Cybercrime, tra rischi penali e responsabilità civili

Con lo scoppio della pandemia il Governo ha messo in atto delle misure di contenimento basate sul rigoroso distanziamento fisico, che hanno spostato la vita di tutti da una dimensione reale a una virtuale.

Il maggiore ricorso a modalità telematiche, sia per l’espletamento delle funzioni lavorative che per il mantenimento di relazioni interpersonali, ha comportato un sostanziale incremento nell’utilizzo di dispositivi connessi e, di conseguenza, ha ampliato il raggio d’azione della criminalità informatica e le occasioni di attacco. Stando a quanto emerge dalle statistiche del servizio di analisi della direzione centrale della Polizia criminale, guidata dal prefetto Vittorio Rizzi, da gennaio a giugno, a fronte di un calo medio dei reati “tradizionali”, è stato registrato un +23,3% di criminalità informatica su scala nazionale. L’aumento dello smart working e del commercio digitale, in particolare, hanno favorito i reati online, che come ha spiegato Rizzi, hanno riguardato per lo più furti di identità digitale, frodi informatiche, clonazioni di carte di credito, con una media di 52 denunce al giorno per crimini informatici, più 589 truffe e frodi informatiche denunciate in media ogni giorno. Contro il cybercrime non mancano, però, strumenti punitivi e preventivi a disposizione delle “vittime”: il Codice Penale da un lato e la compliance aziendale dall’altro. Per fare il punto sulla disciplina che regola i reati informatici e sulle modalità con cui le aziende possono affrontarli, Le Fonti Legal ha intervistato Elisabetta Busuito, partner fondatore di Perroni & Associati, Luca Maione founding partner di Tmdplex e Marco Armoni fondatore dello Studio Armoni.

Crimini informatici ai tempi del Covid
Fin dall’avvento di internet, l’attenzione nei confronti dei reati informatici è sempre stata elevata all’interno delle imprese.
Con il Coronavirus e il conseguente boom di flussi informatici, il pericolo di incorrere in truffe e frodi online ha raggiunto numeri considerevoli: «Il direttore del Servizio centrale della Polizia Postale e delle Comunicazioni», afferma Busuito «nel corso del suo intervento al Salone della Giustizia di Roma dello scorso 30 settembre, ha rappresentato che, durante i mesi del lockdown e della cosiddetta “fase 2”, si è registrato un aumento del 600% delle e-mail di phishing (strettamente legate al tema Covid), attraverso le quali si è veicolata la diffusione dei più disparati malware e che ben 28 aziende hanno denunciato di essere state vittime di frodi informatiche, per un danno complessivo di circa 25 milioni». A detta di Busuito si tratta di un dato empirico-criminologico di assoluto interesse, «che restituisce nitidamente l’immagine di come lo stato di connessione permanente che ha caratterizzato questo frangente storico, soprattutto, in ragione del diffuso ricorso allo smart working e dell’esponenziale sviluppo dell’e-commerce, abbia catalizzato il rischio di cybercrime».
«Oltre al phishing», aggiunge Armoni «la relazione annuale del 2020 di AGCOM menziona altri tipi di attacchi quali truffe finanziarie e commerciali (per esempio tentativi di vendita di prodotti farmaceutici), la diffusione di app malevole e di ransomware (si pensi alle comunicazioni online fasulle collegate all’app Immuni), ma anche tentativi di adescamento di minori durante le lezioni tenute online nel periodo di lockdown».
A essere particolarmente colpiti sono stati, secondo AGCOM, i settori della ricerca, con università e istituti di ricerca come bersaglio degli attacchi, della sanità, con attacchi a ospedali ed enti nazionali e internazionali del settore, e le aziende in senso più ampio. «In particolare», prosegue Armoni «ammonterebbero a 1,2 milioni i nuovi domini legati al coronavirus registrati nel periodo compreso tra il 9 marzo e il 26 aprile 2020 secondo un’indagine svolta dall’azienda Palo Alto Networks. Di questi, oltre 86.600 sono stati identificati come domini “ad alto rischio” o “dannosi”, con una media di 1.767 nuovi domini malevoli al giorno. Si tratta di un quadro poco positivo, in cui l’Italia non occupa una posizione favorevole, poiché è il secondo paese al mondo (dopo gli Stati Uniti) per numero di domini malevoli registrati a tema coronavirus e il primo in Europa».
A detta di Armoni le cause dell’incremento degli attacchi informatici si possono attribuire non solo alle misure di contenimento del virus, ma anche alla situazione di apprensione, prodotta dalla pandemia, che ha spinto molte persone a cercare di reperire il maggior numero possibile di informazioni in merito alla situazione che stavano vivendo; «la conseguenza è stato l’utilizzo, della tematica Covid come esca, da parte dei pirati informatici, al fine di ingannare gli internauti meno accorti e di riuscire a portare a termine i loro attacchi», conclude Armoni.

Codice Penale e rischi civilistici
La normativa penale si è adeguata all’evoluzione tecnologica, andando a includere nella propria sfera di intervento sempre nuovi reati informatici che prima dell’epoca della digitalizzazione non esistevano. «Tradizionalmente», spiega Busuito «si suole distinguere tra reati informatici in senso stretto e reati informatici in senso lato.
Alla prima categoria sono da ascrivere i reati in cui il mezzo esecutivo o l’oggetto materiale della condotta illecita è necessariamente un sistema informatico, ovvero dati/programmi informatici: si pensi all’accesso abusivo ad un sistema informatico aziendale o al danneggiamento di un sistema di telecomunicazioni. Nella seconda rientrano, invece, quelli in cui l’utilizzo della tecnologia non costituisce, a rigore, un elemento essenziale della fattispecie: si pensi al fenomeno del cosiddetto cyberstalking. Nell’alveo della prima categoria ha, così, preso forma il concetto di cybecrime, inteso come il reato che può essere commesso esclusivamente online, servendosi della connessione a Internet».
Come specifica Busuito la repressione dei reati informatici, sia in senso stretto, sia in senso lato, trova una sua compiuta disciplina nell’articolato del codice penale, «nel cui contesto sono state interpolate norme incriminatrici inedite, vòlte ad adeguare e affinare la risposta sanzionatoria dallo Stato all’evolversi della criminalità informatica e delle sue peculiarità fenomenologiche, prima fra tutte, la dimensione transnazionale».
A detta della penalista si tratta di una risposta sanzionatoria, questa, che risulta essere particolarmente incisiva e dissuasiva: «basti considerare, al riguardo, che l’autore di un accesso abusivo ad un sistema informatico di interesse pubblico, ad esempio in tema di sanità, può essere punito, nelle ipotesi più gravi, con la pena della reclusione fino a otto anni. Si aggiunga, poi, che il legislatore del 2019 ha esteso la responsabilità amministrativa dell’ente, ai sensi del D.Lgs. n. 231 del 2001, alle violazioni delle norme in materia di perimetro di sicurezza nazionale cibernetica, di cui un’azienda si renda artefice».
Per quanto riguarda le responsabilità ed i potenziali danni cui è esposta l’azienda in caso di reati informatici, a detta di Maione il rischio principale sotto il profilo civilistico «consiste nelle richieste di risarcimento danni da terzi, dovute al furto o alla divulgazione di dati personali e quindi alla violazione del diritto alla privacy oppure per danni causati dal proprio sistema informatico, nel caso esso stesso diventi un mezzo di diffusione di virus o programmi malevoli che provochino danni al sistema informatico di terzi. Quanto, invece, ai danni diretti, è evidente il pregiudizio da interruzione dell’attività ed il danno reputazionale connesso alla lesione dell’immagine».
A livello europeo Armoni ricorda la direttiva NIS (sicurezza delle reti e dei sistemi informativi), quale «pietra angolare di tutta l’architettura europea», recepita nel nostro Paese ed in vigore dal 26 giugno 2018, «intorno alla quale si è costruita la strategia nazionale, si sono individuate le autorità responsabili, le procedure operative, i regimi sanzionatori per tutti i settori oggetto della normativa».

Strumenti per la tutela aziendale
La compliance aziendale in materia di cybersecurity rappresenta un irrinunciabile elemento di garanzia della sicurezza dei dati e della protezione delle informazioni rilevanti.
A sostenerlo è Busuito, che aggiunge: «l’impresa può assicurarsi una soddisfacente protezione dei propri asset fisici, della riservatezza, dell’integrità e della disponibilità delle proprie informazioni dalle minacce del cyberspace solo attraverso l’implementazione e la costante revisione di misure e presìdi adeguati a far fronte ai rischi cibernetici, nell’ambito di una più ampia e ponderata strategia di sicurezza. Ma, per raggiungere un siffatto obiettivo, è necessario che l’operatore economico individui, in via prodromica, le (mutevoli) fonti del rischio cibernetico e, al contempo, si doti di fonti autoregolamentari».
«Attualmente», aggiunge Maione, «una azienda che tiene al patrimonio aziendale, che sempre più spesso è contenuto nel proprio sistema informatico, deve munirsi di sistemi di autocontrollo che vanno da un approccio integrato tra sistema di governance, Codice Etico e Modello 231, sistema procedurali e sistemi informatici. Altresì per verificare l’effettivo rispetto delle regole in materia di privacy è necessaria la presenza di un organo di controllo interno che il Regolamento Europeo individua nella figura del Data Protection Officer; questo professionista che racchiude in sé competenze informatiche, giuridiche e di risk management, ha il compito di organizzare la gestione e il trattamento dei dati personali, nel rispetto delle normative sulla privacy nazionali ed europee. Per le aziende che per tipologia di lavoro sono più a rischio, la soluzione spesso viene individuata nella figura di un “risk manager”. Procedure, modelli o compliance da soli però non bastano senza una formazione e sensibilizzazione di dipendenti e fornitori, che imparino ad interagire con la tecnologia, coscienti dei pericoli derivanti da un approccio troppo semplicistico alla rete, ma comunque capaci di gestire il proprio lavoro in sicurezza». In ipotesi di azioni legali da parte di terzi, Maione spiega che «trattandosi di responsabilità extra-contrattuale è evidente che l’elemento della “colpa” può orientare in un senso o in un altro l’esito di un giudizio civile di risarcimento danni; sotto tale profilo l’importanza di dotarsi di sistemi di autocontrollo (Codice Etico e Modello 231), di cui abbiamo parlato in precedenza, si dimostra un efficace metodo di prevenzione non solo per limitare i rischi di subire frodi informatiche ma anche per poter dimostrare la non “imputabilità” della colpa in ambito giudiziario, rispetto a pretese di terzi». A detta di Maione, visto il proliferare di tali fattispecie di illeciti, «sarebbe opportuno dotarsi di un’apposita polizza assicurativa, per la responsabilità civile verso terzi, specificamente concepita sia per proteggere le proprie apparecchiature elettroniche dai vari danni che potrebbero occorrere sia il proprio patrimonio da richieste di risarcimento da parte di terzi che vengano in qualche modo danneggiati».
Armoni parla di «buone pratiche» che, sulla base di un decalogo stilato, le aziende dovrebbero seguire per implementare la propria sicurezza informatica e favorire al contempo l’efficienza dello smart working: imporre l’utilizzo ai dipendenti, dispositivi aziendali, dotati di maggiori protocolli di sicurezza, al posto di quelli domestici; l’intensificazione di strumenti di vulnerability management al fine di riuscire ad individuare e prevenire eventuali vulnerabilità dei sistemi aziendali; l’adozione di sistemi per mitigare gli attacchi volumetrici nonché un periodico aggiornamento continuo dei dispositivi di protezione perimetrale e l’adozione di sistemi di cifratura dei dati locali in modo da prevenire la perdita dei dati critici. «L’implementazione delle strutture di sicurezza aziendali non risulta però sufficiente per garantire la sicurezza dei sistemi informatici se non vi si affianca un rafforzamento di quello che è l’anello debole del sistema, ovvero il fattore umano», sostiene Armoni, «Molto spesso, infatti, gli attacchi informatici vengono portati a compimento approfittando della complicità involontaria degli utenti (il phishing ne rappresenta un caso lampante), che molto spesso sono completamente all’oscuro sui rischi ed i danni che i loro comportamenti possono cagionare a loro stessi ed alle aziende per cui lavorano». Proprio sulla base di questa consapevolezza, a detta di Armoni è necessario rivolgersi alle aziende consigliando loro di creare una consapevolezza nella popolazione aziendale sui rischi che possono derivare dallo smart working, mentre l’azienda dovrà porre in essere tutte le misure necessarie per mitigare il rischio cyber attraverso strumenti e procedure che rispettino i tre principi fondamentali della sicurezza informatica: integrità, confidenzialità e disponibilità del dato.

La centralità della consulenza specialistica
Secondo Maione «al continuo aggiornamento delle tecnologie e dei crimini correlati, dovrebbe corrispondere un equivalente e costante aggiornamento della normativa».
«Purtroppo, sovente», aggiunge il civilista «questa aspettativa rimane disattesa a causa della oggettiva difficoltà del legislatore di stare al passo con l’implemento costante delle tecnologie. Dal canto suo il professionista deve necessariamente essere in grado di interagire tecnicamente con le risorse IT che l’azienda deve mettere a sua disposizione, al fine di potere offrire una “traduzione” al cliente di quelle che in concreto potrebbero essere i rischi e i pericoli in cui l’azienda può incorrere sia nella qualità di persona offesa sia, spesso, anche come autore del reato. Accade infatti ad esempio, che l’accertamento della commissione del reato commesso dall’intero, possa incidere sulla privacy aziendale; il giusto bilanciamento tra le esigenze, attraverso una precisa consulenza giuridica volta a far conoscere la normativa vigente, limiti e poteri, è l’unica soluzione “preventiva” a disposizione della azienda».
«Il penalista», sostiene Busuito, «è chiamato a rivestire un ruolo chiave sia a livello di prevenzione che a livello di difesa, coadiuvando le imprese nel puntuale inquadramento giuridico dei multiformi e inarrestabili fenomeni del cybecrime e nell’implementazione di un assetto organizzativo e procedurale adeguato al tal fine. Vale a dire: un ruolo fondamentale nel rendere la cybersecurity una mission possible per l’impresa».
«L’esperto consulente in sicurezza informatica», continua Armoni «opera per rilevare, prevenire e risolvere le minacce alla sicurezza di reti di computer e di archivi di dati. Effettua periodiche verifiche dello stato di sicurezza dei sistemi e prepara relazioni tecniche e documentazione rivolta al miglioramento e alla gestione dei sistemi ICT. Il consulente svolge anche un ruolo importante nel mantenere l’integrità e la riservatezza dei dati di un’azienda e dei sistemi informativi. Nei casi di perdita di archivi informatizzati agisce per il recupero dei dati e a fronte di violazioni dei sistemi informatici analizza e interpreta i dati collegati all’evento criminoso, per scoprire collegamenti tra eventi, gruppi e individui attraverso la ricerca di percorsi di utilizzo di dati. Fornisce consulenza e supporto nell’installazione e nella manutenzione e operatività di software, firewall e Siem (security event and incident management) e, talvolta, può dover sviluppare e sperimentare programmi e strumenti personalizzati sulle specifiche esigenze del cliente». Come spiega Armoni la consulenza di sicurezza per mitigare il cyber risk non deve limitarsi alla sola analisi dell’infrastruttura tecnica, «ma dovrà scendere nel dettaglio di tutti i processi aziendali per capire come vengono trattati i dati e come vengono quindi garantite integrità, confidenzialità e disponibilità degli stessi. Per far ciò il consulente dovrà obbligatoriamente coinvolgere, oltre al management aziendale, anche tutte le figure necessarie che abbiano conoscenza piena dei domini di competenza interessati».
Armoni, infine, sottolinea quanto, sia nelle aziende private che nella Pubblica Amministrazione, ci sia ancora la tendenza a sottovalutare il problema della sicurezza vista solamente come un costo aziendale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Registrati alla newsletter