Sanzionate le vittime di attacchi informatici. Il regolamento Ue sulla privacy n. 2016/679 (Gdpr) prevede un'ammenda salata (fino a 20 milioni di euro) a carico degli enti che subiscono attacchi premeditati di cybercriminali. E se non è causa espressa di esonero da responsabilità l'azione dolosa del terzo, non lo è neppure l'assenza di danni per gli interessati a seguito dell'illecita intrusione. È quanto si desume dall'[ingiunzione del Garante della privacy dell'11 aprile 2024 n. 198](https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10013321), che ha deciso un caso di “data breach” e cioè di violazione della sicurezza da cui deriva una violazione di dati personali.
La rigorosa disciplina sanzionatoria discende direttamente dalle disposizioni del Gdpr in materia di sicurezza dei trattamenti. Nella vicenda decisa dal Garante con il provvedimento citato, una camera di commercio, è stata vittima di un attacco informatico, durante il quale i delinquenti informatici hanno caricato virus e file malevoli e hanno saccheggiato i data base dell'ente, estraendo un bottino di dati personali di 22 mila utenti.
In dettaglio si è trattato di una copia di backup dell'applicativo usato per gestire il sistema degli appuntamenti online con gli utenti della camera di commercio, contenente dati anagrafici (nome, cognome, codice fiscale), dati di contatto (indirizzo di posta elettronica, numero di telefono fisso o mobile) e dati di accesso e di identificazione (username, password crittografata).
Il documento elettronico è stato asportato nonostante non fosse caricato sul web: è stato, infatti, raggiunto e sottratto anche se collocato su un server a disposizione dei soli amministratori del sistema informatico.
Inoltre, il documento era destinato ad essere cancellato (era solo una copia di sicurezza), ma per una dimenticanza, al momento del cyberattacco la cancellazione non era ancora stata effettuata. A seguito dell'aggressione elettronica, gli autori della stessa hanno pubblicato un post su un social network con il quale hanno rivendicato l'accaduto.
Il Garante ha aperto il procedimento a carico della azienda speciale fornitrice di servizi informatici alla camera di commercio, contestando la mancata cancellazione della copia di back-up e l'uso di crittografia non “robusta” per la criptazione delle password degli utenti.
Quanto alla mancata cancellazione della copia, l'azienda si è difesa sottolineando che si è trattato di un errore umano e che, comunque, il data breach è stato il risultato di un attacco informatico criminale dolosamente commesso da delinquenti rimasti ignoti.
Quanto alle tecniche crittografiche, l'azienda ha replicato che, al momento in cui le tecniche erano state adottate, esse erano considerate robuste.Le tesi difensive non hanno, però, raggiunto lo scopo e all'azienda è stata irrogata una sanzione di 25 mila euro, con ciò dimostrando tutta la severità del Gdpr.
Un primo aspetto riguarda la responsabilità per violazioni della sicurezza. Per queste ipotesi, le disposizioni del Gdpr prevedono sanzioni amministrative a carico di titolare e responsabile del trattamento anche quando essi sono destinatari di gravi condotte criminose di terzi. In questi casi il Gdpr non prevede espressamente una disciplina speciale e si applicano le stesse regole generali previste per l'ipotesi di violazione commessa direttamente dal trasgressore (senza intervento di terzi). Pertanto, la vittima di un agguato criminale deve pagare sanzioni amministrative, anche se magari ha commesso una lieve colpa agevolatrice dell'attacco perpetrato da terzi. Certo, nella determinazione della sanzione in concreto il Garante può tenere conto della situazione, ma resta il fatto che il Gdpr non ha regole ad hoc per evenienze di questo tipo.
Un secondo aspetto che fa emergere la severità del Gdpr riguarda il livello di adeguatezza dei sistemi di sicurezza. Nella vicenda in esame è stato contestato il sistema di crittografia delle password e l'azienda si è difesa esponendo di avere assunto le misure considerate valide al momento della loro adozione e sostenendo che la valutazione della idoneità delle stesse deve essere effettuata proprio con riferimento al tempo in cui esse erano state adottate. Altrimenti, ha aggiunto l'azienda, in caso di successivo data breach, ogni scelta sarebbe necessariamente da considerarsi inadeguata e, quindi, la sanzione sarebbe automatica.
Anche da questo punto di vista, il Gdpr è rigoroso: in base al regolamento Ue 2016/679 la valutazione dell'adeguatezza delle misure adottate non può essere cristallizzata al momento in cui il trattamento connesso al servizio è stato progettato, ma deve essere continuamente effettuata e aggiornata nel corso del tempo, anche alla luce dello sviluppo tecnologico. In sostanza bisogna continuamente investire in sicurezza informatica per minimizzare il rischio sanzioni privacy.
Peraltro, posto che la sicurezza informatica al 100% non esiste, occorrerebbe, in concreto, considerare una soglia di punibilità collegata alla percentuale di rischio oggettivamente non eliminabile.
Un terzo profilo di severità del Gdpr riguarda se e quale effetto possa provocare sulla sanzione l'eventuale assenza di danni per gli interessati.
Nella vicenda in commento l'azienda ha riferito che, a distanza di due anni dall'attacco informatico, non le erano state inviate segnalazioni, citazioni o richieste di risarcimento danni da parte degli interessati. In sostanza dall'accaduto non sono derivati danni. Il Gdpr, certo, considera ai fini del calcolo della sanzione amministrativa “il livello del danno” subito dagli interessati. Peraltro, anche qui non c'è regola espressa sulla esclusione della sanzione in caso di assenza di danni per le persone.
La conclusione è che scatta il rischio di sanzioni amministrative previste dal Gdpr anche se il titolare o responsabile del trattamento è stato vittima di attacchi premeditati e dolosi di criminali informatici, se la colpa è lieve e sono state attuate le misure di sicurezza note al momento della adozione delle stesse, se la sicurezza informatica al 100% non esiste e se il danno per gli interessati nel singolo caso è stato pari a zero.
News ripresa da Federprivacy