Rischia grosso lo studio professionale a cui vengono sottratti i dati dei contribuenti.
I cyberladri di dati tributari innescano la miccia della richiesta di risarcimento del danno da parte delle vittime.
Ma a pagare i danni non sono gli hacker o ricattatori informatici, che hanno enormi chance di rimanere nell’ombra. L’alea dell’indennizzo, infatti, incombe di fatto solo su chi detiene i dati nei propri computer e server, cioè imprese, pubbliche amministrazioni e professionisti attaccati dai cibercriminali e, quindi, per altro verso, vittime anch’esse della delinquenza elettronica. Senza contare che ogni data breach (violazione della sicurezza da cui deriva una violazione dei dati) apre le porte non solo alle richieste di indennizzo da parte degli interessati, ma anche alle sanzioni del Gdpr.
La bomba dei risarcimenti, in ogni caso, è armata ed è a un passo dalla conflagrazione. E prima o poi saranno promosse cause singole o class action, soprattutto quando le violazioni della privacy riguardano molte persone.
La vicenda di luglio 2022 dell’esfiltrazione di dati di contribuenti, addebitata alla società longa manus del fisco italiano, ma forse riconducibile a uno studio professionale, mette sotto i riflettori la legislazione sulla privacy, costellata di rischi giuridici sotto gli occhi di tutti, di cui, però, non si è ancora completamente consapevoli.
L’articolo 82 del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) è, infatti, un dolce scivolo per i danneggiati e una strada ripida verso l’abisso, piena di insidie e trabocchetti, per le imprese, le pubbliche amministrazioni e i professionisti.
Per i danneggiati la preoccupazione più grande è la prova dell’ammontare del danno patito, mentre godono di un bonus probatorio quanto alla colpa del titolare del trattamento.
Per quest’ultimo, invece, sfuggire al pagamento dei danni è condizionato a una prova difficilissima e cioè alla dimostrazione che l’evento dannoso non gli è in alcun modo imputabile: intendiamoci, o c’è una manina di aiuto tesa da tribunali comprensivi che inventano interpretazioni miti, altrimenti nei giudizi bisogna puntare tutto sulla minimizzazione dell’importo del danno e prepararsi ad aprire il portafoglio, sperando di pagare il meno possibile.
Il data breach è sempre uno stress rilevante, molto spesso una tragedia, qualche volta un incubo.
Vediamo perché, tratteggiando il quadro generale: c’è un delinquente che, per divertimento o per lucro criminale, porta a compimento un attacco informatico ai danni, ad esempio, di un’impresa; l’impresa nell’immediato perde reputazione commerciale, clienti e fatturato; la stessa impresa, sempre nell’immediato, deve autodenunciarsi alle autorità e deve propalare la brutta notizia ai clienti e a tutti gli interessati; il Garante della privacy apre le proprie indagini che, dovendo necessariamente applicare il Gdpr, arriveranno, molto probabilmente, a una sanzione amministrativa pecuniaria.
Per considerare i fatti con oggettività bisogna riconoscere che con gli apparecchi informatici e le reti digitali è impossibile essere completamente a posto e in regola e bisogna anche sottolineare che, al contempo, non si può fare a meno di usare apparecchi e reti insicure.
Quindi, riassumiamo: un’impresa è obbligata ad affrontare il rischio informatico-digitale (che, anche se lo volesse e se avesse capacità di investimento illimitata in sicurezza informatica, può solo attenuare, mai eliminare); (non se, ma) quando un delinquente riesce a bucare l’impresa (è solo questione statistica o di buona sorte), l’impresa stessa viene sanzionata dall’autorità e rischia la sua tenuta sul mercato. Con la beffa, talvolta, di vedere gli hacker, che sembrano intoccabili, addirittura osannati perché riescono a rivelare le crepe (che, in realtà, causano). Lasciamo perdere il fatto che un sistema che funziona aiuta le imprese tagliando le gambe ai cybercriminali, pattuglia la rete e scova i delinquenti telematici con iniziative preventive e costruisce un sistema di sicurezza generale, ad esempio con un’assicurazione obbligatoria del rischio consentito del traffico giuridico e commerciale su Internet.
Nelle more di tutto ciò, le imprese (e anche le pubbliche amministrazioni e gli studi professionali) devono fare quanto loro possibile, non solo per affrontare le alee sopra descritte, ma anche per il pericolo crescente di essere chiamate a risarcire i danni.
Il quadro normativo (è necessario consolidare preventivamente questa consapevolezza) prevede, dunque, il risarcimento del danno (in aggiunta alle sanzioni).
Si prenda l’episodio dei ricattatori informatici che minacciano di mettere in rete migliaia di dati di contribuenti.
A questo riguardo ci si può chiedere, da un lato, se questi contribuenti abbiano il diritto di sapere che cosa sta succedendo dei loro dati e, dall’altro lato, se possano chiedere il risarcimento del danno (allo Stato italiano oppure ad altro titolare del trattamento, come uno studio professionale coinvolto).
Alla prima domanda risponde, anche se solo in maniera vaga e in generale, l’articolo 34 del Gdpr: se c’è un rischio elevato per le persone, in caso di attacco informatico, il titolare del trattamento lo deve dire agli interessati, aiutandoli a elevare barriere protettive e a evitare danni ulteriori.
Il problema, qui, è capire quando il danno è elevato. A questo proposito abbiamo esempi di pronunce del Garante molto rigorose nell’interesse delle persone interessate. Sono pronunce nelle quali il Garante ha ritenuto elevato il rischio, obbligando a fare la comunicazione agli interessati, a proposito di un data breach nel quale non è stato possibile determinare con certezza se vi sia stata o meno esfiltrazione di dati. Da tale orientamento, ispirato certo ad un apprezzabile grado avanzato di tutela, deriva l’obbligo di comunicare agli interessati notizie sul data breach ogni volta che ci sia un dubbio sulla esistenza del fatto da cui possa derivare un rischio elevato.
Ci si chiede se questo non significhi equiparare una possibilità della causa (esfiltrazione di dati) ad una probabilità dell’effetto (rischio elevato per i diritti) e se questo non significhi estendere a tappeto, sempre e comunque, l’obbligo di comunicare il data breach agli interessati. E si rammenta che non fare la comunicazione significa esporsi alla sanzione amministrativa fino a 10 milioni di euro).
Al secondo quesito (eventualità del risarcimento del danno) risponde l’articolo 82 del Gdpr, che disciplina la causa per danni da violazione della privacy.
di Antonio Ciccia Messina (Italia Oggi Sette del 1° agosto 2022)