Non passa giorno che non sia scandito da notizie di piccoli o grandi incidenti nel mondo cyber. Cosa stia succedendo e cosa ci si debba aspettare nel prossimo futuro sono le domande più ricorrenti. Le notizie spesso si somigliano e, scorrendo le pagine online dei principali quotidiani, a volte sorge il sospetto di un déjà vu. Forse perché i cyber-attack sono tutti uguali, assecondano la medesima fenomenologia o – semplicemente – sono tutti riconducibili alla stessa categoria? Nulla di tutto ciò. Si tratta solo di una progressiva assuefazione a qualcosa che iniziamo, con una certa inerzia a considerare inevitabile in un mondo perennemente interconnesso. Occorre forse fare un po’ di chiarezza ed evitare di indulgere nella rassegnazione o in forme di passiva accettazione di uno strapotere tecnologico che si configura come altro da noi. Anzitutto, è fondamentale chiarire che gli attacchi e gli incidenti cyber possono interessare o meno dati personali.
Nel primo caso, si parlerà di data breach, nel secondo caso invece, si tratterà di eventi che, pur mettendo a repentaglio i perimetri di sicurezza di un sistema informatico, non integrano tecnicamente la fattispecie di violazione di dati personali. La distinzione non è irrilevante, portando con sé una diversa modulazione rispetto alle conseguenze giuridiche, economiche e, talvolta, anche sociopolitiche.
Con riferimento poi ai soli casi di data breach in senso stretto, si è di solito portati a ritenere che essi siano frutto di violazioni di dati arrecate per lo più da attacchi ad un sistema informatico provenienti dall’esterno, mediante tecniche di hacking. La legge, invece, definisce violazione di dati personali, quella violazione causata indistintamente da una intrusione dall’esterno, dall’interno o da un mero incidente.
Inoltre, nel caso di data breach, i livelli di tutela che entrano in gioco sono diversi e rafforzati rispetto ad incidenti di sicurezza che non riguardano i dati personali.
Il Codice Privacy vigente e il GDPR che entrerà in vigore il 25 maggio 2018 individuano obblighi precisi a carico di chi subisce una violazione di dati personali, introducendo l’obbligo di notificazione all’Autorità Garante per la privacy. Ad oggi tale obbligo è limitato al solo ambito delle comunicazioni elettroniche ma, con l’entrata in vigore del regolamento EU, si estenderà a tutti gli ambiti in cui vengono trattati dati personali. Il Garante dovrà ricevere la notifica entro 72 ore dall’evento, fatta salva l’estensione di tale obbligo anche nei confronti tutti gli interessati, in presenza di un rischio elevato per i diritti e le libertà della persona fisica. Ove poi risultasse un comportamento in violazione delle norme di legge da parte del soggetto che ha subito il data breach, lo stesso rischierebbe di dover risarcire il danno ingiusto (ai sensi dell’art. 2050 del codice civile) subito dagli interessati. La criticità per chi dovesse subire il data breach è costituita dall’inversione dell’onere della prova a carico del titolare del trattamento, tenendo a latere il rischio – incalcolabile – di sanzioni pecuniarie che, ai sensi del GDPR, potranno raggiungere la soglia massima del 4% del fatturato annuo globale di gruppo e fino a 20 Milioni di Euro per i soggetti pubblici. Tutto ciò senza contare i rischi legati al sistema penalistico di protezione dei dati ad oggi vigente e che in futuro potrebbe rimanere in piedi. L’allocazione di tale rischio può essere affrontata utilmente solo attuando, da un lato, delle politiche serie di compliance alla normativa privacy, con una attenzione sistematica ai livelli di sicurezza che devono essere proporzionati al rischio potenziale che i dati personali corrono; dall’altro, assicurando tale rischio ricorrendo agli strumenti che il mercato, timidamente, sta iniziando ad approntare.
Le autorità dovranno tuttavia fare la loro parte. Enforcement ragionevole e controlli proporzionati sono le parole d’ordine che dovranno essere utilizzate per far sì che la cybersecurity diventi un’opportunità per incrementare la protezione e l’efficienza dei sistemi e delle reti e per migliorare la cultura d’impresa rispetto alle esigenze di protezione e circolazione dei dati personali.