Soltanto pochi giorni fa è stato messo in atto un massiccio attacco hacker in tutto il mondo, perpetrato tramite ransomware ESXiArgs (il ransomware, lo ricordiamo, è un programma informatico dannoso che può infettare dispositivi digitali come PC, tablet, smartphone o smart TV, bloccando l’accesso a tutti o ad alcuni dei contenuti per poi chiedere un riscatto affinché i contenuti bloccati possano ritornare a essere nuovamente fruibili).
In particolare, gli hacker hanno richiesto ai proprietari dei dispositivi infettati di pagare un riscatto di due bitcoin, corrispondente a circa 42 mila euro.
Indice degli argomenti
I profili di responsabilità nella gestione degli incidenti cyber
Nella serata di sabato 4 febbraio, CSIRT Italia ha emanato un avviso in cui informava di aver rilevato un massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 presente nei prodotti VMware ESXi. CSIRT Italia ha inoltre stimato l’impatto della vulnerabilità sulla comunità di riferimento, classificandolo come alto (70,25/100).
Una nota di Palazzo Chigi ha comunque rassicurato che in Italia nessuna istituzione o azienda primaria operante in settori critici per la sicurezza nazionale è stata colpita.
Tuttavia, ciò che desta particolari preoccupazioni è che allo scopo di sopperire alla vulnerabilità sfruttata dai cyber criminali per perpetrare l’attacco era stata rilasciata una patch di aggiornamento già nel 2021. Ciò significa che quella vulnerabilità era tutt’altro che sconosciuta, eppure il fatto che per la stessa non fosse stata installata la patch aggiornata al 2021 ha consentito agli hacker di penetrare nei dispositivi e infettarli con il malware.
Il consiglio degli esperti cyber è, quindi, quello di applicare le patch immediatamente su tutte le vulnerabilità, in modo tale da evitare, in futuro, il verificarsi di simili attacchi. In particolare, CSIRT Italia raccomanda di aggiornare, ove non ancora provveduto, i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti dell’avviso pubblicato nella serata del 4 febbraio scorso.
Attacco hacker globale, cosa sappiamo degli impatti in Italia
Gli obblighi imposti dal GDPR
In un contesto del genere, si innesta il delicato tema della definizione delle responsabilità per non conformità alle norme del GDPR. Difatti, la mancata applicazione di patch alle vulnerabilità dei sistemi da parte dei soggetti a ciò preposti potrebbe comportare delle serie conseguenze dal punto di vista della compliance alle disposizioni del GDPR.
In particolare, l’articolo 32 del Regolamento 2016/679 stabilisce, al paragrafo 1, che: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.
Inoltre, il paragrafo 2 della norma opera un’importante specifica in proposito: “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati“.
Pertanto, dall’analisi dell’art. 32 del GDPR si evince l’obbligo, per il titolare e il responsabile del trattamento, di predisporre adeguate misure tecniche e organizzative allo scopo di ovviare, tra le altre cose, ai rischi che possono derivare da accessi illegali ai dati personali, proprio come avviene in caso di attacchi hacker.
Non è casuale il riferimento allo “stato dell’arte” all’interno dell’articolo 32 paragrafo 1 GDPR. Infatti, nel predisporre le tecniche e organizzative adeguate per la tutela dei dati personali, i titolari e i responsabili del trattamento devono tenere debito conto dei progressi compiuti dalle tecnologie disponibili sul mercato.
Un esempio può essere proprio l’aggiornamento dei sistemi informatici attraverso patch di sicurezza, in modo da correggere eventuali vulnerabilità e prevenire, o quantomeno limitare, i danni ai sistemi derivanti da eventuali attacchi hacker.
Importante considerare che tra le misure tecniche e organizzative adeguate rientra anche il principio di protezione dei dati personali fin dalla progettazione (privacy by design) di cui all’articolo 25 GDPR.
Ai sensi dell’art. 25 par. 1 del GDPR il principio di privacy by design si basa sulla predisposizione, da parte del titolare del trattamento di misure tecniche e organizzative adeguate a partire dalla fase di progettazione di un processo, prodotto o servizio, il quale implichi un trattamento di dati personali.
ESXiArgs, il ransomware dell’attacco ai server VMware ESXi: cosa sappiamo e come difendersi
Profili di responsabilità per mancata predisposizione di misure tecniche e organizzative adeguate
La mancata predisposizione di misure tecniche e organizzative adeguate ex art. 32 GDPR potrebbe comportare delle serie conseguenze per il titolare o per il responsabile del trattamento. Infatti, l’articolo 82 del GDPR statuisce, al paragrafo 1, che chiunque subisca un danno (materiale o immateriale) a causa dell’inosservanza delle disposizioni del GDPR, ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Nello specifico, il titolare del trattamento coinvolto nel trattamento risponde del danno cagionato dal suo trattamento che violi il GDPR, mentre il responsabile del trattamento risponde del danno solo se non ha adempiuto agli obblighi del presente Regolamento (specificatamente diretti al responsabile del trattamento), oppure se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento (art. 82 par. 2 GDPR).
Quando il titolare viene esonerato
È bene ricordare che titolare o responsabile del trattamento sono esonerati da responsabilità nella misura in cui dimostrino che l’evento dannoso non risulta essere a loro imputabile (art. 82 par. 3 GDPR). Per completezza, si aggiunge anche che nel caso di due o più titolari o responsabili del trattamento sussiste il regime di responsabilità solidale, ai sensi dell’art. 82 par. 4 GDPR.
Ciò significa che ogni titolare o responsabile del trattamento potrebbe essere chiamato a rispondere per l’intero ammontare del danno. Questi ha poi la possibilità di agire in regresso nei confronti degli altri corresponsabili.
Le sanzioni
Dunque, in caso di inosservanza degli obblighi a norma dell’art. 32 del GDPR (nonché degli artt. 8, 11, da 25 a 39, 42 e 43), è prevista la comminazione di sanzioni amministrative pecuniarie per un importo fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore, ai sensi dell’art. 83 par. 4 GDPR.
Tuttavia, è bene tenere presente che nel fissare l’ammontare di una sanzione amministrativa pecuniaria, si tiene conto degli elementi di cui all’articolo 83 paragrafo 2 GDPR, tra cui: la natura, la gravità, la durata della violazione; il carattere doloso o colposo della violazione; le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito; il grado di responsabilità del titolare o del responsabile del trattamento tenendo conto delle eventuali misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32 GDPR.
Sul punto, si ricorda anche che lo European Data Protection Board (EDPB) ha adottato le linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie, la quali hanno l’obiettivo di armonizzare le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del GDPR all’interno dell’Unione europea.
Il precedente: la sanzione comminata dal Garante
Si menziona, in particolare, un provvedimento del Garante privacy, con il quale l’Autorità ha irrogato una sanzione di 15.000 euro a una società che svolgeva attività di gestione amministrativa del servizio idrico per non avere implementato misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio (relativo, in tal caso, alla possibilità di subire furti di identità).
Nello specifico, l’accesso al sito web dell’azienda dedicato ai “servizi online” dove venivano gestiti i contatti e le fatture avveniva tramite il protocollo di rete “http” (non crittografato e non sicuro) e non tramite protocollo crittografato “https”.
I dati personali dei clienti che transitavano mediante tale canale erano svariati: credenziali di autenticazione (nome utente e password), nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. Pertanto, il Garante ha ritenuto violati:
- gli artt. 5, par. 1, lett. f), e 32 GDPR, poiché la società non aveva messo in atto misure di sicurezza, tecniche e organizzative, idonee a garantire un livello di sicurezza adeguato al rischio, a causa della implementazione di un protocollo in chiaro anziché crittografato (https); nonché
- l’art. 25, par. 1, del GDPR per non aver messo in atto, fin dalla progettazione del sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
Ransomware ESXiArgs: ecco il tool per ripristinare i server VMware ESXi compromessi
I profili di responsabilità di tipo civilistico
Oltre alla responsabilità derivante dalla mancata conformità alle norme del GDPR è bene ricordare l’eventualità di ulteriori profili di responsabilità di tipo civilistico.
Potrebbe sussistere, infatti, una responsabilità personale ex art. 1218 c.c. nel caso in cui l’incidente derivante, ad esempio, dalla mancata installazione di patch aggiornate da parte del soggetto a ciò preposto generi degli inadempimenti contrattuali (ad esempio, il servizio offerto è stato indisponibile per un lungo arco temporale a causa dell’incidente), determinando così la necessità di provvedere al risarcimento del danno, a meno che si attesti che l’inadempimento è derivato da causa non imputabile al soggetto.
Gli eventuali provvedimenti interni all’azienda
Da non dimenticare, inoltre, la sussistenza di eventuali profili responsabilità disciplinare del dipendente nei confronti del datore di lavoro, a causa della mancata osservanza degli obblighi contrattualmente assunti. In tal senso, il datore di lavoro potrebbe esercitare nei confronti del soggetto inadempiente il proprio potere disciplinare (art. 7 Statuto dei lavoratori) e comminare così specifici provvedimenti.
Potrebbe parimenti sussistere una responsabilità aziendale in capo all’ente nel caso in cui sia commesso un fatto illecito da parte del dipendente nell’esercizio delle proprie funzioni (ai sensi dell’art. 2049 c.c.), a patto che sussista un nesso di casualità tra l’affidamento delle incombenze e il verificarsi del danno.
Tutti gli occhi sul CEO
Particolare importanza assume la figura del CEO (Chief Executive Officer), il quale ha il compito di assicurare un adeguato presidio organizzativo, amministrativo e contabile, definendo la strategia aziendale e governando la gestione delle risorse e l’accesso al budget.
La Circolare numero 285 del 17 dicembre 2013 della Banca d’Italia stabilisce, tra le altre cose, che il CEO ha il compito di assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l’affidabilità del sistema informativo.
In particolare, il CEO è responsabile verso la società, difatti l’art. 2392 c.c. impone al CEO di “adempiere ai doveri che gli sono imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell’incarico e dalle sue specifiche competenze”. In casi particolari, in capo al CEO potrebbero sussistere profili di responsabilità per culpa in eligendo e in vigilando.
In virtù del suo ruolo, infatti, il CEO potrebbe essere tenuto a documentare il processo che ha portato alla scelta di un determinato fornitore oppure all’attribuzione di un ruolo apicale ad un determinato individuo.
Tra i compiti del CEO si rilevano, a titolo esemplificativo: la definizione della struttura della funzione ICT; la definizione dell’assetto organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico; il monitoraggio dello svolgimento dei processi di gestione e di controllo dei servizi IT; la valutazione delle prestazioni della funzione ICT con cadenza almeno annuale.
Riveste importanza rilevante in un’organizzazione aziendale anche il CIO (Chief Information Officer), il quale ha il compito di definire ed implementare la strategia aziendale in ambito ICT. Questi risponde generalmente del proprio operato al CEO. Il CIO amministra e gestisce le risorse IT della società, pianificandone il ciclo di vita e supportando il business con le soluzioni tecnologiche più idonee.
Fondamentale ricordare anche la figura del CISO (Chief Information Security Officer, il quale risponde tipicamente al CIO o direttamente al CEO), ossia il soggetto con competenze tecniche e al contempo manageriali, il quale elabora e monitora le strategie di prevenzione e linee guida per la gestione della sicurezza delle informazioni sugli asset aziendali, definendo programmi e procedure al fine di minimizzare i rischi informatici, nonché il soggetto avente il compito di monitorare l’avvenuta applicazione di adeguati sistemi di sicurezza.
Nel caso in cui si verifichino degli incidenti, il CISO elabora un piano di intervento per limitare i danni o eliminare le relative conseguenze negative.
Conclusioni
Il fatto che il recentissimo attacco hacker sia derivato a causa di un mancato aggiornamento delle patch su delle vulnerabilità note da tempo fa capire come ci sia ancora tanta strada da fare per garantire la piena tutela dei dati all’interno delle organizzazioni.
È fondamentale, infatti, adottare tutti gli strumenti di sicurezza che l’avanzamento tecnologico mette a disposizione delle aziende, soprattutto in considerazione del fatto che si sta assistendo a una minaccia cyber sempre più concreta, caratterizzata dall’aumento esponenziale degli episodi di attacchi hacker.
Non a caso il GDPR, nonché il Codice civile e altre norme di carattere speciale, pongono degli importanti oneri a carico di titolari e responsabili del trattamento nella determinazione delle misure tecniche e organizzative necessarie per tutelare adeguatamente i dati personali, delineando così chiari profili di responsabilità per i soggetti inadempienti.
