Cyberattacco, tra causa di forza maggiore e responsabilità contrattuale
Cyberattacco, tra causa di forza maggiore e responsabilità contrattuale
Abstract
Con il crescente aumento degli attacchi informatici a livello nazionale e internazionale, si è posta maggiore attenzione non soltanto alle misure per contrastare tale fenomeno, ma anche alle ripercussioni in tema di responsabilità delle aziende ed enti pubblici e governativi vittime dei cybercriminali.
Introduzione
Nel corso degli ultimi anni si è assistito ad un sensibile aumento di incidenti informatici derivanti da cyberattacchi che hanno interessato, a livello globale, diversi settori ed industrie – dal pubblico al privato, dal trasporto alla sanità, dalla finanza alle telecomuncazioni – Siffatto aumento è diretta conseguenza del ricorso, sempre più frequente, alle nuove tecnologie dell’informazione, che se da un lato consentono di usufruire in maniera più “agile” rispetto al recente passato di una molteplicità di servizi (si pensi all’e-commerce, all’e-learning, ai servizi digitali offerti dalla pubblica amministrazione accessibili online tramite strumenti quali lo SPID, CIE, al sistema di pagamento pagoPA, etc), dall’altro lato il loro utilizzo generalizzato e su larga scala comporta inevitabilmente una maggiore esposizione agli attacchi informatici, con conseguente aumento del rischio di verificazione di una serie di danni di diversa natura, da quelli patrimoniali a quelli reputazionali e alla riservatezza.
Al verificarsi di un attacco informatico, ci si chiede se, ai fini del risarcimento dei danni patìti dagli interessati, può configurarsi una responsabilità in capo ai soggetti deputati a garantire la sicurezza informatica, ovvero se questi ultimi possono andare esenti da responsabilità in quanto gli attacchi informatici sono configurabili come ipotesi di forza maggiore.
Definizione di cyberattacco
Innanzitutto va precisato che, nell’ambito della sicurezza informatica, per “attacchi informatici” o “cyberattacchi” si intendono quegli attacchi che mirano a compromettere l’integrità, la disponibilità e la riservatezza dei sistemi informatici, delle reti e dei dati da essi elaborati. Si tratta di attacchi realizzati tramite varie modalità, ma che, alla base, hanno in comune il compimento di azioni che sfruttano le vulnerabilità derivanti tanto dai sistemi informatici (tramite l’uso di cd “malware” - es. virus, troyan, worm, etc) quanto dalle condotte umane (attraverso tecniche di cd “Social Engineering” – es phishing, trashing, tailgating, etc)
Gli attacchi informatici possono essere effettuati da singoli individui o da organizzazioni che agiscono allo scopo di procurarsi un indebito profitto o vantaggio, ovvero al fine di cagionare dei danni sia a persone che aziende o enti pubblici.
Misure di sicurezza adeguate al rischio
Per far fronte agli attacchi informatici è innanzitutto necessario adottare misure di sicurezza adeguate a proteggere i sistemi informatici, le reti e i dati da essi elaborati. L’adozione di misure di sicurezza adeguate è un vero e proprio obbligo giuridico che trova applicazione tanto in Italia quanto nel resto dell’Europa. Basti qui richiamare, tra le varie normative collegate a tale obbligo, il Regolamento Europeo Generale sulla Protezione dei Dati n. 2016/679 (sigla “RGPD”, o nella dicitura inglese General Data Protection and Regulation – sigla “GDPR”), che, nell’ambito della sicurezza del trattamento, all’art. 32 espressamente prescrive ai titolari e ai responsabili del trattamento dei dati personali l’adozione di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto “dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Analogamente, la Direttiva Europea Network and Information Security n. 2016/1148 (meglio conosciuta come “NIS 1”) all’art. 14 prevede l’obbligo, in capo agli operatori di servizi essenziali individuati dalla Direttiva in questione, di adottare (comma 1) “misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguatoal rischio esistente” nonché di adottare (comma 2) “misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi”. Sul piano della protezione dei sistemi informatici e delle reti, la recente Direttiva Europea “NIS 2” n. 2022/2555 (che dal 18 ottobre 2024 andrà a sostituirsi alla Direttiva NIS 1), si pone in ottica di continuità, prescrivendo agli operatori di servizi i medesimi obblighi di adottare misure di sicurezza adeguate (art. 21, NIS 2).
L’adeguatezza delle misure presuppone il compimento da parte delle organizzazioni onerate della loro adozione di una valutazione del rischio all’esito della quale vengono individuate sia quelle misure idonee a prevenire gli incidenti di sicurezza informatica, sia quelle volte a ripristinare i sistemi informatici e di rete e a garantire la continuità sei servizi in caso di verificazione dell’incidente stesso.
Attacco informatico come causa di esclusione della responsabilità per forza maggiore, o prova dell’inadempimento contrattuale?
Sulla scorta di quanto sopra accennato, si proverà adesso a rispondere alla domanda inizialmente posta, ossia se in caso di attacco informatico si possa invocare la forza maggiore come causa di esclusione della responsabilità.
Va premesso che la forza maggiore è una causa di esclusione della responsabilità per non imputabilità dell’evento dannoso, ed è riconosciuta dalla maggior parte degli ordinamenti giuridici (negli ordinamenti anglosassoni, ad esempio, si definisce “Act of God”). Essa viene di regola inserita all’interno di accordi scritti tramite apposite clausole contrattuali che spesso elencano espressamente le fattispecie di forza maggiore, tra le quali vi è, appunto, l’ipotesi di non imputabilità derivante da attacco informatico.
Al di là delle differenze terminologiche o delle casistiche in astratto indicate in una clausola contrattuale ad hoc, i presupposti della causa di forza maggiore affinché questa possa in concreto invocarsi è che l’evento dannoso verificatosi fosse imprevedibile ed inevitabile, a tal punto da sfuggire al controllo del soggetto responsabile a prevenirlo o a ridurne gli effetti. La sussistenza dei presupposti appena richiamati deve essere provata in concreto, non potendo ritenersi sufficiente il mero rinvio alla fattispecie di forza maggiore in astratto menzionata esemplificativamente all’interno di una clausola contrattuale.
In tal senso si è espressa anche una Sentenza del Consiglio di Stato di qualche anno fa (cfr. Cons. di Stato, Sentenza n. 5882/2021, che, al momento, sembrerebbe essere l’unica pronuncia giurisprudenziale italiana di spicco nella quale si è affrontato il rapporto tra attacco informatico e forza maggiore). Sul punto i giudici amministrativi, dopo aver ribadito - sulla scorta del consolidato orientamento giurisprudenziale - che cosa si debba intendere per causa di forza maggiore, hanno statuito che ai fini dell’invocabilità di tale causa di esclusione della responsabilità sia necessario dimostrarel’effettiva impossibilità di adempiere in quanto l’evento non era evitabile neanche usando la maggiore diligenza possibile. (Nel caso di specie, la società appellante, esclusa in primo grado dal TAR da una procedura di gara per non aver risposto in tempo al soccorso istruttorio avviato dalla stazione appaltante, in secondo grado è riuscita ad essere rimessa nei termini invocando davanti al Consiglio di Stato la non imputabilità dell’omessa risposta per causa di forza maggiore da attacco informatico, dimostrando – tramite perizia di un tecnico informatico – che tale omissione è dipesa da un virus informatico che ha causato il blocco totale dei sistemi informatici dell’appellante per tutta la durata del termine perentorio fissato dalla stazione appaltante per rispondere al soccorso istruttorio, e che, in tale lasso di tempo, l’appellante non sarebbe venuta a conoscenza della comunicazione di soccorso istruttorio inviata sulla piattaforma telematica di gara dalla stazione appaltante stessa).
Ciò premesso, nelle ipotesi di danni derivanti da cyberattacchi, colui il quale voglia esonerarsi da responsabilità invocando la forza maggiore, dovrebbe provare di aver adottato le necessarie misure di sicurezza (sia tecniche che organizzative), e che nonostante tali misure fossero adeguate ai rischi esistenti, l’attacco informatico andato a segno era comunque inevitabile ed imprevedibile. In caso contrario, ossia nell’ipotesi di non adozione delle misure di sicurezza, ovvero di adozione di misure che si rivelino inadeguate a prevenire i rischi, vi sarebbero i presupposti per la configurabilità della responsabilità da inadempimento contrattuale.