Nelle ultime settimane la stampa internazionale ha dato notizia di numerosi crimini attacchi compiuti su scala globale a danno di imprese, istituzioni pubblici, organizzazioni non governative e cittadini privati. Le statistiche diffuse dalle agenzie specializzate in sicurezza informatica danno conto di un incremento esponenziale nella quantità e nella scala di diffusione degli attacchi informatici che hanno come obiettivo il furto di credenziali e dati personali.

WannaCry, il primo ransomware diffuso con una strategia di spreading su scala globale, ha colpito, secondo le ultime statistiche, oltre 230.000 pc in oltre cento paesi del mondo, causando interruzioni di servizi pubblici essenziali e le catene produttive di importanti industrie del settore automobilistico, bancario, delle telecomunicazioni.

Più recentemente, è divenuta di pubblico dominio la notizia della diffusione in rete di elenchi contenenti oltre 450 milioni di credenziali di accesso ad account di posta elettronica ed altri servizi online, tra i quali gli esperti hanno individuato le credenziali di accesso relative alle caselle di posta elettronica istituzionali di enti pubblici (come la Casa Bianca, ma anche di numerosi enti pubblici italiani), istituzioni del settore medico (tra cui quelli di alcune aziende sanitarie italiane) ed imprese private (tra cui quelli di moltissime piccole e medie imprese italiane, ma anche di colossi del settore bancario ed assicurativo).

Sono inoltre in costante aumento le violazioni di dispositivi dell’IoT (Internet of Things), tra i quali i dispositivi di videosorveglianza connessi alle rete (IPcam), messi fuori servizio per organizzare intrusioni fisiche nei luoghi ove sono istallate o, ancor più sovente, utilizzate realizzare attacchi informatici coordinati a danno di obiettivi sensibili.

Il dilagare di questi episodi di cybercrime è agevolato dalla insufficienza delle misure di sicurezza adottate dai sistemi che ne sono colpiti. L’utilizzo di sistemi non aggiornati od obsoleti, l’utilizzo di credenziali non sicure o il ricorso a prassi interne nella gestione dei dati può portare a ripercussioni molto serie a danno delle imprese, rappresentate non soltanto dai danni diretti causati dall’attacco informatico (perdita dei dati, blocco dei sistemi, sottrazione di informazioni o segreti aziendali), ma può esporre le imprese ed i titolari dei trattamenti a sanzioni amministrative e penali anche gravi nonché ad azioni risarcitorie promosse dagli interessati.

Quando ad essere compromessi sono sistemi utilizzati per il trattamento di dati personali, la violazione dei sistemi rappresenta molto spesso una violazione dei dati personali, che nel caso dipenda da misure di sicurezza inadeguate, può essere imputata al titolare come conseguenza diretta della violazione degli obblighi di correttezza e sicurezza nel trattamento dei dati personali, obblighi che il nuovo regolamento europeo n. 679/2016 (GDPR), in vigore dal 25 maggio 2018, renderà ancora più stringenti rispetto ad oggi.

L’articolo 32 del GDPR stabilisce infatti l’obbligo generale per tutti i titolari di assumere misure di sicurezza “adeguate”, da determinarsi tenuto conto dello stato dell’arte, della natura, dell’oggetto, del contesto e delle finalità del trattamento. Le imprese saranno perciò obbligate ad un costante adeguamento delle misure di sicurezza dei loro sistemi. Tale attività, per evitare impegni economici sproporzionati, non potrà prescindere da una analisi giuridica della natura dei dati trattati e dei rischi legati al trattamento.

L’art. 25 impone inoltre ai titolari del trattamento di adottare, sin dalla progettazione di nuovi sistemi di trattamento (nozione nella quale sono ricompresi anche dispositivi e software rilasciati al pubblico con i quali vengono effettuati trattamenti di dati personali) in modo che “per impostazione predefinita” minimizzino i dati personali soggetti al trattamento e garantiscano una sicurezza adeguata (cd. privacy by default o by design).

La violazione dell’obbligo di adottare adeguate misure importa, sotto il versante amministrativo, l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) del GDPR, fino a dieci milioni di euro o, se maggiore, fino al 2% del fatturato mondiale totale annuo del titolare.

La mancata adozione di misure di sicurezza adeguate costituisce inoltre una condotta penalmente rilevante.

Il codice della privacy attualmente vigente (il d.lgs. n. 196/2003) punisce oggi con l’arresto fino a sei mesi ogni soggetto (titolare, responsabile o simile) che, essendovi tenuto, omette di adottare le misure minime di sicurezza previste dall’art. 33 del medesimo codice.

La disposizione dovrà essere oggetto di adeguamento da parte del legislatore italiano, in forza dell’obbligo di assicurare l’effettività del diritto dell’Unione prevedendo adeguate sanzioni penali per il caso di violazione.

La mancata adozione di adeguate misure di sicurezza, costituendo una violazione agli obblighi relativi alle modalità di trattamento dei dati personali incombenti sul titolare, importa anche l’obbligo di risarcire tutti gli interessati dei danni, patrimoniali e non patrimoniali, subiti in conseguenza della violazione. Responsabilità che può essere particolarmente gravosa allorché il titolare tratti dati sensibili.

Ulteriori responsabilità possono sorgere in relazione alla violazione o al non corretto adempimento dell’obbligo di dare tempestiva comunicazione alle autorità competenti ed agli interessati delle violazioni di dati subite dal titolare (artt. 33 e 34 GDPR). L’obbligo di mettere a conoscenza le autorità amministrative e gli interessati della violazione dei dati subita esporrà il titolare, molto più che in passato, all’applicazione delle sanzioni amministrative ed alle richieste risarcitorie degli interessati.

Per particolari categorie di imprese (come le imprese di telecomunicazioni, i gestori di pubblici servizi o i titolari del trattamento di dati particolarmente sensibili), l’obbligo di notificazione è soggetto a oneri e responsabilità aggiuntive previste da norme speciali (ad esempio il reg. UE 611/2013 e la direttiva 2016/1148/UE).

Il nuovo quadro normativo impone dunque a tutte le imprese, gli enti e le istituzioni che trattano dati personali (specialmente se tali dati sono qualificabili come sensibili) l’adozione di adeguate misure di sicurezza e la periodica valutazione – anche sotto il versante giuridico – dell’adeguatezza delle misure in rapporto al rischio di violazione. Ciò al fine di evitare l’applicazione delle pesantissime sanzioni previste dalla legge, la cui entità, può incidere anche pesantemente sugli equilibri finanziari dei destinatari, compromettendone la stabilità.