Riviera Beach è una cittadina della Florida popolata da circa 32.000 persone, che ha avuto il non certo gradito riconoscimento di essere passata alla storia come (forse) la prima città a dover cedere al ricatto di un hacker (o gruppo di hacker) e pagare in Bitcoin la non certo modica cifra di 600.000,00 dollari per rientrare in possesso dei dati contenuti nel suo sistema informatico dopo aver subito un attacco ransomware. Un triste segnale di allarme che giunge agli onori della cronaca in contemporanea con le dichiarazioni del Segretario Generale del Garante, Giuseppe Busia, che ha posto in evidenza il grave calo di attenzione al problema della protezione dati.

Il GDPR, purtroppo, da molti viene ancora identificato impropriamente con il concetto di Privacy e la sua applicazione è ritenuta, anche da molti che si sono adeguati, come un adempimento da eseguire una tantum e non come attività complessa da svolgere costantemente e adeguando gli standard di protezione al livello di attenzione più opportuno; livello che deve essere alzato considerati i maggiori rischi che si corrono a fronte delle ormai dimostrate maggiori capacità di attacco da parte degli hacker. Non solo i costanti attacchi che hanno ricevuto anche importanti siti istituzionali ne sono la prova, ma anche il fatto che alcuni hacker si presentano di nuovo ai siti già violati e “scoprono” che niente è stato fatto in termini di maggiore sicurezza e protezione. 

Probabilmente le sanzioni del Garante, magari emesse nelle misure massime, possono essere l’unico vero deterrente o incentivo a spingere le aziende a porre in essere misure concrete che, ricordiamolo, consistono nell’applicazione di un obbligo di legge.  

E’ un dato di fatto noto che siamo sotto costante attacco informatico e a rischio di truffe quotidianamente: dalla mail con cui ci informano di avere ereditato una fortuna in Africa a quella con una bolletta o una sanzione che arriva dall’Agenzia delle Entrate; dalla mail di un amico che dichiara di trovarsi in Inghilterra in difficoltà economiche, alla richiesta di un pagamento in Bitcoin per non divulgare immagini carpite dal nostro PC hackerando la webcam, ovvero non restituirci i dati scomparsi dal nostro PC. In tutto ciò l’invenzione della criptovaluta, che garantisce l'anonimato agli attaccanti, ha dato un forte aiuto a hacker e pirati della rete.

Nel caso della citta della Florida, le notizie riportano che gli hacker sono entrati nel sistema informatico comunale sfruttando un banalissimo click di un dipendente su una mail infetta; tra le conseguenze peggiori, oltre alla perdita di archivi, alla sospensione di vari servizi e al furto di dati, vanno aggiunte anche le difficoltà create a Vigili del Fuoco e Polizia nei loro interventi e nel loro coordinamento. Cosa accadrebbe se ciò avvenisse in un’azienda che non si è adeguata al GDPR o non ha posto in essere i più opportuni strumenti di difesa?

Le conseguenze amministrative sono demandate al Garante il quale, oltre a irrogare le sanzioni pecuniarie del caso, potrebbe emettere, ad esempio, un provvedimento con cui ordina ad un’azienda di inviare comunicazioni adeguate (e non generiche), a tutti i possibili Interessati coinvolti in una fuga o furto di notizie. I costi e la perdita di immagine e reputazione per un’azienda possono essere incalcolabili. Sempre il Garante potrebbe inibire l’attività di trattamento dati, paralizzando l’attività di un’impresa. 

A livello civile ogni interessato può citare in giudizio l’azienda interessata per ottenere i danni che gli sono derivati da un data breech. Sul punto, se è pur vero che spetta all’interessato dimostrare il danno e indicare i parametri per la quantificazione, ricordiamo che il trattamento dati è ricompreso tra le attività pericolose ai sensi dell’art. 2050 CC, con inversione dell’onere della prova a carico dell’azienda di aver posto in essere tutte le misure necessarie ad evitare il danno.
Non è però improbabile che, in casi di data breech di grandi dimensioni o in grandi aziende, qualche associazione possa intentare una class action. Sono rischi e costi che un imprenditore deve calcolare preventivamente. Non ultime rimangono le fattispecie di reato che, ad ogni buon conto, riguardano una responsabilità personale. Ma, viste le possibili ripercussioni economiche, possono anche essere l’ultimo dei problemi.