Assemblee a distanza: il pericolo Deepfake

La pandemia da Covid-19 ha provocato innumerevoli sconvolgimenti nelle vite di tutti, accelerando drasticamente, al contempo, l’adozione e l’implementazione di nuove tecnologie, con riferimento, in particolare, alle Assemblee necessarie ed urgenti. Il fenomeno del Deepfake, inoltre, rende lo svolgimento di Assemblee da remoto molto più complesso.

Indice degli argomenti

Introduzione
Il pericolo delle tecnologie di Deepfake: adempimenti ed indicazioni operative necessarie ad evitarlo
Osservazioni conclusive

Introduzione

La novità più rilevante della legislazione emergenziale e, in particolare, del c.d. decreto Cura Italia, Decreto-Legge 17 marzo 2020, n.18, convertito in Legge 27/2020^[1], è senz’altro rappresentata dalla norma che consente a qualsiasi società, in deroga a qualsiasi altra disciplina (legislativa, regolamentare e statutaria) di obbligare, mediante esplicita statuizione nell’avviso di convocazione, i partecipanti all’assemblea a svolgerla in “totale” audio conferenza: vale a dire senza la presenza fisica dei partecipanti nel luogo prescelto al fine di svolgere l’adunanza, dovendosi essi tutti “collegarsi” – qualora intendessero partecipare all’assemblea – in modalità audio/video.

Alla luce della disciplina emergenziale, all’assemblea “totalmente analogica”, svolta unicamente con la presenza fisica dei membri, e all’assemblea “parzialmente analogica”, ossia l’adunanza che si svolge con la presenza fisica – perlomeno – del Presidente e del Segretario nel luogo di convocazione, ma che offre agli intervenienti la possibilità di collegarsi in audio-conferenza, al di là della circostanza che sia stata prevista dallo Statuto o meno, si aggiunge la nuova Assemblea in full audio/video conference alla quale è possibile partecipare solo mediante audio/video conferenza^[2].

In tale ultima ipotesi, Presidente e Segretario ben potrebbero trovarsi nello stesso luogo collegati in audio/video conference; nondimeno, è consentito, “in ogni caso”, che non vi sia «la necessità che si trovino nel medesimo luogo, ove previsti, il presidente, il segretario o il notaio^[3]» e, pertanto, anche in deroga a clausole dello Statuto che prevedano la presenza fisica dei partecipanti nello stesso luogo di convocazione.

La convocazione di un’Assemblea esclusivamente telematica pone, anzitutto, un onere in capo a tutti i Soci di dotarsi e utilizzare i mezzi di telecomunicazione indicati dalla società. Il Presidente e il Segretario o Notaio devono svolgere le proprie funzioni necessariamente attraverso i medesimi mezzi di telecomunicazione utilizzati da tutti i partecipanti all’Assemblea: il Presidente deve poter accertare l’identità e la legittimazione degli intervenuti e dirigere i lavori assembleari, mentre il segretario o notaio deve poter assistere e verbalizzare quanto percepito in via telematica.

Il pericolo delle tecnologie di Deepfake: adempimenti ed indicazioni operative necessarie ad evitarlo

È pacifico che, nel redigere il verbale assembleare nella forma dell’atto pubblico il notaio non sia soggetto al dovere ex art. 51, comma II, n. 4, della legge n. 89/1913, di registrare la certezza dell’identità personale dei partecipanti e del Presidente^[4].

Ecco perché una delle maggiori difficoltà che si pone in un’Assemblea che si svolge in tutto o in parte on line è quello della autenticazione dei partecipanti ai sensi del summenzionato art. 106, comma 2, D.L. n. 18/2020. Ebbene, in tale contesto, a causa della continua evoluzione tecnologica, un nuovo pericolo si insinua: il fenomeno del Deepfake.

Come ampliamente spiegato nell’articolo richiamato sul tema^[5], la tecnologia di Deepfake si sta evolvendo ad una velocità tale che oggi risulterebbe possibile impiegarla in una videocall, impersonando qualcun altro. Come si rammenta, il Deepfake risale al 2018, quando uno sviluppatore adattava tecniche di AI per creare un software che scambiava il volto di una persona con quello di un’altra al fine di ingenerare un nuovo video con il volto “switchato”, comprensivo di lip-synch e movimenti. Oggi il processo appare assai semplificato e la sensibilità sul tema è assai maturata. Tanto da indurre colossi come Facebook, Twitter e Tik Tok a vietarli.

Sempre più aziende stanno sviluppando strumenti per individuare i Deepfakes, analizzando foto e video per dare un “punteggio di fiducia” (confidence score) sulla probabilità che il materiale sia stato creato artificialmente. Sistemi che aiuteranno a combattere la disinformazione e le manipolazioni, ma che rischiano di divenire rapidamente obsoleti a causa del ritmo al quale la tecnologia deepfake avanza. Al fine di arginare tale pericolo, esistono sistemi integrati con l’aggiunta di codici nascosti ai filmati dei content creators in modo che qualsiasi modifica apposta sullo stesso ex post possa essere facilmente segnalata^[6].

Siffatti strumenti, applicando le proprie tecniche di apprendimento automatico a un dataset pubblico di sequenze video Deepfake, tentano di intercettare gli indizi da cui desumere che un’immagine sia stata manipolata artificialmente, segni che potrebbero essere invisibili all’occhio umano. Questi includono sottili pixel in dissolvenza o in scala di grigi presenti nei punti in cui il volto dell’ignara vittima è stato fuso con il vero proprietario del corpo.

Uso tristemente diffuso è nel revenge porn e nella pornografia non consensuale, ma non è da sottovalutare il rischio che venga utilizzato anche in contesti di business. Per arginare tale rischio, è necessario consentire al Presidente dell’Assemblea l’identificazione dei partecipanti, il quale, poi, è tenuto a riferire della sua attività di identificazione al Segretario verbalizzante, la cui funzione, è appunto quella di ricevere tale dichiarazione, valutarla coerentemente e diligentemente, e di farne apposita menzione nel verbale^[7]. Per fare ciò il Presidente può servirsi di tecnologie in grado di occuparsi di identificare i soggetti con valenza legale, utilizzando la modalità di identificazione ideale possibile alla luce delle peculiarità del singolo contesto.

In questo caso il Presidente può affidarsi alla normativa eIDAS^[8], che ha stabilito principi e procedure per ottenere l’identificazione dei soggetti con valenza legale. Interessante è il sistema di identificazione a fattori multipli che prevede di utilizzare più strumenti per avere un’identificazione del soggetto. In questo caso si dividono i mezzi in tre categorie, ogni categoria risponde ad una domanda diversa:

Qualcosa che solo il soggetto conosce: per esempio una password
Qualcosa che solo il soggetto possiede: un dispositivo, per esempio uno smartphone con numero di telefono e relativa scheda SIM intestata ad esso o ad altro soggetto che può identificare l’utilizzatore
Qualcosa che il soggetto è: per esempio, le impronte digitali o il riconoscimento facciale.

Esistono molti software che permettono di identificare i soggetti tramite i principi dell’eIDAS, in particolare, utilizzando il sistema di OTP (One Time Password), trasmesso tramite tecnologia SMS in modo da poter essere letto unicamente dal dispositivo legato ad una specifica utenza telefonica. Di contro, ciò non è realizzabile mediante i sistemi di messaggistica istantanea, che spesso permetto l’accesso anche da dispositivi come laptop o tablet.

Peculiarità tutta italiana è quella che riguarda l’utilizzo del sistema SPID (Sistema Pubblico di Identità Digitale). Detto sistema si fonda su diversi gradi di certezza dell’identità e, impiegato in tale contesto, permetterebbe di accedere ed identificarsi tramite un sistema sicuro e già conosciuto dal partecipante, alla luce del largo utilizzo dello SPID nelle procedure digitali con la Pubblica Amministrazione.

Quanto alle indicazioni di carattere operativo, per le Assemblee servirà la massima cautela nella redazione dell’Avviso di convocazione dell’Assemblea, nonché attenzione nello scegliere le modalità di svolgimento della stessa, affinché siano garantiti a pieno la partecipazione e l’esercizio del diritto

In particolare, si segnala anche la necessità di richiedere ai Titolari del Trattamento le finalità e i dati oggetto del Trattamento al gestore della piattaforma web che si occuperà dell’individuazione dei Soci partecipanti alla riunione, fornendo prima della stessa, le informazioni richieste mediante apposita informativa (o “privacy policy”) da rendere alla Società nel rispetto della vigente normativa in materia di protezione dei dati personali, e, nella specie, ai sensi del Regolamento UE 2016/679 (GDPR) relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Osservazioni conclusive

In astratto, non sorgono, dunque, particolari problemi per le modalità di svolgimento dell’Assemblea, se non quelli relativi all’uso degli strumenti tecnologici stessi (es. il mancato funzionamento dei presidi tecnologici utilizzati, problemi di connessione, etc.). Dal momento che grazie agli strumenti appena esposti è possibile ricorrere “anche in deroga alle diverse disposizioni statutarie”, questi strumenti potranno essere adottati non soltanto qualora lo statuto non disponga alcunché in merito, ma anche laddove – eventualmente – vi fossero previsioni che espressamente vietino il ricorso ai mezzi di partecipazione di cui all’art. 2370, comma IV, c.c.

Fermo tutto quanto precede, per quel che riguarda la convocazione di un’Assemblea esclusivamente telematica l’organo amministrativo ha l’obbligo di predisporre collegamenti idonei per lo svolgimento della medesima, sia nella scelta della tipologia dei mezzi di telecomunicazione sia nella adeguatezza della tecnologia utilizzata, e, come abbiamo visto in precedenza^[9], il Presidente è tenuto a svolgere gli accertamenti richiesti dall’art. 2370 c.c. in relazione all’identità e alla legittimazione dei soggetti intervenuti in modo da raggiungere un certo grado di certezza^[10].

Per evitare le insidie del Deepfake anche in queste situazioni, gli sviluppatori di software si stanno adoperando nello sviluppo di strumenti per individuare tale fenomeno mediante l’analisi di foto e video e l’utilizzo di un confidence scoresulla probabilità che il materiale sia stato creato artificialmente. Sistemi che aiuteranno a combattere la disinformazione e le manipolazioni e permetteranno, al netto degli adempimenti soprarichiamati, di cogliere l’opportunità di svolgere le Assemblee da remoto affidando l’implementazione del sistema di identificazione dei soggetti societari alle soluzioni Legaltech,

Questo contributo è stato redatto da un articolista di Legaltech Italia, partner di DirittoConsenso.it”

UNISCITI A NOI!
Se vuoi dirci la tua e rimanere aggiornato sul mondo legaltech unisciti alla community Telegram! Clicca qui per partecipare!

Note

^[1] Decreto “Cura Italia” – Decreto-Legge 17 marzo 2020, n.18, convertito in Legge 27/2020.

^[2] Angelo Busani, Assemblee e Cda in audio-video conferenza durante e dopo COVID-19, su https://www.quotidianogiuridico.it/documents/2020/04/23/assemblee-e-cda-in-audio-video-conferenza-durante-e-dopo-covid19 .

^[3] Decreto Cura Italia, Art. 106, Norme in materia di svolgimento delle assemblee di società ed enti, comma II.

^[4] A. Busani, op.cit.

^[5] Si veda, Rodolfo Vacca, Cosa è il Deepfake? su Legaltech Italia https://www.legaltechitalia.eu/deepfake/.

^[6] Leo Kelion, Deepfake detection tool unveiled by Microsoft, su https://www.bbc.com/news/technology-53984114.

^[7] A. Busani, op. cit.

^[8] Il Regolamento UE n. 910/2014 – c.d. eIDAS (Electronic IDentification Authentication and Signature).

^[9] Giulia Annunzi, Le conseguenze dell’esplosione del virus COVID-19 sullo svolgimento delle assemblee societarie. Una breve analisi delle principali novità introdotte dal legislatore, su https://www.dirittoconsenso.it/2020/07/24/covid-19-riflessi-sulle-assemblee-societarie .

^[10] Jacopo Lucarelli, Contributo sulle modalità di svolgimento dell’assemblea con audio o videoconferenza ai tempi del coronavirus. Soluzioni pratiche e teoriche, su https://www.diritto.it/contributo-sulle-modalita-di-svolgimento-dellassemblea-con-audio-o-videoconferenza-ai-tempi-del-coronavirus-soluzioni-pratiche-e-teoriche .

Il 1° novembre 2023, il Comitato europeo per la protezione dei dati ha emesso una decisione vincolante imponendo a Meta, società madre di Facebook e Instagram, di interrompere l’uso dei dati personali degli utenti per fini di marketing senza consenso esplicito. Questa mossa segue precedenti controversie sulla privacy, compreso uno scandalo del 2018 su Facebook, con l’autorità di protezione dei dati irlandese che ha già multato Meta per violazioni del GDPR. La decisione del Comitato europeo mira a far rispettare norme sulla protezione dei dati, vietando a Meta di utilizzare il legittimo interesse come base giuridica per trattare i dati degli utenti europei a fini pubblicitari. In risposta, Meta ha introdotto un servizio di abbonamento a pagamento senza pubblicità per Facebook e Instagram nell’UE, cercando di conformarsi al GDPR e mitigare preoccupazioni sulla profilazione dei dati. Tuttavia, la possibilità di interrompere la profilazione è riservata agli utenti a pagamento, sollevando interrogativi sulla monetizzazione del consenso e suscitando attenzione sulle strategie di Meta.