Nessuna polizza cyber se non si è compliant

Il rischio cyber si intreccia con la tutela della riservatezza dei dati. Il prezzemolo della competenza necessaria, però, sembra dimenticato.

Da mesi, oramai, vi è un crescendo di attenzione quasi spasmodica, soprattutto su internet, sul tema della privacy e dei rischi connessi. Navigando in rete, troviamo eserciti di persone che si improvvisano esperti in tema di sicurezza dei dati, andando a inflazionare una professione alquanto delicata che invece richiederebbe specifiche esperienze e conoscenze tecniche e giuridiche.

Si è fermi alla concezione che, finché tutto va bene, i responsabili della sicurezza siano perfetti per il solo svolgere operazioni e attività di ordinaria amministrazione. Non appena accade un incidente o un data-breach (e quindi una violazione degli archivi elettronici zeppi di informazioni personali) gli stessi security manager (che fino ad allora non avevano meritato note di biasimo) sono i primi a metter la testa sul ceppo per una decapitazione virtuale dalle conseguenze nefaste per la carriera o l’impiego degli interessati. Una situazione loss-loss che non va a beneficio di nessuno.

Il problema di fondo è che si pensa sempre a mettere una toppa e mai a vedere la privacy & cyber security come un campo in cui investire a lungo termine. Nessuno considera quanto sia fondamentale una corretta impostazione di questi due aspetti della vita aziendale anche ai fini assicurativi. La mancata conformità a determinate prescrizioni di legge è il primo ostacolo alla stipula di qualsivoglia contratto per la copertura da determinati rischi che fanno perno sui dati personali.

Il nuovo Regolamento generale sulla protezione dei dati prevede che tutte le aziende mettano in campo ogni misura tecnica e organizzativa adeguata a garantire che il trattamento sia allineato a quanto definito dalla disciplina comunitaria. Un’adeguatezza appunto, richiamata negli articoli 24 e 32 dello stesso Gdpr, che lascia ampi margini di interpretazione.

L’investimento (di risorse e di tempo) deve cominciare con l’individuazione di persone esperte che formino il personale interno, che prevedano delle misure atte a fronteggiare qualsiasi evenienza, che si impegnino costantemente e attivamente per la sicurezza dell’azienda. Occorre immaginare un livello di sicurezza non solo passivo, o per così dire standardizzato, ma tagliato su misura per le dimensioni e i rischi di ogni specifica realtà aziendale.

È importante pensare all’adozione di modelli di gestione e organizzazione, intrufolandosi immaginariamente nella testa dei possibili criminali per analizzare le vulnerabilità e prevenire i colpi bassi. Occorre adottare politiche aziendali volte a difendere da ogni minaccia e, seppure colpiti, a innescare la prevista dinamica di comunicazione. Entro 72 ore si devono avvisare i soggetti interessati e l’Autorità di controllo (il Garante) per evitare di incorrere in sanzioni che potrebbero minare lo sviluppo della propria impresa e pregiudicarne l’attendibilità.

Il danno dobbiamo vederlo, come ci l’hanno insegnato il Torrente, il Trabucchi ed ogni altro manuale di diritto privato, sia come danno emergente che come lucro cessante, nelle due vesti di danno materiale e di un nocumento che potremmo definire morale: non sarà tanto quello fisico che subirà direttamente l’azienda ma piuttosto la perdita di credibilità sul mercato, la mancata fiducia che riporranno i clienti nella stessa, i contratti che i fornitori o gli acquirenti chiederanno di risolvere per giusta causa.

Prevenire è meglio che curare. Una tutela a 360 gradi richiede un’assicurazione adatta, tagliata a misura, capace di coprire ogni evento inaspettato, imperizia, imprudenza e negligenza, capace di garantire il risarcimento del danno. Ma una polizza del genere deve trovare un quadro di situazione che lasci poco margine all’imprevedibilità e che dimostri l’adozione di tutte quelle iniziative che buon senso ed esperienza impongono.

Un gatto che si morde la coda? Niente affatto. È solo un problema di cultura. E non è un problema da poco.