Danni, imprese non responsabili solo per crime ed eventi esterni
Articolo di: Avv. Maurizio Hazan, Avv. Sara Calì
Pubblicazione: Il Sole 24 Ore
Data: 1 Agosto 2024
I gravi disservizi che venerdì 19 luglio hanno semiparalizzato in varie parti del mondo i settori aereo, finanziario e dei media non sono i soli effetti del bug informatico ha interessato i sistemi operativi di Microsoft per l’aggiornamento difettoso del software CrowdStrike: arriva il momento dei risarcimenti, che richiede di individuare le responsabilità nei confronti di consumatori e utenti. Operazione delicata: le norme europee e nazionali in vigore disegnano un sistema complesso, che chiama in causa non solo le imprese e i fornitori di pubblici di servizi che utilizzano i software andati in tilt, ma anche produttori e fornitori di questi ultimi.
Nella complessità del sistema rientra anche il fatto che per alcuni settori vigono norme specifiche. Completa il quadro italiano la recente legge sulla cybersecurity, tema sempre più caldo per il diffondersi di attacchi cibernetici i cui rischi possono diventare non di rado catastrofali, causando problemi assicurativi (si veda l’articolo sotto).
Eventi eccezionali
Analizziamo le questioni partendo dal settore in questo momento più “caldo”: quello aereo. La normativa europea fissa criteri indennitari e compensativi piuttosto chiari: il Regolamento (CE) n. 261/2004 prevede per i viaggiatori una piena ed efficace assistenza logistica e, in caso di cancellazione, rimborso del biglietto o riprogrammazione concordata del viaggio sul primo volo disponibile. In certi casi va riconosciuta una compensazione pecuniaria parametrata sui chilometri di viaggio, fermo restando il diritto al ristoro civilistico dell’eventuale maggior danno.
L’articolo 5, comma 3 del Regolamento stabilisce che nessun indennizzo spetta se la cancellazione è dovuta a circostanze eccezionali che non si sarebbero comunque potute evitare anche se fossero state adottate tutte le misure del caso. E la drammatica rilevanza del guasto informatico del 19 luglio, di portata tale da mandare in tilt l’operatività internazionale di intere filiere, solleva il dubbio che si tratti di un evento effettivamente eccezionale, riconducibile al malfunzionamento di un server di proprietà di terzi e perciò in nessun modo evitabile dai vettori.
Ma le linee guida pubblicate dalla Commissione Ue proprio il 22 luglio 2024 hanno interpretato tali circostanze eccezionali in modo molto restrittivo, individuandole sostanzialmente nei soli eventi “esterni” all’operatività del vettore che sfuggono completamente al suo controllo; è il caso, ad esempio, delle recenti temporanee chiusure dell’aeroporto di Catania per le ceneri dell’Etna. La Commissione ha chiarito che non sono invece eccezionali quegli eventi “interni” che, rientrando nella sfera organizzativa del vettore, integrano il normale ciclo della sua attività.
A ben vedere, è un principio ricavabile anche dal Codice civile italiano, in materia contrattuale e quindi valido per tutte le imprese: l’articolo 1218 pone in capo al debitore la responsabilità dell’inadempimento che dipenda da impossibilità dovuta a cause a lui non imputabili. E non sono tali né il fatto dei suoi ausiliari (articolo 1228) né impedimenti che non siano oggettivi, assoluti e comunque non consistenti in mere difficoltà, a maggior ragione nel campo delle attività d’impresa. Così è ragionevole ritenere che le le imprese debbano comunque rispondere verso i clienti (per poi eventualmente agire in regresso verso il materiale responsabile del problema).
Attacchi cibernetici
Diverso il caso di crash riconducibile a veri e propri attacchi cibernetici, indiscutibilmente esterni e come tali eccezionali (pur se non imprevedibili). La tutela del patrimonio aziendale dal cyber crime è centrale negli indirizzi normativi più recenti, rigorosamente orientati verso obblighi, per gli utilizzatori di tecnologia, di prevenzione e gestione del rischio. Le imprese devono dunque adottare adeguate misure di sicurezza, in un approccio risk based (proporzionato alla rilevanza sociale dell’attività svolta), che segna la misura della condotta diligente esigibile, oltre la quale non c’è responsabilità.
In questo senso ci sono la definizione (sin dal 2019) del Perimetro di sicurezza nazionale cibernetica, la direttiva Nis della Ue (a breve arriva la Nis II) e la legge 90/2024, entrata in vigore il 17 luglio. Ne emerge un principio: se si adotta un presidio di sicurezza adeguato, attacchi hacker capaci di infrangerlo vanno considerati caso fortuito, derivante dal fatto di terzo, che è causa di non imputabilità di un eventuale inadempimento.