Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)
L’obbligo di comunicazione delle violazioni di sicurezza alle autorità di sorveglianza è uno strumento fondamentale sia nell’ottica del contenimento delle conseguenze avverse della violazione, sia (e soprattutto) in ottica preventiva, in quanto pone le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad affrontare seriamente la questione della sicurezza. Recentemente, FINMA ha chiarito gli obblighi degli assoggettati in tale ambito. Obblighi che nel 2021 saranno generalizzati ed estesi a tutti i soggetti che trattano dati personali nell’ambito della revisione totale della Legge federale sulla protezione dei dati (LPD). Siamo pronti a questo cambio totale di prospettiva?
L’obbligo di comunicazione secondo FINMA
L’art. 29 della Legge federale sulla vigilanza dei mercati finanziari prevede che gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio a FINMA tutti gli eventi di grande importanza ai fini della vigilanza.
Nella propria Comunicazione sulla vigilanza 05/2020 del 7 maggio 2020 (link), FINMA ha istituito espressamente, disciplinandolo nel dettaglio, un ampio obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.
A chi si applica tale obbligo? A tutte le persone che in virtù delle leggi sui mercati finanziari necessitano di un’autorizzazione, un riconoscimento, un’abilitazione o una registrazione da parte di FINMA e gli investimenti collettivi di capitale, come (ad esempio) banche, OAD, istituti finanziari, imprese di assicurazione e investimenti collettivi di capitale autorizzati, nonché i relativi gestori patrimoniali e le direzioni dei fondi.
L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT, outsourcing e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; si rinvia per i dettagli alle definizioni stabilite nell’Allegato 2).
La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.
La comunicazione deve essere implementata entro il 1° settembre 2020 (meglio se prima, secondo best effort).
Considerato quanto precede, il tema critico che si pone non è “come procedere” alla comunicazione quando si presenta una violazione della sicurezza, bensì quello di “essere in grado” di effettuarla nei tempi strettissimi previsti (24 – 72 ore). Per poterlo fare, occorre formalizzare senza ritardo ruoli, responsabilità, politiche e processi, nonché costituire un team multidisciplinare pronto a svolgere analisi complesse in regime d’urgenza.
In ottica futura, si raccomanda di concepire l’organizzazione preposta alla comunicazione delle violazioni cyber alla FINMA, in maniera tale da renderla “scalabile” in vista dell’entrata in vigore del futuro obbligo (generale) di comunicazione e/o informazione delle violazioni di sicurezza nell’ambito della protezione dei dati personali.
La gestione delle violazioni di sicurezza secondo la LPD
La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che trattano professionalmente informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza, rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).
Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che comporta anche solo verosimilmente un rischio grave per la personalità e i diritti fondamentali della persona interessata. La comunicazione deve essere effettuata quanto prima. In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di apprezzamento. È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono il rischio e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento». Nella comunicazione occorre menzionare almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.
L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se lo richiede l’IFPD. Essa può avvenire anche tramite una comunicazione pubblica.
Onde risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.
Onde poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di allestire un “piano” calibrato sui rischi per gli interessati composto dei seguenti elementi:
Conclusione
Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo. La sicurezza assoluta non esiste, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme e ai livelli di diligenza applicabili al settore in cui si opera.
Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).
Occorre prepararsi ORA per affrontare crisi che per complessità e urgenza non permettono improvvisazioni.