Misure di sicurezza inadeguate anche negli istituti di credito portano a una mancanza di compliance al GDPR, con la conseguenza di multe pesanti: particolarmente rilevante l’esempio di una banca italiana che ha subito una consistente violazione dei dati.
Il caso è di interesse per l’ammontare della sanzione inflitta (600.000 euro) e perché porta a considerazioni sia sui principi generali in materia che sulla applicazione degli stessi al settore bancario. In particolare, è utile approfondire il principio di proporzionalità, ricordando anche le disposizioni della normativa precedente al Regolamento europeo.
Indice degli argomenti
Il caso
L’Autorità nazionale della protezione dei dati personali ha da poco sanzionato (provvedimento doc. web n. 9429195 ordinanza ingiunzione del 10 giugno 2020 Registro dei provvedimenti n. 99 del 10 giugno 2020) un primario Istituto di credito che aveva notificato al Garante stesso una illecita intrusione nel proprio sistema di online banking.
I dati violati erano costituiti da: dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente”, codice Iban, codice fiscale, NDG ovvero codice identificativo Cliente e REB ovvero codice identificativo per accesso ai servizi.
I data breach erano plurimi e recidivi in quanto accaduti da aprile 2016 a luglio 2017 ma denunciati solo a luglio 2017. Gli attacchi non avevano comportato un trafugamento di dati personali in assenza di accessi effettivi ai conti e all’operatività bancaria nonostante la Banca avesse comunicato il possibile accesso ad alcuni IBAN: infatti degli oltre 700.000 utenti interessati dal potenziale furto di credenziali personali di accesso pare che i reali soggetti a rischio fossero poco più di 6000, corrispondenti a coloro la cui password (PIN) era stata individuata e che hanno costretto la Banca a bloccare i flussi e i canali di conto relativi.
Nelle more di una decisione sulla compliance dei sistemi di sicurezza adottati in accountability dal Titolare del trattamento già a gennaio 2019, in fase istruttoria, il Garante invitava in ogni caso la Banca a informare dell’accaduto tutti gli oltre 700.000 interessati in quanto potenzialmente a rischio perché anche i soli dati parziali carpiti associabili a eventuali PIN o password di bassa inventiva e ricavabili dalle anagrafiche sottratte poneva i correntisti interessati a concreto rischio[1].
La causa: misure di sicurezza troppo deboli
Gli accessi abusivi avvenivano attraverso violazione degli architravi web della banca a cui si accedeva tramite credenziali autorizzate di alcuni dipendenti di una Agenzia OAM in esclusiva (Titolare autonomo del trattamento), credenziali di cui gli hacker si erano impossessati.
È stato verificato che la violazione in esame è stata resa possibile da alcune debolezze nella sicurezza dell’applicativo della società terza utilizzato, sia nella componente di front-end web che mostrava in chiaro l’identificativo (numero) della pratica facilmente modificabile nel corrispondente URL per ottenere la visualizzazione della pratica dal back-end (database sottostante l’applicazione) che in quella di back-end che non verificava se la richiesta di accesso ai dati di una pratica fosse generata da un utente autorizzato (v. audit report del 30 novembre 2017, p. 1).
Nel corso dall’accertamento ispettivo, a verbale, la Banca aveva ulteriormente chiarito che l’applicativo in questione era nel pieno utilizzo e nella gestione operativa di una sua società di servizi infragruppo nominata responsabile del trattamento per la gestione di pratiche relative al “prestito al consumo” e alla “cessione del quinto dello stipendio” da parte di personale sia interno (dipendenti) che esterno (agenti in attività finanziaria o loro dipendenti/collaboratori), in quest’ultimo caso attraverso un accesso extranet.
Come sopra accennato, soggetti ignoti, attraverso le credenziali assegnate al personale dell’Agente outsourcer, hanno avuto accesso ai dati personali presenti in pratiche di finanziamento (sia di “cessione del quinto dello stipendio” che di “prestito a consumo”) non rientranti nell’ambito del mandato dell’intermediario finanziario, determinando in questo modo il “Data Breach” in questione.
Ulteriormente in modo anomalo, gli incaricati del trattamento abilitati ad accedere all’applicativo (e quindi chi si era sostituito a loro), dopo aver effettuato l’autenticazione potevano accedere a una qualsiasi pratica di finanziamento (sia di cessione del quinto dello stipendio che di prestito al consumo) modificando il numero identificativo della pratica presente all’interno dell’indirizzo web, indipendentemente dal profilo di autorizzazione loro assegnato, profilo che avrebbe invece dovuto limitare l’accesso ai soli dati relativi alle pratiche di loro competenza.
Le sopra esposte modalità di accesso hanno evidenziato l’omessa adozione da parte della banca delle misure minime di sicurezza previste dagli artt. 33 e ss. del d.lgs. n. 196/2003, “Codice in materia di protezione dei dati personali” (di seguito “Codice”) e dal disciplinare tecnico di cui all’allegato B al Codice medesimo, con specifico riguardo all’utilizzo di un non idoneo sistema di autorizzazione (cfr. regola n. 12 del disciplinare tecnico) e all’assenza del “limite di accesso” dei profili di autorizzazione – individuati per l’accesso all’applicativo – “ai soli dati necessari per effettuare le operazioni di trattamento” (cfr. regola n. 13 del disciplinare).
L’accountability pre-GDPR del sistema bancario
La pronuncia del Garante arriva su fatti del 2016-2017, di epoca pre-GDPR alla cui regolamentazione si è fatto riferimento; si è statuito quindi su norme quasi completamente abrogate. È abrogato il Disciplinare Tecnico costituito dall’Allegato B. Sono abrogate tutte le norme di riferimento del vecchio Codice della privacy richiamate per l’adozione del provvedimento ovvero i pre-vigenti artt. 162, comma 2-bis, 162, comma 2-ter, e 164-bis, comma 2, in relazione agli artt. 33 e 154, comma 1, lett. c), del medesimo Codice[2], tranne l’art. 154 comunque interamente emendato dal D.lgs. 101/2018 di modifica del Codice italiano per armonizzazione con il Regolamento Europeo.
Nonostante ciò, il caso si presenta attuale in quanto le misure minime di adeguatezza della vecchia disciplina (Allegato B) non sono certamente altra cosa dalle misure adeguate, nuovo paradigma del GDPR, anzi in quanto minime sono in esse ricomprese.
La mancata conservazione dei log di tracciamento delle operazioni di accesso svolte attraverso l’applicativo violato che avrebbe consentito l’individuazione e il tracciamento di eventuali abusi delle credenziali dell’utente a causa di un errore di programmazione[3] così come la mancata generazione di alert per l’individuazione di accessi abusivi sono certamente argomenti ancora attuali in costanza di nuovo Regolamento.
Una considerazione generale sulle norme pre-vigenti (in primis il Disciplinare tecnico abrogato) va infatti svolta: esso si occupava comunque di buone prassi che venivano delineate ad uso e consumo di chi doveva fornire protezione ai dati personali tramite sistemi informatizzati e nulla vieta che detti principi, pur nella abrogazione della fonte, siano tenuti in considerazione in quanto validi avendo dato sostanza per anni alla disciplina del settore su imput del Garante, pur nella consapevolezza che si tratti di strumenti da integrare, anche considerando gli up-grade di tecnologia quotidianamente proposti dalle soluzioni del mercato e il cambiamento di paradigma derivante dall’introduzione dell’accountability.
Concetti come sistema di autenticazione informatica, credenziali di autenticazione, codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo, dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, caratteristiche biometriche associate a un codice identificativo o a una parola chiave, segretezza delle credenziali, diligente custodia dei dispositivi, modifica periodica di parole chiave, procedure volte a individuare le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato in possesso di codici, incarico all’amministratore di sistema di supervisor delle concessioni con gestione di tutte le password della popolazione aziendale, sistemi di autenticazione informatica con divieto di assegnazione di codici riservati ad altri incaricati, disattivazione di codici per mancato utilizzo o in caso di perdita della qualità dell’incaricato, istruzioni al personale per non lasciare incustodito e accessibile lo strumento elettronico secondo apposita procedura di gestione dei terminali sia per le ore diurne che per quelle notturne, questi ed altri sono tutti principi generali di adeguamento che possono essere alla base di nuovi modelli di sicurezza pensati in autonomia dal Titolare del trattamento e valevano ieri in applicazione della vecchia disciplina in relazione alla quale la Banca è stata sanzionata come oggi in costanza della nuova.
Sono infatti concetti aderenti al nuovo sistema di “pseudonimizzazione e cifratura dei dati personali” (art. 32 co. 1 lett. a) GDPR) che rimanda esattamente a modalità tecniche di validazione segreta atte a garantire sicurezza e blindatura dei dati e alla “capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32 co. 1 lett. b) GDPR).
Vecchia e nuova normativa sono quindi aderenti e spesso non confliggenti quando vogliono statuire in continuità il sistema di protezione dei dati personali. In egual modo, per rendere attuale il caso pur deciso sulla base della vecchia disciplina, occorre anche considerare la consolidata complessità del sistema di compliance bancario che non si esaurisce nelle sole normative privacy (né pre, nè post-GDPR) ma sottopone, per importanza di funzione e ruolo, gli istituti di credito ad altri ed ulteriori adempimenti ormai da tempo.
Per la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016 (misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione – cd . Direttiva NIS recepita con D.lgs. 65/2018 in vigore dal 25 giugno 2018) occorre notificare al CSIRT gli incidenti che possono avere un impatto rilevante sulla continuità dei servizi essenziali prestati (compresi gli attacchi informatici) in quanto le banche rientrano tra gli “operatori di servizi essenziali” (cd. OSE) destinatari della normativa.
Per il Regolamento eIDAS le banche – quali prestatori di servizi fiduciari – devono notificare violazioni di tal fatta addirittura in termini più brevi di quelli previsti dal GDPR (24 ore versus le 72 dei data breach) e coinvolgere con comunicazione anche i Clienti a cui sono resi i servizi.
Per la Circolare n. 285 del 17 dicembre 2013 della Banca d’Italia (“Disposizioni di vigilanza per le banche”), sulla sicurezza informatica bancaria è infine obbligatoria una comunicazione di tali eventi alle istituzioni bancarie competenti (BankIt o BCE) con un preciso report sull’evento, le conseguenze e i rimedi adottati (response and recovery duties)[4].
Le indicazioni del Codice di deontologia
Per il Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Allegato A.5.), qualora i dati violati si riferissero a Clienti che usufruivano anche dei servizi di credito al consumo: “Le persone fisiche che, in qualità di responsabili o di incaricati del trattamento designati dal gestore o dai partecipanti, hanno accesso al sistema di informazioni creditizie, mantengono il segreto sui dati personali acquisiti e rispondono della violazione degli obblighi di riservatezza derivanti da un’utilizzazione dei dati o una divulgazione a terzi per finalità diverse o incompatibili con le finalità di cui all’art. 2 del presente codice o comunque non consentite” (art. 11 co 2 Misure di sicurezza dei dati), “il gestore e i partecipanti adottano le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare la sicurezza, l’integrità e la riservatezza dei dati personali e delle comunicazioni elettroniche in conformità alla disciplina in materia di protezione dei dati personali” (art. 11 co. 3).
Inoltre, “in relazione al rispetto degli obblighi di sicurezza, riservatezza e segretezza di cui al presente articolo, il gestore e i partecipanti impartiscono specifiche istruzioni per iscritto ai rispettivi responsabili ed incaricati del trattamento e vigilano sulla loro puntuale osservanza, anche attraverso verifiche da parte di idonei organismi di controllo” art. 11 co. 5) nonché “i gestori e i partecipanti prevedono d’intesa tra di loro, anche per il tramite delle associazioni che sottoscrivono il presente codice, idonei meccanismi per l’applicazione, in particolare da parte delle associazioni di categoria che sottoscrivono il presente codice o dell’organismo di cui all’art. 13, comma 7, previa informativa al Garante, di misure sanzionatorie graduate a seconda della gravità della violazione. Le misure comprendono il richiamo formale, la sospensione o la revoca dell’autorizzazione ad accedere al sistema di informazioni creditizie e, nei casi più gravi, anche la pubblicazione della notizia della violazione su uno o più quotidiani o periodici nazionali, a spese del contravventore” (Art. 12. Misure sanzionatorie); qualora tali adempimenti non fossero posti in essere, l’Istituto di credito sarebbe passibile di sanzioni.
Il precedente provvedimento del Garante
Infine il noto Provvedimento del Garante del 12 maggio 2011[5] invitava le banche ad adottare soluzioni in ordine alle caratteristiche tecnologiche dei sistemi informativi con cui venivano tracciate le operazioni bancarie (sia dispositive, sia di semplice inquiry), quale espressione della loro discrezionalità secondo quanto previsto nelle “Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)”, adottate dalla Banca d’Italia il 10 luglio 2007.
Il quadro composito delle normative sopra delineate e la dovuta continuità dei principi di legge precedentemente in vigore con quelli odierni, fanno sì che la sanzione del Garante, pur comminata in relazione a fatti e norme pre-GDPR[6], assuma valenza attuale in quanto si basa su principi tutt’ora validi e applicabili anche a seguito delle riforme intervenute.
In linea con gli orientamenti emersi in sede internazionale, tali procedure interne, data la rilevanza del settore di mercato, si poggiavano già sulla responsabilizzazione di soggetti economici da considerarsi ampiamente maturi per una self-regulation di conformità, con istruzioni di vigilanza che definivano ruolo e responsabilità degli organi di vertice delle banche e prevedevano la costituzione della funzione di compliance, quale elemento integrante del sistema dei controlli interni.
Tale funzione, ormai consolidata nelle istituzioni bancarie, finanziarie e assicurative era ed è preposta al presidio e alla gestione del rischio di incorrere in sanzioni amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative o di autoregolamentazione (rischio di compliance).
Le disposizioni stabiliscono i principali compiti e i requisiti qualitativi minimi della funzione di compliance, le attribuzioni del suo responsabile, le interrelazioni con le altre funzioni aziendali (in particolare con la funzione di controllo interno, c.d. internal auditing).
Anche il quadro di norme regolamentari emanate dalla Banca d’Italia mediante apposite istruzioni, (in particolare, le Istruzioni di vigilanza in materia di “Organizzazione e controlli interni”) richiede da tempo alle banche di dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell’affidabilità e della sicurezza dei sistemi informativi, istituendo indicatori di anomalie (c.d. alert) per orientare successivi interventi di audit.
Infine, le “Disposizioni di vigilanza per le banche” contenute nella Circolare n. 285 del 17 dicembre 2013 come successivamente modificato (primo Aggiornamento del 6 maggio 2014 Parte Prima. Inserito un nuovo Titolo IV) descrivono un pieno “autogoverno” della compliance secondo cui i principi programmatici, attraverso norme di carattere generale, fissano gli obiettivi della disciplina rimettendo all’autonomia del Titolare la concreta individuazione delle soluzioni più idonee a realizzarli, secondo criteri di proporzionalità che tengono conto della dimensione o della complessità della banca.
Ciò detto, il caso descritto, pur se riferito ad epoca pre-GDPR, ci permette una considerazione di ordine generale ovvero che il principio di accountability fosse già in essere per settori strategici caratterizzati da una gestione della governance di alto livello che già ingloba in sé da anni comportamenti di auto-regolazione iper-consolidati.
L’adeguamento dell’impresa a tutela dei dati personali
Un primario istituto di credito non può trascurare soluzioni tecniche alla portata di tutti come la registrazione di log, i controlli di audit periodici, gli alert per movimenti di terminali relativi ad accessi anomali.
La mancata rilevazione dell’illecito e l’assenza di registrazioni di log[7] e/o alert avrebbero potuto essere gestite ed evitate nel nuovo contesto legislativo, in quanto l’Internal Auditor, all’epoca unico soggetto deputato al controllo di sistema, sarebbe stato affiancato dalla nuova figura del DPO, raddoppiando di fatto i presidi di controllo interno sulla rispondenza alle misure organizzative, tecniche e di sicurezza a tutela dei dati personali.
In ogni caso, anche in assenza di DPO, le carenze individuate comparate al livello aziendale del Titolare del trattamento hanno reso non scusabili le violazioni. Infatti, pur se ciò che si definisce sicurezza si basa su un equilibrio tra fiducia nel contesto in cui ogni individuo si trova a operare e tolleranza al rischio[8] e la sicurezza di per sè non è un risultato ma un processo[9], lo sviluppo delle tecnologie digitali e la diffusione della società dei computer rende inescusabili certi errori ed è evidente la necessità di programmare e implementare strumenti sempre più evoluti, volti a proteggere i file e le informazioni raccolte nelle banche dati (computer security).
Da qui anche la necessità di costruire progressivamente una metodologia nella quale oltre agli aspetti tecnologici, oggi prevalenti, convivano elementi di carattere giuridico (definizione e interpretazione delle regole legislative, amministrative, di autodisciplina volontaria delle categorie, di carattere contrattuale specifico), di carattere tecnico-scientifico (definizione di standard), di carattere organizzativo (istituzione di task force dedicate o di articolazioni organizzative specializzate negli interventi possibili) e infine di carattere economico (analisi dei costi-benefici delle situazioni concrete, individuazione delle risorse utilizzabili, ammortizzazione pianificata dei costi derivanti dall’esposizione a rischio)[10].
Da questa prospettiva la sicurezza informatica non rappresenta altro che la naturale evoluzione della protezione dei dati personali e, nel caso specifico, le carenze di misure minime di sicurezza, di gestione della sicurezza dei dati lungo tutto il loro ciclo di vita (security by design) e di resilienza dei sistemi e dei servizi informatici che trattano i dati personali, sono state ritenute tali da non poter soprassedere ad una valutazione punitiva. Un ulteriore punto decisivo è però non l’an di una sanzione, ma il suo quantum.
Il criterio di proporzionalità
Ha fatto certamente scalpore nel caso concreto l’entità della sanzione (600.000 euro) comminata. Parimenti vi sono casi analoghi all’estero.
Ad esempio la DSK Bank, una banca del gruppo ungherese OTP operante in Bulgaria, è stata sanzionata per più di 500.000 euro (quasi identica alla sanzione italiana) a causa di una violazione di dati riferiti a circa 33.000 suoi clienti; sanzione quindi ancora più afflittiva per la minor dimensione dell’Istituto di credito e il minor numero di Interessati coinvolti.
L’Autorità bulgara per la protezione dei dati ha evidenziato che tra le informazioni divulgate e rese accessibili a terzi non espressamente autorizzati, vi erano nominativi dei clienti, carte d’identità e numeri di conto corrente, includendo anche indirizzi e dati riconducibili ad atti di clienti che avevano acceso prestiti dall’istituto bancario stesso, inoltre sono stati violati i dati delle persone che avevano prestato garanzia sulla restituzione dei prestiti stessi, dei coniugi, per un complessivo di oltre 23.000 pratiche[11].
Data la genesi di uniformazione del contesto europeo sottesa al GDPR, sarebbe anche utile un coordinamento per rendere omogenei casi dissimili (le banche in questione hanno dimensione molto diverse tra loro) trattati in modo simile (le sanzioni dei due casi sono quasi identiche) o, di converso, per evitare che altri casi simili siano trattati in modo dissimile.
Utile soffermarsi per una breve disamina sul quantum comminato. Alcuni riferimenti comparativi possono determinare l’opinione dell’interprete sulla congruità o onerosità della sanzione.
L’effettivo uso dei dati per concretare o meno reati quali il furto d’identità
Per proporzionare una sanzione non sembra irrilevante la verifica delle conseguenze reali subite dai clienti, nella duplice qualità di correntisti della Banca e Interessati al trattamento dei loro dati personali. Un conto è infatti impadronirsi di dati personali, un altro usarli per concretare un furto di identità e la sanzione dovrebbe tener conto di questo passaggio e della differenza tra le due situazioni in modo concreto.
In particolare, il furto di identità in ambito bancario avviene quando le credenziali di accesso attribuite al cliente della banca che usufruisce di servizi di home banking vengono utilizzate da un soggetto non autorizzato[12], ma se non vi è accesso effettivo ai conti, rimane un danno in potenza che quindi danno non è perché non si è concretato.
Quanto descritto nella vicenda sanzionata pare confinato nel quadro di un’attività prodromica al furto d’identità in quanto l’impossessamento di credenziali private non ha portato alla sostituzione digitale della persona attraverso l’entrata nel sistema con user e password.
Per valutare una proporzionalità occorre cioè effettuare una valutazione comparativa tra accadimento concreto e sue conseguenze sugli Interessati, può essere di aiuto per fissare sanzioni amministrative proporzionate ed adeguate.
I criteri civilistici preposti al risarcimento del danno non patrimoniale nei casi concreti
Utile è anche valutare la posizione del correntista che voglia ottenere risarcimento del danno in via equitativa per il solo fatto che qualcuno si sia impossessato di sue credenziali e/o sia entrato nella sua posizione di conto corrente tramite violazione delle misure di sicurezza dell’istituto di credito[13] senza avere sottratto alcuna provvista. Non è un tema di poco conto.
La proliferazione di condanne eccessive verso soggetti istituzionalmente nevralgici come banche e assicurazioni potrebbe infatti comportare una mancata tenuta dell’intera economia. Il tema è stato centrale nei casi di responsabilità civile degli ultimi 20 anni e ha portato a “calmierare” questa sorta di “punitive damages” per evitare, appunto, crolli di sistema[14].
A maggior ragione, occorre chiedersi: a parte l’ovvia restituzione dei denari eventualmente sottratti dal conto (risarcimento del danno patrimoniale), ha cittadinanza nell’ordinamento l’attribuzione di un risarcimento per “la sofferenza subita” dal correntista quando non sia stato sottratto nulla (risarcimento del danno non patrimoniale)?
Il Tribunale di Roma (sent. n. 1268/2018) lo ha, ad esempio negato, per mancata allegazione di danno alla salute; diversamente il Tribunale di Venezia tempo addietro (sent. del 20 giugno 2005), faceva presente che, in un’ottica di corretta liquidazione del danno, era da considerare separatamente il turbamento psicologico connesso all’indebita divulgazione e la violazione dell’art. 9 l. 675/96 e che la violazione del canone della correttezza nel trattamento dei dati personali ha dato luogo alla lesione dell’interesse non patrimoniale alla dignità della persona dell’attore, del tutto gratuitamente dipinto come cattivo pagatore, apparendo congruo liquidare in via puramente equitativa ed ai valori attuali la somma di 20.000 euro.
Il caso è però diverso e particolare in quanto sottolinea l’esistenza di un “pati” consistente nell’ingiusto giudizio sociale di essere considerato inadempiente verso la Banca. Un’altra sentenza (Tribunale di Palermo 12/1/2010 contro Poste italiane) ha condannato al risarcimento di € 6000 verso il correntista per la mancata adozione delle misure di sicurezza relative all’accesso alla posizione personale del cliente; il Tribunale ha valutato che il grado di diligenza e di professionalità dell’istituto di credito doveva essere tale da non permettere, stante l’alto grado di progresso delle tecniche scientifico informatiche di tutela della riservatezza, l’accesso alla posizione del cliente. In altro caso (Cass. Civ. n. 17014 del 04 agosto 2011), la Suprema Corte ha rigettato il ricorso di un correntista ribadendo che non era sufficiente per l’accoglimento dell’istanza risarcitoria la violazione del diritto di riservatezza; di conseguenza il danno non patrimoniale deve essere “allegato e provato” secondo quanto previsto dall’art. 2043 c.c. dal ricorrente[15].
Ricordiamo infatti il Moloch della risarcibilità del danno non patrimoniale: (Sezioni Unite Corte di Cassaz. sentenza n. 26972/08) “il pregiudizio che ha natura non patrimoniale, anche quando è determinato dalla lesione di diritti inviolabili della persona come per esempio quello alla riservatezza, costituisce un danno-conseguenza che deve essere allegato e provato” il che è del tutto in linea con il principio generale per cui i danni risarcibili sono in via esclusiva quelli previsti dall’art. 2059 del Codice civile (Cass. 4366/2003), ovvero nel momento in cui la violazione alla riservatezza non sia affiancabile alla violazione di norme penali né alla lesione dell’onore o reputazione dell’interessato, il risarcimento del danno non patrimoniale è, di fatto, precluso e “il giudice potrebbe trovarsi ad affermare che il diritto alla riservatezza è stato violato, senza poter condannare l’autore a corrispondere alcun risarcimento”.
Tutto il ragionamento pregresso mira a una riflessione: se il Giudice civile è ben rigoroso nel risarcire,a titolo punitiv, danni non patrimoniali ai correntisti per la sola violazione dei dati in sè non seguita da sottrazione di somme, le Authority non devono altresi tener conto (pur nella differente ratio sottesa alla comminazione di tipo amministrativo) degli stessi principi di tenuta complessiva del sistema?
Le recenti e nuove normative da coordinare con il GDPR per una riflessione sistematica anche sulle sanzioni
Altri elementi di comparazione per la valutazione di un’adeguata proporzione sanzionatoria sono costituiti dal contesto complessivo di norme sui sistemi di sicurezza già sopra accennate.
Ad esempio la normativa NIS (direttiva UE 2016/1148 sul Network and Information Security), legislazione resa esattamente a garanzia della sicurezza della rete e dei sistemi informativi in un’ottica di tutela dei valori fondamentali di libertà e democrazia, applicata al settore privato, prevede tra le categorie degli Operatori di Servizi Essenziali (OSE) destinatari delle norme anche gli Istituti di credito, lasciando liberi gli Stati membri liberi di determinare le sanzioni purché esse siano “effettive, proporzionate e dissuasive” (art. 21, dir. UE 2016/1148).
Per determinare la rilevanza dell’impatto di un incidente informatico (che è anche Data Breach ai sensi del GDPR) subito da un Operatore di Servizi Essenziali si deve tenere conto dei seguenti parametri:
- il numero di utenti interessati dalla perturbazione del servizio essenziale;
- la durata dell’incidente;
- la diffusione geografica relativamente all’area interessata dall’incidente.
L’art. 21 del d. lgs. 65/2018 che ha recepito la Direttiva nel compiere una determinazione quantitativa ha fissato sanzioni amministrative pecuniarie che variano da un minimo di 12.000 euro ad un massimo di 125.000 euro.
A titolo esemplificativo, un Operatore di Servizi Essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio cibernetico e le misure adeguate per prevenire e minimizzare l’impatto di incidenti è sanzionato da 12.000 a 120.000 euro.
La sanzione comminata nel caso concreto è stata invece di 600.000 euro e, pur se riferita ad altri contesti di regolazione è anche vero che non è possible una duplicazione di sanzioni da parte di eventuali diverse Authority per lo stesso fatto senza che, al contrario, le stesse Authority si raccordino proprio per evitare una eccessiva afflittività verso il responsabile.
Di questo contesto complessivo ogni autorità può e deve tener conto nel momento in cui si trova a commisurare la sanzione, pur se riferita alla vecchia normativa, in quanto comminata in via successiva nel nuovo contesto descritto.
Non bisogna scomodare l’analisi economica del diritto per giungere alla conclusione che sanzioni particolarmente afflittive dal punto di vista quantitativo non commisurate a quello che la civilistica prevederebbe nel caso di risarcimenti del danno non patrimoniale né a quello che è suggerito dalle recenti normative in tema di sicurezza informatica, porterebbero a una inutile e pericolosa depressione del mercato degli operatori (bancari non bancari).
Conclusioni
Senza voler sminuire il rigore e la necessità di misure di sicurezza adeguate e stringenti, occorrerebbe considerare anche altri parametri ricavabili peraltro dal contest di legge come l’effettivo danno economico degli Interessati, la gravità delle carenze rilevate, la disponibilità del Titolare a porre rimedio, la trasparenza del comportamento del Titolare nel momento in cui denuncia o non denuncia il data breach.
L’auspicio è quello di due proporzionalità che si sposino: la proporzionalità delle misure adeguate, sia organizzative che tecniche, predisposte dai Titolari del trattamento dei dati personali e la proporzionalità delle sanzioni che andrebbero comminate tenendo conto non solo della dimensionalità dell’operatore ma anche del contesto complessivo connesso.
NOTE
- Provvedimento del Garante del 13 dicembre 2018 secondo cui “possono essere utilizzati come chiavi di ricerca per individuare in rete l’interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili – si legge nel provvedimento del Garante – (quali, ad esempio, un recapito telefonico o un indirizzo di posta elettronica); tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza di dati personali da parte dei soggetti terzi che hanno condotto l’attacco fraudolento”. ↑
- Ex Art. 162 co 3 e 4: “In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all’articolo 33 [Art. 33. Misure minime Nel quadro dei più generali obblighi di sicurezza … i titolari del trattamento sono comunque tenuti ad adottare le misure minime … volte ad assicurare un livello minimo di protezione dei dati personali] è escluso il pagamento in misura ridotta. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d) [Articolo 154 – Compiti: “il Garante…. ha il compito di: c) prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143; d) vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;”],è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.”.Articolo 162-bis – Sanzioni in materia di conservazione dei dati di traffico: “Salvo che il fatto costituisca reato e salvo quanto previsto dall’articolo 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all’art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro”Ex Art. 162-ter CO. 2 – Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico: “La violazione delle disposizioni di cui all’articolo 32-bis, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l’articolo 8 della legge 24 novembre 1981, n. 689”.Ex Art. 164-bis co 2 – Casi di minore gravità e ipotesi aggravate: “In caso di più violazioni di un’unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta”. ↑
- “Il periodo di conservazione dei file di log che tracciano gli accessi varia in base alla tipologia di log memorizzato; inoltre, fatta eccezione per quelli che tracciano gli accessi degli amministratori di sistema (per i quali è previsto un periodo minimo di conservazione di 6 mesi; v. punto 4.5 del Provv. 27 novembre 2008, doc. web n. 1577499), per gli altri log non sono normativamente prescritti tempi di conservazione. Anche le risultanze istruttorie hanno confermato che i log sono conservati per un periodo variabile (in tal senso è anche la documentazione prodotta dall´ABI, che rileva come i log di accesso ai sistemi informativi siano conservati mediamente per 12 mesi, mentre i log file delle transazioni bancarie sono conservati per un periodo non inferiore a 10 anni).Tuttavia, alla luce dell´esperienza maturata in sede ispettiva, si ritiene congruo stabilire che i log di tracciamento delle operazioni di inquiry siano conservati per un periodo non inferiore a 24 mesi dalla data di registrazione dell´operazione. Ciò in quanto un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell´avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato” (Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – 12 maggio 2011 [1813953])↑
- Sull’ampiezza di tali notifiche, cfr. già G. Finocchiaro e L. Greco – 10 ottobre 2017 ↑
- Il provvedimento generale ha tenuto conto delle numerose istanze pervenute al Garante e degli accertamenti ispettivi presso le maggiori banche o gruppi bancari e degli esiti di una ulteriore attività di rilevazione svolta in collaborazione con Abi che ha coinvolto 441 banche.Alcuni clienti avevano segnalato che i loro dati erano stati oggetto di accessi indebiti, presumibilmente da parte di dipendenti, e comunicati a terzi che li avevano poi utilizzati per scopi personali, in genere, in cause di separazioni giudiziali e in procedure esecutive (ad es. pignoramenti presso terzi). ↑
- L’indagine dell’Autorità è radicata a seguito di notifica di violazione del 25 luglio 2017 (pre-GDPR a Codice pre-vigente applicabile pur se l’accertamento ispettivo svolto in data 22, 23 e 24 ottobre 2018, , il provvedimento n. 87 del 28 marzo 2019 di seguito “provvedimentoAtto di contestazione del Garante verso il Titolare del trattamento n. 15976/119444 del 14 maggio 2019. ↑
- Il tracing tramite log record (assente nel caso di specie) contiene tipicamente:
- ogni operazione di accesso ai dati dei clienti (sia che comporti movimentazione di denaro o sia di semplice consultazione), effettuata da qualunque figura all’interno della banca, dovrà essere oggetto di tracking attraverso una serie di elementi:
- un codice identificativo del dipendente;
- la data e l’ora di esecuzione;
- il codice della postazione di lavoro utilizzata;
- il codice del cliente ed il tipo di rapporto contrattuale “consultato” (numero del conto corrente, fido, mutuo, deposito titoli). Le banche, inoltre, devono prevedere l’attivazione di alert che individuino comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti su uno stesso nominativo).
Almeno una volta l’anno la gestione dei dati bancari deve essere oggetto di un´attività di controllo interno da parte degli istituti, per verificare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente (audit e monitoraggio di verifica della compliance in materia).
Il controllo, adeguatamente documentato, dovrà essere eseguito da personale diverso da quello che ha accesso ai dati dei clienti. E verifiche sulla legittimità e liceità degli accessi, sull’integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione sia a seguito di allarme.
Alle banche è stato infine raccomandato di comunicare al cliente eventuali accessi non autorizzati al proprio conto e di rendere note al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti); quest’ultimo canone comprende in embrione il concetto di Data Breach veicolato dal Reg. UE laddove è ormai obbligatoria la comunicazione al Garante di anomalie di ogni tipo relativamente alle violazioni di dati personali. (Cfr. Trattamento dei dati personali in ambito bancario, Tilli in Manuale di diritto alla protezione dei dati personali, Cap XIV, II Ed, Maggioli 2019). ↑
- W. Sofsky, Rischio e sicurezza, Einaudi, Torino 2005, p. 65: Nonostante la loro ef- ficienza, i mercati sono tutt’altro che sicuri. L’economia è un affare rischioso. I fattori sono troppi e vari perché le scelte possano dirsi al riparo dall’incertezza … Nuove tecnologie im- primono a volte scosse tali da far tremare tutta l’economia. ↑
- Cfr. Marco Maglio e Nicola Tilli in La protezione dei dati personali in ambito bancario, Cap XIV in Manuale della protezione dei dati personali, Maggioli 2019 II Ed. ↑
- G. Corasaniti, Esperienza giuridica e sicurezza informatica, cit., pp. 15-16. ↑
- Il Garante bulgaro avviando un’indagine nel giugno 2018, a seguito di una segnalazione della Banca in cui la stessa dichiarava di essere stata contattata da un pregiudicato il quale sosteneva di essere in possessi di una banca dati con informazioni sensibili dei suoi clienti, e la stessa banca aveva affermato che, a seguito di controlli interni, i propri sistemi non risultavano compromessi, salvo violazioni avvenute mediante mezzi diversi da quelli informatici (ovvero illegali), come poi confermato in seguito dalla stessa Banca, chiarendo che si è trattato di un furto di dati “non informatici”. L’autorità bulgara ha dichiarato di aver multato la Banca per non aver utilizzato e messo in atto misure adeguate per garantire in qualsiasi circostanza la riservatezza dei dati personali dei propri clienti. [Questo è un esempio lampante che i dati e le relative banche dati non vanno tutelate “solo” attraverso un punto di vista informatico, ma anche e soprattutto da eventi quali ad esempio “accessi non autorizzati” in locali contenenti dati personali.] ↑
- Si è, nel frattempo, consolidato l’orientamento per cui l’onere della prova è a carico dell’istituto di credito. Fino quasi tutto il 2009 era molto difficile trovare giurisprudenza che affermasse la responsabilità degli istituti di credito in caso di furti di identità che colpivano il correntista. Come è noto, vi erano alcune motivazioni maggiormente ricorrenti: dalla assenza di previsioni contrattuali volte a tenere indenne il cliente, alla omessa dimostrazione sia delle vulnerabilità dei sistemi informatici bancari, che delle modalità con le quali erano state sottratte le credenziali di accesso al servizio di home banking del correntista.Fino ad allora solo alcune sporadiche pronunce, interpretando le vicende del furto di identità occorse ai correntisti in chiave di parte debole, si erano spinte ad affermare tenendo appunto conto del disequilibrio contrattuale tra correntista/parte debole da un lato e istituto di credito come titolare del trattamento/professionista dall’altro e quindi a risarcire il danno a favore del correntista.Prescindendo dalla prova del danno sempre presente, il giudicante si trova a dover individuare il concreto significato di inadempimento, il quale si fa talvolta perfino coincidere con la prova della vulnerabilità del sistema informatico bancario, prova molto difficile da dimostrare lato correntista. D’altro canto, la prova dell’inadempimento dell’istituto bancario non può neppure consistere nel dimostrare inequivocabilmente che il sistema informatico sia inidoneo perché per verificare le vulnerabilità del sistema informatico della banca occorrerebbero in tal caso conoscenze tecniche specialistiche nonché supportare costi spesso troppo elevati per il correntista e soprattutto al danno subito dallo stesso.Più nel merito, la tesi sopra descritta in ordine alle responsabilità dell’istituto di credito ha iniziato a trovare accoglimento in giurisprudenza proprio tra il 2009 ed il 2010. ↑
- Si ricordi sempre che è saldo il principio, per cui vi è inversione dell’onere della prova a carico dell’istituto di credito, una volta che il correntista abbia provato il danno e disconosciute le operazioni illecite sul conto, tenuto conto che il correntista è la parte debole del rapporto contrattuale e che le misure di sicurezza spiegate devono essere giustificate dal Titolare del trattamento in quanto la loro iandeguatezza fonda la sua eventuale responsabilità civile (cfr. anche Tribunale di Roma sent. N. 16221 del 31 agosto 2016). ↑
- Si veda la riforma sul risarcimento dei danni alla persona micro-permanenti e la riforma della responsabilità civile del medico (Cd. Legge Gelli) ↑
- Pertanto il ricorso di quest’ultimo non avendo provato “nè la condotta illecita della Banca, nè l’esistenza di un danno risarcibile”, adducendo quale motivazione soltanto l’incapacità a testimoniare dei dipendenti della Banca, non merita di essere accolto, in ossequio ai principi di diritto espressi sia dalle Sezioni Unite della Corte di Cassazione Civile, n. 26972/2008 sia dalla Corte di Cassazione Civile, Sez. III, 25 marzo 2003, n. 4366. ↑