Le agenzie di rating hanno iniziato ad adottare il rischio informatico come criterio di valutazione e, in caso di furto o perdita di dati, si invocano sempre più spesso le sanzioni contro i dipendenti o i dirigenti aziendali. Tutto ciò porta a ritenere che, in un futuro più o meno lontano, le sanzioni contro singoli per negligenza, irresponsabilità o igiene digitale inadeguata potrebbero diventare più frequenti.
Pur inviando solo un segnale debole al grande pubblico a causa della loro rarità, alcuni casi verificatisi negli ultimi due anni rappresentano precedenti significativi: nel 2017, a fronte di un attacco alla società statunitense Equifax, specializzata in servizi finanziari, sono stati resi di dominio pubblico i dati personali di 143 milioni di cittadini statunitensi. La società è stata pubblicamente citata in giudizio per il mancato rispetto delle misure di sicurezza e il suo amministratore delegato è stato rimosso dall’incarico dagli azionisti a causa dell’immenso danno reputazionale cagionato.
Nel marzo 2018, il CFO della filiale olandese di Pathé è stato licenziato dopo essere stato vittima della “frode del capo”, costata alla società 21 milioni di euro. Allo stesso tempo, la Corte di cassazione francese si è pronunciata nel caso della richiesta di risarcimento danni da parte di un utente privato, vittima di una e-mail di phishing. Il tribunale ha accusato il richiedente di “grave negligenza nella protezione e nella custodia dei suoi dati”. La sentenza ha confermato la responsabilità del privato. La richiesta è stata respinta.
Stiamo procedendo gradualmente verso l’imposizione sistematica di sanzioni contro dipendenti e singoli individui per l’inadeguata igiene digitale?
Sanzioni previste dal GDPR
Dal maggio 2018, il GDPR prevede l’imposizione di numerose sanzioni alle imprese e alle autorità. L’articolo 58 del regolamento europeo conferisce agli Stati membri dell’UE il potere di intervenire contro la violazione delle normative e di attuare misure deterrenti. L’articolo 83 stabilisce le condizioni secondo cui può essere inflitta un’ammenda di fino al 4% del fatturato globale dell’impresa. E gli importi (elevati) cominciano lentamente a sommarsi. Nel gennaio 2019, a Google è stata comminata una multa di 50 milioni di euro in Francia. L’autorità britannica per la protezione dei dati ha inoltre annunciato la scorsa estate l’intenzione di infliggere a British Airways un’ammenda di oltre 200 milioni di euro. E questo è solo l’inizio. Meno noto è che l’articolo 84 del GDPR prevede anche sanzioni penali. Finora, tuttavia, non è emerso alcun caso specifico.
Meccanismi di prevenzione e regolamentazione
Le aziende dispongono già di numerosi strumenti per ridurre al minimo questo rischio. “Come azienda del Gruppo Airbus Defence and Space, le nostre linee guida interne in materia di sicurezza sono molto rigorose. La società impiega strumenti per proteggere l’accesso alla rete, i servizi di messaggistica, il traffico Internet, le workstation e i dispositivi mobili”, conferma Alberto Brera, Country Manager di Stormshield per l‘Italia.
Ma ciò non sempre é sufficiente.
“A causa dell’evoluzione dei metodi di lavoro, dell’aumento della quota del personale che lavora da casa e della crescente mobilità, non solo le misure di sicurezza sono di fondamentale importanza, ma anche la sensibilizzazione e la formazione dei dipendenti. Questo, a sua volta, richiede strumenti giuridici iniziali, come linee guida allegate al contratto di lavoro che raccolgono tutte le best practice a cui gli utenti dovrebbero attenersi quando utilizzano le risorse IT aziendali e regolano la comunicazione digitale, compresi i diritti degli utenti stessi. Spesso però queste linee guida non vengono messe in pratica. Il ricorso a sanzioni per negligenza, irresponsabilità o scarsa igiene digitale potrebbe quindi diventare più comune nei prossimi anni – e interessare ogni impiegato, indipendentemente dal ruolo che ricopre in azienda.
A mali estremi, estremi rimedi?
Ci sono molti esempi di aziende chiamate a rispondere delle violazioni delle prescrizioni normative e di conseguenza di rivalersi sul dipendente o sull’amministratore delegato responsabile del danno. “A seconda dei casi, la sanzione comminata dal datore di lavoro può andare dalla sospensione o risoluzione del contratto all’azione legale“, sottolinea Brera.
Il quadro giuridico é chiaro, così come il fatto che l’imposizione di sanzioni al personale sia a totale discrezione di ogni azienda. Tuttavia, è abbastanza probabile che nei prossimi anni la regolamentazione della responsabilità dei singoli individui da parte del legislatore cambierà: sebbene si ricordi costantemente che non ci sono mai stati rischi maggiori e che il compito di favorire l’instaurarsi di una cultura della sicurezza informatica nelle imprese non sia mai stato così importante, gli attacchi ransomware e phishing continuano ad avere molto successo. La criminalità informatica sta cagionando danni sempre più ingenti ai privati e alle imprese. Alla luce di ciò, c’è da chiedersi se, in caso di negligenza, ci siano davvero alternative all’invocazione della responsabilità del singolo individuo.