Attacco hacker, l'avvocato: "Comune rischia sanzioni se non ha tutelato a dovere i dati dei cittadini"

Ancora è presto per quantificare il danno e per stabilire se la condotta del Comune di Palermo, di fronte all'attacco hacker al sito internet dell'amministrazione, sia stata corretta. Saranno le indagini a stabilirlo e, di conseguenza, si potrà procedere a eventuali sanzioni da parte del Garante della privacy. Ma già, da alcuni aspetti legati alla gestione della comunicazione dell'incidente da parte di Palazzo delle Aquile, qualche perplessita è sorta tra gli addetti ai lavori. In questi casi, infatti, ci sono infatti determinati passaggi, stabiliti per legge da un regolamento europeo, tra cui anche l'avviso ai soggetti coinvolti nel furto di dati.

Passaggi seguiti dall'amministrazione? Sul tema risponde Davide Maniscalco, avvocato palermitano, esperto in crimini informatici e membro dell'Enisa, agenzia dell'Unione europea per la cybersicurezza, che analizza gli aspetti legali della vicenda. "Nel caso dell'attacco al Comune di Palermo, mentre è notoria la comunicazione del furto di dati al Garante così come il coinvolgimento delle autorità di polizia per l'accertamento delle fattispecie cyber-criminose ascritte alla gang - afferma l'avvocato - non si ha precisa contezza di una posizione del Comune in ordine alla valutazione circa l'opportunità di procedere ad una comunicazione agli interessati, anche in riferimento ai dati che Vice Society ha iniziato a pubblicare nel cosiddetto dark web e che afferiscono, tra l'altro, a credenziali di accesso, documenti, informazioni interne e vulnerabilità". 

L'esperto: "Dati di accesso in vendita nel dark web"

Avvocato, molti esperti hanno criticato l'approccio del Comune nella gestione della comunicazione. In tanti sostengono che andassero avvisati i cittadini i cui dati sono stati pubblicati da Vice Society. E' d'accordo?

"La gestione della comunicazione deve far parte di una strategia precisa durante l'incidente informatico. Una comunicazione non pianificata strategicamente può far sì che un rischio diventi un problema e, quest'ultimo, un disastro per una determinata organizzazione, in termini di danni economici e di reputazione. Il regolamento europeo sulla protezione dei dati personali (GDPR) prevede per il titolare del trattamento, in aggiunta alla notifica al Garante entro le 72 ore dalla conoscenza del data breach (furto di dati, ndr) un ulteriore obbligo di notifica, anche agli interessati, quando la violazione dei dati personali presenti un rischio per i loro diritti e le loro libertà".

Cosa deve fare dunque un'amministrazione in questi casi?

"Con la comunicazione di violazione dei dati personali, vanno indicati, con un linguaggio semplice e chiaro: i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto; le probabili conseguenze delle violazioni dei dati personali; le misure adottate, o di cui si propone l’adozione, da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Giova ricordare che la comunicazione agli interessati deve essere effettuata senza ingiustificato ritardo e, sul punto, il regolamento europeo precisa che deve essere resa non appena ragionevolmente possibile".

Il Comune di Palermo lo ha fatto?

"L'assessore all'Innovazione Paolo Petralia Camassa, ha dichiarato a Repubblica: 'Noi non intendiamo pagare; loro hanno detto di essere in possesso di alcuni tipi di dati, non sappiamo di che dati si tratti. Quel che è certo però è che noi i dati li abbiamo tutti in chiaro, non sono stati danneggiati. Possono essere stati copiati certo, possono esserci state delle violazioni, ma certamente noi li abbiamo preservati tutti'. Non emerge una precisa consapevolezza dell'amministrazione circa i dati (personali) asseritamente esfiltrati né dell'entità dei potenziali pregiudizi per i diritti e le libertà delle persone fisiche eventualmente coinvolte. Questa situazione certamente preoccupa soprattutto per il livello di sensibilità di alcuni dati che potrebbero essere utilizzati anche per future truffe digitali. Immagino che la prosecuzione delle indagini, con metodologia forense, unita alle interlocuzioni con il Garante, consentirà auspicabilmente di fare definitiva chiarezza. Il Comune ha tuttavia tenuto una buona posizione sulla richiesta di riscatto, specie in considerazione della dichiarata disponibilità in chiaro dei dati di back up".

Cosa possono fare i cittadini coinvolti nell'attacco? Intraprendere un'azione legale? E nei confronti di chi? E nel caso in cui fosse possibile quali sono i passi da fare?

"Al momento è ancora presto per dirlo. Vi sono molti fronti aperti e l'amministrazione sta ancora lavorando sul completo ripristino dei servizi ancora down. Non c'è dubbio, tuttavia, che ove fossero accertate delle violazioni della postura di sicurezza informatica rispetto all'adeguatezza delle misure di sicurezza tecnico-organizzative a protezione dei dati personali trattati, si potrebbero configurare delle responsabilità tanto più laddove intervenisse l'irrogazione di sanzioni da parte del Garante. In ogni caso, ciascun soggetto interessato, può presentare un reclamo al Garante".

Possono essere chiesti risarcimenti?

"Nel caso in cui emergessero responsabilità dell'amministrazione, ovvero si ritenessero violati i propri diritti e le libertà nell'ambito del trattamento, ciascun interessato, ai sensi del regolamento europeo, potrà anche proporre innanzi al giudice ordinario un ricorso giurisdizionale nei confronti del Comune, al fine di richiedere il risarcimento del danno tanto materiale quanto immateriale. Gli interessati (anche collettivamente, se portatori di interessi individuali omogenei) possono altresì avviare una class action".

Cosa può fare invece il Comune di Palermo, sempre dal punto di vista legale?

"Questo dipenderà molto dall'esito delle indagini. Va comunque detto che la comunicazione agli interessati può mitigare il rischio di potenziali sanzioni irrogabili dall'Autorità Garante che, nel caso di omissione dell'adempimento e di complessiva valutazione anche dell'elemento soggettivo, ovvero della misura in cui siano stati violati i diritti e le libertà degli interessati, può raggiungere sanzioni molto afflittive pur nel rispetto del principio generale di proporzionalità. Le condotte più gravi sono suscettibili di una sanzione pecuniaria fino a 20 milioni di euro o 4% del fatturato globale complessivo se superiore, mentre per quelle meno gravi la sanzione pecuniaria arriva fino a 10 milioni di euro o 2% del fatturato globale complessivo se superiore".

Ci sono precedenti azioni legali in merito a casi del genere? E come si sono concluse?

"E' più frequente l'attivazione di azioni plurisoggettive. L'Autorità Garante procede in ogni caso con gli accertamenti e le eventuali irrogazioni sanzionatorie che, da ultimo hanno visto condannare l'Inail ad una sanzione di 50 mila euro per le violazioni allo 'Sportello Virtuale Lavoratori' che avrebbero consentito ad alcuni utenti di consultare accidentalmente le informazioni di altri. In tal caso, il Garante ha ribadito testualmente che 'gli enti pubblici devono adottare adeguate misure tecniche e organizzative per evitare violazioni'".