e-Evidence per i mercati online e le piattaforme cloud: Cosa c'è da sapere

Di /
Illustrazione della conformità e-Evidence per i mercati online e le piattaforme cloud nell'UE

Il Regolamento UE sulle prove elettroniche (UE) 2023/1543 viene spesso discussa come se fosse un problema solo delle telecomunicazioni. Non è così. Da 18 agosto 2026, I mercati online, le piattaforme SaaS, i fornitori di cloud storage e IaaS, le società di hosting, i social network e gli strumenti di collaborazione rientrano esplicitamente nel campo di applicazione. Se la vostra piattaforma memorizza, elabora o trasmette i dati degli utenti e offrite servizi agli utenti nell'UE, dovete essere pronti a ricevere ed eseguire gli Ordini di Produzione Europei (EPO) e gli Ordini di Conservazione Europei (EPOC-PR) - direttamente, senza intermediari diplomatici, in tempi regolamentari stretti.

Per le piattaforme che storicamente hanno gestito le richieste di dati come una questione legale occasionale e ad hoc, si tratta di un cambiamento di passo. Il solo Ministero della Giustizia tedesco stima che circa 9.000 aziende in Germania e un numero simile si applica al resto dell'UE. Questa guida spiega esattamente quali piattaforme sono interessate, quali tipi di ordini aspettarsi, cosa la normativa richiede in particolare ai marketplace e ai fornitori di cloud e come costruire in tempo un modello operativo conforme.

Quali piattaforme online rientrano nel campo di applicazione dell'e-Evidence?

Il regolamento utilizza deliberatamente definizioni ampie e tecnologicamente neutre per cogliere le realtà dei moderni servizi online. Le categorie più direttamente rilevanti per gli operatori di piattaforma comprendono:

  • Mercati online - qualsiasi piattaforma che consenta a terzi di offrire beni o servizi ai consumatori, compresi i marketplace B2C, le piattaforme di scambio peer-to-peer, le piattaforme di biglietteria, i marketplace di concerti e on-demand e le piattaforme di noleggio.
  • Fornitori di cloud computing e storage - Fornitori IaaS, PaaS e SaaS, servizi di archiviazione di oggetti e file, fornitori di backup e disaster-recovery e servizi di database gestiti.
  • Fornitori di hosting - hosting gestito, server dedicati, VPS, reti di distribuzione dei contenuti e piattaforme edge.
  • Reti sociali e comunità online - tra cui forum, app di incontri, reti professionali, piattaforme di gioco con funzioni sociali e piattaforme di creazione/streaming.
  • Servizi della società dell'informazione che memorizzano i dati degli utenti - suite di collaborazione, strumenti di condivisione dei file, piattaforme di gestione dei progetti, piattaforme low-code/no-code e prodotti di intelligenza artificiale che conservano prompt o output.
  • Servizi di dominio Internet e di numerazione IP - registri, società di registrazione, servizi di privacy/proxy, RIR e fornitori DNS.
  • Comunicazioni interpersonali indipendenti dal numero - funzioni di messaggistica, videoconferenza e chat integrate in prodotti più grandi.

In particolare, il regolamento applica la “Test del ”collegamento sostanzialeSe il vostro servizio è offerto a utenti situati nell'UE e vi rivolgete al mercato dell'UE, ad esempio attraverso la localizzazione dei prezzi, della lingua o del marketing, rientrate nel campo di applicazione, indipendentemente dal luogo in cui è registrata la vostra entità aziendale.

Che tipo di dati richiederanno le autorità?

Il regolamento distingue quattro categorie di prove elettroniche, ciascuna con soglie e garanzie diverse:

  1. Dati dell'abbonato - identità, dati di contatto, informazioni di fatturazione, tipo di servizio utilizzato e data di registrazione.
  2. Dati richiesti al solo scopo di identificare l'utente - Indirizzi IP e registri di accesso utilizzati esclusivamente per identificare una persona.
  3. Dati sul traffico (diversi dai dati di identificazione): registri delle connessioni, metadati delle transazioni, ID del dispositivo, timestamp e informazioni di routing.
  4. Dati sul contenuto - inserzioni, messaggi, file caricati, foto, documenti, registrazioni di transazioni e altri contenuti sostanziali.

I dati dell'abbonato e dell'identificazione possono essere richiesti per qualsiasi reato. I dati sul traffico e sui contenuti sono riservati ai reati punibili con una pena detentiva di almeno tre anni o a un elenco definito di reati gravi di criminalità informatica, terrorismo, abusi sessuali su minori e criminalità organizzata. I marketplace e le piattaforme cloud contengono in genere tutte e quattro le categorie, motivo per cui la mappatura precisa dei dati è un compito fondamentale per la conformità.

Scenari tipici di e-Evidence su marketplace e piattaforme cloud

Frodi sui mercati online

Un investigatore che persegue un giro di frodi chiede al gestore di un marketplace l'identità del venditore, l'IP di registrazione, la cronologia delle transazioni e i thread di messaggi con le vittime. I dati relativi agli abbonati e al traffico possono essere trasmessi nell'ambito della finestra standard di 10 giorni; i dati relativi ai contenuti, come messaggi e foto, sono riservati ai reati gravi e richiedono ulteriori garanzie.

Ransomware e abuso di infrastrutture su piattaforme cloud

Un pubblico ministero che indaga su un'operazione di ransomware chiede a un cloud provider i log del control-plane, i metadati dell'istanza, l'identità di fatturazione e i log di accesso allo storage di un tenant sospetto. Si tratta di richieste critiche in termini di tempo, che in genere arrivano come EPO di emergenza con scadenza di 8 ore.

Indagini sulla sicurezza online dei bambini

Le indagini relative a materiale pedopornografico su piattaforme sociali o di contenuti combinano tipicamente ordini di identificazione con ordini di produzione e conservazione dei contenuti. Questi casi beneficiano dei canali accelerati del regolamento, ma richiedono anche i più alti standard di integrità e di catena di custodia.

Acquisizione di account e phishing su larga scala

Le autorità possono emettere ordini di conservazione (EPOC-PR) nelle prime fasi di un'indagine per bloccare i log e i dati degli account mentre viene preparato un ordine di produzione. Le piattaforme devono essere in grado di conservare specifici set di dati per 60 giorni, prorogabili di altri 30, senza disturbare i normali flussi di lavoro di conservazione o di analisi.

La sfida dei fornitori non UE: Stabilimento designato

Per le piattaforme con sede al di fuori dell'UE, uno dei requisiti più importanti è l'obbligo, ai sensi della Direttiva (UE) 2023/1544, di designare un stabilimento ufficiale o rappresentante legale in uno Stato membro. Questo ente designato è l'indirizzo di servizio per ogni EPO e EPOC-PR ed è esso stesso responsabile della conformità.

  • Senza uno stabilimento designato, non è possibile ricevere legalmente gli ordini, non è possibile sollevare obiezioni e si rischia la non conformità automatica e le sanzioni fino a 2% del fatturato annuo globale.
  • L'ente designato deve essere registrato presso l'autorità nazionale competente (in Germania, la Bundesamt für Justiz; Altri Stati membri hanno equivalenti).
  • Deve avere l'autorità - e la capacità operativa - di agire sugli ordini entro le scadenze regolamentari.
  • Deve coordinarsi perfettamente con i team legali, di sicurezza e di ingegneria a livello globale, spesso attraverso i fusi orari.

Per molte piattaforme non comunitarie, la soluzione più efficiente è una Stabilimento designato come servizio accordo: un partner UE regolamentato agisce come punto di contatto, gestisce l'accettazione 24 ore su 24, 7 giorni su 7, convalida e smista gli ordini e trasmette ai vostri team interni solo le decisioni sostanziali che richiedono la conoscenza della piattaforma.

Requisiti operativi per i marketplace e le piattaforme cloud

La conformità non è solo un esercizio burocratico. Per rispettare in modo affidabile le scadenze standard di 10 giorni e le scadenze di emergenza di 8 ore, le piattaforme hanno bisogno di:

  • Interfaccia di ingresso sicura collegato a e-CODEX, con la convalida automatica delle firme digitali e delle credenziali dell'autorità di emissione.
  • Individuazione dei dati tra i sistemi in grado di individuare i dati relativi agli abbonati, all'identificazione, al traffico e ai contenuti nei data store tradizionali e moderni.
  • Formati di esportazione standardizzati corrispondere agli atti di esecuzione della Commissione sui formati dei dati.
  • Consegna criptata attraverso e-CODEX, con ricezione verificabile e registrazione di tipo audit.
  • Tracciati di audit a prova di manomissione che coprono ogni azione dal ricevimento alla consegna - essenziale per l'integrità probatoria e la revisione normativa a posteriori.
  • Revisori legali e ingegneristici a disposizione 24 ore su 24 e 7 giorni su 7, con registri di esecuzione provati per gli ordini di emergenza.
  • Controlli sulla minimizzazione dei dati garantire la divulgazione solo di quanto specificamente ordinato, in linea con l'articolo 5 del GDPR.
  • Rapporti di trasparenza allineato al Digital Services Act per le piattaforme online di grandi dimensioni (VLOP) e i motori di ricerca online di grandi dimensioni (VLOSE).

Costruire tutto questo internamente è fattibile per le piattaforme più grandi, ma la maggior parte dei marketplace e dei cloud provider traggono vantaggio da una soluzione costruita ad hoc. Il Piattaforma di conformità e-Evidence ICS copre l'intero ciclo di vita - dall'accettazione alla convalida, all'estrazione, alla revisione e alla consegna - e si integra con i sistemi di identità, registrazione e archiviazione esistenti.

Considerazioni speciali per i fornitori di servizi cloud

I fornitori di cloud devono affrontare diverse sfide stratificate che le piattaforme di puro contenuto non affrontano:

  • Multi-tenancy e isolamento: La produzione deve essere mirata ai dati di un singolo cliente senza esporre altri affittuari, sia dal punto di vista tecnico che contrattuale.
  • Crittografia controllata dal cliente: quando i clienti possiedono le proprie chiavi (BYOK/HYOK), il fornitore può effettivamente non essere in grado di produrre dati sul contenuto, e tale limitazione deve essere documentata e comunicata.
  • Responsabilità condivisa: I contratti e gli accordi di trattamento dei dati devono indicare chiaramente quale parte è responsabile della ricezione e dell'esecuzione degli ordini delle forze dell'ordine per quali dati.
  • Notifica ai clienti: i clienti commerciali - in particolare i clienti B2B delle imprese - hanno spesso il diritto contrattuale di essere informati delle richieste di accesso, fatti salvi gli obblighi di riservatezza imposti dall'autorità emittente.
  • Replica interregionale: I dati possono trovarsi in più Stati membri o paesi terzi, sollevando potenziali conflitti tra gli ordini dell'UE e le leggi dei paesi terzi (la “revisione dell'articolo 17”).

Considerazioni speciali per i mercati online

  • Dati di verifica del venditore (KYC, registrazione delle imprese, codici fiscali) sono spesso i dati degli abbonati di maggior valore per gli investigatori e devono essere facilmente estraibili.
  • Annunci e messaggi sono tipicamente dati di contenuto e richiedono la soglia di gravità del reato più alta per essere prodotti.
  • Dati di pagamento può spettare ai PSP piuttosto che al mercato stesso: è essenziale che sia chiaro chi risponde a quale ordine.
  • Venditori transfrontalieri creare sovrapposizioni con gli obblighi in materia di tutela dei consumatori, IVA e DSA; e-Evidence dovrebbe essere integrata con questi programmi, e non duplicata.

Sanzioni per la non conformità

Gli Stati membri devono imporre sanzioni efficaci, proporzionate e dissuasive. Il regolamento fissa un parametro di riferimento per le sanzioni amministrative a fino al 2% del fatturato annuo mondiale del fornitore. Per una piattaforma SaaS di medie dimensioni, ciò può significare decine di milioni di euro; per gli hyperscaler e i grandi marketplace, le cifre principali diventano rapidamente rilevanti per il reporting finanziario. Oltre alle multe, i fallimenti ripetuti possono provocare ingiunzioni giudiziarie, azioni normative e danni significativi alla reputazione di clienti, partner e investitori delle aziende.

Una tabella di marcia di 6 mesi fino ad agosto 2026 per le piattaforme

  1. Mesi 1-2 - Ambito e mappatura dei dati. Confermare quali entità e servizi rientrano nell'ambito di applicazione, mappare i dati di abbonati/identificazione/traffico/contenuti tra i sistemi, identificare le lacune.
  2. Mesi 2-3 - Basi legali. Designare uno stabilimento nell'UE, registrarsi presso l'autorità competente, aggiornare i contratti, le DPA, i termini e le linee guida per l'applicazione della legge.
  3. Mesi 3-4 - Costruzione tecnica. Integrazione con e-CODEX, implementazione di strumenti di aspirazione/validazione/estrazione, rafforzamento della registrazione degli audit.
  4. Mesi 4-5 - Prontezza operativa. Reclutare e formare il team di risposta 24/7, finalizzare i runbook, eseguire esercitazioni di emergenza.
  5. Mese 6 - Garanzia. Audit di conformità indipendente, approvazione a livello di consiglio di amministrazione e prova di avvio entro il 18 agosto 2026.

Domande frequenti

Per un riferimento più lungo, consultare il nostro sito dedicato FAQ su e-Evidence.

L'e-Evidence si applica ai piccoli marketplace e alle start-up del cloud?

Sì. Non esiste un'esenzione generale per le PMI. Se offrite un servizio che rientra nell'ambito di applicazione agli utenti dell'UE, rientrate nell'ambito di applicazione indipendentemente dal numero di dipendenti o dal fatturato. Le piattaforme più piccole possono ampliare la loro conformità in modo proporzionale, ma gli obblighi fondamentali - stabilimento designato, assunzione, capacità di risposta - si applicano comunque.

Possiamo fare affidamento sul flusso di lavoro delle forze dell'ordine esistenti?

Probabilmente no. La maggior parte dei flussi di lavoro esistenti prevede l'accettazione manuale tramite e-mail/portale e settimane di attesa. Il regolamento sulle prove elettroniche richiede una presa in carico basata su e-CODEX, una risposta di emergenza a livello di un'ora e registri di audit con prove di manomissione che i flussi di lavoro tradizionali di solito non forniscono.

Cosa succede se i dati sono conservati da un subprocessore o da un'altra parte del nostro gruppo?

Il fornitore che riceve l'ordine è responsabile della sua esecuzione. I contratti interni e gli accordi sul trattamento dei dati devono essere allineati in modo da poter obbligare un subprocessore o un'affiliata a consegnare i dati entro i termini previsti dalla normativa.

E i servizi criptati end-to-end?

Il regolamento non impone ai fornitori di indebolire la crittografia. Se il fornitore non può realmente accedere ai dati dei contenuti a causa delle chiavi in possesso del cliente o di una vera architettura E2E, tale limitazione può essere comunicata, ma deve comunque produrre gli abbonati, l'identificazione e i metadati a cui ha accesso.

In che modo ICS aiuta le piattaforme a prepararsi

ICS fornisce sia la piattaforma di conformità tecnica e servizi di stabilimento designati per piattaforme di tutte le dimensioni, dalle scale-up SaaS in rapida crescita ai marketplace globali e ai fornitori di cloud hyperscale. La nostra offerta combinata comprende l'accettazione di e-CODEX, la convalida automatizzata, l'estrazione dei dati da più sistemi, la consegna crittografata, la registrazione di audit a prova di manomissione e le operazioni gestite 24 ore su 24, 7 giorni su 7, il tutto inquadrato in un sistema integrato. Programma di conformità e-Evidence.

Contattare ICS oggi per una valutazione indipendente della preparazione alla e-Evidence della vostra piattaforma, con una chiara tabella di marcia verso la scadenza del 18 agosto 2026.

Messaggi correlati

Torna in alto
ICS
Alimentato da  Conformità ai cookie GDPR
Panoramica privacy

Questo sito web utilizza i cookie per potervi offrire la migliore esperienza d'uso possibile. Le informazioni contenute nei cookie vengono memorizzate nel browser dell'utente e svolgono funzioni quali il riconoscimento dell'utente quando torna sul nostro sito web e l'aiuto al nostro team per capire quali sezioni del sito web sono più interessanti e utili per l'utente.