Allarme ransomware: parte 3
Nel caso di un fornitore di servizi di sicurezza in outsourcing inadempiente, la responsabilità del danno si ripercuote anche sul cliente, nella figura del Titolare del trattamento.
A conclusione di questa breve rassegna delle principali questioni legali implicate dal verificarsi di un attacco ransomware ai danni di un’organizzazione, sembra appropriato considerare anche il caso in cui l’indisponibilità, anche se solo temporanea, dei dati sia conseguenza dell’operato di un fornitore di un prodotto o di un servizio alla vittima.
Quanto precede, in particolare, alla luce del fatto che il ricorso all’outsourcing di soluzioni tecnologiche, o anche solo a parte dei corrispondenti processi di implementazione e governance, quali per esempio la manutenzione degli apparati software o hardware, è molto frequente nella pratica delle organizzazioni, sia pubbliche sia private, con la conseguenza che assai sovente la sicurezza dei sistemi informativi, oltre che dei dati oggetto di trattamento, di queste ultime, dipende in larga parte dall’operato dei loro fornitori.
Un caso esemplare
Per fare un esempio concreto, verificatosi nella pratica, si consideri il caso di un fornitore di assistenza remota che, per negligenza, ometta la necessaria custodia delle credenziali di autenticazione alla rete del suo cliente, e consenta a un attaccante di acquisirne indebita conoscenza al fine di utilizzarle per infiltrarsi all’interno di essa per finalizzare la cifratura dei dati, dei servizi e dei sistemi del malcapitato.
La fattispecie sopra descritta è presa in considerazione dalle vigenti disposizioni di legge applicabili, da diversificati profili di rilevanza: il primo riferibile all’ambito di operatività delle disposizioni di cui all’art. 28 del Reg. Gen. 679/2016 (GDPR), che come è noto, disciplina il rapporto tra il titolare del trattamento e il responsabile del trattamento; il secondo, riferibile sempre al GDPR ma, in particolare, a quanto previsto dall’art. 32, relativamente al rapporto di solidarietà che incombe sul titolare e sul responsabile del trattamento, in riferimento al dovere di adottare misure tecniche e organizzative adeguate alla protezione dei dati; il terzo, infine, ma non per importanza, riferibile all’applicazione delle norme civilistiche in materia di responsabilità, sia tra le parti, sia, eventualmente, nei confronti dei terzi, allorché, per effetto dell’attacco ransomware si siano determinati danni risarcibili.
Sembra appropriato precisare, che la formulazione letterale dell’art. 32 del GDPR, dedicato, come accennato alla sicurezza del trattamento, sia tale da ritenere in modo inequivoco che il rispetto dei criteri di sicurezza indicati competa sia al titolare del trattamento sia al responsabile del trattamento. Testualmente: tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Occorre altresì precisare che, oltre che nelle norme che sono state sopra illustrate, il tema della gestione degli aspetti di sicurezza nel rapporto con il fornitore, viene preso in considerazione anche dalla standardizzazione specifica in materia di sicurezza delle informazioni che, da un punto di vista applicativo, costituisce senza dubbio uno dei parametri utilizzabili da un giudice per l’accertamento di eventuali responsabilità. Tanto più ove si osservi la tendenza del legislatore, specie in materie caratterizzate da elevata tecnicità, a incorporare in atti normativi i contenuti della standardizzazione stessa.
Cosa dice la norma
Nello specifico, il requisito A.1 15 allegato alla norma ISO/IEC 27001:2013, dal titolo, rapporti con i fornitori, prevede in modo chiaro, da una parte, che nella fase genetica del sinallagma contrattuale debbano essere condivisi, concordati e stabiliti, con coloro che forniscono servizi di elaborazione, archiviazione o forniscono componenti per infrastrutture IT, i requisiti di sicurezza ivi compresi quelli relativi all’identificazione e alla mitigazione dei rischi, e, dall’altra, che analoghe misure di controllo dell’effettuazione a regola d’arte, delle prestazioni concordate, siano attuate nella fase esecutiva del rapporto contrattuale, ovvero nel caso in cui vi siano mutamenti nell’erogazione del servizio e, per l’effetto, dei relativi rischi.
In tale ambito, si può constatare la coerenza dei contenuti del requisito ISO 27001 appena menzionato, con quanto previsto espressamente dal citato articolo 28 del GDPR che dispone, al paragrafo I, che il titolare deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato. E al paragrafo III, che i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata, e in particolare che il responsabile del trattamento adotti tutte le misure richieste ai sensi dell'articolo 32.
Alla luce del quadro normativo descritto, si riesce a comprendere ora, come possa fondatamente sostenersi, che il Titolare del trattamento, cioè il soggetto che affida al fornitore, responsabile del trattamento, un determinato servizio possa essere ritenuto responsabile, in caso di danno anche per l’operato di quest’ultimo.
Il coinvolgimento del Titolare
Quanto precede risulta in effetti evidente ove si considerino, da un lato, l’obbligo del Titolare di affidare operazioni di trattamento solo a coloro che dimostrano garanzie adeguate, con la conseguenza che la mancata verifica di dette garanzie costituisce, in primo luogo inadempimento a un obbligo di legge e implica l’assoggettabilità a sanzione oltre che, in secondo luogo, l’esposizione a responsabilità civile, e dall’altro, il dovere di controllo dell’operato del responsabile, da parte del Titolare, in ordine all'adozione di ogni misura adeguata a mitigare il rischio di esporre, per negligenza, i sistemi e i servizi utilizzati per il trattamento alla minaccia ransomware.
Da un punto di vista del risarcimento del danno, troveranno applicazione, in questo caso, in primo luogo, tra il Titolare e il Responsabile, cioè il cliente ed il fornitore, le regole ordinarie previste in tema di responsabilità contrattuale, così come dettate dal vigente codice civile all’art. 1218 che prevede che il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno, se non prova che l’inadempimento o il ritardo è stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile e in secondo luogo le norme che disciplinano la responsabilità di entrambi i soggetti, Titolare e Responsabile, nei confronti dei terzi.
In particolare, con riferimento alla posizione di garanzia del Titolare si è chiarito in giurisprudenza che per la sussistenza della responsabilità dell’imprenditore non è necessario che le persone che si sono rese responsabili dell'illecito siano legate all’imprenditore da uno stabile rapporto di lavoro subordinato, ma è sufficiente che le stesse siano inserite, anche se temporaneamente od occasionalmente, nell’organizzazione aziendale, e abbiano agito, in questo contesto, per conto e sotto la vigilanza dell’imprenditore.
