I mercoledì della privacy: conoscere le basi della sicurezza informatica per evitare sanzioni e risarcimenti

L'amministratore di condominio deve possedere una conoscenza informatica idonea rispetto al lavoro che svolge e di aver attuato quelle procedure tecniche ed organizzative che siano in grado di mitigare i rischi connessi anche agli attacchi hacker sul proprio sistema informatico. Una lezione sul punto ci viene fornita dalla recente sentenza della Cassazione 7214 del 13 marzo 2023, la quale ha evidenziato come, in caso di phishing, l'errore dell'utente possa avere una connotazione colposa tale da esonerare, in questo caso, l'istituto di credito dalla responsabilità risarcitoria.

La vicenda in questione riguardava una coppia di signori intestatari di un conto di Bancoposta presso Poste Italiane sul quale era stato fatto un addebito di 6.000,00 euro grazie ad un bonifico eseguito per via telematica da un terzo, il criminale informatico, appunto. I due hanno disconosciuto l'operazione bancaria, che però era stata effettuata utilizzando le loro credenziali di accesso. Per i giudici è stata negata ogni responsabilità in capo alla banca, ed è stata invece riconosciuta la causa esclusiva dell'addebito alla condotta colposa dei ricorrenti, che avevano imprudentemente e negligentemente consentito al truffatore informatico di entrare in possesso dei codici personali, verosimilmente rispondendo a una e-mail fraudolenta.

Per quanto riguardava la condotta di Poste Italiane, infatti, è risultato che i livelli di sicurezza adottati dalla società fossero tali da impedire accessi illeciti ai dati dei correntisti da parte di terzi, tanto che i sistemi risultano essere certificati secondo gli standard internazionali.La Cassazione, quindi, giungeva alla conclusione di confermare la sentenza della Corte d'appello, che aveva negato il risarcimento ai ricorrenti per via della loro condotta colposa.Il ragionamento che è posto a fondamento delle sentenze e di merito e ribadito dalla Suprema corte in fase di legittimità, rappresenta come le modalità con cui si verifica la truffa e il comportamento dell'utente non sono affatto irrilevanti, anzi.

Vero è per giunta che, nel caso degli istituti di credito, l'onere della prova sulla negligenza o imprudenza dell'intestatario del conto ricade sull'istituto di credito, mentre, laddove vi fosse un phishing e danneggiati fossero i condòmini, non vi sarebbe neppure inversione dell'onere della prova, ricadendo quest'ultimo totalmente in capo al responsabile del trattamento amministratore. Analizzando poi l'orientamento del giudice di legittimità, in quanto elemento soggettivo, rilevano certamente anche le qualità personali dell'utente. Così, ad esempio, il giudice ha concluso che se la vittima della truffa fosse un soggetto particolarmente qualificato (ad esempio un avvocato), questi avrebbe dovuto riconoscere le anomalie nella comunicazione che potevano fargli presumere la sua natura truffaldina (Tribunale di Napoli, sentenza 10743 del 30 novembre 2022).

Le stesse competenze “qualificate”, senza dubbio, le dovrebbe avere l'amministratore di condominio che, nella sua attività di mandatario, tratta in maniera continuativa i dati personali dei condòmini e, in determinate circostanze, anche quelli particolari (ex sensibili), come nei casi di dipendente iscritto in un sindacato (la sigla di appartenenza sindacale è considerata specificatamente dato sensibile), oppure nel caso di gestione di sinistri con lesioni o, ancora, laddove debba svolgere una pratica per l'abbattimento delle barriere architettoniche.

Se dal provvedimento emesso dalla Cassazione si evince come anche il semplice utente deve mostrare di possedere quelle conoscenze base a livello di sicurezza informatica, tali nello specifico di consentirgli di riconoscere ed evitare non certo il verificarsi di attacchi sofisticati, ma quanto meno alcuni segnali d'allarme diffusi come, nei casi in questione, il testo della mail pieno di errori di sintassi, o il link del mittente non riferibile all'istituto di credito, a maggior ragione deve ritenersi allarmato l'amministratore di condominio. Questi, si ricorda, opera o come titolare oppure, laddove nominato in forma scritta, come responsabile del trattamento dati.

La nomina in questione prevede, ai sensi dell'articolo 28 Gdpr, che si diano al titolare (condominio) quelle garanzie sufficienti in termini di misure tecniche ed organizzative che limitino il rischio (quindi anche quello informatico) sui dati personali trattati ma anche sui diritti e le libertà delle persone. È quindi necessario che l'amministratore abbia la consapevolezza sui rischi della rete per evitare di cadere vittima delle truffe, che sia adeguatamente formato sia lui che il personale del proprio studio, che abbia delle procedure e dei sistemi antintrusione a livello informatico tali da garantirgli di operare con una discreta sicurezza di non subire attacchi, quanto meno quelli più grossolani.

L'amministratore dovrà per giunta dimostrare l'accountability, ovvero di avere le prove documentali a supporto di questa attività di analisi dei rischi e delle contromisure adottate finalizzate a mitigare gli stessi. Dovrà anche essere in grado di rivedere periodicamente le procedure e i sistemi di sicurezza applicati, seguendo l'iter strutturale del Ciclo di Deming che impone di applicare in maniera continua le quattro fasi di «Plan – pianificazione», «Check -verifica»; «Do – Fare, mettere in pratica», «Act- controllare e rimodulare».I rischi connessi al mancato adempimento sono, quindi, sia di natura risarcitoria da parte del soggetto che si ritiene leso, sia di natura amministrativa in caso di controllo dell'Authority.