L’ente hackerato rischia grosso

di ANTONIO CICCIA MESSINA (ItaliaOggi Sette – 01/08/2022) – In collaborazione con Mimesi s.r.l.

L’art. 82 del Regolamento Ue sulla protezione dati n. 2016/679 (Gdpr) tutela i danneggiati
Data breach: aziende e P.a. tenute a informare e risarcire
I cyberladri di dati tributari innescano la miccia della richiesta di risarcimento del danno da parte delle vittime. Ma a pagare i danni non sono gli hacker o ricattatori informatici, che hanno enormi chance di rimanere nell’ombra. L’alea dell’indennizzo, infatti, incombe di fatto solo su chi detiene i dati nei propri computer e server, cioè imprese, pubbliche amministrazioni e professionisti attaccati dai cibercriminali e, quindi, per altro verso, vittime anch’esse della delinquenza elettronica. Senza contare che ogni data breach (violazione della sicurezza da cui deriva una violazione dei dati) apre le porte non solo alle richieste di indennizzo da parte degli interessati, ma anche alle sanzioni del Gdpr. La bomba dei risarcimenti, in ogni caso,è armata ed è a un passo dalla conflagrazione. E prima o poi saranno promosse cause singoleo class action, soprattutto quando le violazioni della privacy riguardano molte persone.

L’articolo 82 del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) è, infatti, un dolce scivolo per i danneggiati e una strada ripida verso l’abisso, piena di insidie e trabocchetti, per le imprese, le pubbliche amministrazioni e i professionisti. Peri danneggiati la preoccupazione più grande è la prova dell’ammontare del danno patito, mentre godono di un bonus probatorio quanto alla colpa del titolare del trattamento. Per quest’ultimo, invece, sfuggire al pagamento dei danni è condizionato a una prova difficilissima e cioè alla dimostrazione che l’evento dannoso non gli è in alcun modo imputabile: intendiamoci, o c’è una manina di aiuto tesa da tribunali comprensivi che inventano interpretazioni miti, altrimenti nei giudizi bisogna puntare tutto sulla minimizzazione dell’importo del danno e prepararsi ad aprire il portafoglio, sperando di pagare il meno possibile. Il data breach è sempre uno stress rilevante, molto spesso una tragedia, qualche volta un incubo. Vediamo perché, tratteggiando il quadro generale: c’è un delinquente che, per divertimento o per lucro criminale, porta a compimento un attacco informatico ai danni, ad esempio, di un’impresa; l’impresa nell’immediato perde reputazione commerciale, clienti e fatturato; la stessa impresa, sempre nell’immediato, deve autodenunciarsi alle autorità e deve propalare la brutta notizia ai clienti e a tutti gli interessati; il Garante della privacy apre le proprie indagini che, dovendo necessariamente applicare il Gdpr, arriveranno, molto probabilmente, a una sanzione amministrativa pecuniaria. Per considerare i fatti con oggettività bisogna riconoscere che con gli apparecchi informaticie le reti digitali è impossibile essere completamente a posto e in regola e bisogna anche sottolineare che, al contempo, non si può fare a meno di usare apparecchi e reti insicure. Quindi, riassumiamo: un’impresa è obbligata ad affrontare il rischio informatico-digitale (che, anche se lo volessee se avesse capacità di investimento illimitata in sicurezza informatica, può solo attenuare, mai eliminare); (non se, ma) quando un delinquente riesce a bucare l’impresa (è solo questione statistica o di buona sorte), l’impresa stessa viene sanzionata dall’autorità e rischia la sua tenuta sul mercato. Con la beffa, talvolta, di vedere gli hacker, che sembrano intoccabili, addirittura osannati perché riescono a rivelare le crepe (che, in realtà, causano).

Si prenda l’episodio dei ricattatori informatici che minacciano di mettere in rete migliaia di dati di contribuenti. A questo riguardo ci si può chiedere, da un lato, se questi contribuenti abbiano il diritto di sapere che cosa sta succedendo dei loro dati e, dall’altro lato, se possano chiedere il risarcimento del danno (allo Stato italiano oppure ad altro titolare del trattamento, come uno studio professionale coinvolto). Alla prima domanda risponde, anche se solo in maniera vaga e in generale, l’articolo 34 del Gdpr: se c’è un rischio elevato per le persone, in caso di attacco informatico, il titolare del trattamento lo deve dire agli interessati, aiutandoli a elevare barriere protettive e a evitare danni ulteriori. Il problema, qui, è capire quando il danno è elevato. A questo proposito abbiamo esempi di pronunce del Garante molto rigorose nell’interesse delle persone interessate. Sono pronunce nelle quali il Garante ha ritenuto elevato il rischio, obbligando a fare la comunicazione agli interessati, a proposito di un data breach nel quale non è stato possibile determinare con certezza se vi sia stata o meno esfiltrazione di dati. Da tale orientamento, ispirato certo ad un apprezzabile grado avanzato di tutela, deriva l’obbligo di comunicare agli interessati notizie sul data breach ogni volta che ci sia un dubbio sulla esistenza del fatto da cui possa derivare un rischio elevato. Ci si chiede se questo non significhi equiparare una possibilità della causa (esfiltrazione di dati) ad una probabilità dell’effetto (rischio elevato per i diritti) e se questo non significhi estendere a tappeto, sempree comunque, l’obbligo di comunicare il data breach agli interessati. E si rammenta che non fare la comunicazione significa esporsi alla sanzione amministrativa finoa 10 milioni di euro). Al secondo quesito (eventualità del risarcimento del danno) risponde l’articolo 82 del Gdpr, che disciplina la causa per danni da violazione della privacy. Cosa può fare la vittima di violazione della privacy Trasparenza Ha diritto di sapere se e come si è verifi cata una violazione dei dati Così si vengono a sapere notizie utilizzabili per chiedere danni Contenzioso Ha diritto di iniziare una causa per chiedere il risarcimento dei danni Gode di benefi ci probatori, potendosi limitare a descrivere il fatto e a provare tipo e valore del danno (non deve provare la colpa del titolare del trattamento) Azioni promosse da associazioni Indipendentemente dal mandato conferito dall’interessato, le associazioni hanno il diritto di agire in caso di violazione dei diritti degli interessati Il singolo può avvantaggiarsi delle azioni promosse dalle associazioni rappresentative.

* Articolo integrale pubblicato su Italia Oggi del 1° Agosto 2022.