Un attacco hacker può comportare dei costi altissimi per un’azienda, vediamo quindi quali potrebbero essere le conseguenze giuridiche-economiche nel caso specifico.
La notizia è ormai di pubblico dominio: una gang criminale (probabilmente Lockbit) ha attaccato i server della società Westpole, colpendo “tutte le macchine virtuali ospitate nei centri di Roma e Milano (circa 1.500) impedendone la funzionalità” (comunicato PAdigitale.it https://www.padigitale.it/wp-content/uploads/2023/12/SEC-GDPR-COMUNICATO-EVENTO-20231213-1354.pdf).
A seguire organi di stampa (Open) hanno quantificato il numero degli enti colpiti in circa 1.300 realtà della Pa italiana, tra cui circa 500 comuni.
E’ sicuramente un attacco senza precedenti, di cui ancora non si vedono bene i confini e le conseguenze.
Ciò che sappiamo, però, è già abbastanza per fare alcune riflessioni: i giorni di sospensione del servizio sono già più di dieci, e le pubbliche amministrazioni colpite sono almeno un migliaio.
A differenza di quando i server colpiti sono della medesima azienda “vittima”, in questo caso la società (Padigitale o Westpole) erogavano servizi per soggetti terzi, con cui hanno stipulato dei contratti.
In tali contratti (pubblici) di appalto, si prevedono sempre delle penali in caso di mancata erogazione del servizio. Per esperienza, tali penali sono in una misura variabile tra lo 0.3 e l’1 per mille del valore dell’appalto per ogni giorno di sospensione del servizio, oppure l’1-2 per cento ad evento, spesso (ma non sempre) con un limite del 10% del valore dell’appalto. Il limite del 10% fa riferimento al valore medio presunto di utile d’impresa, e quindi serve a limitare la penale a tutto intero l’utile d’impresa.
Calcolando quindi un importo medio dello 0.5 e l’1 per mille per ogni giorno, moltiplicato per circa 15 giorni di sospensione del servizio, verosimilmente le penali dovrebbero essere di importo tra lo 0.75 e l’1,5 per cento o, a secondo del contratto, dell’1 o 2 per cento.
Il problema, ovviamente, non è la singola penale del singolo contratto (p.es.: in caso di un contratto di 300.000 euro, potrebbe essere 3-4.000 euro), ma è il fatto che tale penale potrebbero applicarla oltre 1.000 enti.
Gli enti della PP.AA., in ogni caso, sono sicuramente tenuti a contestare a Westpole l’inadempimento contrattuale, chiedendo spiegazioni.
Oltre a ciò, gli enti potrebbero anche:
- risolvere il contratto per inadempimento essenziale;
- dare una valutazione negativa del servizio che precluderebbe la partecipazione alle successive gare di appalto in Italia;
- chiedere il risarcimento per “disservizio”, cioè per i costi affrontati per sostituire il servizio sospeso;
- chiedere il risarcimento per danno all’immagine;
- chiedere il risarcimento per eventuali sanzioni o risarcimenti per violazione dei dati personali dei propri utenti.
Come abbiamo modo di intuire, già rispondere a circa 1.000 enti che fanno tali richieste è uno sforzo impossibile da sostenere per un’azienda, per non considerare la denegata ipotesi di esclusione da tutte le gare d’appalto d’Italia a causa di “gravi errori professionali”.
Anche questa volta, quindi, il costo da “data breach” supera di molto ogni costo delle misure di prevenzione, quali, “in primis”, investire in personale altamente qualificato e specializzato in cyber security.