Con il crescente rischio di attacchi informatici, professionisti e imprese devono adottare strumenti di compliance efficaci per evitare sanzioni legali e salvaguardare la propria reputazione aziendale.
Negli ultimi anni gli attacchi informatici ai danni di aziende e istituzioni sono aumentati in modo allarmante. Nel 2023 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha trattato oltre 1400 incidenti cyber, con un incremento del 30% rispetto all’anno precedente. Si tratta peraltro di un dato sottostimato: molte violazioni non vengono denunciate per timore di ripercussioni reputazionali e di attribuzioni di responsabilità. Purtroppo, la scelta di tacere un attacco può aggravare i danni nel lungo termine. Come scrisse il romanziere Frank Herbert, «La paura uccide la mente»: farsi paralizzare dal timore di uno scandalo informatico offusca la capacità di reagire con lucidità e adottare contromisure tempestive. In un contesto reso ancor più pericoloso dalla geopolitica (basti pensare al cyber-attivismo legato ai conflitti internazionali), professionisti e PMI devono prendere coscienza che nessuno è immune dagli attacchi informatici.
Di fronte a questa emergenza, il legislatore europeo e italiano ha introdotto nuove normative stringenti in materia di cybersicurezza. La Direttiva NIS2 dell’UE (Network and Information Security 2), adottata nel 2022, estende gli obblighi di sicurezza informatica a un più ampio ventaglio di organizzazioni, incluse medie e grandi imprese di settori critici e Pubbliche Amministrazioni. In Italia, il Parlamento ha approvato la cosiddetta Legge sulla cybersicurezza (Legge 28 giugno 2024, n. 90) che recepisce NIS2 e rafforza la sicurezza nazionale. Tale legge impone, tra l’altro, l’obbligo per molte aziende ed enti di notificare immediatamente all’ACN eventuali incidenti informatici subìti. Il mancato adempimento di questo obbligo comporta sanzioni amministrative severe, da 25.000 a 125.000 euro. Inoltre, per il settore pubblico, un funzionario che ometta di segnalare un attacco può andare incontro a responsabilità disciplinari e contabili.
La legge 90/2024 ha anche aggiornato il Codice Penale introducendo nuovi reati informatici e aggravando le pene per i cyber-criminali. Ad esempio, è stato inserito il reato specifico di estorsione informatica (cioè il ransomware, in cui si estorce denaro tramite un attacco informatico) e sono aumentate le sanzioni pecuniarie a carico degli enti ai sensi del D.Lgs. 231/2001. In particolare, le sanzioni previste dal modello di responsabilità amministrativa 231 per i reati informatici sono state innalzate dal precedente massimo di 500 quote fino a 700 quote, e si applicano ora anche ai casi di estorsione compiuta via reato informatico. Ciò significa che, in caso di reati informatici commessi da manager o dipendenti nell’interesse dell’azienda, quest’ultima rischia pesanti multe (ricordiamo che una “quota” ai sensi del D.Lgs. 231 può valere fino a 1.500 euro). Di conseguenza, tutte le organizzazioni – anche le PMI – dovrebbero aggiornare i propri Modelli di Organizzazione e Gestione 231 per includere adeguate misure di prevenzione dei reati informatici. Allo stesso tempo, va curata la compliance in ambito privacy (GDPR) e la sicurezza dei dati, in un’ottica integrata. Procedure interne di sicurezza IT, controlli di accesso, sistemi di monitoraggio continuo e formazione del personale sono diventati elementi imprescindibili di un efficace sistema di gestione del rischio. In sostanza, il messaggio del legislatore è chiaro: si vis pacem, para bellum – se vuoi la pace (digitale), prepara la difesa. Investire in cybersecurity non è più opzionale, ma un dovere giuridico e strategico.
La responsabilità legale in caso di incidente informatico può manifestarsi su vari fronti. Da un lato vi sono le sanzioni amministrative dei regolatori: il Garante Privacy può infliggere multe fino a 20 milioni di euro o al 4% del fatturato annuo per violazioni del GDPR (ad esempio per omessa protezione dei dati personali o mancata notifica di data breach). Dall’altro lato c’è la possibile responsabilità civile verso clienti, partner o soggetti i cui dati siano stati compromessi. L’art. 82 del GDPR riconosce agli interessati il diritto al risarcimento per i danni – materiali o non – subiti a causa di un trattamento illecito dei propri dati personali. La giurisprudenza europea più recente ha ampliato la tutela di questi diritti: la Corte di Giustizia UE, con sentenza del 4 maggio 2023 (causa C-300/21), ha affermato che anche il semplice timore che i propri dati siano stati divulgati in seguito a una violazione del GDPR può costituire un danno risarcibile, pur in assenza di una prova concreta dell’uso improprio di tali dati. Ciò che conta è che questo timore sia fondato e produca conseguenze negative dimostrabili (ansia, spese per prevenire usi fraudolenti dei dati, ecc.). In scia con i principi europei, anche la Cassazione italiana ha iniziato ad adottare un orientamento più aperto sulle tutele risarcitorie. In una decisione recente, la Suprema Corte (Cass. civ. n. 13073/2023) ha ribadito che chi subisce un trattamento illecito dei propri dati può ottenere il risarcimento di qualunque danno patito, anche se la lesione è marginale, superando il precedente rigore che ammetteva solo danni “seri”. Resta escluso il risarcimento “in re ipsa” (automatico) – occorre pur sempre provare un pregiudizio concreto – ma è chiaro l’intento di adeguarsi al paradigma del GDPR secondo cui nessuna violazione, anche minima, dev’essere banalizzata.
Oltre ai profili civilistici e amministrativi, non vanno dimenticate possibili responsabilità penali. Alcuni attacchi informatici configurano reati specifici (accesso abusivo a sistema informatico, frode informatica, ecc.) per i quali i singoli autori possono essere perseguiti. Se il professionista o l’azienda attaccata risulta aver colposamente favorito l’attacco (ad esempio omettendo le misure minime di sicurezza previste dalla legge), potrebbero profilarsi anche contestazioni per concorso colposo o violazioni di norme di settore. Un caso estremo potrebbe riguardare strutture sanitarie o studi professionali: la mancata protezione di dati sensibili dei pazienti o clienti, in caso di leak, potrebbe portare a condanne per violazione del segreto professionale o trattamento illecito di dati sanitari.
Al di là delle sanzioni legali, un grave incidente di sicurezza informatica può generare danni indiretti potenzialmente ancor più devastanti. Il cosiddetto danno reputazionale è l’ombra lunga che un data breach o un attacco informatico proiettano sull’azienda colpita. Clienti e partner potrebbero perdere fiducia, temere per la sicurezza delle proprie informazioni e rivolgersi alla concorrenza. Studi recenti stimano che il costo reputazionale di un cyber-attack possa tradursi in una perdita fino al 30% del fatturato annuo nei settori colpiti. Oltre alla flessione di ricavi, si possono riscontrare altri impatti: declassamento del rating aziendale, aumento dei costi assicurativi, turnover del personale chiave scoraggiato dall’accaduto e difficoltà ad attrarre nuovi clienti. Il caso “Libero/Virgilio” – il noto blackout di un servizio email italiano a seguito di attacco ransomware a inizio 2023 – è un esempio lampante di come un incidente possa causare un immediato danno di immagine, con migliaia di utenti infuriati e un’eco mediatica negativa prolungata. L’azienda ha dovuto non solo ripristinare i sistemi, ma anche avviare campagne di comunicazione e probabili iniziative compensative per riconquistare la fiducia degli utenti.
Gestire la comunicazione di crisi è infatti cruciale: trasparenza, assunzione di responsabilità e sollecitudine nelle soluzioni aiutano a contenere il danno di immagine. Al contrario, tentare di nascondere la polvere sotto il tappeto (come alcuni fanno, sperando che la violazione non diventi pubblica) rischia di peggiorare la situazione qualora l’incidente emerga successivamente – cosa molto probabile, dato l’obbligo di notifica e l’attenzione delle autorità e dei media. In un’era di social network, un singolo evento negativo può propagarsi viralmente, influenzando irreversibilmente la percezione del brand. Investire in resilienza informatica significa anche preparare un piano di comunicazione per le crisi, definendo in anticipo chi dovrà comunicare cosa e come al pubblico e agli stakeholder in caso di attacco, in modo da dare un segnale di controllo e affidabilità.
Di fronte a minacce così eterogenee – malware, phishing, ransomware, attacchi DDoS e via dicendo – la parola d’ordine deve essere prevenzione. Come recita un antico adagio latino, melius prevenire quam curare: meglio prevenire che curare. Le aziende devono impostare la sicurezza informatica come parte integrante dei processi di business (security by design), non come un costo accessorio. Alcune best practice includono: implementare sistemi aggiornati di difesa (firewall, antivirus, strumenti di intrusion detection), cifrare i dati sensibili (encryption), effettuare periodici vulnerability assessment e test di penetrazione per individuare falle prima che lo facciano i criminali, nonché predisporre efficaci sistemi di backup e disaster recovery. Ugualmente importante è il fattore umano: gran parte degli incidenti ha origine in errore umano o phishing. Pertanto, svolgere regolari formazioni cybersecurity per i dipendenti – insegnando a riconoscere email sospette, usare credenziali robuste, rispettare le policy – è un investimento obbligato.
Sul piano organizzativo, l’adozione di standard riconosciuti (es. certificazione ISO/IEC 27001 per la sicurezza delle informazioni) e la nomina di figure chiave come il DPO (Data Protection Officer, ove previsto dal GDPR) o il Cybersecurity Manager aiutano a creare una governance strutturata della sicurezza. Il coinvolgimento attivo del top management è fondamentale: la cultura della sicurezza deve partire dall’alto e permeare tutta l’organizzazione aziendale. Ciò implica anche dotarsi di un efficace incident response plan per reagire prontamente agli incidenti, mitigare i danni e apprendere dagli eventi per migliorare continuamente. Ogni crisi gestita con successo può diventare un’esperienza da cui trarre lezione e rafforzare le difese in futuro.
In definitiva, cybersecurity e responsabilità legale oggi vanno a braccetto: un’azienda o un professionista che ignora gli obblighi di sicurezza rischia non solo di subire attacchi, ma anche di pagarne il conto in tribunale e sul mercato. Al contrario, chi investe in difesa informatica e compliance normativa si protegge sotto il profilo tecnico, legale e reputazionale. Ignorantia legis non excusat – l’ignoranza della legge (e dei rischi) non è una scusa. Prepararsi adeguatamente è l’unica strada per evitare di essere colti alla sprovvista dal prossimo attacco e poter continuare a operare con la fiducia dei propri clienti.
Avv. Marco Panato, avvocato del Foro di Verona e Dottore di Ricerca in Diritto ed Economia dell’Impresa – Discipline Interne ed Internazionali - Curriculum Diritto Amministrativo (Dipartimento di Scienze Giuridiche, Università degli Studi di Verona).
E' autore di pubblicazioni scientifiche in materia giuridica, in particolare nel ramo del diritto amministrativo. Si occupa anche di docenza ed alta formazione.
