La crescita continua ed esponenziale dei cyber-attacchi ha rilanciato la tematica della responsabilità degli amministratori di una società colpita da un attacco informatico che non si sia fatto nulla per prevenire. La responsabilità, in tale evenienza, deriva proprio dalla mancata adozione di misure adeguate (fisiche, informatiche ed organizzative) volte a mantenere al sicuro le banche dati aziendali. Spetta, infatti, all’organo amministrativo il compito di decidere quali misure adottare e di vigilare sulla loro implementazione, adeguatezza e aggiornamento al fine di prevenire i danni conseguenti agli incidenti di sicurezza.
In tale contesto, è opportuno che gli amministratori dedichino particolare attenzione ai sistemi informativi aziendali, anche pianificando periodicamente (con scadenze precise, che dovranno essere rispettate) penetration test che mettano alla prova la tenuta della rete rispetto ad eventuali attacchi esterni e le connesse analisi dello stato di maturità delle misure tecniche e organizzative adottate per ridurre il cyber risk. L’adozione di misure di sicurezza anche sofisticate, di per sé, non esclude che le società possano essere comunque bersaglio di attacchi, anche andati a buon fine; ciò che fa la differenza, sotto il profilo della responsabilità verso i soci, i creditori sociali e/o la società (e di questa verso i terzi), è la possibilità di dimostrare di aver adottato tutte le misure più adeguate e ragionevolmente necessarie (ed economicamente sostenibili) per tutelare gli asset.
È, inoltre, opportuno che le società si dotino di polizze assicurative a copertura del rischio cyber (peraltro alcune compagnie, per presentare l’offerta, effettuano dei penetration test sulla struttura del richiedente, modulando poi il premio in base alla maggiore o minore vulnerabilità riscontrata). Altro aspetto rilevante in materia è quello organizzativo. Quando si verifica un cyberattacco il CdA deve sapere come gestirlo, considerando il fatto che in molti casi i tempi di reazione incidono significativamente sull’entità del danno. Una reazione immediata è possibile solo se la società è dotata di policy ad hoc. Infine, dovranno essere valutate le opportune azioni correttive (per evitare il ripetersi dell’attacco) e analizzato l’impatto economico dell’attacco. In tutto questo, la società ha solo 72 ore per valutare se sussistono i presupposti che fanno scattare l’obbligo di notifica al Garante privacy e per effettuare, nel caso, la notifica.
Tornando al profilo della responsabilità dell’organo amministrativo, costituiscono circostanze aggravanti, ad esempio, l’aver discusso le misure di sicurezza necessarie nel CdA ma non averne poi in concreto adottata alcuna; l’aver identificato debolezze del sistema IT ma non avervi posto rimedio o, ancora, il non aver pagato il premio per il rinnovo della polizza assicurativa. Si è riscontrato chespesso le aziende vittime di cyberattacco ne subiscano un altro nei 12/24 mesi successivi; meglio non trovarsi nella condizione di dover ammettere che tra il primo ed il secondo attacco nulla è stato fatto per migliorare la protezione dei sistemi.
Le responsabilità del CdA per i cyber-attacchi
