Quando -è solo un hobby- non basta più: responsabilità e regole

18/05/2026 20:19:27

Recentemente mi sembra che la vera gara non sia più “chi apre più land”, ma “chi tira fuori il progetto più originale possibile”. E onestamente, con quanto sono avanzate le AI adesso, creare elementi grafici originali senza rischiare copyright o robe strane è diventato molto più semplice rispetto a qualche anno fa. Prima sembrava di stare in una giungla legale, ora basta avere un minimo di cervello acceso e non fare copia-incolla selvaggio da siti con filigrana e ovvio copyright a pagamento.

Pure i regolamenti ormai vengono sistemati, corretti e assemblati con le AI in modi che prima avrebbero richiesto settimane di sclero. Quindi sì, capisco benissimo il discorso di geko e l’avvertimento ha senso, però allo stesso tempo le realtà che usano materiale protetto a caso o fanno regolamenti scritti di dubbia legalità stanno diminuendo parecchio.

E secondo me, al di là del trauma collettivo di Altervista, chi ha segnalato tutte quelle anomalie forse è rimasto un po’ fermo a come funzionavano le land anni fa. Perché guardando tanti progetti recenti, di materiale davvero illegale o problematico ce n’è sempre meno.

Anzi, oggi con un minimo di attenzione al design, all’organizzazione e all’identità grafica, un progetto amatoriale può tranquillamente avere un aspetto quasi professionale.

Soprattutto se parliamo delle ultime versioni di GDRCD: lato privacy hanno già dentro parecchie cose che una volta manco ci si sognava. Mail e password criptate di default, IP parzialmente coperti in certi log, possibilità abbastanza easy di cancellare completamente i dati utente per stare tranquilli col GDPR… cioè, il pacchetto base ormai è molto più aggiornato di quanto si possa pensare.

La vera domanda semmai è: chi usa ancora codici vecchi o versioni fossilizzate ha fatto questi aggiornamenti oppure no? Perché lì sì che rischi il jumpscare legale. Anche se spesso non si parla di “dati sensibilissimi” — a meno che uno non si registri con [[email protected]] — resta comunque una questione di sicurezza e responsabilità minima.

Però sinceramente voglio sperare che i GDR rimasti così indietro siano pochi, perché nel 2026 avere ancora certi problemi sarebbe proprio una situazione a cui direi “bro ma aggiorna quel motore ti prego”.

18/05/2026 20:58:51

Comunque io non capisco una cosa: la mail non criptata serve per il recupero password, eventuale 2fa e per mandare eventuali news importanti ai fini ad esempio do cambio condizioni contrattuali. È davvero necessario da gdpr renderla come le password?

18/05/2026 22:47:30 e modificato da geko il 18/05/2026 22:55:51

soizora ha scritto: Comunque io non capisco una cosa: la mail non criptata serve per il recupero password, eventuale 2fa e per mandare eventuali news importanti ai fini ad esempio do cambio condizioni contrattuali. È davvero necessario da gdpr renderla come le password?

La criptazione consente anche la decriptazione proprio ai fini che hai citato.
Mentre l'hashing no.

In realtà per le email e dati sensibili/personali si usa la criptazione, per le password l'hashing (Sha1, MD5 o a volte c'è chi fa entrambe le cose md5(sha1($pwd)) ).

Io personalmente uso AES_ENCRYPT e AES_DECRYPT che richiede una stringa alfa numerica come riferimento fisso nel secondo parametro.
https://dev.mysql.com/doc/refman/9.7/en/encryption-functions.html#function_aes-encrypt ↗

Questo ci permette di nascondere la chiave di criptazione/decriptazione nel sistema e usarla solo quando il sistema ne ha bisogno per mostrare il dato o usarlo a scopo di comunicazioni.

Ricorda comunque che le newsletter hanno bisogno di conferma in iscrizione e devono avere l'adesione da parte dell'utente, la stessa adesione deve poter essere modificata all'interno del PbC (che sia in scheda del personaggio o in una pagina di preferenze/settings).
Se qualcuno mi fa un injection e mi scopre dei dati vede delle stringhe incomprensibili o addirittura, con alcuni metodi di criptazione, dei BLOB, quindi se non ha la chiave per decriptare il dato non ottiene nulla di sensibile all'utente.

Quindi MAI avere gli indirizzi e-mail in chiaro, sempre con criptazione controllata da sistema.

18/05/2026 23:20:38

geko ha scritto:
(Sha1, MD5 o a volte c'è chi fa entrambe le cose md5(sha1($pwd)) ).

Intervengo a gamba tesa con un OT solo perché questo è implicitamente un suggerimento pericoloso ed è bene chiarire.

Gli algoritmi di hashing così come sono, senza nessuna forma di derivazione (es: PBKDF2) e salt randomico, non vanno mai usati per le password.

Da PHP 5.5 esiste la funzione password_hash che si occupa di generare un hash robusto e in linea con gli standard del 2026, ed è quella la soluzione da usare per questa casistica.

Chiedo scusa per l'Off topic, ritorno fra le ombre. 👋

18/05/2026 23:28:50

blancks ha scritto:

Intervengo a gamba tesa con un OT solo perché questo è implicitamente un suggerimento pericoloso ed è bene chiarire.

Gli algoritmi di hashing così come sono, senza nessuna forma di derivazione (es: PBKDF2) e salt randomico, non vanno mai usati per le password.

Da PHP 5.5 esiste la funzione password_hash che si occupa di generare un hash robusto e in linea con gli standard del 2026, ed è quella la soluzione da usare per questa casistica.

Chiedo scusa per l'Off topic, ritorno fra le ombre. 👋

Scusa la mancanza di capillarità nell'intervento, il mio era solo un'esempio sulla questione hashing, quando il focus era più centrato sulla questione criptazione e email.
Anche perché sono da tablet quindi ho dovuto correggere 20 volte il messaggio perché mi ha cambiato parole e formattazione.

In ogni caso confermo quanto dici.
password_hash(), per il controllo si usa password_verify()

19/05/2026 10:53:09 e modificato da sparhawack il 19/05/2026 10:57:43

kasa ha scritto:
Ma non ho capito quale direzione stai suggerendo.

Formazione.
So che sto per dire una cosa molto da Thousand Sons ma la conoscenza è potere.
Sai quello che devi fare.
Sai quello che non devi fare.
Sai quello che non dovresti fare.
E poi ti regoli.

crossfire ha scritto:
Il pbc è un hobby, non lo facciamo in maniera professionale e rimane nella sfera amatoriale. Questo non è un pararsi il sedere, è una realtà oggettiva riscontrabile.

Fermo restando che hai ragione su quasi tutto, il problema è che l'amatorialità (e la gratuità anche) non sono motivi sufficienti se qualcuno decide di rompere le scatole.
A fronte di segnalazioni fatte a braccio e un tanto al chilo, ci sono delle criticità vere e reali che vanno affrontate o almeno conosciute per decidere che livello di rischio assumersi.
E non dico le fesserie del satanismo, dello spaccio e del materiale pornografico, quelle sono chiaramente dei tentativi di appigliarsi al nulla mischiato con il niente.
Però ci sono altre cose su cui è giusto sapere.
Tipo la pubblicità dell'AIDS di qualche anno fa: se la conosci la eviti, se non la conosci ti uccide.

meleys ha scritto:
Quanto un PBC è diverso (legalmente parlando eh) da una Fanfiction?

Faccio sempre la doverosa premessa che NON sono un giurista.
Ma nella mia esperienza con la legge (no non sono un pregiudicato!) è che non esiste per forza un bianco/nero ma anche un grigio che risponde non solo ad un semplice puoi/nonpuoi ma anche quanto è conveniente intraprendere un'azione legale.

Quindi per fare un esempio concreto, se la Games Workshop dovesse rincorrere tutti quelli che scrivono un racconto basato sulla loro proprietà intellettuale, dovrebbe avere uno studio legale composto da qualche migliaio di persone tutte stipendiate che mandano decine di strike al secondo a mezzo mondo.
Se Sparhawack invece apre un gioco a tema warhammer 40.000 PBC ambientato su Armageddon oltre a controllare se ci guadagno (cosa per cui si va per direttissima nel guano) la GW potrebbe dire "sai che c'è? Sparhawack mi sta antipatico, mo gli chiedo di chiudere" e poi sta a me decidere se intraprendere una battaglia legale oppure no.

Quindi anche le Fanfiction non sono legali ma sono tollerate.
Che è diverso.
Per questo dico: secondo me sapere cosa devi, cosa non devi e cosa puoi potrebbe essere utile anche se il PBC è amatoriale.


Detto questo: moriremo tutti ed è urgentissimo?
No.
Ma sempre per mia esperienza personale se non si batte il ferro ora che siamo tutti un pochino scottati, tra qualche giorno questa cosa ce la dimenticheremo.
Poi magari non succederà nulla, per mesi o anno o mai più, o forse si e ci ritroveremo con il tempo perso dietro che avremmo potuto sfruttare meglio.

19/05/2026 12:02:57 e modificato da geko il 19/05/2026 12:05:59

meleys ha scritto:
Quanto un PBC è diverso (legalmente parlando eh) da una Fanfiction?

Prima di risponderti ho preferito aspettare e fare qualche domanda a chi ha più competenza di me e mi ha dato una delucidazione in merito, non è una consulenza legale ma il quadro generale è il seguente:

il PBC usa ambientazione, personaggi, nomi, razze, loghi, mappe, lore o elementi riconoscibili di un'opera protetta, legalmente è vicino alla fanfiction perché sta creando/ospitando opere derivate. Però un PbC aggiunge rischi ulteriori perché è anche un servizio online interattivo, non solo un testo pubblicato da un autore.

E torniamo sempre lì sulla questione, il PbC se aperto al pubblico non è un raduno limitato di persone, che siano dal vivo o su un server discord, ma un'ambiente accessibile al pubblico liberamente e magari viene sponsorizzato e conservato su piattaforme come questa per promuoverlo.

Una fanfiction di solito è un’opera testuale scritta da una o più persone, basata su un'opera preesistente: Harry Potter, Naruto, Star Wars, Marvel, ecc.
Mentre il PbC, oltre a un'opera testuale, può contenere:
- Un testo narrativo
- L'uso continuativo di ambientazione e lore, uso di marchi, nomi ufficiali e loghi
- Una community di utenti
- Account, chat, database e moderazione
- Responsabilità da hosting e piattaforme
- Monetizzazione, donazioni e VIP
Quindi un PBC non è "meno fanfiction" solo perché è interattivo. Anzi, se usa un universo altrui, può essere visto come una forma organizzata e continuativa di sfruttamento creativo di quell'universo.

In Italia il diritto d'autore protegge le "opere dell'ingegno di carattere creativo" e comprende diritti morali e patrimoniali, tra i diritti patrimoniali c'è anche il diritto di elaborazione dell'opera.
Quindi anche l'elaborazione deve essere controllata non sempre è valido il concetto per esempio: Silente è morto, Harry Potter ora è il nuovo preside della scuola.
https://informazioneeditoria.gov.it/it/attivita/diritto-dautore/la-tutela-del-diritto-dautore/ ↗

La legge sul diritto d'autore riconosce all'autore il diritto esclusivo di usare economicamente l'opera "in ogni forma e modo, originale o derivato", e l'art. 18 include il diritto esclusivo di tradurre, elaborare, modificare e trasformare l'opera.
https://www.dirittodautore.it/legge-22-aprile-1941-n-633-legge-sul-diritto-dautore/ ↗

In Italia, personaggi letterari, cinematografici, fumettistici o televisivi possono essere protetti dal diritto d'autore se hanno caratteristiche creative e riconoscibili, la giurisprudenza italiana richiede che il personaggio sia una creazione autonoma e personale, riconoscibile anche fuori dal contesto originario.
Quindi usare "un mago adolescente con scuola magica generica" è una cosa.
Usare Hogwarts, Grifondoro, Silente, Mangiamorte, Quidditch, ecc. è un'altra.

Il fatto che sia gratuito, amatoriale, hobbistico può ridurre l'interesse del titolare dei diritti ad agire, ma non rende automaticamente legale l'uso non autorizzato. La legge tutela anche riproduzione, comunicazione al pubblico, distribuzione, elaborazione e messa a disposizione online, non solo la vendita.

Quindi il PbC è più sensibile a questi temi quando:
1. usa nomi/marchi ufficiali nel titolo o dominio
Esempio: hogwarts-gdr.it, naruto-rpg.it, logo simile, grafiche ufficiali. Qui non c'è solo copyright: può entrare anche il tema marchi e confusione con il brand ufficiale.
2. usa materiali ufficiali
Immagini, mappe, soundtrack, screenshot, artwork, manuali, testi copiati da wiki/libri/giochi.
3. è strutturato come servizio pubblico
Chat, schede personaggio, forum, database, regolamento, staff, iscrizioni. A quel punto non sei solo autore: sei anche gestore di uno spazio dove altri pubblicano contenuti.
4. monetizza
Pubblicità, donazioni, Patreon, pacchetti premium, crediti, skin, vantaggi in game. Questo rende più difficile sostenere che sia solo attività amatoriale innocua.
5. dà l'impressione di ufficialità
"Official", "autorizzato", loghi, stile grafico copiato, disclaimers poco chiari.

Quindi se guardiamo i PbC in generale:
Quanti realmente sono in regola sotto questi punti?
Quanti stanno traendo vantaggio da opere protette senza pagarne i diritti o, almeno, averne l'autorizzazione?
Francamente io vedo molte opere ispirate ma che usano, nomi, immagini, mappe, ambientazioni/lore ecc.

Se il PbC è originale cioè ambientazione tua, nomi tuoi, razze/fazioni tue, lore tua:
è molto diverso da una fanfiction. È un'opera/servizio originale, con rischi normali da community online.
Se il PbC è "ispirato" ma non usa elementi riconoscibili protetti, tipo "scuola di magia in Italia nel 1800" senza nomi, casate, creature specifiche, loghi o lore copiati:
è più sicuro, anche se bisogna evitare somiglianze troppo forti.
Se il PbC è ambientato direttamente in un franchise esistente, tipo Hogwarts, Naruto, Pokémon, Marvel, One Piece, Twilight, ecc.:
legalmente è molto vicino alla fanfiction come opera derivata, ma con più rischi perché è pubblico, continuativo, comunitario e potenzialmente monetizzabile.

Spero di aver chiarito alcuni punti, almeno quelli fondamentali.

19/05/2026 12:11:59

Una volta esisteva il progetto legalità, che aveva proprio questo scopo. Invece di puntare il dito ai singoli gestori, molti dei quali non hanno le capacità tecniche o i fondi finanziari per pagare un programmatore, perché non si pensa a ricreare qualcosa di simile con l'impegno di tutta la community?

Inteso stilare una serie di linee guida e strumenti utili ai gestori per mettersi in linea con le normative, sia lato codice che puramente legale, con un ranking così come c'era al tempo?

Penso che lo sforzo della community intera, com'è stato nel caso delle segnalazioni altervista, possa portarci tutti molto più lontano del "sei tu gestore singolo che hai l'onere di capire come adeguare il tuo gioco, se non parli legalese e non sai programmare, chiudi".

Non è questione di dire "è solo un hobby", perché allinearsi alla legge è ovviamente un dovere. È questione di riconoscere che le gestione di un gioco PbC, specialmente per noi che siamo tutti adulti suonati, è onerosa già di base senza aggiungere la necessità di andarsi a leggere un manuale di legge.

La selezione nella community non dovrebbe basarsi su chi può permettersi certi servizi o è un professionista in certi settori e chi non può permetterselo, ma sulla base della qualità del gioco stesso. GDRCD è nato con questo scopo, d'altronde, e il team ci lavora costantemente per mantenerlo aggiornato secondo gli standard legali.

19/05/2026 12:18:00

enor_staff ha scritto: Una volta esisteva il progetto legalità, che aveva proprio questo scopo. Invece di puntare il dito ai singoli gestori, molti dei quali non hanno le capacità tecniche o i fondi finanziari per pagare un programmatore, perché non si pensa a ricreare qualcosa di simile con l'impegno di tutta la community?

E' quello che ho proposto nel post "madre".

19/05/2026 12:47:06

sparhawack ha scritto:

È quello che ho proposto nel post "madre".

Perdonami, non è quel che vedo proposto qui dall'autore del post, da cui l'intervento :)