Lo scorso 17 ottobre la Corte di giustizia dell’Unione europea si è pronunciata sulla competenza giurisdizionale in relazione alle controversie aventi ad oggetto il risarcimento del danno cagionato alle persone giuridiche per effetto della pubblicazione attraverso la rete di dati o informazioni inesatti (CGUE, sentenza 17 ottobre 2017, causa C-194/16, Bolagsupplysningen e Ilsjan, ECLI:EU:C:2017:554).

La questione portata all’attenzione della Corte era sorta in un caso in cui una società estone operante in Svezia aveva promosso in Estonia un’azione volta ad ottenere la condanna di un’associazione di imprese svedese per il danno subito per effetto della pubblicazione dei dati sociali in una black list di imprese non affidabili pubblicata su un sito gestito dall’associazione e per la pubblicazione nel connesso forum di commenti ed affermazioni infamanti nei riguardi della società e di una sua dipendente.

Era infatti dubbio se in una tale fattispecie il danneggiato potesse promuovere l’azione di risarcimento soltanto dinanzi alle autorità giudiziarie dello Stato di residenza abituale del convenuto o se potesse agire anche dinanzi alle autorità dello Stato membro di stabilimento.

Si trattava dunque di interpretare la regola sulla competenza in materia di illeciti civili dolosi o colposi, oggi enunciata dall’art. 7, punto 2 del Regolamento (UE) n. 1215/2012 (ed in passato dall’art. 5, punto 3 del Regolamento (CE) n. 44/2001) che stabilisce la competenza, in alternativa al foro dello stato di residenza abituale del convenuto, anche del giudice del luogo dove l’evento dannoso è avvenuto o può avvenire.

Nelle ultime settimane la stampa internazionale ha dato notizia di numerosi crimini attacchi compiuti su scala globale a danno di imprese, istituzioni pubblici, organizzazioni non governative e cittadini privati. Le statistiche diffuse dalle agenzie specializzate in sicurezza informatica danno conto di un incremento esponenziale nella quantità e nella scala di diffusione degli attacchi informatici che hanno come obiettivo il furto di credenziali e dati personali.

Il dilagare di questi episodi di cybercrime è agevolato dalla insufficienza delle misure di sicurezza adottate dai sistemi che ne sono colpiti. L’utilizzo di sistemi non aggiornati od obsoleti, l’utilizzo di credenziali non sicure o il ricorso a prassi interne nella gestione dei dati può portare a ripercussioni molto serie a danno delle imprese, rappresentate non soltanto dai danni diretti causati dall’attacco informatico (perdita dei dati, blocco dei sistemi, sottrazione di informazioni o segreti aziendali), ma può esporre le imprese ed i titolari dei trattamenti a sanzioni amministrative e penali anche gravi nonché ad azioni risarcitorie promosse dagli interessati.