ATTACCHI CYBER E RESPONSABILITA’

Visto il numero crescente di cyberattacchi, è importante valutare se gli amministratori di una società colpita da un attacco ransomware, ad esempio, abbiano delle responsabilità per negligenza nella mancata adozione di condotte volte a limitare il rischio.

Visto il numero crescente di cyberattacchi, è importante valutare se gli amministratori di una società colpita da un attacco ransomware, ad esempio, abbiano delle responsabilità per negligenza nella mancata adozione di condotte volte a limitare il rischio.

Molte norme e linee guida sono state pubblicate in questi anni proprio per supportare le organizzazioni in queste tipologie di rischio, come ad esempio le “Linee guida per la sicurezza informatica per le PMI” pubblicate dal United Nations Interregional Crime and Justice Research Institute (UNICRI), o il recente “ECB Banking Supervision: Risk Assessment for 2019”, un documento ufficiale della Banca Centrale Europea che ha individuato proprio l′informatica come uno dei settori con i più alti fattori di rischio per probabilità e impatto nelle grandi organizzazioni.

Il Consiglio di Amministrazione di società, soprattutto in caso di aziende quotate, deve monitorare le azioni intraprese per prevenire un cyberattacco e adottare prontamente le azioni correttive.

L′art. 6 del D.Lgs. 231/2001, difatti, tra gli elementi necessari affinché un ente possa non rispondere di un reato commesso da un soggetto in posizione apicale, annovera il seguente requisito: “il compito di vigilare sul funzionamento e l′osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell′ente dotato di autonomi poteri di iniziativa e di controllo”.

Il compito proattivo del c.d. OdV consiste, quindi, nell′effettuare una sorta di stress test di procedure e protocolli interni (che assieme costituiscono il Modello di organizzazione, gestione e controllo), volti a prevenire la commissione di reati all′interno dell′azienda.

Quali sono dunque le azioni che le aziende devono intraprendere al fine di tutelarsi in caso di danno (e di prevenirlo)?

• Svolgere periodici penetration test e analisi dello stato di maturità delle misure tecniche e organizzative adottate per ridurre il cyber risk;
• Aumentare la formazione rivolta al personale (il 95% dei cyberattacchi avvengono a causa di un errore umano. Ad esempio, un dipendente che ha cliccato su di un′e-mail di phishing, che utilizza sempre le stesse credenziali di autenticazione per account lavorativi e privati o che collega i dispositivi aziendali a chiavette USB o siti da cui il threat actor può entrare nei sistemi)
• Realizzare e testare un incident responde plan
• Adottare una polizza assicurativa a copertura del rischio cyber che possa minimizzare gli effetti economici negativi sull′aziende e consentirgli di fare affidamento sui sistemi di incident response e sui consulenti del panel delle compagnie assicurative.

Le società devono quindi essere in grado dimostrare di aver adottato tutte le misure richieste dalla normativa privacy e in materia di cybersecurity tramite un programma di cybersecurity compliance che richiede sofisticate conoscenze sia legali che tecniche, visto l′onere della prova sarà sull′azienda.

Se un organizzazione subisce un cyberattacco di notevoli dimensioni l′amministratore delegato, il direttore generale e il Consiglio di Amministrazione sono quindi immediatamente coinvolti.

Dal punto di vista assicurativo, oltre alla polizza cyber è possibile ricorrere alla polizza per la tutela legale.
Tale copertura consentirebbe di ottenere un sostegno economico e consulenziale messo a disposizione dalla compagnia assicurativa.

Non tutte le polizze però sono uguali, per questo affidarsi ad esperti del settore che sappiano indirizzarti verso la scelta più idonea più fare la differenza.

Cosa aspetti allora? Per maggiori informazioni clicca qua e richiedi la tua consulenza gratuita.