di Melania Depasquale
In Italia si è sempre poco informati sugli attacchi informatici che avvengono nel nostro Paese ai danni di singoli soggetti e grandi aziende. Nonostante prevalga un atteggiamento di negazione o minimizzazione del problema, per il triennio 2022-2026, Il Governo italiano ha stanziato l’1,2% degli investimenti lordi del paese per la cybersecurity. Questa è la dimostrazione che il problema esiste: infatti, le minacce e gli attacchi sono in aumento di circa il 15% rispetto al primo semestre degli ultimi due anni.
La sicurezza informatica riguarda molti aspetti tecnici, i quali si riferiscono al più ampio e generale concetto di tutela della riservatezza. Nascono così gruppi di ingegneri, consulenti informatici, avvocati civilisti, penalisti e specializzati in diritto della privacy, pronti a collaborare per arginare il fenomeno dell’hackeraggio. Il tutto si unisce ad un insieme di normative che tutelano la privacy, e al rigore nel comportamento a cui i dipendenti devono attenersi, sia all’interno dell’azienda sia nei rapporti con soggetti terzi.
Mentre i team di tecnici procedono in maniera fattuale a prevenire i rischi di una intrusione nei server e nei data base, uno studio legale di supporto può eseguire una valutazione, per verificare il rispetto delle normative europee e nazionali in materia di riservatezza e cybersecurity, redigendo le policy interne, la compliance, la documentazione prevista dal GDPR, e suggerire le modalità di acquisizione e trattamento dei dati personali individuando le finalità legittime. Molto importante è anche la capacità del gruppo forense di eseguire operazioni di controllo del danno, di tutela della proprietà intellettuale dell’azienda e dei dati dei suoi clienti, nonché il rafforzamento del sistema di difesa.
Nella malaugurata ipotesi che un soggetto dovesse subire un attacco informatico è determinante, ai fini della responsabilità personale e aziendale, poter dimostrare di aver fatto tutto il possibile per prevenire tale attacco, sia dal punto di vista tecnico, sia dal punto di vista comportamentale e documentale. Questo perché in caso di attacco, sarà necessario procedere al data breach, vale a dire alla comunicazione all’Autorità dell’evento. Il Garante per la privacy valuterà se sono stati rispettati i principi di responsibility e di accountability previsti dal GDPR 2016/679. Si dovrà quindi dimostrare di “aver fatto” e bisognerà “saper rendere conto” di quanto fatto. Qualora non si riesca a dimostrare di aver rispettato un principio di responsabilizzazione, si potrebbero subire le pesanti conseguenze sanzionatorie già previste dal GDPR, ma anche richieste risarcitorie avanzate dagli interessati vittime della sottrazione dei dati.
Per quanto riguarda le aziende, vi è oggi maggiore conoscenza dei rischi e delle conseguenze di un attacco informatico e, quindi, della necessità di adottare sistemi idonei a proteggersi. È fondamentale inoltre redigere documenti e adottare procedure per la tutela dell’azienda e dei suoi dati. Non si opera quindi solo in un contesto di sicurezza tecnica, ma anche di sicurezza documentale.
