APPROFONDIMENTI

Cyber Risk

17/11/2015

di Avv. Gianluca Marmorato

Siamo tutti ormai fruitori delle nuove tecnologie, applicate con efficacia a tutti gli ambiti produttivi e professionali, ma non sempre ci si sofferma ad analizzare compiutamente ed analiticamente la rivoluzione digitale che sempre più velocemente sta invadendo le attività moderne.
Nel corso degli ultimi venti anni le vite lavorative e personali di tutti noi sono state definitivamente trasformate dall'utilizzo sempre più massiccio e pervasivo della tecnologia.
Fino a pochi decenni fa i calcolatori (padri degli odierni computer, tablet o smartphone che tutti ormai utilizzano quotidianamente) avevano necessità di spazi estremamente grandi ed il loro costo elevato li rendeva disponibili esclusivamente all'area militare, prima, ed alle aziende di dimensioni multinazionali, poi, ma il loro utilizzo si limitava ad effettuare calcoli mirati a ricerca o immagazzinamento dati locali.
L'avvento della Silicon Valley e del boom economico degli anni '80 hanno reso fruibile al grande pubblico i calcolatori dati che divennero ben presto Personal Computer; i tempi erano maturi per portare un PC sulla scrivania di ogni famiglia. Difficili da dimenticare sono le parole di un giovane Steve Jobs, riportate dalla rivista specialistica Inc nell'ottobre 1981, che così recitavano: "In the past 15 years, there have been only a few tools that have actually increased the efficiency of the office worker -- the IBM Selectric typewriters, the calculator, the Xerox copier, and the newer, advanced phone systems. Like all those inventions, the personal computer offers its power to the individual. By combining typing and calculating functions, replicating of stored documents, and data transmission over telephone lines, Apple's personal computers offer the promise of a synergistic increase in individual efficiency... I'm going to put an Apple Computer on every desk".
Molta strada, da allora, è stata fatta, lo sappiamo bene, e la tecnologia ha portato innegabili benefici, ma anche, inevitabilmente, comportato rischi che devono essere compresi e gestiti.
L'era che viviamo è caratterizzata dalla condivisione di dati, e costante connessione ad internet; la rete globale odierna è alla base della vita lavorativa e ludica di miliardi di persone, ma rappresenta anche una giungla ove opera ogni genere di illegalità.
Le vite personali e professionali, nonché le attività economico-commerciali, sono facilmente rintracciabili e disponibili alla grande utenza; senza dubbio questa macro esposizione (necessaria ovviamente per i soggetti commerciali e le attività di servizi) di dati e profili, genera, insieme all'evidente aspetto positivo della "presenza", anche notevoli rischi per la manomissione e l'uso illegittimo di tali dati.
Il Cyber Crime sembra dunque essere l'ultima, più diffusa e più complessa frontiera del crimine, e ciò per alcuni ordini di ragioni. In primo luogo la globalizzazione e massiccia diffusione di internet rappresenta una via fondamentale per la nuova economia; la libertà della rete, la velocità dei dati e la sostanziale carenza di uniformità legislativa, rappresentano, in positivo, il trend crescente di semplicità cui tutti gli operatori del settore informatico puntano, ma al contempo tutto ciò rappresenta il Black Hole del crimine.
Assistiamo quotidianamente a tentativi di frodi informatiche, dalle più artigianali a quelle poste in essere con particolare destrezza e competenza, il cui comune denominatore è l'ampia possibilità della copertura delle attività delittuose dietro un totale anonimato.
Sempre più frequenti sono le notizie di intromissioni da parte di hackers nei datacenter di colossi quali i più grandi istituti bancari internazionali, ovvero società come Sony (noti sono i recenti furti di dati attraverso la console di giochi Playstation), TK Maxx, Google e perfino la Nasa.
Altrettanto recenti sono inoltre le notizie dei furti di milioni di password dalle banche dati di Apple ad Amazon, e per tali fatti si stanno già profilando classactions oltreoceano del valore di decine di milioni di dollari.
L' argomento è ovviamente sul tavolo di tutti i Governi, sia per l'alta incidenza economica che rappresenta il crescente fenomeno del Cyber Crime, sia per i rischi legati alla sicurezza internazionale, anche alla luce di possibili "attacchi" terroristici di natura informatica.
Anche l'Unione Europea ha posto la massima attenzione sul rischio informatico, al punto che nel gennaio 2013 ha visto la luce il Centro Europeo per la lotta alla criminalità informatica (EC3), con il preciso scopo di monitorare e creare le basi per la lotta su scala comunitaria al Cyber Crime.
Leggiamo nel documento ufficiale della UE ciò che rappresenta la rete, sia in campo economico che socio-politico: "Over the last two decades, the Internet and more broadly cyberspace has had a tremendous impact on all parts of society. Our daily life, fundamental rights, social interactions and economies depend on information and communication technology working seamlessly. An open and free cyberspace has promoted political and social inclusion worldwide; it has broken down barriers between countries, communities and citizens, allowing interaction and sharing of information and ideas across the globe; it has provided a forum for freedom of expression and exercise of fundamental rights, and empowered people in their quest for democratic and more just societies - most strikingly during the Arab Spring" [1].
La Commissione Europea sancisce la necessità da parte dei Governi di promuovere ed incentivare un uso libero di internet, ma al contempo di vigilare sul corretto utilizzo di tale potente mezzo: "Our freedom and prosperity increasingly depend on a robust and innovative Internet, which will continue to flourish if private sector innovation and civil society drive its growth. But freedom online requires safety and security too. Cyberspace should be protected from incidents, malicious activities and misuse; and governments have a significant role in ensuring a free and safe cyberspace. Governments have several tasks: to safeguard access and openness, to respect and protect fundamental rights online and to maintain the reliability and interoperability of the Internet".
La strategia Europea esprime la visione che la UE ha della sicurezza informatica, articolandola in
cinque priorità:
• conseguire la resilienza informatica;
• ridurre drasticamente la criminalità informatica;
• sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
• sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
• istituire una coerente politica internazionale del ciberspazio per l'Unione europea, e sostenere i valori fondamentali della UE.
La politica internazionale della UE per il ciberspazio intende promuovere il rispetto dei valori fondamentali dell'Unione europea, definire regole di comportamento responsabile, favorire l'applicazione delle leggi internazionali in vigore, aiutando inoltre i paesi terzi a costruire sicurezza informatica, e favorire la cooperazione internazionale su questi temi.
Nel testo Europeo si legge una proposta di Direttiva sulla sicurezza delle reti e dell'informazione (SRI), che costituisce la principale misura prevista dall'Agenda Digitale. Essa pone in capo agli Stati obblighi in materia di prevenzione, trattamento e risposta nei confronti dei rischi e degli incidenti informatici, pone le basi per la creazione di un meccanismo di collaborazione tra i Paesi membri, e stabilisce obblighi di sicurezza per gli operatori del mercato e le Amministrazioni Pubbliche.
In sintesi le misure ipotizzate sono le seguenti:
• analizzare e realizzare una strategia per la sicurezza delle reti e dell'informazione con la quale definire gli obiettivi, le priorità e le misure necessarie al fine di mantenere un adeguato, elevato livello di sicurezza;
• nominare un'autorità responsabile della sicurezza delle reti e dei sistemi informativi, dotata di risorse e poteri adeguati, il cui compito appare quello di sorvegliare sul rispetto della direttiva a livello nazionale e di contribuire alla sua coerente applicazione in tutta la UE;
• istituire, in collaborazione con la Commissione, una rete, al fine di garantire un effettivo coordinamento. Al suo interno, le autorità nazionali competenti dovranno svolgere attività quali la diffusione di preallarmi in merito a rischi e incidenti, la pubblicazione periodica di informazioni non riservate sui preallarmi in corso, la collaborazione con le altre autorità e con gli altri organismi competenti, al fine di scambiare informazioni e buone pratiche e fornire assistenza reciproca;
• provvedere affinché le amministrazioni pubbliche e gli operatori del mercato adottino misure adeguate per la gestione dei rischi relativi alle reti ed ai sistemi informativi che essi controllano ed utilizzano nello svolgimento delle proprie attività. In particolare, essi saranno tenuti a notificare all'autorità competente ogni incidente che abbia un impatto significativo sulla sicurezza dei servizi prestati. L'autorità potrà rendere pubblico l'incidente, qualora lo ritenga necessario [2].
Nel febbraio 2014, la Commissione Europea ha pubblicato uno studio analitico rispetto al primo anno di attività del Centro Europeo per la lotta alla criminalità informatica: "Il modus operandi criminale è in rapida mutazione e sfrutta gli sviluppi tecnologici e le lacune giuridiche. I criminali continueranno a dimostrarsi creativi e a lanciare attacchi sofisticati per incrementare i loro proventi e noi dobbiamo essere in grado di difenderci. Il bagaglio di conoscenze di cui dispone l'EC3 ci aiuta a combattere questa battaglia e a rafforzare la cooperazione a livello europeo. Grazie a diverse operazioni di ampio respiro nel corso dell'ultimo anno, il Centro europeo per la lotta alla criminalità informatica gode già di una meritata reputazione fra le agenzie incaricate di assicurare l'applicazione della legge", ha dichiarato Cecilia Malmström, Commissaria UE per gli Affari interni.
Troels Örting, Capo del Centro europeo per la lotta alla criminalità informatica, ha aggiunto: "Nei primi 12 mesi di funzionamento dell'EC3 siamo stati molto impegnati ad aiutare le autorità europee preposte all'applicazione della legge per prevenire e indagare sui crimini informatici transfrontalieri. Sono fiero e soddisfatto dei risultati finora ottenuti ma non possiamo adagiarci sugli allori. Mi preoccupano in particolar modo le forme sempre più complesse assunte dai programmi maligni che incontriamo, oltre alle truffe informatiche sempre più avanzate dal punto di vista tecnologico, nella fattispecie le estorsioni a sfondo sessuale di cui sono vittime i minori. Abbiamo visto solo la punta dell'iceberg, ma l'EC3, con il sostegno dei nostri validi partner e collaboratori, è impegnato a sostenere le operazioni più avanzate degli Stati membri contro il crimine informatico".
Secondo una recente indagine di organi comunitari, il 12% degli utenti europei di internet ha subito un attacco informatico al proprio conto di posta elettronica o di piattaforma sociale, mentre il 7% è stato vittima di frodi bancarie o con carta di credito online.
Il dato è assolutamente allarmante, ma sebbene non sia di certo sottovalutato, potrebbe in certa misura essere sottostimato, in considerazione del fatto che, accanto alle citate vere e proprie truffe o frodi informatiche, potrebbe nascondersi nella "rete" un rischio ancora maggiore e più diffuso.
Leggendo i più recenti studi statunitensi a riguardo [3], viene prospettato un quadro decisamente allarmante, con un'incidenza del cyber crime sull'economia globale dell'ordine di circa 400 miliardi di dollari all'anno.
Nonostante questi dati preoccupanti, da più parti, in particolar modo nel nostro Paese, si ritiene che solo le grandi aziende multinazionali siano esposte a fenomeni di reati informatici, in considerazione della loro grande visibilità, e che solo tali realtà economiche siano tenute a porre in essere le adeguate e delicate misure di barriera e controllo anti intrusione.
Da tale presupposto deriva una inevitabile e generale sottovalutazione del problema, accompagnato dall'idea che "it will never happen to us", mentre dai più accurati studi appare evidente che le piccole realtà economiche, e persino i professionisti non sono di certo immuni al Cyber Rysk, e ciò proprio in considerazione della loro minore protezione dall'esterno.
Generalmente, le imprese medio-piccole ed i professionisti (Notai, Commercialisti, Architetti, Ingegneri, Avvocati, ecc) sempre più fruitori delle nuove tecnologie e relative applicazioni (Cloud computing, virtual data, ecc), si affidano a strumenti che potrebbero rivelarsi del tutto inadeguati a fronteggiare le intrusioni degli hackers.
Ma quali sono i principali rischi informatici?
Furto o manipolazione illecita di dati sensibili e divulgazione di informazioni riservate, trade secretes, violazione della proprietà intellettuale ed estorsione, perdita di dati con conseguente perdita finanziaria, perdita dei ricavi, interruzione del Supply Chain Management con conseguente perdita degli ordini, accesso alle informazioni personali, download e diffusione di virus nei computers che possono distruggere o bloccare le funzioni di una rete e le relative operazioni aziendali.
Tali rischi aziendali e professionali non possono che aprire la strada ad un'attenta e corretta valutazione della realtà, portando alla individuazione di figure che predispongano adeguate operazioni di Cyber Risk Management.
La valutazione del rischio dovrà necessariamente tener conto di alcune, imprescindibili, valutazioni:
-beni e dati da proteggere
-entità di minacce
-vulnerabilità del sistema
-perdite e danni possibili
-contromisure
Le manovre che non potranno pertanto non essere considerate attengono da un lato all'individuazione degli investimenti necessari in Sicurezza Informatica, e dall'altro al trasferimento del rischio ad un soggetto terzo (Compagnia di Assicurazioni).
I soggetti interessati (aziende e professionisti) per il tramite dei Ciber Risk Management dovranno considerare le diversificate possibili previsioni di rischio, i termini di costi, siano essi tangibili o intangibili, quali il danno concreto per la perdita materiale dei dati, perdite determinate dal fatto che i clienti si possano rivolgere alla concorrenza, costi materiali per la riparazione, rilevamento e ricostruzione dei danni ai dati oggetto di furto e manomissione, costi delle azioni legali perpetrate dai titolari di dati persi o manomessi, perdita generalizzata di fiducia e immagine, accesso dei concorrenti ad informazioni confidenziali o riservate.
In sostanza, come ben spiegato da un noto istituto di ricerche [4], "know what constitutes their data "crown jewels", be it customer data, credit card data, intellectual property or knowledge" dovrà essere una priorità per tutti i soggetti economici, professionali e privati, e, di conseguenza, per le istituzioni nazionali ed internazionali ad essi correlati.

 

[1] Cybersecurity Strategy of the European Union – Bruxelles 7 febbraio 2013.

[2] La proposta di Direttiva sulla sicurezza delle reti e dell'informazione rappresenta un elemento fondamentale della strategia complessiva e richiede che tutti gli Stati membri, i principali operatori di internet e di infrastrutture critiche, come le piattaforme per il commercio elettronico e le reti sociali, nonché gli imprenditori nei settori dell'energia, dei trasporti, dei servizi bancari e dell'assistenza sanitaria si adoperino per garantire un ambiente digitale sicuro e affidabile nell'intera Unione. La proposta di direttiva stabilisce misure che prevedono:

a) l'elaborazione da parte degli Stati membri di una strategia per la sicurezza delle reti e dell'informazione e la designazione di un'autorità nazionale competente in materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e rispondere ai rischi e agli incidenti che si verificano in tale ambito;
b) l'istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione, al fine di mettere in comune mediante un'infrastruttura sicura i sistemi di preallarme riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter pares;
c) l'adozione da parte degli operatori di infrastrutture critiche in alcuni settori (servizi finanziari, trasporti, energia, sanità), degli operatori di servizi della società d'informazione (in particolare: app stores, piattaforme di commercio elettronico, pagamenti su internet, "cloud computing", motori di ricerca, reti sociali) e degli amministratori pubblici di prassi in materia di gestione dei rischi e di notifica degli incidenti gravi a livello di sicurezza nei rispettivi servizi fondamentali.

[3] Center for Strategic and International Studies.

[4] 2013 Data Breach Investigations Report, Verizon.

Pubblicazioni

Solamente qualche giorno fa – ordinanza n. 26805 del 12.09.2022 - la Corte di Cassazione è intervenuta per fare ancora una volta chiarezza sulle differenze semantiche e ontologiche esistenti tra il danno biologico, il danno morale e la personalizzazione. Termini polisemici e di frequente mal interpretati.

Nel richiedere la liquidazione del danno non patrimoniale spesso le parti incorrono in confusione nel nominare in modo diverso concetti uguali o nel richiedere più volte uno stesso nocumento indicandolo sotto diverse nomenclature.

Il corretto inquadramento di queste componenti che appartengono ad un unico genus – cioè quello del danno non patrimoniale - è indispensabile al fine di applicare in modo appropriato i criteri per la loro liquidazione, anche in virtù delle modifiche di recente apportate dall’Osservatorio di Milano alle tabelle meneghine.

Una prima precisazione va fatta con riferimento al danno biologico che i più fanno coincidere con il danno alla salute.

In realtà, come ben chiarito dalla Suprema Corte nella sentenza n. 7513 del 2018, il danno alla salute non va considerato, e in questo senso è d’accordo anche la medicina legale italiana, come nocumento fisico in re ipsa ma piuttosto quale compromissione delle abilità della vittima nello svolgimento di tutte le sue attività quotidiane.

Sotto tale profilo il Dott. Rossetti, relatore della citata pronuncia ricordava che “In questo senso si espresse già quasi vent'anni fa (ma inascoltata) la Società Italiana di Medicina Legale, la quale in esito al Congresso nazionale tenuto nel 2001 definì il danno biologico espresso nella percentuale di invalidità permanente, come "la menomazione (...) all'integrità psico-fisica della persona, comprensiva degli aspetti personali dinamico-relazionali (...), espressa in termini di percentuale della menomazione dell'integrità psicofisica, comprensiva della incidenza sulle attività quotidiane comuni a tutti".”

Pertanto per danno biologico è da intendersi il danno alla salute nei suoi riflessi dinamico relazionali. Prosegue la Cassazione “Non, dunque, che il danno alla salute “comprenda” pregiudizi dinamico-relazionali dovrà dirsi; ma piuttosto che il danno alla salute è un danno “dinamico relazionale”. Se non avesse conseguenzedinamico relazionali”, la lesione della salute non sarebbe nemmeno un danno medico-legalmente apprezzabile e giuridicamente risarcibile.”

Dunque l’incidenza di una menomazione permanente sulle quotidiane attività dinamico-relazionali della vittima non è un danno diverso dal danno biologico ma è proprio ciò che lo compone.

Nell’ambito della lesione della salute e dei suoi profili dinamico-relazionali vi possono essere conseguenze comuni a tutte i soggetti che hanno quel grado di invalidità e conseguenze peculiari che abbiano cioè reso il pregiudizio subito dalla vittima diverso e maggiore rispetto ai casi similari.

Mentre le prime vengono liquidate dietro mera dimostrazione del grado di invalidità, le seconde richiedono la prova concreta ed effettiva del maggior pregiudizio subito onde ottenerne il risarcimento mediante personalizzazione del danno. Ed infatti “In applicazione di tali princìpi, questa Corte ha già stabilito che soltanto in presenza di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età, è consentito al giudice, con motivazione analitica e non stereotipata, incrementare le somme dovute a titolo risarcitorio in sede di personalizzazione della liquidazione (Sez. 3, Sentenza n. 23778 del 07/11/2014; Sez. 3, Sentenza n. 24471 del 18/11/2014).”

Il danno morale, infine, è costituito invece dai[1] “..pregiudizi che non hanno fondamento medico-legale, perché non aventi base organica ed estranei alla determinazione medico-legale del grado percentuale di invalidità permanente, rappresentati dalla sofferenza interiore (quali, ad esempio, il dolore dell'animo, la vergogna, la disistima di sé, la paura, la disperazione).”

Il danno morale è quindi una categoria autonoma[2] rispetto al danno biologico e si sostanzia nella rappresentazione di uno stato d'animo di sofferenza interiore del tutto autonomo e indipendente dalle vicende dinamico-relazionali della vita del danneggiato e che costituiscono come detto l’essenza del danno biologico.

L’autonomia di questa categoria – e il suo non automatico riconoscimento – si è riverberata nella revisione delle Tabelle di Milano che nella loro versione del 2021 specificano e distinguono nella liquidazione del danno non patrimoniale la componente biologico/relazionale e quella morale.

Nella pronuncia di settimana scorsa la Corte di Cassazione ha quindi chiarito l’operazione che gli operatori del diritto si trovano a dover fare nel momento della liquidazione delle poste risarcitorie e cioè dividere il danno non patrimoniale nelle sue componenti dinamico/relazionale (id est il danno biologico, se del caso personalizzato) e quella morale. Ed infatti “il giudice di merito dovrà:

1) accertare l'esistenza, nel singolo caso di specie, di un eventuale concorso del danno dinamico-relazionale e del danno morale;

2) in caso di positivo accertamento dell'esistenza (anche) di un danno da sofferenza morale, determinare il quantum risarcitorio applicando integralmente le tabelle di Milano, che preved(eva)ono la liquidazione di entrambe le voci di danno, ma pervenivano, per il danno biologico - prima dell'ultima, necessaria modificazione all'indicazione di un valore monetario automaticamente e complessivamente unitario (costituito dalla somma aritmetica di entrambe le voci di danno);

3) in caso di negativo accertamento, e di conseguente esclusione della componente morale del danno, considerare la sola voce del danno biologico (espressamente ed esclusivamente definito dal legislatore, fin dall'anno 2000, come danno dinamico/relazionale), depurata dall'aumento tabellarmente previsto per il danno morale secondo le percentuali ivi indicate, e liquidando, conseguentemente il solo aspetto dinamico-relazionale del danno;

4) in caso di positivo accertamento dei presupposti per la cd. personalizzazione del danno secondo gli stringenti criteri indicati dalla sentenza 7513/2018, procedere all'aumento fino al 30% del valore del solo danno biologico, depurato, analogamente a quanto indicato al precedente punto 3, dalla componente morale, automaticamente (ma erroneamente) inserita in tabella, giusta il disposto normativo di cui al già ricordato art. 138, punto 3, del novellato codice delle assicurazioni.”

4.15   Di conseguenza la personalizzazione del danno:

- andrà riconosciuta solo dietro specifica e concreta dimostrazione “di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età.”[3]

- se dimostrata, andrà liquidata mediante aumento “fino al 30% del valore del solo danno biologico[4] e non prendendo a riferimento il danno non patrimoniale nella sua unitarietà. 

 

[1] Cass. Civ. sent. n. 7513 del 2018 

[2] Cass. Civ. ordinanza n. 15733 del 17.05.2022

[3] Civile Ord. Sez. 3 Num. 7513 Anno 2018

[4] Cass. civ. Sez. III, Ord., 12.09.2022, n. 26805


Leggi di più