17 giugno 202115 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

Mario Boschetti, General Counsel di Loro Piana, sul nuovo settore del fashion dopo la pandemia

Mario Boschetti è General Counsel di Loro Piana e ci racconta in questo podcast come il mondo del fashion è cambiato negli ultimi 20 anni e come si sta verificando una accelerazione del cambiamento con la pandemia da COVID-19. Il podcast è disponibile qui

Privacy

Come gestire un data breach derivante da un cyberattacco ransomware?

La corretta gestione di un data breach a seguito di un cyberattacco ransomware può evitare potenziali multe GDPR e danni dovuti a richieste di risarcimento da parte dei clienti in una situazione di notevole difficoltà.

Qual è la dimensione del rischio ransomware?

Il ransomware è un tipo di malware che limita l'accesso al sistema informatico che infetta o ai dati che memorizza (spesso utilizzando tecniche di crittografia) e richiede il pagamento di un riscatto (il c.d. ransom) al creatore o ai creatori del malware.

L'impatto del ransomware sul funzionamento di un'azienda può essere enorme, poiché può criptare in pochi minuti tutti i file nei sistemi informatici, impedendo l'accesso e bloccando la maggior parte delle funzionalità di un'azienda.  Improvvisamente, un messaggio apparirà sul vostro schermo, e non avrete accesso alle e-mail, a qualsiasi file nel database, ai dati dei clienti, a qualsiasi sistema informatico necessario per il funzionamento del vostro impianto, ecc.

E il tempo di inattività può durare per un periodo significativo. Secondo i dati pubblicati da Group-IB, il numero di attacchi ransomware è cresciuto di oltre il 150% nel 2020. Nel 2020, gli attacchi ransomware, in media, hanno causato 18 giorni di fermo macchina per le aziende colpite, mentre l'importo medio del riscatto è aumentato di quasi due volte.

La pandemia da COVID-19 e un ambiente di lavoro da remoto hanno aumentato l'esposizione al rischio. Le aziende hanno un livello inferiore di controllo sui loro dipendenti, e l'errore umano è la fonte principale dei cyberattacchi.

Cosa può causare un attacco informatico ransomware ai dati nei vostri sistemi informatici?

Negli anni precedenti, i cyberattacchi ransomware criptavano i dati nei sistemi della vittima. Questo tipo di attacco può ancora portare a un data breach se una copia di backup dei dati crittografati non è prontamente disponibile in modo che i dati possano essere rapidamente ripristinati.

Tuttavia, gli hacker sono diventati recentemente più sofisticati e hanno capito che con un'esfoliazione di dati personali hanno più probabilità di ricevere il pagamento di un riscatto.  Così negli ultimi due anni, abbiamo visto spesso hacker che

  1. accedono al sistema della vittima per un determinato periodo di tempo;

  2. esfiltrano i dati personali, facendo attenzione a limitare il flusso di esfiltrazione dei dati entro i limiti di tolleranza per evitare di essere rilevati dai sistemi di prevenzione della perdita di dati (DLP), cancellando anche i file di log, se possibile;

  3. criptano i dati nei sistemi;

  4. pubblicano alcuni dati personali sul dark web per dimostrare l'effettiva esfiltrazione, minacciando che - se il riscatto non viene pagato entro una settimana - verranno pubblicati migliaia di dati.

Come affrontare un data breach a seguito di un attacco informatico ransomware?

L'European Data Protection Board (EDPB) ha pubblicato le sue linee guida su esempi di violazione dei dati in cui ha affrontato i seguenti scenari:

1. Ransomware con dati crittografati a riposo della vittima senza categorie particolari di dati personali coinvolti, con backup adeguato e senza esfiltrazione di dati

  • nessuna notifica di data breach al Garante e
  • nessuna comunicazione agli interessati, se i dati possono essere ripristinati rapidamente, ma secondo l'EDPB, quando si tratta di casi ad alto livello di rischio, anche il ripristino dei dati entro il termine di 72 ore può essere considerato insoddisfacente.

2. Ransomware senza esfiltrazione di dati (che però non si può escludere), ma senza un adeguato backup (ma ripristino manuale in 5 giorni) e senza crittografia a riposo con nessuna categoria particolare di dati personali coinvolta

  • sì la notifica di data breach al Garante è necessaria, ma
  • nessuna comunicazione agli interessati, ma dipende dal tempo necessario al ripristino. Inoltre, secondo l'EDPB, se i ritardi nei pagamenti e nelle consegne dovuti al data breach possono comportare una perdita finanziaria per le persone i cui dati sono stati compromessi, si potrebbe anche sostenere che la violazione può comportare un rischio elevato. Tuttavia, potrebbe non essere possibile evitare di informare gli interessati se il loro contributo è necessario per ripristinare i dati criptati.

3. Ransomware con backup e senza esfiltrazione in un ospedale con categorie particolari di dati personali coinvolti

  • sì la notifica del data breach al Garante è dovuta, e
  • sì la comunicazione ai pazienti il cui trattamento era programmato è necessaria. Infatti, secondo l'EDPB, se i dati non possono essere immediatamente ripristinati e questa circostanza comporta un ritardo nel trattamento dei pazienti, questi devono essere informati.

4. Ransomware senza backup, senza particolari categorie di dati coinvolti, ma con dati finanziari colpiti e con esfiltrazione

  • sì, la notifica del data breach al Garante è dovuta,
  • sì la comunicazione agli interessati, poiché - secondo l'EDPB - la comunicazione alle persone è essenziale per compiere i passi necessari per evitare danni materiali (ad esempio, bloccare le loro carte di credito).

Quali misure sono raccomandate per evitare un attacco informatico ransomware?

L'EDPB fornisce una lista molto lunga di misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware che includono:

  1. la progettazione e l'organizzazione di sistemi di elaborazione e infrastrutture per segmentare o isolare i sistemi di dati e le reti per evitare la propagazione del ransomware all'interno dell'organizzazione e ai sistemi esterni;

  2. l'esistenza di una procedura di backup aggiornata, sicura e testata con supporti per il backup a medio e lungo termine tenuti separati dalla conservazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco riuscito;

  3. la formazione dei dipendenti sui metodi di riconoscimento e prevenzione degli attacchi informatici, permettendo loro di stabilire se le e-mail e i messaggi ottenuti con altri mezzi di comunicazione sono autentici e affidabili

  4. l’inoltro o replica di tutti i log a un server di log centrale;

  5. l’adozione di una crittografia e autenticazione forte, in particolare per l'accesso amministrativo ai sistemi informatici;

  6. l’esecuzione regola di test di vulnerabilità e penetrazione;

  7. la creazione di un Computer Security Incident Response Team (CSIRT) o Computer Emergency Response Team (CERT) all'interno dell'organizzazione, o l’adesione ad un CSIRT/CERT collettivo; e

  8. la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.

Risarcimento per il data breach: se la lesione alla privacy è minima prevale il principio della tolleranza

“Il danno da lesione della privacy per la diffusione dei dati personali va provato analiticamente e non è in re ipsa”. Questo il punto focale della recente ordinanza n. 16402/21 con cui la Corte di Cassazione si è nuovamente pronunciata in materia di risarcimento per il data breach personali ai sensi degli ormai abrogati articoli 11 e 15 del Codice Privacy, i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento dei dati personali in maniera illegittima.

La vicenda prende origine dalla decisione del Tribunale di Messina di rigettare la domanda proposta da un soggetto volta a far accertare l'illecito trattamento dei propri dati personali da parte di un istituto di investigazioni in cooperazione con l’INPS. Tale trattamento, inerente documenti attestanti la situazione retributiva dell’attore, sarebbe stato finalizzato all’acquisizione di elementi di prova da far valere nell’ambito di un procedimento penale in cui lo stesso soggetto era coinvolto. Il giudice di prime cure, pur dando che le informazioni inerenti lo stato retributivo del ricorrente, in epoca antecedente ai fatti oggetto del procedimento penale, fossero effettivamente eccedenti le finalità per cui quei dati erano stati raccolti e trattati, ha ritenuto non responsabile l’istituto di investigazioni. In tal senso, il Tribunale sottolinea il compito del difensore, mandante dell’Istituto, di oscurare le parti dei documenti appresi ritenute non rilevanti ai fini della difesa. Inoltre, il giudice di merito ha ritenuto non dimostrata da parte del ricorrente l’esistenza di un pregiudizio non patrimoniale, essendo stata dedotta esclusivamente la violazione della normativa in materia di privacy, senza addurre ulteriori argomentazioni in merito alle conseguenze derivanti dal trattamento illecito. Avverso la predetta sentenza, il soggetto ha proposto ricorso per Cassazione.

Nella decisione di rigetto, la Corte di Cassazione sottolinea che il soggetto passivo è chiamato ad individuare sempre in maniera analitica il danno conseguente al trattamento illegittimo, senza limitarsi ad allegare che l'illecito uso dei suoi dati gli avrebbe procurato un generico turbamento. Tale schema, in tale ottica, è completamente inadeguato al riconoscimento del danno non patrimoniale in quanto basato su asserzioni generiche ed apodittiche.

In tema di violazione dei dati personali, la Corte di Cassazione ha enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi dell'art. 15 del Codice della Privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cast. e dall'art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ai sensi dell’articolo 2 della Costituzione, di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito. La Corte Suprema sottolinea, pertanto, che il danno alla privacy, come ogni danno non patrimoniale, non sussiste “in re ipsa”, non identificandosi il danno risarcibile con la mera lesione del bene giuridico tutelato, ma in ragione delle conseguenze pregiudizievoli del danno.

Su un simile argomento potrebbe essere interessante l’articolo “La Corte di Cassazione si pronuncia sulla rilevanza del danno da violazione della normativa privacy”.

Technology, Media and Telecommunications

Avviata la mappatura delle reti mobili nel contesto del Piano Italia 5G del PNRR

Il MISE ha dato mandato a Infratel Italia S.p.a. (Infratel) di avviare una mappatura particolareggiata della copertura del territorio nazionale con reti mobili in tecnologia 4G e 5G. Ciò in linea con quanto previsto dagli “Orientamenti dell’Unione europea per l’applicazione delle norme in materia di aiuti di Stato in relazione allo sviluppo rapido di reti a banda larga”.

L’iniziativa attua la “Strategia italiana per la Banda Ultralarga”, approvata il 25 maggio scorso dal Comitato interministeriale per la transizione digitale nell’ambito del Piano Nazionale di Ripresa e Resilienza (PNRR), e si inserisce tra le procedure necessarie ai fini degli interventi pubblici previsti dal Piano “Italia 5G” del PNRR. Come precisa il MISE nel Comunicato Stampa, “sulla base degli esiti della mappatura 2021 potranno essere pianificati nuovi interventi pubblici previsti dal Piano “Italia 5G”.

Nella pagina dedicata del sito di Infratel si legge che la mappatura, che riguarda l’intero territorio nazionale, ha lo scopo di verificare “quali sono le aree già coperte da rete mobili 4G e 5G o che lo saranno in base ai piani di copertura degli operatori nel quinquennio di riferimento (2021-2026)”. I piani di copertura dichiarati dagli operatori nel contesto della consultazione di cui alla mappatura “dovranno essere chiaramente riferibili a decisioni strategiche ed esecutive, completamente finanziate e adottate dai competenti organi di indirizzo e gestione degli operatori”. La mappatura sarà realizzata tenendo conto delle disposizioni contenute nelle linee guida rilevanti approvate dal BEREC.

Nel contesto della consultazione gli operatori sono chiamati a indicare “sia le coperture di rete attuali alla data del 31 maggio 2021, sia quelle previste per i prossimi cinque anni”. In particolare, gli operatori dovranno fornire la seguente documentazione: (a) “piano dettagliato degli investimenti, che includa per ogni fase di attuazione le date di inizio e completamento e gli elementi che ne evidenzino la concreta attuabilità, suddiviso negli anni per macrocategorie e relativi finanziamenti, approvati dagli organi competenti”; (b) “architettura e struttura della rete sul territorio (numero siti, dislocazione territoriale, tipologia link di backhaul, apparati di trasporto, POP e relativo posizionamento), apparati e tecnologie previste”; e (c) “dimensionamento dei siti radio (con evidenza dei metodi e parametri utilizzati per le simulazioni radioelettriche) in termini di numero medio di utenti per sito e per antenna, coerente con quanto fornito nei questionari compilati e dimensionamento della banda, della rete dati e di trasporto”.

Gli operatori interessati a partecipare alla consultazione dovranno chiedere l’attivazione di un account sulla piattaforma attivata da Infratel allo scopo, sulla quale sono disponibili i questionari da compilare con le informazioni necessarie per la mappatura. Tale piattaforma è attiva a partire dal 10 giugno 2021 fino al 26 luglio 2021, termine ultimo per l’invio dei dati e delle informazioni da parte degli operatori.

Su un simile argomento può essere interessante l’articolo “Approvata la Strategia Italiana per la Banda Ultralarga “Verso la Gigabit Society”.

Intellectual Property

Le linee guida UE sulla disciplina per i fornitori di servizi Internet ai sensi della Direttiva Copyright

La Commissione Europea ha recentemente pubblicato le tanto attese linee guida previste dal paragrafo 10 dell’art. 17 della Direttiva Copyright relativo alla disciplina dei fornitori di servizi Internet, con l’obiettivo di promuovere un corretto e uniforme recepimento dell’art. 17 da parte degli Stati membri e di fornire un aiuto agli operatori del mercato che dovranno conformarsi alle trasposizioni nazionali di tale previsione.

Come noto, l’art. 17 introduce una nuova disciplina per i fornitori di servizi Internet e in generale della società dell'informazione che consentono la condivisione di contenuti protetti dal copyright, caricati dagli utenti. Tali soggetti vengono ora definiti come prestatori di servizi di condivisione di contenuti online e vengono considerati quali soggetti che effettuano, in proprio, un’attività di comunicazione al pubblico.

Le linee guida chiariscono anzitutto che l'articolo 17 è una lex specialis rispetto all’art. 3 della direttiva 2001/29/CE e all’art. 14 della direttiva 2000/31/CE, ma esso non introduce un nuovo diritto sui generis nel diritto d'autore dell'Unione europea relativo alla disciplina copyright per i fornitori di servizi Internet. Piuttosto, regolamenta l'atto di "comunicazione al pubblico" nelle specifiche circostanze oggetto di tale disposizione.

Inoltre, le linee guida chiariscono che gli Stati Membri non possono modificare o alterare la definizione di prestatori di servizi di condivisione di contenuti online di cui all’art. 2 paragrafo 6 della Direttiva e sono tenuti a riportare nella normativa nazionale l’elenco dei prestatori di servizi esclusi da tale definizione, come ad esempio le enciclopedie online senza scopo di lucro, nonché precisare che si tratta di un elenco non esaustivo.

Ancora, le linee guida chiariscono che la discussa nozione di "massimi sforzi" deve essere ritenuta un concetto autonomo del diritto dell’Unione. Conseguentemente, tale nozione deve essere interpretata alla luce dello scopo e degli obiettivi dell'articolo 17 e del testo dell'intero articolo.

Più in generale, le linee guida attribuiscono notevole importanza ai Considerando della Direttiva, evidenziando che gli Stati membri devono avere sempre riguardo alla ratio delle norme da essi individuata, e al principio di proporzionalità. Il modo in cui dovranno essere declinati i comportamenti richiesti ai prestatori di servizi dovrà infatti tener conto delle specifiche circostanze di fatto e delle dimensioni del soggetto.

Su un simile argomento può essere interessante l’articolo "Come Google News Showcase cambierà il mondo dell’editoria e dovrà cambiare con la Direttiva Copyright".

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Benedetta Cordova, Filippo Grondona, Lara Mastrangelo, Andrea Michelangeli, Giuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2021 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 45 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.

Stampa