RISCHI LEGALI COLLATERALI AD UN ATTACCO INFORMATICO
Tanti anni fa, arrivò da me un artigiano bravissimo nel suo lavoro, che aveva un’azienda, insieme con il fratello, in grave crisi economica, a cui l’anno prima il capannone dove lavorava era andato completamente a fuoco per un incendio, forse partito dai circuiti elettrici. Era stata stipulata anni prima un’assicurazione antincendio, ma per un evento del destino, la segretaria quell’anno, per una dimenticanza, non aveva pagato il premio scaduto da oltre due settimane. L’artigiano dovette chiudere la propria impresa e lui lavorare come dipendente presso altra ditta con grande umiliazione personale.
Il mancato monitoraggio degli adempimenti ha portato alla chiusura dell’azienda.
Individuare e tenere sotto controllo tutti i rischi che riguardano un’azienda, mediante opportune azioni di mitigazione, è un compito davvero complesso, ancor di più se si ignora questo problema.
L’incendio tuttavia era un rischio ben noto, di per sé prevedibile e poteva essere gestito monitorando i pagamenti dei premi assicurativi con l’ordinaria diligenza.
Ci sono rischi però che oggi si fa molta fatica a individuare e soprattutto a capirne la portata, semplicemente perché non c’è nessuna esperienza passata o comunque difficilmente conoscibile o quantificabile.
Bisogna allora provare a fare delle proiezioni di rischio basata più sulla logica e meglio con un approccio logico-deduttivo.
Un’area di possibili rischi nascosti per le aziende si può forse intravedere nei rischi legali collaterali ad un attacco informatico.
Cosa intendo dire?
Le tecniche di attacco informatico più utilizzate sono quelle finalizzare a compromettere un account aziendale, spesso l’account di posta elettronica, tramite tecniche di social engineering, per poter poi estendere l’attacco a tutto il sistema informatico, utilizzando le informazioni recuperate per realizzare il proprio obiettivo criminale (spesso poi chi ha compromesso l’account vende all’asta le credenziali sul dark web e subentra altro gruppo criminale).
Questo tipo di attacco trova terreno fertile soprattutto se l’azienda non ha segmentato la propria rete con diversi livelli di accesso, contromisura che viene sempre suggerita dagli esperti di sicurezza (lo stesso Kevin Mitnick, uno dei più noti (ex)hacker, la ritiene basilare nel suo primo libro “L’arte dell’inganno”).
Ci si può togliere poi questo dubbio: l’antivirus da solo non basta, ci sono tecniche tutto sommato quasi banali per bypassarlo, ma forse certe informazioni non è bene pubblicarle.
Si frutta quasi sempre l’elemento debole di ogni sistema di sicurezza, cioè l’essere umano.
Se i collaboratori dell’azienda non sono formati sulla sicurezza, contando magari sull’antivirus, è facile che l’attacco abbia molte probabilità di riuscire.
L’elemento umano è sempre stata la vulnerabilità più difficile da gestire.
Attenzione però che l’attacco può non avere come obiettivo principale l’azienda a cui sono stati inizialmente compromessi i sistemi, ma altra azienda che magari collabora con la prima (non sempre però, si pensi alla compromissione del sito aziendale, con inserimento di codice malevole, in modo da attaccare chiunque navighi sul sito). Sfruttando quindi le risorse informatiche compromesse della prima azienda, i criminali informatici raggiungono la seconda azienda, il vero obiettivo, o per truffarla, per esempio con la tecnica dell’invio di un nuovo IBAN da parte del fornitore (impersonato dal truffatore, con però utilizza la e-mail originaria del fornitore, già in precedenza compromessa, scritta in modo molto credibile) oppure riuscendo a inoculare nei sistemi informatici malware specifici, per esempio per cifrare i dati e/o esfiltrarli, per poi estorcere somme di denaro, crimine che si concretizza anche con un duplice ricatto (perdita di dati e pubblicazione nel web).
Se l’azienda obiettivo, accortasi dell’attacco, è preparata e magari isola i server senza però spegnerli (nella memoria RAM possono esserci informazioni preziose), è possibile da parte degli esperti di sicurezza trovare le tracce da cui è partito l’attacco e quindi delle prove consistenti che dimostrano che l’attacco è partito dalla prima azienda.
La domanda quindi è questa: è possibile fare causa alla prima azienda per ottenere il risarcimento del danno cagionato alla seconda azienda?
Se ci sono le prove che l’attacco informatico che ha colpito la seconda azienda, è partito dalla prima azienda sfruttando una vulnerabilità prevedibile e che poteva essere debitamente gestita con una corretta analisi e gestione del rischio, è sostenibile, dal punto di vista legale, la fattibilità di una causa per il risarcimento del danno.
Ci sono varie disposizioni normative (tra cui, in particolare, regolamento GDPR per es. artt. 5, 24, 32, 82, ma anche gli artt. 2043, 2050, 2051 del codice civile), che impongono l’obbligo di gestire correttamente i propri sistemi informatici, pena l’obbligo di risarcire i danni a terzi sempre se è provato il nesso causale tra la negligente gestione dei sistemi informatici compromessi e il danno cagionato alla seconda azienda.
Si tratta di una tipologia di contenzioso pressoché nuova di cui non c’è casistica giudiziaria e quindi quando e se inizierà il contenzioso, si formerà un orientamento giurisprudenziale utile per capire meglio questa tematica.
Se però il danno subito dall’azienda obiettivo è elevato e la prima azienda è patrimonialmente solida oppure è assicurata, ecco che l’avvocato non può sottrarsi dal valutare e consigliare un’azione civile di risarcimento del danno contro la prima azienda, sempre se ci sono fondati elementi di prova correttamente raccolti.
Gli esiti di un contenzioso sono sempre incerti fino all’ultimo grado di giudizio, ma in un caso come questo io come avvocato la causa la proporrei al cliente, specie se i danni da riparare sono consistenti e la controparte è solvibile, anche indirettamente tramite assicurazione (anche se la copertura assicurativa del cyber risk è spesso incerta).
In conclusione l’attacco informatico apre un fronte di rischi legali collaterali che è bene prendere in considerazione, quantomeno valutare una polizza assicurativa RC che copra i danni cagionati a terzi (e magari anche i danni subiti direttamente).
Qui si apre un diversificato panorama di polizze presenti sul mercato e il complesso problema della scelta della giusta polizza assicurativa, argomento che non magari affronterò in altra sede.
