Nel corso dell’ultimo decennio Internet, i social media e – non da ultima – l’intelligenza artificiale hanno profondamente cambiato il nostro rapporto con la morte. Il sogno dell’immortalità, che ha ossessionato per secoli studiosi di ogni genere, oggi sembra essere in qualche modo diventato realtà. Senza che ce ne accorgessimo, la tecnologia ha creato per ognuno di noi una “vita dopo la morte”: una dimensione digitale in cui i nostri account social e di posta elettronica, blog, dati personali e beni digitali continuano a esistere anche dopo la nostra dipartita, rendendo di fatto la nostra identità eterna.
Questo, da un lato, ha aumentato la possibilità per le persone che subiscono un lutto di sentirsi nuovamente vicine al defunto, tuffandosi negli album digitali delle sue foto, rileggendo quello che ha scritto sulla sua bacheca di Facebook e ascoltando le sue playlist preferite su Spotify.
“Può consentire anche di mantenere un dialogo con l’alter ego digitale della persona cara defunta, che, attraverso algoritmi di deep fake, può arrivare a simulare una videochiamata, mimando la voce e le sembianze del defunto; a inviare messaggi e email, utilizzando come dati di addestramento le comunicazioni scambiate durante la vita analogica”, osserva Stefania Stefanelli, professoressa ordinaria di Diritto privato all’Università degli studi di Perugia.
Dall’altro, rende però i dati personali delle persone scomparse un tesoretto alla mercé dei criminali informatici, che possono violarne facilmente gli account, utilizzarne le immagini in modo illecito e usarne le informazioni per creare cloni digitali o deepfake, mettendo a rischio la sicurezza loro e dei loro cari. Un pericolo da non sottovalutare, come anche l’eventualità che la persona non gradisca che gli sopravviva un alter ego virtuale, alimentato coi propri dati personali. Ma come fare, allora, per proteggere la propria eredità digitale? A chi affidarla? E come?
Eredità digitale: cos’è e a chi spetta di diritto
Oggi più che mai ci troviamo a esistere allo stesso tempo in due dimensioni parallele, una fisica e una digitale. Questo, come riferisce il Consiglio Nazionale del Notariato (CNN), ha portato a un ampliamento dei “confini di ciò che possiamo definire eredità”, che sono arrivati a “comprendere altro in aggiunta ai più canonici immobili, conti bancari, manoscritti o ai beni preziosi contenuti nelle cassette di sicurezza”.
Si parla, allora, di eredità digitale, definita dal CNN come un insieme di risorse offline e online. Della prima categoria fanno parte i file, i software e i documenti informatici creati e/o acquistati dalla persona defunta, i domini associati ai siti web e i blog, a prescindere dal supporto fisico (per esempio, gli hard disk) o virtuale (come può essere il cloud di Google Drive) di memorizzazione. La seconda categoria, invece, include le criptovalute e “tutte quelle risorse che si vengono a creare attraverso i vari tipi di account, siano essi di posta elettronica, di social network, account di natura finanziaria, di e-commerce o di pagamento elettronico”. Rimangono esclusi i beni digitali piratati, alcuni contenuti concessi in licenza personale e non trasferibile, gli account di firma elettronica, gli account di identità digitale e le password.
Chiarito in cosa consiste l’eredità digitale, a questo punto viene da chiedersi: a chi saranno affidati tutti questi beni quando la persona a cui si riferiscono non ci sarà più? Rispondere a questa domanda è più difficile di quanto si possa immaginare. Allo stato attuale non esiste infatti in Italia una legge organica, il che crea negli utenti – siano essi le persone a cui i dati si riferiscono o i parenti di un defunto che si ritrovano a gestire la sua identità in rete – un’enorme confusione sulla gestione dei dati.
Nonostante si tratti di un tema particolarmente urgente, finora è stato trattato soltanto dal Codice della Privacy, che prevede “che i diritti […] relativi ai dati di persone decedute possano essere esercitati da chi abbia un interesse proprio o agisca a tutela dell’interessato (su suo mandato) o per ragioni familiari meritevoli di protezione”. Un diritto che non risulta esercitabile soltanto nel caso in cui “l’interessato, quando era in vita, lo abbia espressamente vietato”.
Di recente, poi, il Consiglio Nazionale del Notariato è tornato sul tema, sottolineando l’importanza di “pianificare il passaggio dell’eredità digitale”, considerando che “molto spesso le società che danno accesso a servizi, spazi e piattaforme sulla rete internet hanno la propria sede al di fuori del territorio dello Stato e dell’Europa”: in assenza di disposizioni specifiche sull’eredità dei beni digitali, infatti, chiunque cerchi di accedere ai dati di una persona defunta rischia di “incorrere in costose e imprevedibili controversie internazionali”.
Per evitare che questo accada, è possibile investire una persona di fiducia di un mandato post mortem, “ammesso dal nostro diritto per dati e risorse digitali con valore affettivo, familiare e morale”. In termini legali, si tratta di un contratto attraverso cui un soggetto (mandante) incarica un altro soggetto (mandatario) di eseguire compiti specifici dopo la sua morte, come l’organizzazione del funerale, la consegna di un oggetto e, nel caso delle questioni digitali, la disattivazione di profili social o la cancellazione di un account. In alternativa, “si può disporre dei propri diritti e interessi digitali tramite testamento”, al pari di quanto già accade per i beni immobili, i conti bancari e tutto il resto.
In questo modo, in attesa di una legislazione vera e propria sul tema, sarà possibile lasciare ai posteri un elenco dettagliato dei propri beni e account digitali, password incluse, oltre alle volontà circa la loro archiviazione o cancellazione. “Ai sensi di questa disposizione, si può anche trasmettere a chi gestisce i propri dati una dichiarazione, nella quale si comunica la propria intenzione circa il destino, dopo la propria morte, di tali dati: la cancellazione totale o parziale, la comunicazione, in tutto o in parte, a soggetti determinati, l’anonimizzazione ecc. Si parla in questi termini di testamento digitale, anche se in senso ‘atecnico’, in quanto la dichiarazione non riveste le forme del testamento, sebbene sia anch’essa revocabile fino all’ultimo istante di vita, e non contiene disposizioni patrimoniali in senso stretto”, prosegue la professoressa Stefanelli.
Eredità e piattaforme digitali: cosa succede agli account delle persone defunte?
Come anticipato, allo stato attuale non esiste una legge che regolamenta l’eredità digitale, né in Italia né in Europa. Pertanto, nel corso degli ultimi anni le piattaforme di social media e i grandi fornitori di servizi digitali si sono organizzati per garantire una corretta gestione degli account di persone scomparse, così da evitare di trasformarsi in veri e propri cimiteri digitali.
Già da qualche anno, per esempio, Facebook consente agli utenti di nominare un contatto erede, ossia un soggetto che avrà il potere di scegliere se eliminare definitivamente l’account della persona scomparsa o trasformarlo in un profilo commemorativo, dove rimarranno visibili i contenuti che ha condiviso sulla piattaforma nel corso della sua vita.
Al pari di Facebook, anche Instagram consente ai parenti di un defunto di richiedere la rimozione del suo account o di trasformarlo in un account commemorativo. In entrambi i casi, però, sarà necessario presentare un certificato che attesti la veridicità del decesso della persona in questione o un documento legale che dimostri che la richiesta arriva da un esecutore delle sue volontà.
TikTok, invece, è rimasto per molto tempo lontano dalla questione dell’eredità digitale. Soltanto lo scorso anno la piattaforma ha introdotto la possibilità di trasformare l’account di una persona defunta in un profilo commemorativo, previa la presentazione di documenti che attestino il suo decesso e un legame di parentela con l’utente che sta avanzando la richiesta. In alternativa, al pari di quanto accade per Facebook e Instagram, è possibile richiedere l’eliminazione definitiva dell’account del defunto.
Ma non sono solo le piattaforme social a pensare al futuro dei propri utenti. Dal 2021, Apple consente agli utenti di aggiungere un contatto erede, così da permettere a una persona di fiducia di accedere ai dati archiviati nell’Apple Account, o “di eliminare l’Apple Account e i dati con esso archiviati”. Google, invece, offre agli utenti uno strumento avanzato per la gestione dei dati di una persona scomparsa. La “gestione account inattivo” consente infatti di “designare una terza parte, ad esempio un parente stretto, affinché riceva determinati dati dell’account in caso di morte o inattività dell’utente”.
Più nel dettaglio, la piattaforma permette di “selezionare fino a 10 persone che riceveranno questi dati e scegliere di condividere tutti i tipi di dati o solo alcuni tipi specifici”, oltre alla possibilità di indicare il periodo di tempo dopo il quale un account può davvero essere considerato inattivo. Nel caso in cui un utente non configuri “Gestione account inattivo”, Google si riserva il diritto di eliminare l’account nel caso in cui rimanga inattivo per più di due anni.
Eredità digitale e deadbot: un rischio per la sicurezza?
Anche l’avvento dei sistemi di intelligenza artificiale generativa ha contribuito a cambiare il nostro rapporto con la morte. E le aziende che li sviluppano si sono spinte fino a cercare una soluzione pratica al dolore causato dalla scomparsa di una persona cara. Basti pensare alla rapida diffusione dei deadbot, ovvero dei chatbot che permettono ad amici e familiari di conversare con una persona defunta, simulandone la personalità. Uno strumento che, da un lato, può rivelarsi utile ai fini dell’elaborazione del lutto, ma dall’altro rappresenta un rischio notevole per la privacy e la sicurezza degli individui.
Per permettere all’AI di interagire con un utente come farebbe una persona scomparsa, questa ha bisogno di attingere a una quantità notevole di informazioni legate alla sua identità digitale: account social, playlist preferite, registro degli acquisti da un e-commerce, messaggi privati, app di terze parti e molto altro ancora. Un uso smodato di dati sensibili che, allo stato attuale, non è regolamentato in alcun modo.
E questo, al pari di quanto accade con l’eredità digitale, rappresenta un problema non indifferente per la sicurezza: come riferisce uno studio condotto dai ricercatori dell’Università di Torino, quando i dati del defunto non sono “sufficienti o adeguati per sviluppare un indice di personalità, vengono spesso integrati con dati raccolti tramite crowdsourcing per colmare eventuali lacune”. Così facendo, “il sistema può dedurre da questo dataset eterogeneo aspetti della personalità che non corrispondono o non rispondono pienamente agli attributi comportamentali della persona”. In questo caso, i deadbot “finiscono per dire cose che una persona non avrebbe mai detto e forniscono agli utenti conversazioni strane, che possono causare uno stress emotivo paragonabile a quello di rivivere la perdita”. Non sarebbe, quindi, solo la privacy dei defunti a essere in pericolo, ma anche la sicurezza dei loro cari ancora in vita.
Pur non esistendo una legislazione specifica sul tema, l’AI Act dell’Unione Europea – una delle normative più avanzate sul tema – fornisce alcune disposizioni utili sulla questione, vietando “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole” e anche “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone (…), con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona”.
Due indicazioni che, di fatto, dovrebbero proibire l’immissione dei deadbot nel mercato europeo, ma che non forniscono alcuna soluzione utile alla questione della protezione dei dati personali di una persona defunta, che rimane ancora irrisolta. Nel sistema giuridico europeo la legislazione sulla protezione dei dati non affronta esplicitamente né il diritto alla privacy né le questioni relative alla protezione dei dati delle persone decedute.
Il Regolamento Generale sulla Protezione dei Dati (GDPR), infatti, “non si applica ai dati personali delle persone decedute”, anche se “gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Una scelta considerata “coerente con il principio tradizionale secondo cui le decisioni di politica legislativa che incidono sul diritto di famiglia e successorio, in quanto settori caratterizzati da valori nazionali strettamente correlati alle tradizioni e alla cultura della comunità statale di riferimento, esulano dalla competenza normativa dell’Unione europea”.
Non esistendo una legislazione valida a livello europeo, i governi nazionali hanno adottato approcci diversi alla questione. La maggior parte delle leggi europee sulla privacy, però, sostiene un approccio basato sulla “libertà dei dati”: paesi come Belgio, Austria, Finlandia, Francia, Svezia, Irlanda, Cipro, Paesi Bassi e Regno Unito, quindi, escludono che le persone decedute possano avere diritto alla privacy dei dati, sostenendo che i diritti relativi alla protezione dell’identità e della dignità degli individui si estinguono con la loro morte.
Secondo questa interpretazione, le aziende tech potrebbero usare liberamente i dati delle persone decedute per addestrare un chatbot. Fortunatamente non è proprio così, considerando che in questi paesi entrano in gioco il reato di diffamazione, il diritto al proprio nome e alla propria immagine, o il diritto alla riservatezza della corrispondenza. Al contrario, invece, paesi come l’Estonia e la Danimarca prevedono che il GDPR si applichi anche alle persone decedute, a cui garantiscono una protezione giuridica per un limite preciso di tempo (10 anni dopo la morte in Danimarca, e 30 in Estonia). E così anche Italia e Spagna, che garantiscono una protezione dei dati dei defunti per un tempo illimitato.
Pur mancando una legislazione europea uniforme, il GDPR lascia agli Stati membri la facoltà di regolare il trattamento dei dati personali delle persone defunte, e questo comporta differenze, anche sostanziali, delle legislazioni nazionali. Con l’avvento dell’AI e gli sviluppi rapidi che questa comporta, però, diventa sempre più necessario stilare una normativa chiara, precisa e uniforme sulla questione. Così da rispettare non solo la privacy dei nostri cari, ma anche il dolore per la loro perdita.
