Il rischio informatico è ormai adottato come criterio di valutazione dalle agenzie di rating e, in caso di furto o perdita di dati, sempre più spesso viene invocata la responsabilità di dipendenti o dirigenti aziendali. Per questo, le sanzioni contro singoli per negligenza, irresponsabilità o igiene digitale inadeguata potrebbero diventare più frequenti nei prossimi anni.

Alcuni casi rappresentano precedenti significativi: nel 2017, a fronte di un attacco alla società statunitense Equifax, specializzata in servizi finanziari, sono diventati di dominio pubblico i dati personali di 143 milioni di cittadini statunitensi. La società è stata citata in giudizio per il mancato rispetto delle misure di sicurezza e il suo amministratore delegato è stato rimosso dall’incarico dagli azionisti a causa del danno reputazionale provocato.

A marzo 2018 il Cfo della filiale olandese di Pathé è stato licenziato dopo essere stato vittima della 'frode del capo' costata alla società 21 milioni di euro. Allo stesso tempo, la Corte di cassazione francese si è pronunciata nel caso della richiesta di risarcimento danni da parte di un utente privato, vittima di una e-mail di phishing. Il tribunale ha accusato il richiedente di "grave negligenza nella protezione e nella custodia dei suoi dati”. La sentenza ha confermato la responsabilità del privato. La richiesta è stata respinta. Si sta gradualmente procedendo verso l’imposizione sistematica di sanzioni contro dipendenti e singoli individui per inadeguata igiene digitale?

Gdpr, attenzione alle sanzioni

Dal maggio 2018, il GDPR prevede l’imposizione di numerose sanzioni alle imprese e alle autorità. L’articolo 58 del regolamento europeo conferisce agli Stati membri dell’UE il potere di intervenire contro la violazione delle normative e di attuare misure deterrenti. L’articolo 83 stabilisce le condizioni secondo cui può essere inflitta un’ammenda di fino al 4% del fatturato globale dell’impresa. E gli importi (elevati) cominciano lentamente a sommarsi. Nel gennaio 2019, aGoogle è stata comminata una multa di 50 milioni di euroin Francia.

L’autorità britannica per la protezione dei dati ha inoltre annunciato la scorsa estate l’intenzione di infliggere aBritish Airways un’ammenda di oltre 200 milioni di euro. E questo è solo l’inizio. Meno noto è che l’articolo 84 del GDPR prevede anche sanzioni penali. Finora, tuttavia, non è emerso alcun caso specifico.

Le aziende dispongono già di numerosi strumenti per ridurre al minimo questo rischio. “Come azienda del Gruppo Airbus Defence and Space, le nostre linee guida interne in materia di sicurezza sono molto rigorose. La società impiega strumenti per proteggere l’accesso alla rete, i servizi di messaggistica, il traffico Internet, le workstation e i dispositivi mobili” conferma Alberto Brera, Country Manager di Stormshield per l‘Italia. Ma ciò non è sempre sufficiente. “A causa dell’evoluzione dei metodi di lavoro, dell’aumento della quota del personale che lavora da casa e della crescente mobilità, non solo le misure di sicurezza sono di fondamentale importanza, ma anche la sensibilizzazione e la formazione dei dipendenti”.
Questo, a sua volta, richiede strumenti giuridici iniziali, come linee guida allegate al contratto di lavoro che raccolgono tutte le best practice a cui gli utenti dovrebbero attenersi quando utilizzano le risorse It aziendali e regolano la comunicazione digitale, compresi i diritti degli utenti stessi. Spesso, però, queste linee guida non vengono messe in pratica. Il ricorso a sanzioni per negligenza, irresponsabilità o scarsa igiene digitale potrebbe, quindi, diventare più comune nei prossimi anni e interessare ogni impiegato, indipendentemente dal ruolo che ricopre in azienda.

A mali estremi, estremi rimedi?

Ci sono molti esempi di aziende chiamate a rispondere delle violazioni delle prescrizioni normative e di conseguenza di rivalersi sul dipendente o sull’amministratore delegato responsabile del danno. “A seconda dei casi, la sanzione comminata dal datore di lavoro può andare dalla sospensione o risoluzione del contratto all’azione legale" sottolinea Brera. Il quadro giuridico è chiaro, così come il fatto che l’imposizione di sanzioni al personale sia a totale discrezione di ogni azienda.

Tuttavia, è abbastanza probabile che nei prossimi anni la regolamentazione della responsabilità dei singoli individui da parte del legislatore cambierà: sebbene si ricordi costantemente che non ci sono mai stati rischi maggiori e che il compito di favorire l’instaurarsi di unacultura della sicurezza informaticanelle imprese non sia mai stato così importante, gli attacchi ransomware e phishing continuano ad avere molto successo. La criminalità informatica sta provocando danni sempre più ingenti ai privati e alle imprese. Alla luce di ciò, c’è da chiedersi se, in caso di negligenza, ci siano davvero alternative all’invocazione della responsabilità del singolo individuo.