Il conflitto in Ucraina ha evidenziato che la sicurezza informatica rientra ormai a pieno titolo nella sicurezza nazionale. Quali sono le responsabilità di una banca in caso di attacco ransomware?
Gli attacchi ransomware, che oggi minacciano il business e la sicurezza aziendale, sono in cima alle preoccupazioni non soltanto degli addetti ai lavori, ma anche dei CEO e di coloro che siedono nei consigli di amministrazione e negli organismi di vigilanza.
Si tratta di attacchi informatici semplici, ma con il più immediato e devastante impatto per chi li subisce poiché comportano il blocco completo dell’attività per giorni – in alcuni casi settimane – e, sempre più spesso, anche la fuoriuscita pubblica di informazioni riservate dell’azienda, come le e-mail dei membri del board, i piani di sviluppo, il know-how pregiato.
Banche in prima linea
Non deve stupire, allora, che proprio mentre i media internazionali tenevano alta l’attenzione su quanto sta accadendo in Ucraina, i primi soggetti ad essere stati colpiti da attacchi cyber siano state proprio le banche, operatori ormai in “prima linea” all’interno di qualsiasi conflitto internazionale e al vertice della lista degli obiettivi di ogni Stato e di tutte le organizzazioni criminali.
Attenzione alta
Un allarme chiaro è stato lanciato da tempo dai nostri servizi segreti, che da anni, attraverso la loro Relazione sulla Politica dell’Informazione per la Sicurezza, segnalano questa minaccia al Parlamento e ai cittadini in maniera sempre più marcata, così come evidenziano la rilevanza che essa ha soprattutto per il settore bancario, il quale, anno dopo anno, fa registrare percentuali davvero preoccupanti nelle classifiche dei soggetti più attaccati. Del resto, anche l’Unione europea è da sempre particolarmente attenta al tema degli attacchi ransomware, soprattutto nei confronti del sistema bancario e finanziario. L’ENISA, ovvero l‘Agenzia per la cybersicurezza europea, nel suo ultimo Threat Landscape 2021 ha evidenziato come proprio i ransomware siano una delle minacce maggiormente in crescita nel Vecchio Continente e da seguire con la massima attenzione.
Le prime ore sono cruciali
Il nostro team dedicato alla Cybersecurity sa bene che le decisioni prese dal board nelle ore immediatamente successive ad un attacco ransomware possono compromettere irrimediabilmente sul piano del business, strategico e legale la mitigazione dei suoi effetti, la soluzione del problema e il ritorno alla piena operatività della banca.
La frenesia di quelle primissime ore, in realtà, necessita di “freddezza” e di un soggetto terzo esperto che possa supportare il più alto vertice decisionale della banca nell’analizzare la situazione complessiva e nel fare le scelte migliori per gli investitori e per l’operatività aziendale nell’arco di pochissimo tempo. In questo tempo, infatti, si deve decidere se comunicare l’incidente all‘Agenzia per la Cybersicurezza Nazionale (6 ore o 1 ora a seconda degli effetti dell’attacco), se notificare l’eventuale data breach al Garante per la protezione dei dati personali (72 ore), se attivare il contratto assicurativo e con quali tempistiche e modalità. Inoltre, è necessario coordinare la parte tecnica per comprendere cosa sia successo, decidere se e come approcciarsi all’organizzazione criminale e alla sua eventuale richiesta estorsiva di riscatto, capire di chi siano le responsabilità in caso ci sia l’assoluta esigenza di pagare quel riscatto ed effettuare le opportune valutazioni in relazione alla cosiddetta “normativa 231”.
Tutti questi temi molto complessi sotto il profilo strategico e legale, se mal gestiti, possono comportare anche delle rilevanti responsabilità.
Le possibili responsabilità
Un simile attacco, infatti, mette in discussione agli occhi delle autorità la capacità della banca di aver adottato le misure tecniche e organizzative più adeguate per assicurare la prestazione dei suoi servizi essenziali per gli interessi dello Stato e la loro continuità operativa, per proteggere le informazioni presenti nei sistemi informatici e i dati personali ivi trattati e per definire correttamente e in maniera efficace i protocolli di controllo e i presidi organizzativi sui processi e sulle attività sensibili identificate.
Per non parlare di ciò che potrebbe discendere in termini di responsabilità nel caso in cui si dovesse essere costretti a pagare il riscatto all’organizzazione criminale. Un tema, questo, particolarmente delicato e che, nell’attuale silenzio del legislatore, deve essere affrontato con estrema delicatezza e cautela. Questi sono solo alcuni degli esempi delle responsabilità che, nella nostra esperienza, discendono da un simile attacco e devono essere tenute in debita considerazione ad ogni passo e in ogni decisione, al fine di evitare i regimi sanzionatori, peraltro anche particolarmente gravosi, che il legislatore ha posto a presidio di questi imprescindibili obiettivi di protezione.
Un gioco di squadra
Nel settore del diritto applicato alla cybersecurity la chiave di volta è quella di saper essere equamente vicini sia al “cuore” che al “cervello” dell’azienda: parlare, quindi, sicuramente alla security e al legal, ma anche al board, al general counsel e all’Organismo di vigilanza, sapendo mantenere per ciascuno di essi il giusto linguaggio, nella consapevolezza dei loro differenti obiettivi. Ciononostante, la sicurezza – a maggior ragione nelle situazioni di ‘crisi’, come quelle che discendono da un attacco ransomware – deve essere sempre considerata una responsabilità comune e un lavoro di squadra. Pertanto, deve impegnare tutti e tutti devono sentirsi egualmente in gioco, nel rispetto dei ruoli.
Questo articolo è stato pubblicato sul numero di marzo 2022 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
