La gestione del RISCHIO LEGALE correlato alle minacce di attacchi cyber, insieme alla implementazione di un sistema di resilienza a tali aggressioni, rappresentano un servizio fondamentale per le organizzazioni pubbliche e private.

La consulenza e la assistenza legale di cyber security viene offerta sia nella PREVENZIONE di incidenti informatici, sia nella REAZIONE, nella delicatissima fase di Incident Response.

I Personal Computer, gli apparecchi mobili, le transazioni elettroniche e ogni tipo di Smart Device connesso alla Rete, rappresentano una preziosissima risorsa per qualunque modello di business, in particolare per quelli caratterizzati da una forte presenza “online”.

Tuttavia, il rovescio della medaglia è rappresentato dalla esposizione a significativi e critici rischi di attacchi informatici.

Questo tipo di attacchi informatici sfrutta sia l’errore umano, sulla riduzione del quale risulta fondamentale la conduzione di training e formazione del personale, sia le vulnerabilità delle nuove tecnologie.

Uno dei fenomeni più preoccupanti è rappresentato dal “crime-as-a-service”, offerto nel Dark Web, caratterizzato dalla presenza di specifici gruppi di esperti criminali informatici, i quali offrono i propri servizi ad elevata qualificazione tecnologica cyber-crime ad altri delinquenti.

La questione della sicurezza informatica è diventata il punto cruciale per la affidabilità e quindi per lo sviluppo dell’intero mondo delle informazioni, che copre l’intera esperienza umana, dalle attività quotidiane di vita privata, alle infrastrutture industriali, fino alle self driving cars e a tutti i device connessi all’Internet Delle Cose (IoT).

Ciò rende ancora più importante la gestione del cyber risk, in relazione alle conseguenze disastrose che la perdita di controllo sui sistemi ciber-fisici potrebbe riportare nel mondo fisico reale, oltre a quello digitale.

Evidenziamo in ottica AZIENDALE le conseguenze più critiche di un attacco cibernetico:

  • Danno reputazionale
  • Interruzione del business
  • Perdite economiche e finanziarie
  • Contenzioso
  • Furto di informazioni critiche
  • Diffusione di informazioni critiche riservate
  • Attività di accertamento istituzionale
  • Sanzioni economiche ed interdittive
  • Implicazioni di Data Protection (privacy dei dipendenti e dei clienti)
  • Sottrazione di segreti commerciali
  • Riduzione del valore delle Proprietà Intellettuali
  • Adempimenti e procedure obbligatorie post-incidente

Tutte queste ricadute comportano ovviamente perdite economico-finanziarie che, in alcuni casi (come la recente cronaca dimostra) possono portare a conseguenze catastrofiche sul piano aziendale e sociale.

Nell’epoca dei BIG DATA, il valore ed il volume delle informazioni sono letteralmente esplosi, in quanto più la Business Intelligence aziendale sarà efficiente nell’accedere alle informazioni di mercato e della clientela, maggiore sarà il vantaggio competitivo.

A questa sovrastruttura di dati corrisponde una sovraesposizione al rischio di data breach e attacchi informatici.

La componente legale nella gestione preventiva ed in quella post-incidente è di estrema importanza.

Dal punto di vista normativo, la Direttiva NIS, il Regolamento GDPR sulla protezione dei dati, le Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni dell’AGID, rappresentano solo alcune delle varie norme e regolamenti che disciplinano la materia della Cyber Security e della protezione cibernetica.

Tutte queste discipline hanno un impatto estremamente significativo sui processi aziendali e sugli adempimenti normativi.

La Direttiva UE 2016/1148 (c.d. NIS) si occupa della strategia europea di rafforzamento della cyber security e della resilienza informatica, apportando misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

E’ entrata in vigore ad Agosto 2016, ma il grace period per l’implementazione da parte degli Stati membri è previsto al Maggio 2018, più altri 6 mesi per l’identificazione degli operatori dei servizi essenziali, così come previsto dalla direttiva madre.

La sicurezza delle reti e dei sistemi informativi è il nucleo da cui si muove il framework legislativo europeo, per la quale vengono previste la creazione di una capacità minima comune, nonché l’introduzione di misure minime in materia di pianificazione, scambio di informazioni, obblighi comuni, cooperazione per:

– operatori di servizi essenziali

– fornitori di servizi digitali

Nell’ Allegato 2 della direttiva NIS, al fine di consentire la individuazione degli “operatori di servizi essenziali”, sono indicate una serie di categorie:

  • Energia
  • Trasporti
  • Settore Bancario
  • Settore Sanitario
  • Acqua potabile (fornitura e distribuzione)
  • Infrastrutture dei Mercati Finanziari
  • Infrastrutture Digitali

Sono indicate 3 condizioni, in presenza delle quali gli operatori pubblici e privati delle categorie evidenziate sono qualificati come O.S.E. (operatore di servizio essenziale):

  1. Il soggetto economico fornisca un servizio essenziale al mantenimento di attività fondamentali sociali ed economiche
  2. La fornitura di tale servizio sia dipendente dalla rete e dai sistemi informativi
  3. La verificazione di un incidente comporterebbe effetti negativi sulla fornitura

Elemento di significativo impatto normativo, la previsione della applicazione della disciplina anche ai Fornitori di Servizi Digitali (F.S.D.) , individuabili a mezzo di un rinvio alla Direttiva 2015/1535 ed all’ Allegato 2 della Direttiva NIS.

  1. Online Marketplace
  2. Motori di ricerca
  3. Cloud computing

Tra le previsioni della disciplina meritano segnalazione, la creazione di un CSIRT, vale a dire un Gruppo di Intervento in caso di incidente di sicurezza informatica, la istituzione di un Gruppo di Cooperazione sovranazionale, lo sviluppo della Cultura della Sicurezza nei segmenti economico-sociali critici, l’introduzione di misure tecnico-organizzative proporzionate ed adeguate alla gestione dei rischi (più dettagliate per i fornitori di servizi digitali).

In particolare deve essere garantita la sicurezza di sistemi ed impianti, il trattamento di incidenti, la gestione della continuità operativa, test, monitoraggio ed auditing, conformità alla normativa ed agli standard internazionali in materia di sicurezza informatica.

Altro profilo di estrema importanza, sul quale l’assistenza di un avvocato esperto di sicurezza informatica risulta estremamente critica, quello relativo agli adempimenti ed obblighi di notifica in caso di incidente.

La direttiva prevede infatti l’obbligo di comunicare alla Autorità competente, senza ingiustificato ritardo, qualunque incidente che abbia:

  • (O.S.E.) Impatto RILEVANTE sulla continuità di servizi erogati

Rilevanza della perturbazione =

numero utenti coinvolti, durata temporale, estensione geografica

  • (F.S.D.) Impatto SOSTANZIALE sulla fornitura di un servizio digitale

Sostanzialità dell’incidente = numero utenti, durata, diffusione geografica, portata della perturbazione, portata dell’impatto sulle attività socio-economiche.

La possibilità di informare il pubblico è prevista solo in caso di incidenti FSD, ma solo dopo aver notificato ed interpellato le autorità preposte, le quali valuteranno congiuntamente al FSD la opportunità o meno di tale operazione.

E’ proprio in questa delicatissima fase che, la concertazione dei profili giuridici con quelli di business, permette una corretta valutazione dei profili di reputazione aziendale e delle esposizioni correlate all’incidente.

Altro elemento di significativo impatto, la previsione di una procedura di notifica degli incidenti su base volontaria, per i soggetti che non rientrano nel campo di applicazione della disciplina; tale strumento può consentire (se opportunamente gestito in ottica di bilanciamento costi-benefici) una gestione più efficace delle crisi ed un contenimento dei rischi legati alle fughe di notizie.

E’ importante sottolineare la stretta interconnessione e la sovrapposizione delle varie normative che prevedono ricadute sul piano della sicurezza informatica, in particolare il rapporto tra la direttiva NIS ed il regolamento sulla protezione dei dati personali GDPR.

Gli adempimenti previsti dalla compliance alle diverse discipline rendono estremamente complessa la gestione delle Policy e dei modelli organizzativi interni (ad es. Modello 231, Modello Privacy, Whistleblowing, deleghe, Modelli ISO, etc.) ed ancor più complessa la delicatissima fase di Crisis Managment/ Incident Response.

Proprio nella gestione di queste dinamiche estremamente impattanti per le organizzazioni, il legale si trova a dover coordinare l’intervento delle svariate figure professionali interne ed esterne coinvolte:

  • Top Management
  • Ufficio IT
  • DPO
  • Ufficio Comunicazione
  • Ufficio Legal
  • Ufficio Compliance
  • Responsabile Safety & Security
  • Autorità Istituzionali
  • Stakeholders
  • Potenziali Claim
  • Assicurazioni

Concludiamo con una panoramica esemplificativa delle tipologie di minacce informatiche più significative:

  • Malware
  • Botnets
  • Web application attacks
  • Web based attacks
  • DOS Denial Of Service
  • Insider Threat
  • Phishing
  • Physical Loss/Damage/Theft
  • Data Breaches
  • Spam
  • Exploit Kits
  • Information Leakage
  • Identity Theft
  • Information Leakage
  • Cyber Espionage
  • Ransomware

Risulta evidente che, in ragione della natura eterogenea ed in continua evoluzione delle minacce informatiche, risulta impossibile eliminare completamente il CYBER RISK.

Le organizzazioni pubbliche e private devono quindi predisporre ed implementare PIANI focalizzati sul RISK MANAGEMENT e sulla MINIMIZZAZIONE del rischio, che prevedono anche la FORMAZIONE PERMANENTE del personale.

Proprio in ragione della impossibilità di ottenere un RISK ZERO in termini di cyber security, altrettanto importante sarà la predisposizione di PIANI DI INCIDENT RESPONSE.

P&S Aprile 13, 2021