Misure di prevenzione e profili di privacy e di diritto penale e civile. Se ne è parlato nel corso di un recente evento organizzato da Dual Italia.
Cosa sta avvenendo a livello europeo e nazionale in materia di cyber risk? Quali sono i profili giuridici e normativi di questo sempre più preoccupante fenomeno? A questa domanda ha provato a rispondere David Marino (nella foto), partner dello studio legale Dla Piper, nel corso di un recente convegno organizzato da Dual Italia.
L’intervento di Marino ha preso spunto dal fatto che, proprio per le sue caratteristiche, il cyber risk non ha vincoli spazio temporali. «Un attacco per esempio può partire dagli stati Uniti e arrivare in Italia ed è difficilissimo riuscire a capire in molti casi l’origine del fenomeno», ha esordito. «Proprio per questo, su iniziativa della Commissione Europea è stato costituito un comitato, l’European Cybercrime Centre, che ha l’obiettivo di coordinare e favorire lo scambio di informazioni a livello europeo e per garantire la prevenzione e soprattutto una reazione immediata di fronte a fenomeni che possono coinvolgere piu giurisdizioni».
La direttiva 40 del 2013 dell’Unione Europea relativa agli attacchi contro i sistemi di informazione si pone l’obiettivo di migliorare gli strumenti di contrasto al cybercrime tramite il riavvicinamento della normativa penale degli Stati membri; rendere più fluida la collaborazione transfrontaliera tra autorità; creare un sistema efficace di monitoraggio e raccolta di dati statistici sui reati informatici.
Anche in Italia è stato fatto qualcosa. «Nel 2013 è stato prodotto dalla presidenza del Consiglio dei Ministri un documento decisamente corposo e probabilmente dai contenuti ambiziosi», ha ricordato Marino, «il cui proposito sarebbe, entro il 2015, quello di raggiungere sei obiettivi precisi: miglioramento della capacità tecnico/operative degli attori istituzionali; potenziamento delle capacità di difesa dal cyber crime; incentivazione della cooperazione tra istituzioni/imprese; promozione della cultura della sicurezza cibernetica; rafforzamento delle capacità di contrasto alle attività/contenuti illegali on line; rafforzamento della cooperazione internazionale».
C’è anche una circolare dell’Associazione bancaria italiana, «una sorta di accordo di collaborazione con la Polizia di Stato al fine di coordinare iniziative per tutelare le banche stesse da fenomeni di frodi informatiche». Marino ha poi esaminato i singoli profili che uno stesso evento di cybercrime può dar luogo, partendo da quelli relativi alla privacy. «Nella maggior parte dei casi, un attacco di natura informatica dà luogo alla sottrazione o alla diffusione non voluta di dati personali», ha detto. «Esiste una definizione piuttosto ampia di violazione del dato personale o data breach: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico. Attualmente esistono degli obblighi di notifica al Garante e anche agli interessati del fatto che un certo soggeto abbia subìto un attacco informatico che ha determinato un data breach. Questo, però, è uno scenario in evoluzione perché in un prossimo futuro è possibile che l’obbligo di notifica riguardi chiunque maneggi dati personali. Attualmente l’obbligo esiste solo per i fonitori di servizi di comunicazione elettronica. Lo scenario potrebbe cambiare (c’è una proposta di nuovo regolamento Ue) ed essere esteso a tutti i soggetti che trattano dati personali».
Il nuovo regolamento, nel dettaglio, prevede misure di sicurezza da adottare sulla base di una valutazione di impatto in materia di privacy per tutelare l’integrità dei dati e la riservatezza e l’integrità dei sistemi; garantire le capacità di disaster recovery; prevedere delle misure di sicurezza aggiuntive in caso di dati sensibili; provare e verificare le policy e procedure di sicurezza. «Ma soprattutto quello che potrebbe cambiare è anche il profilo delle sanzioni», ha sottolineato Marino. «Nel regolamento si fa riferimento a sanzioni amministrative in caso di data breach che possono raggiungere fino al 2% del fatturato mondiale della società coinvolta da un fenomeno di data breach».
Per quanto riguarda i profili di diritto penale e le responsabilità di chi commette il reato, i casi più ricorrenti si riferiscono a: «furti di identità e intrusione nei conti correnti bancari, phishing, pharming (manipolazione degli indirizzi di Domain Name Server con l’obiettivo di indirizzare la vittima verso un server web “clone” appositamente attrezzato per carpire dati personali), fino ad arrivare a spionaggio industriale (quello commesso dai dipendenti che divulgano e vendono a terzi informazioni sensibili)», ha evidenziato Marino. «Ci sono poi profili di diritto civile e i soggetti più esposti sono le banche».
Fabio Sgroi
© RIPRODUZIONE RISERVATA
