Cybersecurity Law, esigenze di business e protezione del patrimonio

Mi serve una copertura assicurativa per il rischio cyber? Cosa devo fare per non perdere il diritto al risarcimento da parte dell’assicurazione?

Giuseppe Serafini Giuseppe Serafini

in: Il parere del legale.

Come illustrato negli scorsi numeri il c.d. ‘Cybersecurity Act’, attualmente allo studio da parte delle istituzioni dell’Unione Europea, che non sarà l’unica norma a dover disciplinare la materia, si compone di due parti: da una parte si intende dare vita a un quadro europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali; dall’altra vengono ridefiniti, potenziati e ampliati il ruolo e le funzioni di Enisa, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, che dovrebbe diventare un’agenzia permanente, autorizzata ad avere un ruolo operativo e strategico negli scenari, anche economici, del cyberspazio.

Tutti devono innalzare il livello
di guardia

Il tema della sicurezza cibernetica, in effetti, da qualche tempo è al centro dell’attenzione non più soltanto dei media (basti ricordare il più grande data leak fino ad oggi conosciuto, noto come collection#1), ma anche dei consigli di amministrazione delle organizzazioni che si trovano, oggi più che mai, a dover affrontare e risolvere, in tempi brevi, il problema della protezione del loro patrimonio digitale, costituito, è bene ricordarlo, dai dati, dalle applicazioni, dalle risorse tecnologiche, dalle risorse umane, dalle regole organizzative e dalle procedure funzionali alla acquisizione, memorizzazione, elaborazione, scambio, ritrovamento e trasmissione delle informazioni.

Per altro, il mercato europeo è uno dei più rilevanti per quanto riguarda il consumo di prodotti ICT e il sistema di certificazioni di sicurezza cibernetica europeo potrebbe diventare un modello globale per un settore, quello delle certificazioni, che secondo alcune stime vedrà un giro di affari intorno ai 250 miliardi di dollari nel 2023.

Gli standard di riferimento

Attualmente vi sono numerosi standard internazionali di certificazione della sicurezza cibernetica. Tra i principali occorre menzionare, ad esempio, con riferimento alle norme vigenti oltreoceano, il Cybersecurity Framework, dell’Istituto Nazionale di Standards e Tecnologie del dipartimento del commercio degli Stati Uniti (Nist), e, con riferimento al Vecchio Continente, in Inghilterra, il Cyber Essential, lo standard realizzato a partire dal 2014 dal governo inglese in collaborazione con l’Information Security Forum.

I beni da proteggere

Da un punto di vista strettamente legale, per quanto riguarda l’insieme delle norme applicabili alla sicurezza cibernetica di una organizzazione, vengono in considerazione numerosi aspetti da considerare. In alcuni casi, per esempio, sono oggetto di protezione legale i beni fisici, che consentono il funzionamento di un servizio o la fruizione di un bene, si pensi all’energia elettrica, ma in altri ciò che è oggetto di protezione legale è rappresentato da informazioni o, più in generale, da dati.

In questo ambito, sono sicuramente rilevanti sia le norme sul danneggiamento, anche dei sistemi informatici o dei dati in essi contenuti, sia quelle in materia di accesso abusivo a sistemi informatici o telematici, sia quelle, non meno importanti, ma che non trattiamo in questa sede, sul trattamento illecito di dati personali.

Vari livelli di rischio

Per essere concreti, il danno che potrebbe derivare ad una organizzazione da un incidente di sicurezza cibernetica, o, peggio ancora, dalla totale assenza di politiche, procedure, strumenti, tecnologie e competenze adeguate potrebbe essere esiziale, causare cioè la fine dell’organizzazione stessa per l’impossibilità di raggiungere i propri obiettivi istituzionali; anche qualora non si arrivasse a tanto potrebbero verificarsi gravi danni patrimoniali, reputazionali, di perdita di opportunità e di immagine, difficili da quantificare e, quindi, da risarcire.

I fattori da considerare

Dal punto di vista della risarcibilità del danno ‘cyber’ occorre prendere in considerazione almeno due fattori: da una parte la natura delle condotta che lo ha cagionato, se intenzionale, ad opera di un terzo, per esempio un attacco informatico deliberato, o se, invece, accidentale, per effetto di una distrazione di uno degli addetti alla manutenzione che, inavvertitamente, provochi l’indisponibilità, anche solo temporanea, di un dato o di un servizio; dall’altra occorre considerare se il danno possa formare oggetto di una specifica copertura assicurativa.

In quest’ultima ipotesi, vale a dire qualora una organizzazione si sia premurata di trasferire il rischio su un terzo soggetto (l’assicurazione), occorrerà comunque, in ogni caso, sia verificare, a termini di polizza, l’applicabilità della copertura al caso concreto, sia evitare di incorrere in comportamenti di gravità tale da evitare l’operatività della stessa polizza.

Fare scelte ponderate

Per poter dimostrare alla compagnia di assicurazione – ed eventualmente anche in sede giudiziale – la fondatezza delle proprie ragioni è fondamentale per l’organizzazione effettuare scelte quanto mai ponderate che, in considerazione del singolo episodio verificatosi, potrebbero dover coinvolgere, necessariamente, competenze e conoscenze trasversali non direttamente disponibili o facilmente raggiungibili.

Si pensi, per fare un esempio, a quali attività potrebbero doversi rendere necessarie per documentare all’assicuratore le conseguenze, in termini di indisponibilità di risorse di elaborazione, derivanti da un incidente di sicurezza informatica. Sarebbero necessarie almeno le seguenti figure:

– un perito informatico con competenze specifiche in materia di informatica forense, in grado di rinvenire all’interno dei sistemi colpiti dal sinistro, in modo consono, evidenze rappresentative dello svolgimento degli eventi;

– un legale in grado di verificare la necessità di procedere con le azioni necessarie a denunciare, se del caso, le circostanze all’autorità giudiziaria e a individuarne gli eventuali autori;

– potrebbe infine rendersi necessario, qualora si profilasse un rischio per l’immagine dell’organizzazione, fare ricorso a figure o servizi specifici in grado di mitigare gli effetti di una comunicazione inappropriata, se non addirittura ulteriormente dannosa.

Conclusioni

Alla luce delle considerazioni svolte, ciò che si ritiene di dover sottolineare è l’importanza di una strategia unitaria, documentata, di azioni di sicurezza cibernetica che in primo luogo assegni alle varie figure che concorrono tra loro, nei rispettivi ruoli, le responsabilità adeguate a garantire il più alto livello possibile di protezione. Una strategia che consenta, inoltre, di individuare e preservare, se necessario, nelle forme dovute, ogni circostanza rilevante a documentare, nelle sedi appropriate, le ragioni dell’organizzazione, oltre ai danni da quest’ultima subiti o subendi, e che infine sia in grado di garantire la continuità operativa dell’organizzazione qualora venga compromessa.

Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 57

innovazione.PA

La Pubblica Amministrazione digitale
Settembre-Ottobre
N. 57

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati