Internet of Things e cybercrime: quali gli aspetti legali per le imprese?

Si prevede che l’Internet of Things conterà, entro il 2020, 50 miliardi di dispositivi connessi che raccoglieranno e scambieranno dati relativi agli utenti, alle loro vite, alle loro preferenze e gusti. Un contesto che darà potenzialmente vita non solo a problematiche in materia di trattamento dei dati personali, ma anche a rischi relativi ad eventuali crimini informatici (il c.d. cybercrime) che richiederanno l’adozione di un più alto livello di cybersecurity da parte delle imprese.

Ho già discusso in questo articolo delle misure da adottare in relazione alle questioni legate agli obblighi dettati dalla normativa in materia di trattamento dei dati personali con riferimento all’Internet of Things. Tuttavia, come già descritto in questo articolo, l’Internet of Things potrebbe creare nuove opportunità per gli hacker, capaci di bypassare le misure di sicurezza adottate con riferimento, ad esempio, alle wearable technologies, ai sistemi di telemedicina ma anche dei dispositivi intelligenti del nostro termostato e della nostra auto commettendo dei crimini informatici.

The-Internet-of-Things-InfographicIl problema è stato di recente affrontato anche dal Governo con l’adozione del Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica che prevede, tra gli altri, la possibile modifica delle fattispecie relative ai reati informatici al fine di meglio adattarli all’evoluzione tecnologica che necessariamente comprende nuove tipologie di accessi non autorizzati.

In aggiunta a quanto indicato in precedenza, un possibile cybercrime che derivi dall’accesso a dati personali raccolti in una banca dati ivi compresi, ad esempio, i dati relativi allo stato di salute raccolti tramite tecnologie indossabili, ma anche dati raccolti dai produttori di auto, di elettrodomestici o in generale dispositivi da utilizzare in casa, tecnologie relative all’eHealth e alla telemedicina e dati raccolti dalle banche sui propri utenti, può dare vita a responsabilità a carico dei soggetti che agiscono quali titolari del trattamento di tali banche dati. E in tal caso, l’onere della prova circa l’adozione di ogni possibile misura volta ad evitare la perdita dei dati derivante dal cybercrime sarà a carico proprio di detti titolari del trattamento poiché la normativa italiana prevede un’inversione dell’onere della prova per le violazioni in materia di trattamento dei dati personali creando i presupposti per una situazione che potrebbe definirsi di “probatio diabolica“.

Inoltre, qualora si verifichi la cosiddetta data breach (i.e. la violazione di misure di sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali in una banca dati), gli obblighi di notifica al Garante per il Trattamento dei dati Personali al momento rappresentano un obbligo unicamente per i fornitori di servizi di comunicazione elettronica. Tuttavia diventeranno un obbligo per qualsiasi titolare del trattamento (e quindi ogni soggetto che gestisca una banca dati) a seguito dell’entrata in vigore del nuovo Regolamento in materia di trattamento dei dati personali già adottato dal Parlamento europeo. E tale estensione sarà affiancata da un aumento delle sanzioni in caso di violazione della normativa sul trattamento dei dati personali fino al 5% del fatturato globale del gruppo di appartenenza del titolare del trattamento.

Questi obblighi rappresentano una preoccupazione non solo per le società europee ma anche per quelle non europee quali ad esempio le società americane che raccolgono dati personali di utenti europei in quanto il sopra richiamato regolamento europeo troverà applicazione nei confronti di chiunque tratta dati personali di utenti situati nella Comunità europea.

internet-of-things-IoTSi sono verificati sulla base di recenti stime 1.150 attacchi informatici a livello globale nel 2013 di cui 35 in Italia con danni annuali tra i 20 e i 40 miliardi di euro nel Belpaese. Non sorprende, quindi, che le compagnie assicurative stiano offrendo sempre più la copertura assicurativa relativa alla c.d. cybersecurity. La crescita dell’Internet of Things e l’aumento della necessità da parte delle società di fare affidamento sui big data, o in generale su vaste banche dati, comporta un rischio che sempre più spesso le società decidono di coprire tramite una polizza assicurativa ad hoc.

Allo stesso modo, il fatto che la legge italiana abbia esteso il regime di responsabilità penale delle persone giuridiche (la c.d. responsabilità 231) anche ai danni informatici, comporta che le società siano sempre più esortate ad adottare un modello organizzativo interno (il c.d. modello 231) volto a minimizzare i rischi penali anche qualora si sia vittima di un cybercrime che comporti la perdita, alterazione o accesso non autorizzato ai dati dei propri clienti.

E’ un argomento di cui sentiremo parlare molto nei prossimi anni, ma rispetto al quale le società dovrebbero sin da ora preoccuparsi di adottare le adeguate cautele.

 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here