Nella società digitale, la gestione della sicurezza cibernetica dell’impresa impone scelte organizzative e infrastrutturali che rinviano a responsabilità di corporate governance, dovendosi adottare ed efficacemente attuare modelli di risk assessment e di risk management idonei a prevenire attacchi informatici d’impatto economico e reputazionale potenzialmente devastante in quanto, per un verso, conformi agli standard normativi e di certificazione di riferimento nonché alle best practices delle autorità di vigilanza e, per altro verso, in linea con le misure adottate per la prevenzione dei computer facilitated crimes presupposto della responsabilità amministrativa di cui al d.lgs. n. 231/2001 e per il trattamento di dati personali ai sensi del Regolamento UE 679/2016 (GDPR) che, del resto, definisce la “violazione dei dati personali” proprio come “violazione di sicurezza” . L’ennesimo banco di prova per la governance che, a prescindere dalla previsione di singoli obblighi di settore diversamente sanzionati, ne può comportare una responsabilità civile verso la società o verso terzi, ad esempio ai sensi degli artt. 2381, 2392 o 2050 c.c., così come persino una responsabilità penale, sia pur eventualmente a titolo di concorso, per omesso impedimento dell’evento ai sensi degli artt. 110 e 40 cpv. c.p.
In the digital society, the management of the company’s cyber security imposes organizational and infrastructural choices that refer to corporate governance responsibilities, having to adopt and effectively implement risk assessment and risk management models suitable for preventing IT attacks with an economic and reputational potentially devastating as, on the one hand, compliant with the reference regulatory and certification standards as well as with the best practices of the supervisory authorities and, on the other hand, in line with the measures adopted for the prevention of computer facilitated crimes as a prerequisite for administrative responsibility pursuant to Legislative Decree 231/2001 and for the processing of personal data pursuant to EU Regulation 679/2016 (GDPR) which, moreover, defines the “violation of personal data” precisely as “security breach”. Yet another test case for governance which, regardless of the provision of individual sector obligations sanctioned differently, can lead to civil liability towards the company or towards third parties, for example pursuant to articles 2381, 2392 or 2050 of the Civil Code, as well as even a criminal liability, albeit possibly by way of complicity, for omitted impediment of the event pursuant to articles 110 and 40 criminal code.
Keywords: Cybersecurity – corporate governance – risk assessment – risk management – compliance – cyber attack.
Articoli Correlati: cybersecurity - risk assessment - risk management - compliance
1. Premessa: la trasformazione digitale dal business alla compliance - 2. La cybersecurity come responsabilità di governance - 3. Cyber Risk Management Model e compliance integrata: tra normative di settore, best practices e sistemi di certificazione - 4. Risk Assessment e Risk Management nel modello PDCA (Plan-Do-Check-Act) - 5. Il raccordo con la prevenzione dei “reati informatici-fine” e dei “reati informatici-mezzo” nei modelli organizzativi ex d.lgs. n. 231/2001 - 6. (in particolare) I protocolli di comportamento sulla gestione dell’attacco informatico - NOTE
Ab origine, secondo la definizione di Norbert Wiener del 1948, la cibernetica indicava lo studio del controllo e della (auto)regolazione della macchina tramite la trasmissione e l’elaborazione di informazioni provenienti dall’esterno, sino a concretizzarsi poi nelle infrastrutture di difesa delle reti dalle interferenze altrui nelle fasi della creazione, conservazione, invio e ricezione di comunicazioni potenzialmente esposte al rischio di furti, danneggiamenti, interruzione o indirizzamento errato secondo i noti standard di disponibilità, confidenzialità e integrità (C.I.A.). Oggi la sicurezza informatica esprime, per lo più, in modo unitario gli strumenti di tutela (locali, di hardware o software) dei sistemi di elaborazione dati da possibili violazioni, sottrazioni o modifiche non autorizzate sempre più rilevanti a causa del loro utilizzo massivo, anche sul versante geopolitico ed economico, tramite la diffusione dei dispositivi “intelligenti” (smart, piattaforme o app) che costituiscono il c.d. “Internet of things (IoT)” [1] e, non da ultimo, possibili strumenti di aggressione alla stessa sicurezza nazionale come dimostrano gli interventi nel settore dell’intelligence e della difesa [2]. A livello aziendale, la trasformazione digitale – accentuata, per un verso, dalla diffusione dell’industria e del web 4.0 in cui vengono continuamente estrapolati dati dalle navigazioni, dalle email o dal file sharing di utenti inconsapevoli tramite configurazioni appositamente finalizzate di servizi o app nel cyberspace ovvero praticati attacchi di social engineering per captare da dipendenti informazioni utili sulla propria realtà aziendale e, per altro verso, dalla diffusa autorizzazione a utilizzare dispositivi personali nel posto di lavoro (c.d. BYOD – bring-your-own-device) o accedere da remoto ai sistemi aziendali (anche in esecuzione di smart working emergenziale o consensuale) – ha finito col rivoluzionare il modo di fare business sia nella gestione interconnessa e automatizzata dei processi (ad esempio di automatic strategic learning, data analytics, robotic Automation, artificial intelligence and machine learning) sia nell’articolazione dei rapporti interni o esterni affidata a software di teleconferenza o sistemi di comunicazione online per l’assunzione e condivisione di decisioni operative, per la formazione del [continua ..]
Da tempo e sotto diversi profili la cybersecurity rinvia a competenze e responsabilità di corporate governance, coinvolgendo scelte strategiche sul versante sia infrastrutturale sia organizzativo. La valutazione del crescente impatto economico-finanziario e reputazionale di un attacco informatico costituisce, invero, la “ragion pratica” della verticalizzazione delle responsabilità per la sicurezza che non dipende più solo dalla implementazione di soluzioni tecniche ma anche e soprattutto dalla progettazione di policy trasversali alle singole business unit e richiede scelte precise in termini di gestione dei rapporti con eventuali aggressori interni (dirigenti, dipendenti o consulenti infedeli) o esterni (hacker esperti o semplici esploratori), denuncia o meno alle competenti autorità e comunicazione interna alle funzioni operative o di controllo [9]. In un simile contesto, è proprio la pericolosità di inside o outside attacks a richiedere l’attivazione di garanzie da parte di chi – creando un proprio metaverso nell’ambito di un cyberspazio privo di confini, accessibile a tutti, coperto da anonimato e con informazioni circolanti in modo permanente [10] – può finire col danneggiare l’azienda che gestisce come i suoi stessi “utenti-avatar”: il cyber-individuo deve cioè farsi carico, al vertice dell’organizzazione, del controllo sulle tecnologie e sulle loro evoluzioni orientandolo verso un continuo miglioramento degli standard di prevenzione, in rapporto alla possibile metodologia di aggressione dei propri network [11]. Se, dunque, ai sensi dell’art. 2381 c.c., il compito di garantire, anche in materia di cybersecurity, un assetto organizzativo adeguato alle dimensioni e ai rischi spetta, nell’ambito di strutture societarie, al CEO o amministratore delegato, sull’intero Consiglio di amministrazione [12] incombe quello di “agire in modo informato”: obblighi di compliance rispetto ai quali – se è pur vero che conta più la predisposizione del mezzo che l’impedimento dell’esito [13] – neppure può escludersi, sul versante penale, qualsiasi rilevanza ai sensi e per gli effetti dell’art. 40 cpv. c.p., nei limiti di cui si dirà in conclusione. Detto altrimenti, la costruzione ad hoc di un efficace sistema di governance non determina [continua ..]
Per strutturare un adeguato modello di Cyber Risk Management a supporto del board in risposta alle sfide derivanti dal cambiamento tecnologico e dalla moltiplicazione dei rischi di attacchi informatici è possibile attingere ai diversi standard desumibili dalle normative di settore e dalle best practices internazionali. Si consideri, da un lato, la direttiva NIS n. 1148/2016 o i d.P.C.M. sul perimetro di sicurezza nazionale cibernetica [16] che, anche per le imprese che non rientrano nel relativo campo di applicazione, possono offrire un catalogo di indicazioni circa l’adozione delle misure tecnico/organizzative finalizzate a prevenire e minimizzare l’impatto di incidenti cyber ovvero il contenuto dei modelli organizzativi ex d.lgs. n. 231/2001 o degli adempimenti imposti dal Regolamento 679/2016 (GDPR) rispetto alle quali la cybersecurity costituisce, in effetti, un “presidio comune” [17]. Dall’altro, alla certificazione ISO 27001 relativa all’Information Security Management System (ISMS) a garanzia della riservatezza, integrità e disponibilità delle informazioni ovvero alla ISO 22301 sulla continuità operativa. Di particolare rilievo, come accennato, è il sistema di procedure e controlli introdotto dal d.l. 21 settembre 2019, n. 105 (convertito con la legge 18 novembre 2019, n. 133) sul perimetro di sicurezza nazionale cibernetica “al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato: esso si fonda, infatti, sulla predisposizione e sull’aggiornamento periodico del proprio elenco di reti e sistemi informativi o informatici comprensivo della relativa architettura e componentistica, sulla protezione fisica e logica dei dati, sull’integrità delle reti e dei sistemi informativi, sulla prevenzione e la notifica di incidenti, sulla comunicazione al Centro di valutazione e certificazione nazionale (CVCN) nel caso di affidamento di forniture di beni, sistemi e servizi ICT destinati a essere ivi impiegati nonché sull’attribuzione [continua ..]
Il punto di partenza è la mappatura dei processi interni con selezione di quelli strategici, di supporto e di core (o critici) dai quali dipende la sopravvivenza operativa dell’organizzazione. A questi corrisponde l’individuazione degli asset strategici a supporto oggetto di un assessment volto a identificare e ponderare i rischi endogeni ed esogeni correlati sia in termini tecnici che di compliance mediante la combinazione di indicatori e score in grado di ottenere un quadro completo del livello di rischio dell’azienda e implementare un Proactive Cyber Risk Management costituito da modelli predittivi e analitici ciclicamente sottoposti a monitoraggio e riesame secondo un approccio PCDA (Plan-Do-Check-Act). In particolare, può evidenziarsi la necessità di: a) identificare i ruoli e le responsabilità del trattamento dei dati, nonché delle informazioni e i relativi principi di classificazione dei soggetti coinvolti con particolare attenzione ai rapporti con informatici outsourcer, con i quali sarà altresì opportuno definire clausole contrattuali relative alla qualifica e al controllo sulla gestione delle misure di sicurezza onde prevenire possibili addebiti per culpa in eligendo o in vigilando; b) assicurare un’adeguata protezione delle apparecchiature incustodite; c) garantire il corretto e sicuro funzionamento degli elaboratori di informazioni, la protezione da software pericolosi, il backup di dati e software, la tracciatura delle attività eseguite sulle applicazioni, sui sistemi e sulle reti nonché una verifica dei log che registrano le attività degli utilizzatori; d) adottare procedure, sistemi di warning o check list semplici e limitate, comunque non lunghe o ripetitive, in modo da non alimentare la tendenza a pericolose scorciatoie o deviazioni idonee a generare, sia pur in modo episodico o occasionale, elusioni, omissioni o vuoti di tutela; e) istituire un Cyber Security Manager chiamato assicurare il corretto funzionamento di soluzioni anti-spionaggio e misure di prevenzione specifiche contro attacchi informatici [23] nonché di intervento diretto e immediato in caso di falle; f) elaborare protocolli di disaster recovery o computer forensics idonei a recuperare i dati persi per via di incursioni illecite; g) programmare e svolgere, eventualmente a cura del Responsabile Information Technology, attività di audit, internal investigations o [continua ..]
Da ultimo, per quanto più d’interesse penalistico, il modello di cybersecurity si interseca con la prevenzione della criminalità informatica la cui disciplina risulta, ancora una volta, dal combinato disposto di normative nazionali (legge n. 547/1993, legge n. 48/2008 e infine legge n. 238/2021) [26] e vincoli comunitari diretti – per lo più in seguito all’introduzione col Trattato di Lisbona della materia nelle competenze dell’Unione di cui all’art. 83 TFUE quantomeno per serious crimes having a cross border dimension – a ravvicinare il diritto penale degli Stati membri nel settore degli attacchi contro i sistemi di informazione imponendo di punire la fabbricazione, la vendita, l’approvvigionamento per l’uso, l’importazione, la distribuzione o la messa a disposizione in altro modo intenzionali di determinati strumenti (programmi per computer o password o codici d’accesso o simili), con l’intenzione di utilizzarli per realizzare accessi o interferenze illecite a sistemi di informazione [27]: anche la criminalizzazione di comportamenti prodromici o comunque incentrati sul pericolo presunto costituisce, infatti, strumento funzionale alla costruzione di uno spazio di sicurezza esteso alla rete. In particolare, non può non tenersi conto di come l’ente si organizzi al fine di evitare la contestazione della responsabilità amministrativa di cui al d.lgs. n. 231/2001 che, se sin dall’origine prevede all’art. 24 la frode informatica (art. 640-ter c.p.) commessa a danno dello Stato o di ente pubblico [28], a seguito delle modifiche introdotte con l’art. 7 della legge n. 48/2008 emanata in ratifica ed esecuzione della nota Convenzione del Consiglio d’Europa sulla criminalità informatica svoltasi a Budapest il 23 novembre 2001, include all’art. 24-bis i delitti informatici rientranti nel paradigma del computer facilitated crime [29] e teoricamente strumentali alla realizzazione di ulteriori reati-presupposto: dai delitti in materia di strumenti di pagamento diversi dai contanti (art. 25-octies1 come introdotto con d.lgs. n. 184/2021) [30] alla manipolazione del mercato (art. 25-sexies d.lgs. n. 231/2001) commessa mediante l’impiego delle tecniche di negoziazione algoritmica denominati High-Frequency Trading (HFT) di cui alla Direttiva UE 2014/65 (c.d. MIFID II) e capaci di operare, senza [continua ..]
Di specifico impatto, altresì, i protocolli di comportamento in caso di attacco informatico estorsivo, in termini di divieto di adesione, blocchi interni alla raccolta e all’utilizzo di denaro e denuncia alle competenti autorità. A prescindere, infatti, dalla contrarietà del pagamento ai principi del proprio codice etico, ove realizzato nell’interesse dell’ente (ad esempio per comprare un silenzio e recuperare credibilità evitando migrazione della clientela, riduzione delle revenue e consequenziale abbassamento del valore delle azioni della società), esso potrebbe, di per sé, integrare determinati reati-presupposto ex d.lgs. n. 231/2001: da quelli di natura societaria ex art. 25-ter (ove la somma risulti pagata attraverso un indebito utilizzo di provvista sociale o non contabilmente tracciata) o di (auto)riciclaggio (ove si impieghino fondi di illecita provenienza) ex art. 25-octies sino a quelli di criminalità organizzata ex art. 24-ter (in considerazione della condotta tenuta durante l’attacco informatico e per la risoluzione di esso, dell’entità e delle modalità di corresponsione del riscatto e del livello di collaborazione prestato con l’autorità giudiziaria nazionale e internazionale) [35]. Un’ulteriore conferma del fatto che la cybersecurity aziendale si articola ormai in un più livelli tra loro intrinsecamente connessi e interdipendenti, quello delle tecniche di bottom up e quello delle valutazioni top-down, che impongono l’attuazione di modelli “circolari” caratterizzati dalla coerente produzione di normative stratificate (delibere, codici, regolamenti, manuali, ordini di servizio, circolari o istruzioni operative) e nell’ambito dei quali se il manager assicura il corretto funzionamento dei sistemi di prevenzione e l’audit provvede al ripetuto svolgimento di stress-test, è la governance a determinare ex ante la politica di sicurezza per sottoporla ex post a periodico riesame e imputarsi, nel tempo, una responsabilità per deficit infrastrutturali, organizzativi o di alta vigilanza che mentre sul versante civile può comportare il risarcimento dei danni derivanti dall’attacco informatico all’azienda o terzi, rispettivamente ai sensi degli artt. 2392 e 2050 c.c., su quello penale potrebbe persino sfociare in una contestazione a titolo di concorso nel reato [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 2724-1068 - EISSN 2784-8647 Rivista Corporate Governance (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
