Autore: AutoreA

Vi è mai capitato di ricevere messaggi commerciali non autorizzati su LinkedIn? Promozioni, offerte o altro provenienti da contatti che vogliono solo pubblicizzare i loro servizi?
Se la risposta è sì e trovate la pratica fastidiosa, sappiate che già nel 2013 il Garante aveva pubblicato delle linee guida contro lo spam via social network. Le regole sono tuttora valide, ma troppo spesso vengono ancora eluse.

E infatti il Garante si è espresso nuovamente in materia di recente, sanzionando una piccola agenzia immobiliare rea di aver contattato tramite LinkedIn una utente, senza alcuna conoscenza pregressa né tantomeno avere il consenso all’invio di messaggi commerciali.

MESSAGGI COMMERCIALI SU LINKEDIN, IL CASO

Il messaggio inviato dall’agenzia riguardava l’offerta di specifici servizi riferiti a un immobile di proprietà della signora contattata. L’agenzia era riuscita a scovarla usando dati ricavati dal registro del catasto.

La signora si è allora rivolta al Garante e quest’ultimo, dopo svariati solleciti, ha raccolto le motivazioni dell’agenzia immobiliare, che riportiamo di seguito:

– l’esistenza del profilo LinkedIn della signora comportava l’autorizzazione a essere contattata da altri utenti;
– l’agenzia immobiliare riteneva di avere il diritto di contattare la signora tramite il servizio di messaggistica di LinkedIn, dopo aver verificato che fosse proprio lei la proprietaria dell’immobile;
– il profilo social della signora sarebbe stato impostato per essere in grado di ricevere messaggi da qualunque altro utente di LinkedIn;
– la conversazione tra le parti è avvenuta in modalità riservata one-to-one tra la signora e l’incaricato dell’agenzia.

L’OPINIONE DEL GARANTE

Il Garante ha rigettato tali giustificazioni.
Infatti:

– l’iscrizione di un utente a un social network sottosta alle condizioni di contratto della piattaforma, soprattutto per quanto riguarda il trattamento dei dati degli iscritti. Nel caso in oggetto, il Garante afferma che LinkedIn

«ha come finalità quella di mettere in contatto individui che condividono gli stessi interessi professionali, per favorire lo scambio di conoscenze o le opportunità lavorative»

e non quella di

«inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi anche se in ciò consiste, evidentemente, la propria attività lavorativa»;

– il contatto a scopo commerciale non era lecito, nonostante il profilo dell’utente fosse disponibile a ricevere qualunque messaggio:

«non ha alcuna rilevanza il fatto che il profilo di un utente sia aperto o meno alla ricezione di contatti da parte di altri utenti del network perché ciò che conta è la finalità – in questo caso promozionale – per cui il messaggio è inviato»;

– che il messaggio fosse privato non ha rilevanza, se non nel valutare il tipo di violazione (se il messaggio fosse stato pubblico e visibile da terzi, la gravità sarebbe stata maggiore);

– se la verifica della titolarità di un immobile è consentita per legge, non si può dire altrettanto dell’utilizzo di quel dato per l’invio di messaggi promozionali.
Si ricorda che, per quanto riguarda la liceità del trattamento dei dati personali, il riferimento normativo principale è l’art. 6 del GDPR.

AMMONIMENTO E SANZIONE

Nel quantificare la sanzione legata all’illecito, il Garante ha tenuto conto di vari aspetti legati alla società, come l’assenza di precedenti o il suo essere una “microimpresa”. Pertanto, ha comminato solo un ammonimento, senza alcuna sanzione pecuniaria.

La società è stata però punita con una sanzione pecuniaria di 5000€ per il suo comportamento non collaborativo. L’agenzia immobiliare ha infatti tardato a fornire le informazioni richieste ripetutamente dal Garante, che ha dovuto così ricorrere alla notifica tramite il Nucleo speciale privacy della Guardia di Finanza:

«il reiterato mancato riscontro ha comportato un appesantimento dell’attività istruttoria con la conseguente dilatazione dei tempi di definizione del procedimento e con aggravio di costi connessi alla necessità di inviare i militari della Guardia di Finanza per la notifica dell’atto. […] Non ha giustificato in alcun modo il proprio silenzio limitandosi a scusarsi per il ritardo solo dopo aver ricevuto la notifica dell’atto da parte della Guardia di Finanza e senza tuttavia fornire alcuna motivazione in merito alle mancate risposte».

Hai dubbi di essere in regola con il GDPR e la tutela dei dati personali? Scopri i servizi privacy di Servicematica.

——–

LEGGI ANCHE:

Numero di telefono del dipendente, telefono aziendale e questioni di privacy

Connessioni 5G tra crisi dei chip e gare d’appalto in ritardo

Il numero di telefono rientra tra i dati considerati personali. Un lavoratore è obbligato a comunicarlo al proprio datore?

COS’È UN DATO PERSONALE

I dati personali sono tutte quelle informazioni che permettono di identificare, in maniera diretta o indiretta, una persona fisica. Sono dati che possono rivelarne l’identità (fisica, biometrica, razziale, sessuale, politica, sociale, ecc.).

Il diritto alla privacy tutela questi dati, stabilendo che il loro utilizzo, comunicazione o divulgazione non può avvenire in assenza del consenso da parte del possessore.
Se ciò dovesse capitare, chi ha commesso l’illecito è passibile di sanzioni amministrative, civili e anche penali.

Il numero di telefono, fisso o mobile, è un dato personale perché permette di risalire al suo intestatario. Ogni numero di telefono è infatti abbinato in modo univoco a un soggetto.

NUMERO DI TELEFONO DEL DIPENDENTE, TUTTO DIPENDE DAL RUOLO

Diciamo subito che non esiste alcuna legge che imponga al lavoratore di comunicare al datore il proprio numero di telefono, fisso o mobile che sia. Ma il contratto collettivo nazionale di riferimento e dal regolamento interno all’azienda potrebbero richiederlo.

A fare la differenza è il ruolo del dipendente.
In particolare, vi sono 3 categorie di dipendenti sulle quali potrebbe ricadere l’obbligo di comunicare il numero di telefono:

– lavoratori con obbligo di reperibilità: in caso di necessità il lavoratore deve essere raggiungibile velocemente e facilmente;

– la rete commerciale: gli agenti tendono a passare la maggior parte del loro tempo dai clienti, quindi fuori dagli uffici;

– dirigenti: l’azienda potrebbe aver bisogno di contattare i dirigenti impegnati in viaggi per lavoro.

In tutti questi casi l’azienda potrebbe però fornire al lavoratore uno smartphone (e un numero di telefono) aziendale, svincolandolo dal dover comunicare il proprio numero personale.

PRIVACY IN CASO DI TELEFONO AZIENDALE

Dotare il lavoratore di un telefono aziendale apre però ulteriori scenari in termini di tutela della privacy.

Ancora nel 2018 il Garante ha espresso parere positivo alla verifica preliminare di un sistema per il controllo dei consumi telefonici aziendali proposto da una multinazionale.

L’azienda aveva l’obiettivo di ridurre i costi e rilevare anomalie nei consumi dei telefoni concessi ai dipendenti. Per farlo, aveva bisogno di alcune informazioni relative alle chiamate in uscita dei dipendenti. Questo però significava controllare le chiamate effettuate dai dipendenti e venire a conoscenza dei numeri di telefono in uscita e in entrata.

il Garante ha dunque prescritto:
– il trattamento di tali informazioni solo se necessarie, pertinenti e non eccedenti,
– il mascheramento delle ultime quattro cifre dei numeri delle chiamate in entrata e in uscita presenti nel registro chiamate del telefono aziendale,
–  l’anonimizzazione e la cifratura dei dati memorizzati,
– tempi di conservazione dei dati di massimo 6 mesi,
– divieto da parte dell’azienda di usare i dati relativi a eventuali “consumi anomali“ a fini disciplinari.

Hai dubbi di essere in regola con il GDPR e la tutela dei dati personali? Scopri i servizi privacy di Servicematica. 

——–

LEGGI ANCHE:

Si può controllare a distanza il computer del lavoratore, ma con dei limiti

Chiavette USB in azienda? Meglio non usarle

Le connessioni 5G rappresentano il futuro. Un futuro sempre più vicino: quest’anno sono più che triplicate, arrivando a 637 milioni nel mondo. Per il 2022 ci si aspetta un ulteriore raddoppio.

Tutto ciò nonostante la crisi dei chip che influenza il settore dei dispositivi elettronici.

LE CONNESSIONI 5G NEL MONDO

La società d’analisi CSS Insight prevede dunque che il prossimo anno le connessioni 5G saranno 1,34 miliardi a livello mondiale.

Sebbene la Cina sia il capofila in termini numerici e di sviluppo, la penetrazione maggiore si ha in Corea del Sud, dove le connessioni 5G rappresenteranno il 30% di tutte le connessioni mobile (in Cina ci si attende un 24%).

Anche gli Stati Uniti si posizioneranno bene, con un 25%.

L’Europa è invece un mercato in ritardo e si prevede che il 5G non coprirà più della metà delle connessioni mobile fino al 2024. Secondo CSS Insight ciò è dipende:

«dalle aste dello spettro ritardate in alcuni paesi, dalla lentezza del processo decisionale del governo sul ruolo di Huawei e dall’indebolimento della domanda di telefoni cellulari durante la pandemia».

IL 5G IN ITALIA

In Italia la copertura 5G ha raggiunto il 95% della popolazione italiana e oltre 7.500 comuni italiani, secondo la società di consulenza EY.

Ma attenzione: si parla di un 5G embrionale, basato sul potenziamento delle reti 4G e sulle frequenze della banda 3,5 Ghz. Le gare per il 5G vero e proprio devono ancora essere aggiudicate.

LA CRISI DEI CHIP

I chip sono elementi fondamentali per il funzionamento di qualsiasi dispositivo che abbia un minimo di elettronica: non solo smartphone e pc, ma anche automobili, lavatrici, dispositivi medici, ecc.

Alla base della crisi dei chip vi sono diverse cause tra le quali:
– il blocco delle attività nei siti di produzione a livello mondiale dovuta alla pandemia;
– l’accaparramento delle forniture da parte dei grandi colossi del tech a discapito di molte altre aziende;
– l’aumento della domanda di dispositivi tecnologici (non necessariamente smartphone);
– alcuni incidenti, come l’incendio all’impianto dell’azienda produttrice giapponese Renesas Electronics e l’arenamento della portacontainer Ever Given che ha bloccato per giorni il canale di Suez con effetti sulla logistica mondiale.

La mancanza di chip sta incidendo sulla produzione di dispositivi elettronici, tant’è che CSS Insight prevede che l’approvvigionamento di smartphone di fascia alta, come l’iPhone, sarà scarso anche durante il Natale, periodo tradizionalmente favorevole agli acquisti.
Questa carenza di dispositivi potrebbe avere un impatto sull’adozione del 5G, proprio perché mancheranno i mezzi per sfruttarlo.

GLI EFFETTI

Tutto ciò cosa significa? Che in Italia ci vorrà ancora del tempo prima di vedere il benefici del 5G applicati all’industria o ai servizi pubblici.

Per i privati invece molto dipenderà poi dalla disponibilità di smartphone compatibili con il 5G e, per quanto riguarda la linea casalinga, dall’accesso alla fibra: solo una connessione ad alta velocità è in grado di supportare il traffico di una grande mole di dati.

Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica. 

——–

LEGGI ANCHE:

Il Censis fotografa il rapporto degli italiani con internet e le tecnologie digitali

Chiavette USB in azienda? Meglio non usarle

La ricerca “La digital life degli italiani” realizzata dal Censis in collaborazione con Lenovo ci offre una fotografia del rapporto degli italiani con internet e le tecnologie digitali.

I dati sembrano incoraggianti, come ha sottolineato Stefano Quintarelli, Presidente Agenzia per l’Italia Digitale (Agid), nel corso della presentazione del rapporto:

« I dati del rapporto Censis testimoniano che l’Italia sta cercando di fare un passo avanti nel digitale e speriamo che questi numeri abbiano i loro effetti anche sull’indice DESI, che ogni anno ci vedo come fanalino di coda in Europa. Con la pandemia, abbiamo vinto tante ritrosie nel digitale, non solo da parte degli utenti, ma anche da parte dei fornitori di servizi.»

Nonostante ciò, permangano alcune zone d’ombra.

ITALIANI, INTERNET E TECNOLOGIE DIGITALI

In generale, il rapporto degli italiani con internet e le tecnologie digitali è buono: il 70,4% ritiene che la digitalizzazione abbia migliorato la qualità della loro vita, semplificando molte attività quotidiane.

La diffusione degli strumenti digitali è buono: il 73% degli utenti fa parte di famiglie in cui ogni membro ha un proprio dispositivo e il 74,4%  ne usa più di uno (smartphone, pc, laptop, tablet, smart tv, console di gioco). Il 71,1% dichiara poi di avere una connessione casalinga efficiente.

Anche l’uso di servizi cloud non è sconosciuto agli italiani: il 55,6% degli intervistati li utilizza. Le percentuali salgono tra i laureati (63,9%) e i dirigenti (77,5%).

USO DEI DISPOSITIVI PER LAVORO E PER MOTIVI PRIVATI

Il rapporto Lenovo-Censis mostra quanto il confine tra l’utilizzo di dispositivi digitali per motivi di lavoro e motivi personali sia labile.

Ben il 66% degli intervistati utilizza device personali per motivi di lavoro. La percentuale sale al 72,2% tra gli occupati laureati e raggiunge l’85% tra i lavoratori autonomi.

Ma è vero anche il contrario: il 26,9% degli occupati usa i dispositivi aziendali per motivi personali (tra i dirigenti la percentuale è del 39,8%).

Questo ci suggerisce che l’italiani tendano a sottovalutare i rischi legati alla sicurezza informatica e alla privacy dei dati sia personali che aziendali.

DIGITALIZZAZIONE DELLA PA

Quando si parla di internet e tecnologia, gli italiani hanno grandi aspettative verso la pubblica amministrazione. In particolare:

– l’85,3% dei cittadini si augura di poter a breve comunicare con gli uffici pubblici tramite e-mail,
– l’85% vorrebbe poter richiedere documenti e certificati online,
– l’83,2% desidera poter pagare online tasse, bollettini e multe.

Inoltre, vorrebbero poter conoscere i dati personali in possesso degli enti pubblici per evitare duplicazioni e poter accedere a tutti i servizi online con una sola password.

ANCORA DIFFICOLTÀ PER MOLTI

Non tutti gli italiani possono vantare un rapporto idilliaco con internet e le tecnologie digitali

Ben 4,3 milioni di utenti possiedono un dispositivo privo di connessione e 13,2 milioni hanno connessioni domestiche lente o malfunzionanti.

Ai problemi tecnici si aggiungono quelli “umani”.
Sono 24 milioni gli italiani che faticano a relazionarsi con il digitale. Questi i servizi che creano più difficoltà:
– piattaforme di messaggistica istantanea come WhatsApp (9 milioni),
– posta elettronica (8 milioni),
– social network (8 milioni),
– navigazione su siti web (7 milioni),
– servizi di streaming come Netflix (7 milioni),
– e-commerce (6 milioni),
– pagamenti online (5 milioni),
– app e piattaforme per videochiamate e meeting virtuali (4 milioni).

È possibile approfondire i dati leggendo la sintesi del rapporto “La digital life degli italiani” di Lenovo-Censis.

Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica. 

——–

LEGGI ANCHE:

Chiavette USB in azienda? Meglio non usarle

Si può controllare a distanza il computer del lavoratore, ma con dei limiti

Chiavette USB e dispositivi simili sono certamente strumenti comodi per archiviare file o trasferirli da un computer all’altro, ma possono rappresentare anche un rischio per la sicurezza aziendale. Per tale motivo, alcune realtà ne stanno già vietando l’uso.

La prima è stata IBM che, ancora a maggio 2018, ha introdotto il divieto tra le sue policy di sicurezza a livello internazionale.

CHIAVETTE USB E ALTRI DISPOSITIVI: TANTI RISCHI DIVERSI

I rischi connessi all’uso di dispositivi USB sono molteplici. Vediamone alcuni.

1) Trasferimento di virus informatici

Le chiavette USB sono un mezzo molto utilizzato per spostare file da un computer all’altro in mancanza di una connessione internet, se non si vogliono usare le email o se non si ha uno spazio di archiviazione in cloud che permetta a più utenti di accedere al medesimo documento.

Tra i file trasportati ce ne potrebbe però essere uno infetto che, una volta copiato sul nuovo computer, propagherebbe il virus all’interno dispositivo ed eventualmente anche agli altri connessi alla rete aziendale.

Questa possibilità diventa più reale quando la chiavetta USB aziendale è utilizzata anche per attività private.

2) Attacchi hacker

Si potrebbe pensare che non aprire file di cui non si è certi azzeri i rischi. In realtà, come spiega AGV:

«la maggior parte delle volte, i produttori non proteggono il firmware, il che significa che gli hacker più astuti possono riprogrammarli in modo da renderli più efficienti e pericolosi.
Il modo più comune per farlo è riprogrammare l’unità USB per scaricare automaticamente il malware in qualsiasi dispositivo collegato, anche prima di aprirlo. In questo caso, nel momento stesso in cui colleghi il dispositivo, sei a rischio.»

I cybercriminali che vogliono entrare nei sistemi aziendali o danneggiarli hanno dunque nei dispositivi USB un valido alleato.

Sempre AGV spiega che esistono molte forme di attacco informatico tramite USB:
• prendere il controllo della tastiera e svolgere operazioni che l’utente non farebbe,
• registrare quali tasti l’utente preme e utilizzare i dati così raccolti in modo illecito,
• impiantare hardware, per esempio un ricevitore radio per spiare,
• modificare file,
• collegarsi alla webcam e registrare l’utente,
• trasmettere le attività dell’utente rendendole pubbliche,
• distruggere il dispositivo tramite impulso elettrico.

3) Smarrimento e furto

Nel caso in cui un dipendente perdesse un dispositivo USB aziendale è impossibile sapere in quali mani potrebbe finire. Altrettanto impossibile è sapere che uso potrebbe fare dei dati sensibili in esso contenuti il soggetto che recupera il dispositivo.

In caso di furto, le probabilità di un uso dannoso per l’azienda aumentano.

Il GDPR, il Regolamento Europeo sulla protezione dei dati personali, considera lo smarrimento di chiavette USB e strumenti simili una violazione alla sicurezza (Data Breach) che va denunciato.

4) Usura e rottura

Soprattutto le chiavette USB sono soggette a usura e dopo qualche anno di scrittura e riscrittura la loro efficienza cala. Ciò significa che i dati salvati al suo interno potrebbero improvvisamente non essere più accessibili o esserlo solo in parte.

Nel caso in cui il dispositivo si rompesse, i dati sarebbero persi per sempre.

5) Infedeltà aziendale

Le chiavette USB sono il mezzo preferito dai dipendenti infedeli che decidono di rubare dati aziendali in grande quantità per poi venderli o usarli a proprio vantaggio professionale.

COSA FARE PER PROTEGGERSI

Per evitare situazioni spiacevoli, il primo consiglio è proprio quello di evitare l’uso delle chiavette USB. O almeno limitarlo alle circostanze in cui non vi fosse alternativa.

In questo caso, meglio fornire ai dipendenti chiavette con una memoria ridotta e limitarne l’uso solo all’interno dell’azienda. Ciò significa che nessuna chiavetta aziendale deve uscire e nessuna chiavetta privata deve entrare.

Inoltre, è bene stabilire con il reparto IT delle linee di buona condotta da condividere con il personale a proposito della manutenzione dei dispositivi.

Va ricordato che tra i dispositivi USB forieri di pericoli vi sono anche gli smartphone personali. Grande attenzione va dunque posta nel caso in cui si volesse connettere uno smartphone a un pc aziendale.

Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica. 

——–

LEGGI ANCHE:

Si può controllare a distanza il computer del lavoratore, ma con dei limiti

Attacco ransomware a un ospedale e danno da mancata cybersicurezza

In tempi di smart working ci si chiede ancor di più se il datore di lavoro possa controllare a distanza il computer aziendale dato al dipendente. La risposta è sì, ma la Cassazione indica alcuni limiti per tutelare la privacy.

IL CASO

Un datore accede al computer aziendale affidato a una dipendente e scopre che questa, durante l’orario di lavoro, ha navigato sul web per motivi personali per un tempo tale da interrompere lo svolgimento delle proprie mansioni. Inoltre, ha scaricato un virus che ha intaccato la rete dell’azienda, criptandone i file e rendendoli inutilizzabili.

Il datore contesta alla dipendente un illecito disciplinare e, successivamente, decide di licenziarla.

La dipendente porta la questione fino in Corte di Cassazione, adducendo la violazione e la falsa applicazione dell’art. 2119 c.c. e dell’art. 4 L. N. 300/1970 “per aver ritenuto utilizzabili a fini disciplinari e comunque dimostrabili le informazioni acquisite in violazione dei diritti di informativa e dei diritti stabiliti dal codice della privacy”.

BILANCIARE TUTELA DELLA PRIVACY E POTERI DEL DATORE

La questione si impernia dunque non tanto sulla condotta della dipendente, ma sul bilanciamento tra il diritto alla privacy di questa e il potere di controllo da parte del datore di lavoro.

La domanda da porsi è: quando il datore ha acquisito le informazioni che hanno “smascherato” la dipendente?

Con la sentenza n. 25732 del 22 settembre 2021, la Cassazione spiega infatti che:

«il controllo ex post non può riferirsi all’esame e all’analisi di informazioni acquisite, in violazione delle prescrizioni di cui all’art. 4 St.Lav., prima dell’insorgere del “fondato sospetto” […].
Il datore di lavoro, infatti, potrebbe, in difetto di autorizzazione e/o di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire per lungo tempo e ininterrottamente ogni tipologia di dato, provvedendo alla relativa conservazione, e, poi, invocare la natura mirata (ex post) del controllo incentrato sull’esame e analisi di quei dati».

Ricordiamo che l’art.4 dello Statuto dei Lavoratori è dedicato agli impianti audiovisivi e agli altri strumenti di controllo dei dipendenti.

OK CONTROLLARE A DISTANZA, MA NON TUTTI I DATI SONO VALIDI

La conclusione della Cassazione è che:

«Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto. Non ricorrendo le condizioni suddette la verifica della utilizzabilità a fini disciplinari dei dati raccolti dal datore di lavoro andrà condotta alla stregua della L. n. 300 del 1970, art. 4, in particolare dei suoi commi 2 e 3».

In sostanza, un datore può controllare a distanza il computer aziendale affidato a un dipendente, nel caso in cui sospettasse un illecito, senza seguire quanto previsto dall’articolo 4 dello Statuto dei Lavoratori, ma i dati che può raccogliere sono solo quelli successivi all’insorgere di tale sospetto. Tutti i dati sull’attività del dipendente prima dell’insorgere del sospetto non possono essere né acquisiti né usati per giustificare eventuali azioni.

Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica. 

——–

LEGGI ANCHE:

Triste primato per l’Italia: seconda in EU per numero di cyber attacchi

Decreto Capienza e trattamento dati personali: Garante della Privacy scavalcato

Cosa succede se un attacco ransomware e la mancata cybersicurezza causano un danno irreparabile o la morte di un paziente?

Nel 2019 un ospedale in Alabama è vittima di un attacco ransomware i cui effetti si protraggono per diversi giorni.

Proprio in quei giorni una donna si reca all’ospedale per partorire ma una complicanza procura alla neonata un danno celebrare e, qualche mese dopo, la morte.

La madre fa causa all’ospedale, sostenendo che al momento del parto le apparecchiature per monitorare il battito fetale e altre strumentazioni importanti fossero fuori uso e che proprio questo abbia impedito ai medici in sala parto di accorgersi dei problemi in corso e scegliere di praticare un cesareo, evitando o almeno limitando i danni alla neonata.

Secondo la madre, l’ospedale è responsabile di tutti i disservizi causati dall’attacco ransomware e di non averla avvisata della situazione critica generata dall’attacco.

L’ospedale sostiene invece che:

• – la situazione fosse sotto controllo,
• – il giorno del parto fosse stato diffuso un avviso a proposito dell’incidente informatico,
• – stesse al singolo medico decidere se avvisare o meno i pazienti dell’incidente,
• – non assistere i pazienti li avrebbe esposti a un rischio maggiore di quello connesso agli effetti residui dell’attacco.

QUAL È IL VERO PROBLEMA

A sostegno di quest ultimo dettaglio vi è un caso precedente.
Un’anziana viene colta da aneurisma e trasportata in ambulanza all’ospedale di Dusseldorf, in Germania, ma il reparto che dovrebbe accoglierla è chiuso proprio a causa di un attacco ransomware. La donna viene allora trasportata in un altro ospedale, a un’ora di strada di distanza, ma appena arriva muore.

In sostanza, in caso di attacchi ransomware a un ospedale, accogliere o non accogliere i pazienti comporta in ogni caso grandi rischi.

Il processo sulla morte della neonata si concentra su una questione specifica: doveva l’ospedale informare o meno la donna a proposito della situazione? Se, una volta informata, la donna avesse deciso di partorire da un’altra parte, i danni alla bambina davvero sarebbero stati evitati oppure se ne sarebbero generati altri?

Il vero problema è però un altro: un ospedale dovrebbe essere in grado di resistere agli attacchi informatici, se non addirittura evitarli, o almeno limitarne i danni.

IL RISARCIMENTO DEL DANNO DA MANCATA CYBERSECURITY

La cibersecurity dovrebbe già essere considerata una priorità dalle aziende di qualsiasi settore. Non solo per gli effetti sull’operatività e per i danni economici derivanti, ma anche per le conseguenze civili e penali che potrebbero derivarne.

Riccardo Berti, avvocato del Centro Studi Processo Telematico, e Franco Zumerle, avvocato coordinatore della Commissione Informatica dell’Ordine degli avvocati di Verona, spiegano che:

«Un’evoluzione giurisprudenziale dei casi di risarcimenti connessi ad attacchi informatici contribuirà in futuro a rendere evidente il perimetro delle responsabilità aziendali nel caso e quanto può costare una negligenza in un mondo che ormai definisce standard e requisiti sempre più stringenti con riguardo alla sicurezza IT.

Un’azienda oggi non può più permettersi di trascurare la sicurezza dei propri sistemi informatici, anche perché il diritto estende alle conseguenze della negligenza il risarcimento civile del danno causato (e in certi casi di crassa negligenza anche le responsabilità penali) e questo comporta che un’eventuale incuria nella compliance IT rischia di riverberare in responsabilità davvero estese a mano a mano che le aziende informatizzano i loro sistemi e dipendono dalla tecnologia.»

Vuoi rendere più sicuro il tuo studio o la tua azienda? Scopri i prodotti informatici di Servicematica. 

——–

LEGGI ANCHE:

Triste primato per l’Italia: seconda in EU per numero di cyber attacchi

Accertamento handicap e invalidità civile semplificato