte pronte, anche in termini di segnalazione di reati. E deve facilitare relazioni chiare e comprensibili, comprendenti un archivio accessibile sulla pubblicità online.
