, , , , , , , ,

PRIVACY E GESTIONE DEL RISCHIO FRODI DA PARTE DI BANCHE E ISTITTUTI DI CREDITO FRA GDPR E PSD2

La sentenza 322/2023 del Tribunale di Milano rappresenta una pietra miliare in tema di responsabilità degli istituti di credito in materia di responsabilità da trattamento illecito di dati personali e per mancata prevenzione del rischio frodi e perdite finanziarie.

Le materie, infatti, presentano importanti punti di contatto e interferenza in quanto il considerando 75 al GDPR prevede espressamente le perdite finanziarie come uno dei rischi tipici derivanti da una violazione del GDPR.

La direttiva PSD2 impone a banche e istituti di credito stabilisce di adottare specifiche misure di protezione e sicurezza dei correntisti la cui efficace e corretta applicazione deve essere dimostrata secondo quanto richiede il principio di accountability.

La Corte Meneghina, nel caso in esame, ha tracciato un chiaro quadro giuridico in tema di responsabilità derivante da mancata gestione del rischio derivante dal trattamento di dati personali intervenendo chiaramente sui criteri di ripartizione dell’onere della prova.

Il Tribunale, applicando correttamente il principio di accountability, ha stabilito che grava in capo a questi l’onere di dimostrare di avere adottato adeguate misure di protezione della clientela per prevenire il rischio frodi e perdite finanziarie.

La pronuncia in esame dà atto di come la giurisprudenza di legittimità abbia già precedentemente inquadrato la responsabilità dell’istituto di credito nell’ambito della responsabilità per l’esercizio di attività pericolose. La Corte ha richiamato i precedenti in tema di disposizioni non autorizzate dal cliente su conto corrente mediante accesso abusivo a sistema di internet banking e conseguenti riflessi applicativi nell’ambito della responsabilità per trattamento dei dati personali (cfr. Cassazione, sez. I, 23 maggio 2016 n. 10638).

Secondo l’art. 15 del d.lgs. 196/2003 (Codice Privacy), citato dal Tribunale: “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, l’istituto di credito deve fornire la prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno. Da valutarsi secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del d.lgs. 196/2003.

Applicando in combinato disposto l’art 2050 c.c. e l’art. 15 del codice della privacy, l’istituto che svolge un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. La responsabilità è esclusa solo se il titolare prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del d.lgs. 11/2010 di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. L’art. 10 del d.lgs. 11/2010 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare, in caso di disconoscimento di una operazione l’onere di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento in caso di disconoscimento dell’operazione da parte del cliente.

Richiamando la Cassazione, il Tribunale di Milano argomenta che “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”.

Per l’effetto, il Tribunale ha ritenuto che tale onere non può venire assolto senza la dimostrazione dell’adozione di specifiche cautele antiphishing “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., Sez. I, 29.12.2017 n. 31199).

L’istituto di credito convenuto, nel caso in esame, non ha dimostrato e nemmeno specificamente allegato, secondo il Tribunale, quali cautele avrebbe adottato sia in generale per contrastare il fenomeno del phishing sia nello specifico per evitare il prodursi del danno patito dagli attori, con riguardo a ciascuno dei tre bonifici istantanei eseguiti senza l’autorizzazione degli attori.

Il Tribunale non ha, pertanto, ritenuto assolto l’onere della prova gravante sull’istituto di credito ai sensi dell’art. 1218 c.c. e la conseguente non imputabilità del danno.

Secondo la Corte meneghina, gli istituti di credito devono adottare in relazione a tali operazioni delle cautele e verifiche ulteriori rispetto a quelle predisposte per i bonifici standard, cautele e verifiche che devono essere preliminari all’esecuzione della disposizione, per evitare che la disposizione impartita da terzi non autorizzati provochi effetti irreversibili sul patrimonio del pagatore, cautele che, nel caso di specie la convenuta ha completamente pretermesso, non avendo compiuto alcuna specifica attività in tal senso.

Importantissimo è il principio affermato dalla Corte Territoriale secondo cui l’automatizzazione dei controlli bancari consentita dal progresso scientifico e tecnologico non può comportare una regressione del livello di tutela che deve essere garantito al singolo risparmiatore.

Tale soluzione, imposta dalla disciplina di cui agli artt. 10 ss. del d.lgs. 11/2010, appare del tutto coerente anche dal un punto di vista dell’analisi economica del diritto privato. Pertanto laddove gli istituti di credito omettano di adottare sistemi di controllo per evitare il perpetrarsi di frodi ai danni dei propri clienti dovranno risarcire il danno subito dai propri clienti derivante da questo inadempimento.

Infine, il Tribunale di Milano ha argomentato come l’istituto di credito convenuto non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell’operazione, il consenso alla revoca dell’operazione ai sensi dell’art. 17.5 d.lgs. 28/2010, e risulta, anzi, dimostrato dall’attrice che solo la denuncia all’autorità di polizia giudiziaria abbia consentito di recuperare, benché parzialmente, le somme oggetto delle disposizioni disconosciute.

 

In allegato, per maggiori approfondimenti, il testo integrale del provvedimento Sentenza n. 322-2023 BLIND

/da
, , , , , , , , , ,

La protezione dei dati e del segreto aziendale. Riflessi applicativi processuali del principio di accountability

di Giacomo Conti

 

La protezione dei dati personali e delle informazioni riservate aziendali sono temi che, molto spesso, si sovrappongono e completano a vicenda: frequentemente, le misure per limitare l’accesso ai dati dei clienti non solo proteggono la privacy dei clienti da soggetti non autorizzati, ma tutelano anche informazioni che l’organizzazione ha interesse a mantenere segrete.

Pertanto; l’impostare sistemi di protezione delle informazioni aziendali e l’adozione di misure per revocare i privilegi di accesso alle informazioni a un ex dipendente una volta cessato dall’incarico non solo proteggono i dati dei propri clienti, ma anche il patrimonio informativo aziendale. Trattasi di misure di organizzative che, per quanto basilari qualunque impresa dovrebbe adottare anche a tutela dei propri interessi.

Infatti, un’organizzazione che non ha implementato policy di protezione delle informazioni e che non è in grado di dimostrarlo in corso di causa di averle applicate, verosimilmente, arriverà a soccombere in giudizio. Questa è la posizione che si sta affermando in giurisprudenza che sta tracciando dei principi processuali in tema di onere della prova di un principio sostanziale relativo all’organizzazione aziendale.

Un precedente importante è rappresentato dall’ordinanza in data 31 gennaio 2022 nell’ambito del procedimento cautelare 8293/2021 avente ad oggetto la legittimità di un accesso e conseguente scarico di una banca dati da parte di una ex dipendente nell’ambito di una compagnia di intermediazione assicurativa. Nella narrativa del ricorso, i suddetti dati sarebbero stati utilizzati al fine di sviare la clientela verso un concorrente del ricorrente.

La ex dipendente, come emergeva dai fatti di causa, aveva scaricato l’intero contenuto della sua casella e-mail, che conteneva tutte le comunicazioni inerenti ai clienti a lei affidati a seguito della cessazione del rapporto di lavoro. Nello specifico, l’accesso e download riguardavano la banca dati di clienti dell’intermediario assicurativo e il portafoglio di clienti gestito dalla ex dipendente.

Nonostante non fosse oggetto di discussione l’avvenuto download dei dati, come rilevava il Tribunale di Bologna, l’accesso al sistema le era ancora consentito in quanto la società ricorrente aveva chiesto all’ex dipendente di continuare a gestire il portafoglio clienti nelle more delle trattative dirette a cercare l’instaurazione di un nuovo rapporto di collaborazione.

Nel caso di specie, la ex dipendente accedeva liberamente al contenuto della casella di posta aziendale con le proprie credenziali di accesso. Questa circostanza fattuale arrivava a dimostrare, a livello processuale, la mancata adozione di misure ragionevolmente adeguate a mantenere le informazioni segrete.

Per l’effetto della mancata adozione delle misure di protezione del know how adeguate, la ricorrente non riusciva a dare prova della natura segreta delle informazioni sottratte con conseguente impossibilità di applicare gli articoli 98 e 99 del codice della proprietà intellettuale che tutelano il cosiddetto segreto industriale.

L’adozione di adeguate misure di protezione avrebbe dimostrato che i dati scaricati dalla ricorrente ricomprendevano informazioni commerciali segrete e dotate di valore economico in quanto segrete in quanto sottoposte a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Pertanto, il Tribunale concludeva che non vi fossero elementi che consentissero di accertare una condotta di concorrenza sleale ai sensi dell’art. 2598 n. 3 c.c. e respingeva il ricorso.

La pronuncia in esame mette in evidenza importanti riflessi processuali in materia di accountabilty, sotto il profilo della capacità di dimostrare in sede giudiziale di avere adottato e documentato le procedure e l’attuazione delle stesse.

Per maggiori approfondimenti v. il testo del provvedimento: ordinanzaBLIND

/da
, , , , , , , ,

Disaster recovery & business continuity

di Jacopo Sabbadini

 

Solo negli ultimi due mesi vi sono stati diversi attacchi alle aziende italiane. SIAE, Regione Lazio, San Carlo, solo per citarne alcuni.

Recente è lo studio di Trend Micro che dimostra come l’Italia sia, ad oggi, il terzo paese più colpito da malware, al mondo, secondo solo a Stati Uniti e Giappone.

 

Per queste ragioni diventa imperativo adoperarsi, non importa quanto grande sia la propria azienda, per avere delle efficaci politiche di disaster recovery e business continuity.

Partiamo da una rapida definzione:

  • Per disaster recovery si intende la possibilità di riprendersi in maniera efficace da un evento atto a distruggere o compromettere gravemente la propria infrastruttura.
  • Per business continuity si intendono quella serie di procedure atte a mantenere attiva la propria infrastruttura durante un evento atto a compromettere l’infrastruttura.

Pietra angolare di ogni procedura di disaster recovery è una corretta politica di backup; questa deve essere pensata per essere automatica e sicura, in modo tale da evitare da un lato la perdita potenziale di dati, dall’altro il backup della minaccia stessa.
Per questa ragione si consiglia sempre di eseguire backup asincroni, in ridondanza su più unità, e solo dei file effettivamente importanti, mai dell’intero sistema; questo proprio per evitare di portarsi dietro, con il backup, anche un potenziale malware, rendendo quindi inutile la procedura stessa.

In aggiunta, i sistemi su cui vengono eseguiti i backup dovrebbero trovarsi su una rete particolare, non raggiungibile dalle altre, se non nel momento della copia dei dati o, in alternativa, completamente scollegati dalla rete.

Per quanto riguarda le procedure di business continuity  invece, il concetto principale è la ridondanza. Vanno previsti più sistemi, ridondanti tra di loro, in modo tale che se uno di questi sistemi dovesse trovarsi sotto attacco, esso possa essere velocemente scollegato e rimpiazzato da un altro; in questo modo si può garantire la continuità dei servizi, anche durante un incidente.

 

Essenziale è anche testare le sopracitate procedure. Un po’ come per le procedure antincendio, se le procedure di backup, disaster recovery e business continuity non vengono mai testate, non importa quanto queste possano essere sicure ed efficaci sulla carta, non può esserci garanzia di reale efficacia e funzionalità.
Una buona prassi è quella di simulare quindi, periodicamente, questi scenari, in modo tale che tutti i membri dell’azienda, grande o piccola che essa sia, siano a conoscenza dei propri ruoli, e possano agire in maniera efficace quando sarà necessario.

/da