Cybersecurity, gli attacchi stanno diventano una questione legale

Anche la normativa di settore in materia di cybersecurity (quella più nota, la c.d. Direttiva
Nis e il decreto di recepimento) può costituire un punto di riferimento nell’individuazione e implementazione di assetti organizzativi adeguati a prevenire e minimizzare l’impatto di attacchi o incidenti cyber. Non si rivolge a tutte le imprese (ma solo ai fornitori di servizi essenziali e ai fornitori di servizi digitali) ma può aiutare a curare o valutare l’adeguatezza degli assetti posti in essere, anche in proporzione alle dimensioni dell’impresa e ai rischi cui è soggetta.

Le best practice internazionali forniscono un utile supporto per individuare un’adeguata gestione del rischio cybersecurity. Nei paesi anglosassoni, per esempio, importanti imprese hanno optato per l’istituzione di un comitato ad hoc dedicato alla cybersecurity, e alcuni studi suggeriscono la cooptazione di un consigliere esperto in cybersecurity.

Quando parliamo di attacchi cyber, e in particolare ransomware, un altro aspetto molto importante che l’impresa deve considerare è relativo ai possibili profili di responsabilità penale ipotizzabili nel caso in cui decidesse di pagare un riscatto per la liberazione dei dati. Occorre innanzitutto distinguere a seconda di chi sia la vittima dell’attacco e, quindi, eventualmente, il pagatore del riscatto: persona fisica o persona giuridica (ente). Infatti, se nel primo caso è difficile immaginare che si possa incorrere in responsabilità di natura penale, nel diverso caso in cui a pagare sia una persona giuridica o un ente la questione si fa invece più delicata. 

In tal caso, si rende quantomeno opportuno verificare se la provvista aziendale utilizzata per il pagamento del riscatto abbia o meno fonte ufficiale e trasparente, nonché indagare quale sia stato il tracciamento contabile e la rappresentazione in bilancio del pagamento. Inoltre, il pagamento del riscatto avvenuto attraverso criptovalute (come spesso accade nella prassi) potrebbe generare rischi anche di natura fiscale.

Il secondo profilo di responsabilità penale astrattamente ipotizzabile riguarda, invece, il delitto di falsità nelle dichiarazioni al Garante Privacy (art. 168, d.lgs. 196/2003, c.d. Codice Privacy), configurabile, ad esempio, nel caso in cui l’ente, nella presentazione della segnalazione di data breach al Garante, dichiari o attesti falsamente notizie o circostanze atte a minimizzare l’entità e le conseguenze dell’attacco informatico, anche allo scopo di evitare (o limitare) l’applicazione di sanzioni da parte del Garante stesso. In conclusione, la materia cybersecurity deve essere affrontata (anche) sotto il profilo giuridico, non solo in caso di incidente informatico ma anche in ottica preventiva, affinché gli organi preposti curino e valutino l’adeguatezza dell’assetto organizzativo dell’impresa sul fronte sicurezza, perché il disinteresse è potenzialmente foriero di rilevanti responsabilità.