La stagione di produzione normativa cui stiamo assistendo, sia a livello dell’Unione Europea che nazionale, continua a concentrare la propria attenzione sulla visione sistemica dei processi di sicurezza delle informazioni e sui potenziali impatti che gli incidenti di sicurezza possano comportare agli interessi del “sistema Paese” o, in un’ottica più ampia, a quelli del sistema sociale e produttivo dei Paesi dell’Unione.
Prospettiva certamente necessaria, in un contesto di esponenziale incremento di attacchi informatici che le immancabili analisi statistiche ci ricordano in costante ed apparentemente inarrestabile crescita. Tuttavia, accanto ai rischi sistemici, che rappresentano una minaccia alla sussistenza degli Stati in ottica collettiva, esistono non meno rilevanti rischi dei singoli, cittadini e imprese, sempre più esposti per l’espansione dei domini digitali a tutti gli aspetti della vita quotidiana.
Sicurezza delle informazioni: responsabilità dei fornitori e degli utenti
La nozione di “sicurezza delle informazioni”, quindi, deve necessariamente ampliarsi, per identificare compiutamente un “dominio di responsabilità” dei fornitori di beni e servizi e delle software house, particolarmente rafforzato nei riguardi dei soggetti “consumatori” e comunque in relazione all’esercizio professionale di attività di impresa dell’erogatore di beni e servizi chiamato, per questa attività, a quel supplemento di diligenza professionale, che si chiama ai più tradizionali principi della correttezza e buona fede che caratterizzano la dottrina civilistica da tempo immemore.
L’analisi si complica oltremodo, quando il profilo giuridico richiede anche una comprensione dei meccanismi tecnici di protezione che risiedono sono solo in capo al soggetto erogatore del servizio, ma anche sull’utente, che è chiamato a prestare un suo contributo effettivo, in termini di attenzione e cura, ad esempio nella corretta gestione delle credenziali e a quel necessario esercizio di attenzione e cura dei propri interessi.
Servizi bancari e finanziari: gli oneri in capo ai prestatori di servizi di pagamento
In questo contesto, è il settore dei servizi bancari e finanziari ad essere particolarmente esposto ad attacchi predatori, sui quali la giurisprudenza di merito e di legittimità ha avuto più volte occasione di pronunciarsi, con pronunce apparentemente non omogenee.
Punto cruciale, nel settore bancario, è l’esistenza di una normativa particolarmente stringente e complessa, fortemente indirizzata dall’attività regolatoria dell’Unione Europea, che stabilisce un onere specifico in capo ai soggetti prestatori di servizi di pagamento di approntare un rigoroso sistema di misure di sicurezza a protezione della disponibilità, integrità e riservatezza delle informazioni e dei sistemi che ne abilitano le funzionalità, con particolare riguardo al Decreto Legislativo 11/2010 (Attuazione della Direttiva 2007/64/CE). Questa norma da un lato(art. 8) obbliga l’operatore del mercato finanziario che mette a disposizione sistemi di pagamento telematici, tra l’altro a: assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7 [che sono: utilizzare lo strumento di pagamento in conformità con i termini che ne regolano l’emissione e l’uso e comunicare senza indugio al prestatore di servizi di pagamento, lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza]; dall’altro (art. 10) determina una specifica responsabilità in capo al prestatore di servizi di pagamento e internet banking in caso di operazione non autorizzata dal cliente, a meno che questa non discenda dal dolo o dalla colpa grave del medesimo, sottolineando espressamente che grava sull’operatore bancario l’onere di provare che l’illecita operatività ad opera di terzi, con riferimento alle disposizioni contestate, sia stata resa possibile dal dolo o dalla colpa grave del cliente.
Responsabilità delle banche: le questioni esaminate dalla giurisprudenza
Su questo punto si aprono questioni più volte esaminate dalla giurisprudenza, che è chiamata ad un complicato onere di valutare quale sia il limite della responsabilità dell’istituto bancario e della sua specifica responsabilità professionale, “… prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. n. 2950/2017; v. anche Cass. n. 10638/2016; Cass. n. 9158/2018 Cass. n. 26916/2020 e, da ultimo, Cass. n. 16417/2022).
Se, dunque, la banca non può liberarsi da responsabilità semplicemente adducendo di aver adottato misure minime ed essenziali, ed anzi, la prova liberatoria a carico del prestatore di servizi non può prescindere dalla valutazione concreta delle misure tecnologiche offerte dal progresso scientifico per i sistemi di digital banking (oltre alla citata Cass. 9158/2018, in senso conforme, altre pronunce della Suprema Corte: n. 10638/2016 e 2950/2017), non mancano orientamenti diversi che, pur richiamando il principio di responsabilità primaria dell’istituto ad adottare misure coerenti e costantemente adeguate alla costante modificazione del rischio informatico, evidenziano la necessità di un ruolo diligente e consapevole dell’utente nell’utilizzo degli strumenti di pagamento, che ritiene su di sé l’effetto dannoso tutte le volte in cui, a fronte della dimostrazione dell’esistenza di sistemi di sicurezza adottati dall’istituto di credito, rispondenti ai migliori standard internazionali, rigorosamente presidiati da processi di prevenzione e monitoraggio attivi, nonché a richiami ripetuti agli utenti a prestare attenzione ai sempre più frequenti tentativi di inganno, tesi alla captazione delle credenziali e dei sistemi di autenticazione “forte”, questi ultimi comunque decidano di “collaborare” con i malfattori, fornendo le proprie credenziali di accesso e l’abilitazione ai meccanismi di autenticazione multifattoriale, in violazione di tutte le regole di prudenza e accortezza (Cass., Ordinanza 07214/2023).
In altri termini, nello specifico settore bancario e dei sistemi di pagamento online, i giudici sono chiamati ad una complessa valutazione sull’operato, in concreto, del fornitore di servizi di pagamento e assimilati, per verificare se la predisposizione di misure di sicurezza per prevenire gli incidenti di sicurezza e contenerne gli effetti avversi sia coerente con gli obiettivi di protezione che incombono sull’operatore finanziario. Rimane, peraltro, su quest’ultimo l’onere di dimostrare il dolo o la colpa grave del cliente, quale elemento esimente riguardo alla responsabilità dell’istituto.
Il processo a tutele crescenti del Regolamento dora
Questo aspetto presenta conseguenze non marginali riguardo ad un più ampio “dovere di protezione” che incombe sugli operatori bancari e finanziari, che è destinato ad estendersi in maniera ancor più rilevante con la piena attuazione del Regolamento UE 2022/2554 (Regolamento DORA) che, pur se indirizzato agli obiettivi di “resilienza operativa digitale” per il settore finanziario, introduce un processo a tutele crescenti, che ha anche a riferimento la protezione dei clienti, risolvendosi quindi in una caratterizzazione significativa di quegli obblighi di diligenza professionale che diventano caratterizzanti la specifica attività.
Riguardato dal punto di vista del cliente, il contratto complesso di servizi bancari e di mezzi di pagamento è una realtà assai più ampia, che definisce una serie di diritti ed obblighi in capo alle parti e la cui interpretazione non può che essere sistematica, coinvolgendo non solo le più tradizionali norme civilistiche, o quelle specifiche del settore bancario e quelle definite dal dominio “blob” della sicurezza delle informazioni. Rientrano nei criteri interpretativi e negli obblighi dell’operatore professionale anche quei doveri che discendono dal trattamento di dati personali e, dunque, disegnati nel Regolamento UE 2016/679 o Gdpr.
Sicurezza dei dati personali e responsabilità delle banche: la sentenza del Giudice Monocratico del Tribunale di Milano
Ne fa coerente applicazione, ad esempio, il Giudice Monocratico del Tribunale di Milano nella Sentenza 9645/2022 RG del 9 agosto 2024 che ricorda come “in base al rinvio all’art. 2050 c.c., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore” e, per questa ragione, il soggetto titolare del trattamento dati (la banca) deve assicurare l’applicazione de principi fondamentali del Regolamento tra i quali quello secondo cui i dati personali devono essere “…trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, essendone peraltro tenuto a rendere piena dimostrazione del rispetto di tale principio (art. 5 GDPR).
Questi principi di protezione, in realtà, possono essere estesi non solo al settore bancario, ma in qualunque altro dominio delle relazioni contrattuali in cui possano essere identificate puntuali posizioni qualificabili come “dovere di protezione”.
Responsabilità dei produttori: il caso dei contratti di licenza software
Si pensi solo per un momento all’evoluzione dei contratti di licenza software, tradizionalmente costruiti con un modello secondo il quale la software house imponeva, nei propri formulari standard contrattuali, una serie di limitazioni alla responsabilità contrattuale con una doppia prospettiva, intesa a contenere la responsabilità patrimoniale al massimo sino al valore contrattuale dell’acquisto della licenza e dall’altro, la costante presenza di clausole che tendono a perimetrare la responsabilità del produttore del software ai soli casi di dolo e colpa grave, con onere della prova (diabolica) a carico dell’acquirente. Il mondo dei software “on premises” ossia quelli installati direttamente sull’elaboratore o server del cliente finale hanno rappresentato per anni un’area di comfort per i produttori di software, confidenti del fatto che la gestione della sicurezza dell’elaboratore dovesse restare esclusivamente in capo all’utilizzatore, essendo estranea la software house alle modalità con le quali il software veniva installato e configurato sul sistema di esclusivo dominio del cliente che – ulteriore beneficio – manteneva i dati personali propri e dei suoi eventuali clienti in casa.
Rimaneva (e rimane) un’area sostanzialmente grigia, rispetto alla protezione del cliente finale, riguardo ai vizi del prodotto, non solo per quanto attiene a quelli afferenti alla non coerente scrittura del codice, ma soprattutto riguardo a quelle vulnerabilità di sicurezza, note o conoscibili con la diligenza professionale richiesta, che potrebbero arrecare danno per effetto dello sfruttamento da parte di attori ostili, spesso derivanti da un processo di sviluppo del software cui sono estranei i principi della sicurezza (SSDLC Software Security Development Life Cycle) ed agli obblighi contrattuali di aggiornamento per la risoluzione delle vulnerabilità.
Sviluppo del cloud e nuove difficoltà per i giuristi
Lo sviluppo del cloud, nelle sue diverse declinazioni, chiama il giurista ad un’ulteriore sforzo interpretativo e mette le software houses davanti al fatto compiuto: da un lato, la necessità di definire e qualificare il modello di ripartizione della responsabilità tra cloud services provider come infrastruttura o piattaforma (IaaS o PaaS) e il fornitore del software in cloud (SaaS); dall’altro, la complicazione di ricevere i dati personali del cliente finale, con l’obbligo di gestire i livelli di sicurezza anche dal punto di vista della protezione dei dati personali con una complicata intersezione di ruoli e responsabilità tra interessati, titolari e contitolari (figure mitologiche poco comprese e neglette, ma di grande utilità tutte le volte in cui, esattamente come avviene nel cloud, “ … il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da ciascuna parte è inseparabile, cioè inestricabilmente legato. La partecipazione congiunta deve includere la determinazione delle finalità da un lato e la determinazione dei mezzi dall’altro” come ci ricordano le linee guida EDPB sui ruoli privacy del 2021).
Le tutele previste dal legislatore italiano
Di questa complessità strutturale si è ben reso conto il legislatore italiano che, tra le tante iniziative per la creazione di un modello evoluto di protezione, ha costruito una strategia cloud che, pur limitata alla fornitura dei servizi a favore delle pubbliche amministrazioni, ha definito una serie di elementi di protezione assai significativi che vedranno un’espansione più che significativa con l’attuazione del decreto legislativo di recepimento della Direttiva UE 2022/2555 (Direttiva “NIS2”), di cui si attende la pubblicazione in Gazzetta Ufficiale ad horas. Declinando, con questo, ulteriori aspetti di dettaglio di quel “dovere di protezione” che caratterizza ormai ampi settori dell’economia, non più solo ad appannaggio dei grandi gruppi industriali.
L’importanza del principio di affidamento nel mercato digitale
In questa inarrestabile evoluzione tecnica e normativa, è sempre più evidente la necessità di costruire modelli di sicurezza delle informazioni adeguati e flessibili, ma coerenti con gli obiettivi di protezione degli utenti – siano essi consumatori, cittadini, imprese, con differenti graduazioni – che rappresenti anche una affermazione del principio di affidamento in un mercato sempre più digitale e interconnesso: principio che per il diritto è un valore in sé, per la certezza delle relazioni negoziali e per lo sviluppo di un’economia sempre più globale e dipendente dai sistemi digitali complessi.
Il codice di condotta di Assosoftware
Non può che essere salutata con grande favore l’iniziativa di Assosoftware, l’associazione di categoria dei produttori di software per piccole e medie imprese, professionisti e pubbliche amministrazioni, per la predisposizione di un “Codice di condotta”, ai sensi dell’art. 40 del GDPR, che rileva: “emerge la concreta esigenza per le imprese produttrici rappresentate da Assosoftware di assicurare che le attività dalle stesse svolte nell’ambito dell’intero ciclo di vita del software gestionale, dalla sua progettazione, produzione e sviluppo sino alla sua installazione e messa in esercizio, si conformino ad elevati livelli di protezione dei dati personali, allo scopo di favorire il rispetto del Regolamento e di rafforzare la fiducia degli utilizzatori del software verso l’adozione dei soluzioni gestionali in grado di realizzare la transizione digitale e l’innovazione produttiva. … i Produttori del Software intendono attraverso il presente Codice definire un sistema uniforme ed avanzato di regole di condotta e misure tecniche e organizzative, per assicurare che i software prodotti e resi disponibili sul mercato siano sviluppati nel rispetto dei principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default), al fine di dimostrare la conformità alle disposizioni del Regolamento e di rafforzare la fiducia verso la digitalizzazione dei servizi e processi degli operatori economici ed istituzionali che li utilizzano, assicurando un adeguato livello di tutela dei dati personali trattati tramite l’impiego dei medesimi software…”. Strumento che definisce una serie di dettagliate regole professionali che non si limitano solo ai processi di ingegneria del software, ma anche ad indirizzarne compiutamente l’evoluzione, il mantenimento e l’aggiornamento con una evidente presa di coscienza del ruolo critico della produzione ed esercizio del software, sia on premises che in cloud e nel superamento della non più sostenibile posizione di negazione da parte delle software houses.
L’approvazione definitiva da parte dell’Autorità Garante è attesa per la fine del 2024 e rappresenterà un ulteriore punto di avvicinamento tra protezione “di sistema” e tutela degli interessi dell’utente finale.
Conclusioni
Le considerazioni che precedono, seppur limitate e senza pretesa di esaurire l’infinito ambito dei criteri di responsabilizzazione dei servizi digitali, vorrebbero servire ad aprire una riflessione più puntuale sulla necessità di riguardare il dominio della sicurezza delle informazioni non soltanto dalla prospettiva “macro” della protezione dei sistemi e degli interessi nazionali e ultranazionali, quanto per ricordare la necessità di guardare alla protezione delle informazioni, dei sistemi e delle reti come elemento rilevantissimo anche nei rapporti individuali e contrattuali.
In altri termini, disponibilità, integrità e riservatezza appartengono ormai definitivamente anche al contenuto delle obbligazioni in tutti quei contratti individuali che rappresentano, nella quotidianità, l’espressione dell’evoluzione delle relazioni commerciali e di servizio e sui quali sempre più spesso l’operato dei giudici è invocato per riconoscere la necessità di modelli di protezione coerenti con lo sviluppo globale delle relazioni umane, sempre più incentrato sull’utilizzo di beni e servizi digitali che non riconoscono confini nazionali, ma sempre più esposti a vulnerabilità che non possono rimanere esclusivamente a carico dell’utente finale.
