Il 2020 è stato caratterizzato da un aumento esponenziale degli attacchi informatici sia verso le aziende che verso gli enti pubblici. Gli attacchi in molti casi sono definibili come breach tramite ransomware. L’attacco in sostanza va a limitare l’accesso del dispositivo (anche server) che infetta, richiedendo un riscatto all’utente per rimuovere la limitazione, e ciò può avvenire anche mediante cifratura dei dati che saranno “sbloccati” solo a pagamento avvenuto. Evidente come questa condotta sia penalmente rilevante e perseguibile nel nostro Paese in quanto trattasi di estorsione. Su queste vicende vi sono indubbiamente degli aspetti di natura legale che non sono propriamente chiari alle aziende ed agli enti, in quanto trovandosi dinnanzi ad un simile attacco, molti commettono degli errori che possono comportare anche un loro coinvolgimento da un punto di vista di responsabilità pur essendo quindi vittime dell’estorsione.

Dicevamo che l’attacco può comportare una indisponibilità di informazioni aziendali ed ovviamente queste possono (anzi, in gran parte dei casi sicuramente!) coinvolgere anche dati personali di cui sia Titolare chi subisce l’attacco. È quindi importante evidenziare alcune valutazioni preliminari che le “vittime” debbono fare rispetto alle azioni che possono intraprendere. Innanzitutto occorre ricordare come sia onere del Titolare del trattamento e quindi dell’azienda o della pubblica amministrazione adottare misure di sicurezza idonee per ridurre il rischio relativo all’ eventuale attacco; sotto il profilo legale l’attuale Regolamento europeo per la protezione dei dati personali prevede che il Titolare del trattamento abbia posto in essere sicuramente nel 2018 (e dopo in caso di modifiche rilevanti)  un’analisi dei rischi relativamente all’impatto che eventuali attacchi possano produrre sui propri sistemi informativi. Tale aspetto integra gli obblighi gravanti sui Titolari in materia di accountability: i rischi debbono essere analizzati secondo le tecnologie utilizzate, le tipologie di dati trattati, le misure organizzative afferenti alla struttura e secondo l’organizzazione, andando ad apportare o comunque valutare correttivi e rimedi ragionevoli in proporzione alla valutazione stessa.

Come dicevamo, sicuramente tale valutazione sarà stata effettuata nel 2018, ma in caso di variazioni tecnologiche, organizzative o comunque rilevanti rispetto ai rischi, il Titolare deve aggiornarne la documentazione e porre in essere le azioni (anche di rimedio) opportune. In questo quadro la totale inattività del Titolare comporta una omissione che potrebbe incidere negativamente in caso di attacco subito. Infatti, uno degli obblighi vigenti nell’ipotesi di breach che possa avere ad oggetto dati personali, è la notificazione all’Autorità di controllo per la protezione dei dati personali. Tale notifica – la cui omissione genera forti responsabilità – si deve comporre non solo degli elementi afferenti tecnicamente al breach subito per quanto conoscibile dal Titolare, ma deve indicare quali misure fossero attive al momento in cui si è subito l’attacco e gli eventuali rimedi posti in essere dopo l’attacco stesso.

È fondamentale, dunque, che il Titolare sia ben consapevole di questi passaggi, onde evitare di dover pagare le conseguenze sia dell’attacco sia delle responsabilità generate dall’omissione di adeguamento al Regolamento europeo per la protezione dei dati personali. Superato tale aspetto, vi è poi un ulteriore elemento di attenzione, ovvero il pagamento del riscatto come condotta perseguibile. Se giurisprudenza prevalente conferma costituire un “diritto” di scelta per il privato cittadino, più complesso è il tema per le aziende e gli enti pubblici. Questi ultimi non possono assolutamente adottare una soluzione quale il pagamento del riscatto, per ovvi motivi collegati alla spesa di soldi pubblici. Ma anche per le aziende private si aprono scenari rischiosi, in quanto perseguibili per “favorire” mediante una condotta di adesione alle richieste del riscatto, il reato commesso da chi effettua l’attacco. Ad esempio, qualora coloro che rivendichino la paternità dell’attacco appartengano ad organizzazioni internazionali iscritte dai Governi nella lista delle organizzazioni terroristiche, l’azienda “pagante” verrebbe ritenuta responsabile addirittura di aver foraggiato il gruppo terrorista mediante il pagamento del riscatto! Vi è anche un tema di Modello 231, per cui certe condotte sono assolutamente vietate, oltre appunto ad un tema di favoreggiamento.

Nel nostro Paese, dunque, l’adesione al pagamento del riscatto genera responsabilità anche di natura penale, è pertanto fondamentale proporre la denuncia verso le Autorità competenti, ma soprattutto aver preventivamente a qualsiasi attacco, effettuato valutazioni idonee a ridurre il potenziale offensivo dell’attacco stesso.