Oggi parliamo di un argomento aperto ormai da tempo ma che ancora soffre per la mancanza di un quadro normativo di riferimento chiaro ed affidabile: la responsabilità civile in ambito IT.
Per gli amanti della dietrologia sarà un’amara sorpresa scoprire che una volta tanto l’Italia non è il solo Paese a non aver ancora risposto alla sfida, trovandosi in compagnia di nazioni che tradizionalmente reagiscono in modo pronto e puntuale. Ma quando si parla di tecnologia, e lo sappiamo benissimo, è difficile stare al passo coi tempi, specie perché una legge richiede mesi di lavoro (se non anni) mentre il progresso sposta l’orizzonte un po’ più in là ogni giorno.
All’interno dello stesso ambito, quello tecnologico appunto, è peraltro facile individuare diversi ambiti di applicazione che spesso non hanno niente in comune e vedono l’intervento di professionisti con un diverso background:
– Proprietà intellettuale (legal),
– Conformità del prodotto (quality assurance),
– Sicurezza ed accesso ai dati (cybersecurity),
– Privacy
Sono solo alcuni degli aspetti rilevanti su cui potremmo soffermarci e ciascuno meriterebbe una guida dedicata.
Domanda da un milione di dollari
Un sito internet può essere considerato come una testata giornalistica? Dipende dal paese dove risiede il service provider. Se si guarda oltralpe, ai nostri vicini di casa francesi, in occasione del caso Hallyday la modella Estelle Lefbure, moglie del figlio del cantante Jonny Hallyday appunto, aveva agito contro un sito internet sul quale erano apparse sue foto un po’ piccanti; ponderate argomentazioni e controargomentazioni dell’una e dell’altra parte il Conseil Constitutionel (l’equipollente della nostra Corte Costituzionale) aveva concluso che le tutele previste per la stampa non si applicavano ai siti web, per i quali sussisteva invece una responsabilità oggettiva di editore e direttore per gli eventuali illeciti commessi dagli utenti.
[adrotate banner=”1″]
La giurisprudenza francese è abbastanza ricca di pronunce che aiutano a ricostruire un quadro chiaro della situazione mentre nel nostro paese le poche -seppur importanti- sentenze definiscono uno schema leggermente più frammentario.
In particolare leggendo in modo sistematico una sentenza del Tribunale di Napoli ed una del Tribunale di Macerata, è possibile affermare che coesistono non solo la responsabilità dell’utente (quale autore del fatto illecito) e dell’amministrazione del sito web (quali editori/direttori della ‘testata’) ma anche del provider il quale deve far sì che tramite gli strumenti messi a disposizione non vengano perpetrati atti illeciti.
Tutti responsabili quindi, ognuno per la propria ‘quota’, e tutti ugualmente esposti al rischio di vedersi rivolgere una richiesta di risarcimento. All’utente anonimo, o che si è registrato con credenziali fasulle, capirete bene, non importerà molto, è un ‘piazza la bomba e scappa’, mentre agli admin e al provider interesserà sicuramente di più perché si ritroveranno la stessa bomba tra le mani.
Sicurezza informatica, il gioco delle parti
Quando invece si parla di sicurezza degli asset informatici, l’attenzione si sposta sempre di più sulla conservazione dei dati, e più è sensibile il dato più è alto il livello di attenzione. In tempi recenti le fughe di queste informazioni conquistano le luci dei riflettori con grande facilità, paradossalmente sono le foto compromettenti delle star a fare maggiormente notizia, delle sottrazioni -ben più preoccupanti- di dati relativi ad account di posta elettronica, o le sottoscrizioni a servizi come Ashley Madison, mentre la diffusione di interi database contenenti account di posta elettronica o mezzi di pagamento come carte di credito.
Anche in questo ambito ad essere chiamati puntualmente in causa sono i fornitori dei servizi, per verificare se il cybersecurity framework adottato è idoneo per il servizio offerto: gli strumenti di sicurezza attiva e passiva sono in grado di identificare le possibili minacce e proteggere da esse gli asset potenzialmente appetiti? Sono in grado di rilevare eventuali attacchi e di rispondere prontamente ed efficacemente? Sono in grado di ripristinare una situazione ante-crisi?
Abbiamo rivolto qualche domanda al team di RCPolizza.it, un portale di comparazione specializzato in Polizze Professionali, per capire bene quali sono i rischi che ad oggi corrono quanti di noi si trovino a lavorare nel settore IT.
«L’evoluzione tecnologica si muove a doppia velocità, basti pensare che molto spesso la vera contesa è tra white e black hat hacker, uno va a caccia di falle per approntare un rimedio, l’altro per trarne un profitto; nel campo di tensione tra i due si trovano i service provider che devono essere sempre pronti a proteggere i propri utenti per non incorrere in sanzioni e per non veder piovere le richieste di risarcimento.»
Risarcimento per?
«Beh la difesa della proprietà intellettuale -per esempio- è uno dei molti argomenti scottanti del nostro tempo, basta offrire un qualunque servizio senza approntare un disclaimer ben strutturato, o senza proporre delle condizioni generali di contratto esaustive, per creare un danno al titolare di una foto, di un testo, di un brano e a quel punto -giustamente- il soggetto danneggiato avrà pieno diritto ad un risarcimento. Il frutto del suo lavoro è stato compromesso da una gestione non regolare del materiale, quindi è il service provider a doverne rispondere.»
Ma il rischio è concreto?
«È un po’ come guardare le previsioni del tempo, vedere che probabilmente pioverà e scegliere se portarsi o meno l’ombrello: purtroppo quando nasce una contesa tra interessi contrapposti (un service provider e un terzo, mettiamo) a distillare la legge astratta in un precetto applicabile al caso concreto è il singolo giudice, il quale fa -tornando alle figure retoriche meteo- il buono e il cattivo tempo. L’assicurazione professionale servizi informatici è certamente un costo da aggiungere ai molti costi di gestione di un’attività commerciale, così come l’ombrello è un ingombro da portarsi appresso, quando però viene a piovere quello che esce con l’ombrello si bagna meno di chi deve correre e cercare riparo sotto un tetto. E tornando al caso concreto, stiamo parlando di godere di una copertura assicurativa che può essere più o meno estesa, includendo solo le attività principali o anche le funzioni ancillari.»
Non so dire quale sia la situazione climatica dalle vostre parti ma questo blog gode di un certo credito, e l’idea che il nostro lavoro possa essere messo in discussione dall’attività di un singolo user, o di una persona che ha troppo tempo da perdere e cattive intenzioni, desta non poca preoccupazione, quindi c’è solo da scegliere se vogliamo essere quelli con l’ombrello o quelli fradici di pioggia.