Tutela legale delle aziende in caso di cyber crime e attacchi informatici WORKSHOP LE SFIDE DELLA SICUREZZA INFORMATICA Confindustria, Cuneo, 10 Luglio 2015 Avv. Marco Cuniberti 1
QUALI RISCHI LEGALI? QUALE TUTELA? - RISCHI ATTIVI: responsabilità verso terzi - clienti (danneggiamenti loro sistemi informatici, anche per virus; perdita/furto di loro dati personali presso l azienda; perdita di carte di credito o altri dati economicamente rilevanti detenuti dall azienda; perdita/danneggiamento di documenti o altro del cliente gestiti dall azienda); - fornitori (danneggiamenti loro sistemi informatici, anche per virus); - visitatori sito (danneggiamenti loro sistemi informatici; perdita/ furto di loro dati personali di navigazione trattati dall azienda) 2
QUALI RISCHI LEGALI? QUALE TUTELA? - RISCHI ATTIVI: responsabilità verso terzi Per colpa di: - dipendenti negligenti - malpractice e strategie sbagliate/inadeguate aziendali - mancanza di sicurezza o di aggiornamenti (malfunzionamenti) - attacchi interni (dipendenti infedeli, la minaccia principale secondo Global Fraud Report 2014) - attacchi esterni 2
QUALI RISCHI LEGALI? QUALE TUTELA? - RISCHI PASSIVI: danni subiti dall azienda per: - danni da reati e altre condotte illecite di dipendenti fedeli negligenti (231/01, violazioni privacy e altre sanzioni amministrative; sanzioni penali per l imprenditore; 2049 c.c.; ecc.) - malfunzionamenti per malpractice e strategie sbagliate/ inadeguate aziendali; mancanza di sicurezza o di aggiornamenti(blocco attività lavorativa; perdita di dati; perdita lavoro svolto e perdita di tempo per ripristino) - attacchi esterni (danneggiamento/perdita di dati; blocco macchine; costi riparazioni) - attacchi interni da (dipendenti infedeli: furto/ danneggiamenti di dati e opere protette; danneggiamento dati/ opere/programmi/macchine) 2
RISCHI ATTIVI PER ATTACCHI INTERNI/ESTERNI Colpa: a) del dipendente negligente b) del dipendente infedele c) di terzi esterni Soluzioni preventive: a) informative/corsi/policies (firmare!) b) informative/controllo lavoratori/whistleblowing c) investimento in misure di sicurezza efficaci (tra cui costante aggiornamento e monitoring) NB Con partners: informative e limitazioni resp. contrattuali (e strategie preprocessuali, es. clausole compromissorie) Con tutti: massima tutela assicurativa La denuncia: non sempre esonera da responsabilità 2
RISCHI PASSIVI PER ATTACCHI INTERNI/ESTERNI Danni a) contro i dati/documenti informatici aziendali (perdita/ furto/blocco) b) danneggiamenti loro sistemi informatici c) furti di password e dati carte di credito d) phishing e altre frodi e) contro reputazione azienda g) violazioni diritti esclusivi (opere protette, marchi, copia sito, ecc.) 2
RISCHI PASSIVI PER ATTACCHI INTERNI/ESTERNI a) del dipendente infedele b) di terzi esterni Colpa Soluzioni preventive - implementazione e aggiornamento costante di sistemi di protezione adeguati (compresi strumenti tecnici per accesso limitato alle reti) - redazione e consolidamento di policy interne di gestione delle informazioni (con aggiornamento costante), con procedure che permettano di monitorare il traffico dati/informazioni - attenzione ai feedback (se attivi, monitorare e policy che permetta cancellazione) - controllo lavoratori - whistleblowing interno - assicurazione 2
CONTROLLO DIPENDENTI Sono legittimi i cd. controlli difensivi, cioè quelli che si rendono necessari, e pertanto giustificati e legittimi, per garantire la tutela del patrimonio aziendale. Attraverso tali controlli, è possibile prevenire gli illeciti o, nel caso in cui questi siano stati già compiuti, individuarne gli autori. Esulano dall ambito di applicazione dell art. 4 Stat. Lav. i soli controlli difensivi diretti ad accertare condotte illecite del lavoratore e non quelli che riguardano, invece, direttamente o indirettamente l attività lavorativa. 3
CONTROLLO DIPENDENTI ai fini della operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dei lavoratori è necessario che il controllo riguardi (direttamente o indirettamente) l attività lavorativa, mentre devono ritenersi certamente fuori dell ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cd. controlli difensivi), quali ad esempio i sistemi di controllo ad aree riservate o, gli apparecchi di rilevazione di telefonate ingiustificate (Cass. 3 aprile 2002 n. 4746) 3
CONTROLLO DIPENDENTI: SCELTA O OBBLIGO? E ammissibile? Sì entro certi limiti e a certi scopi. Anzi, è obbligatorio: - In materia di trattamento dei dati personali, la prevenzione degli eventi dannosi è un obbligo giuridico, anche sanzionato. - Il codice civile prevede l art. 2051 e la responsabilità dei padroni e committenti con l art. 2049. - Il codice penale prevede l art. 40/2 (non impedire un evento che si ha l obbligo giuridico di impedire equivale a cagionarlo) - In materia di responsabilità amministrativa delle persone giuridiche (D.lgs.231/01) l adozione di misure preventive non è in sé obbligatoria, ma può avere l effetto di escludere la responsabilità dell ente per il fatto commesso nel suo interesse (dal 2008, anche per reati informatici!) 3
PRIVACY DIPENDENTI, PRINCIPI FONDAMENTALI Pertinenza: Le informazioni raccolte con il controllo devono essere funzionali allo scopo e non servire per scopi diversi Specificità: vietati controlli a tappeto senza precisi motivi Necessità: controlli utilizzabili solo se non sono disponibili altri controlli meno invasivi (configurare i programmi riducendo al minimo l'utilizzazione di dati personali e identificativi in relazione alle finalità perseguite) Proporzionalità: L esigenza di tutelare i diritti del datore di lavoro non deve portare ad annullare quelli del lavoratore alla privacy Informazione: Il lavoratore deve essere informato preventivamente sui controlli Liceità: funzioni istituzionali, consenso, bilanciamento di interessi Finalità: Il datore/titolare può perseguire solo finalità di sua pertinenza 3
CONTROLLO DIPENDENTI La policy sull utilizzo strumenti informatici aziendali deve: - spiegare ai lavoratori che gli strumenti informatici sono strumenti di lavoro e non sono consentiti altri usi - rendere edotti i lavoratori sui rischi connessi all uso improprio di internet e delle e-mail, in modo che siano chiare le finalità del controllo - elencare le misure tecniche adottate per prevenire abusi o minacce alla sicurezza del sistema, tra cui le modalità di controllo del traffico telematico - indicare le modalità e la durata delle registrazioni del traffico telematico, le misure di sicurezza per la custodia dei dati e la procedura da seguire per accedervi - contenere tutte le prescrizioni utili per il corretto uso degli strumenti informatici a disposizione dei lavoratori 3
Provvedimento Garante PRIVACY 18.10.2012, n. 307 L imprenditore non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore. Un dipendente era stato licenziato senza preavviso dalla propria azienda e aveva agito per contestare la stessa fondatezza dell'accusa e il relativo licenziamento, sia al Garante per opporsi alle modalità con cui la società avrebbe acquisito e trattato i suoi dati. Infatti una serie di documenti, sulla base dei quali il datore di lavoro aveva fondato la sua decisione, erano contenuti in una cartella personale del pc portatile assegnato al lavoratore. La società vi aveva avuto accesso quando il dipendente che non risultava fosse stato informato sui limiti di utilizzo del bene aziendale, né sulla possibilità che potessero essere avviate così penetranti operazioni di analisi e verifica sulle informazioni contenute nel pc stesso - aveva riportato il computer in sede per la periodica operazione di salvataggio dei dati (back up) aziendali. 3
Provvedimento Garante PRIVACY 18.10.2012, n. 307 Il datore di lavoro può effettuare controlli mirati al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro. Però, solo nel rispetto della libertà e della dignità dei lavoratori e della normativa sulla protezione dei dati personali che prevede, tra l'altro che alla persona interessata debba essere sempre fornita un'idonea informativa sul possibile trattamento dei suoi dati connesso all'attività di verifica e controllo. Il Garante ha quindi vietato alla società ogni ulteriore utilizzo dei dati personali così acquisiti. Sarà invece l'autorità giudiziaria a valutare l'utilizzabilità nel procedimento civile già in corso della documentazione acquisita agli atti Controlli sui pc aziendali sì, ma nel rispetto delle regole 3
CONTROLLO DIPENDENTI VADEMECUM GARANTE: PRIVACY E LAVORO MAGGIO 2015 3
3
IL WHISTLEBLOWING Il whistleblower è il lavoratore pubblico o privato che rileva e segnala all interno dell ente una pratica scorretta o attività illecite che possano danneggiare il pubblico o l ente/azienda stesso. L esempio più famoso è il caso di Edward Snowden, configurato come whistleblower in quanto dipendente pubblico che ha denunciato una pratica, ovvero la violazione della privacy da parte di un programma governativo USA illegale 3
RISCHI PASSIVI PER ATTACCHI INTERNI/ESTERNI Soluzioni successive: 1) Indagini informatiche (con richieste immediate ai provider) e acquisizione prove: computer forensics 2) Definizione obiettivi e rischi 3) Scelta strategie e strumenti legali (non sempre consigliabile la denuncia penale; valutare costi) 4) Phishing: attenzione a ammissioni (banche tendono a farlo dichiarare) 2
Grazie per l attenzione Avv. Marco Cuniberti 17