Danni, imprese non responsabili solo per crime ed eventi esterni
Articolo di: Avv. Maurizio Hazan, Avv. Sara Calì
Pubblicazione: Il Sole 24 Ore
Data: 1 Agosto 2024
I gravi disservizi che venerdì 19 luglio hanno semiparalizzato in varie parti del mondo i settori aereo, finanziario e dei media non sono i soli effetti del bug informatico ha interessato i sistemi operativi di Microsoft per l’aggiornamento difettoso del software CrowdStrike: arriva il momento dei risarcimenti, che richiede di individuare le responsabilità nei confronti di consumatori e utenti. Operazione delicata: le norme europee e nazionali in vigore disegnano un sistema complesso, che chiama in causa non solo le imprese e i fornitori di pubblici di servizi che utilizzano i software andati in tilt, ma anche produttori e fornitori di questi ultimi.
Nella complessità del sistema rientra anche il fatto che per alcuni settori vigono norme specifiche. Completa il quadro italiano la recente legge sulla cybersecurity, tema sempre più caldo per il diffondersi di attacchi cibernetici i cui rischi possono diventare non di rado catastrofali, causando problemi assicurativi (si veda l’articolo sotto).
Eventi eccezionali
Analizziamo le questioni partendo dal settore in questo momento più “caldo”: quello aereo. La normativa europea fissa criteri indennitari e compensativi piuttosto chiari: il Regolamento (CE) n. 261/2004 prevede per i viaggiatori una piena ed efficace assistenza logistica e, in caso di cancellazione, rimborso del biglietto o riprogrammazione concordata del viaggio sul primo volo disponibile. In certi casi va riconosciuta una compensazione pecuniaria parametrata sui chilometri di viaggio, fermo restando il diritto al ristoro civilistico dell’eventuale maggior danno.
L’articolo 5, comma 3 del Regolamento stabilisce che nessun indennizzo spetta se la cancellazione è dovuta a circostanze eccezionali che non si sarebbero comunque potute evitare anche se fossero state adottate tutte le misure del caso. E la drammatica rilevanza del guasto informatico del 19 luglio, di portata tale da mandare in tilt l’operatività internazionale di intere filiere, solleva il dubbio che si tratti di un evento effettivamente eccezionale, riconducibile al malfunzionamento di un server di proprietà di terzi e perciò in nessun modo evitabile dai vettori.
Ma le linee guida pubblicate dalla Commissione Ue proprio il 22 luglio 2024 hanno interpretato tali circostanze eccezionali in modo molto restrittivo, individuandole sostanzialmente nei soli eventi “esterni” all’operatività del vettore che sfuggono completamente al suo controllo; è il caso, ad esempio, delle recenti temporanee chiusure dell’aeroporto di Catania per le ceneri dell’Etna. La Commissione ha chiarito che non sono invece eccezionali quegli eventi “interni” che, rientrando nella sfera organizzativa del vettore, integrano il normale ciclo della sua attività.
A ben vedere, è un principio ricavabile anche dal Codice civile italiano, in materia contrattuale e quindi valido per tutte le imprese: l’articolo 1218 pone in capo al debitore la responsabilità dell’inadempimento che dipenda da impossibilità dovuta a cause a lui non imputabili. E non sono tali né il fatto dei suoi ausiliari (articolo 1228) né impedimenti che non siano oggettivi, assoluti e comunque non consistenti in mere difficoltà, a maggior ragione nel campo delle attività d’impresa. Così è ragionevole ritenere che le le imprese debbano comunque rispondere verso i clienti (per poi eventualmente agire in regresso verso il materiale responsabile del problema).
Attacchi cibernetici
Diverso il caso di crash riconducibile a veri e propri attacchi cibernetici, indiscutibilmente esterni e come tali eccezionali (pur se non imprevedibili). La tutela del patrimonio aziendale dal cyber crime è centrale negli indirizzi normativi più recenti, rigorosamente orientati verso obblighi, per gli utilizzatori di tecnologia, di prevenzione e gestione del rischio. Le imprese devono dunque adottare adeguate misure di sicurezza, in un approccio risk based (proporzionato alla rilevanza sociale dell’attività svolta), che segna la misura della condotta diligente esigibile, oltre la quale non c’è responsabilità.
In questo senso ci sono la definizione (sin dal 2019) del Perimetro di sicurezza nazionale cibernetica, la direttiva Nis della Ue (a breve arriva la Nis II) e la legge 90/2024, entrata in vigore il 17 luglio. Ne emerge un principio: se si adotta un presidio di sicurezza adeguato, attacchi hacker capaci di infrangerlo vanno considerati caso fortuito, derivante dal fatto di terzo, che è causa di non imputabilità di un eventuale inadempimento.
Si studia l’impatto degli eventi catastrofali
Articolo di: Avv. Maurizio Hazan, Avv. Sara Calì
Pubblicazione: Il Sole 24 Ore
Data: 1 Agosto 2024
Le prime stime sulle perdite causate dalla vicenda CrowdStrike del 19 luglio sono pesanti, nonostante il problema abbia riguardato appena 8,5 milioni di computer, cioè circa l’1% dei computer che operano in Windows. Si è parlato di circa 4 miliardi di dollari per i settori più colpiti e il conto potrebbe salire di molto perché sinora non sono state considerate le piccole e medie imprese.
Ma ora ci si attende che crisi come quella del 19 luglio possano far sviluppare anche la richiesta di queste ultime coperture, con effetti da valutare attentamente.
Basta pensare che tutte le attività socialmente rilevanti sono toccate da tali rischi: l’impatto delle nuove tecnologie ha assunto dimensioni straordinarie. Ciò può portare a eventi di dimensione catastrofale, quindi tali da incidere profondamente sui conti delle compagnie e, a catena, sul livello delle tariffe per gli assicurati e la capacità delle compagnie di assumere rischi di questo tipo.
Il pensiero corre innanzitutto alla sanità, dove il problema si complica più che altrove, per la gravità dei danni potenzialmente arrecabili ai pazienti. Qui c’è un potenziale concorso di responsabilità contrattuale della struttura con altre (aquiliane) collegate a produzione e utilizzo di dispositivi medici altamente tecnologici e sistemi di intelligenza artificiale che frequentemente li governano (nell’ambito di una catena solidale trasversale tra diversi soggetti).
Anche in ragione degli eventi più recenti, il rischio cyber si rivela, dunque, in tutta la sua potenzialità catastrofale. Il che evoca la necessità di coprirlo non solo con le misure di prevenzione previste dalla legge, ma con idonei strumenti assicurativi.
Non si parla soltanto di rischi di responsabilità civile, ovviamente, ma anche di garanzie dirette a protezione delle perdite patrimoniali direttamente derivanti da eventuali crash informatici. Si pensi alle polizze di coperture della business interruption oppure delle perdite pecuniarie subite per ripristinare i sistemi danneggiati.
Si tratta di un mercato in necessaria espansione, ma di non semplice attuazione: sono ancora mutevoli, e non perfettamente indagati, gli assetti del rischio sottostante.
Certamente la moderna assicurazione dovrà, anche in questo caso, non limitarsi all’indennizzo dei danni, ma fungere da strumento educativo alla miglior gestione preventiva del rischio da parte dell’assicurato, in funzione dei conseguenti vantaggi tariffari che ne possono derivare per lui.
Altro problema assicurativ0 legato al crescere dei rischi informatici riguarda le figure apicali delle imprese: le nuove norme (si veda l’articolo sopra) impongono l’adozione di adeguate misure di sicurezza, della cui eventuale mancanza possono rispondere anche proprio gli amministratori. Occorrerà vedere come le polizze sulla responsabilità degli amministratori saranno formulate su questo punto.