Author

Link articolo precedente: Cloud: come valutare un contratto - il parere dell'avvocato

Se state valutando di utilizzare o far utilizzare a un Vostro cliente un servizio cloud, occorre che teniate d’occhio alcuni aspetti. Nello scorso numero, abbiamo preso in considerazione le clausole contrattuali. Adesso parliamo di tutela della privacy.

La privacy ed alla protezione dei dati conferiti al cloud provider è uno degli argomenti più delicati nella redazione di un contratto per l'erogazione di servizi online. Con la scelta di un servizio cloud i dati (Vostri o dei Vostri clienti) vengono dati in gestione al provider stesso, oltre a essere fisicamente memorizzati nella relativa infrastruttura. E’, dunque, importante che capiate, nella scelta del fornitore del servizio, a quale normativa è soggetto, quali garanzie può o deve darvi, come il provider gestisce i dati di cui entra in possesso, anche sotto il profilo della riservatezza.

In un recente studio condotto da ABI e CIPA “Rilevazione sull’IT nel sistema bancario italiano – Il cloud e le banche. Stato dell’arte e prospettive”, pubblicato a maggio 2016, si rileva che le garanzie di privacy e di sicurezza dei dati sono ritenute – nella scelta del cloud provider – di importanza fondamentale per il 100% dei gruppi partecipanti allo studio (al pari solo dell’esperienza nel settore, e più di ogni altro fattore). Di contro, solo in poco più della metà dei casi gli Istituti bancari hanno trovato una rispondenza alta dai cloud provider alle loro richieste in argomento. Segno che la questione è importante e merita un approfondimento dedicato.

E’ bene sapere che l’utilizzo di servizi cloud può non essere senza inconvenienti. Iniziamo a vedere insieme alcuni aspetti contrattuali a cui prestare particolare attenzione.

Chi - per la propria attività - intende utilizzare qualsiasi servizio Internet che rientri nella definizione di Cloud, si trova a dover considerare diversi aspetti: dal contenuto del contratto, alla gestione dei dati da parte del provider rispetto alla privacy, finoalla perdita di controllo dei dati trasferiti al di fuori delle mura e alla loro sicurezza. Tutti profili molto interessanti e per vari aspetti connessi, che meritano attenta riflessione soprattutto dal punto di vista legale.

Il primo aspetto importante, se state valutando di utilizzare un servizio Cloud, è il contratto che stipulerete con il cloud provider, l'accordo con cui si regolamenterà il rapporto. E’ un contratto che, nel nostro ordinamento, non ha una sua disciplina tipica nel codice civile o in qualche legge speciale (si parla di contratto atipico): a maggior ragione, dunque, occorre leggerlo attentamente e prestare molta attenzione, perché lì è contenuta la regolamentazione primaria del rapporto e delle responsabilità. L’ipotesi più probabile è che ci si trovi a scegliere tra offerte contrattuali predefinite: il contratto di cloud computing usualmente viene definito dal provider secondo modelli contrattuali standard (le c.d. “condizioni generali di contratto”) e difficilmente potrà essere oggetto di negoziazione. Vediamo allora alcune delle clausole principali a cui è opportuno fare attenzione, nella scelta del provider e nella sottoscrizione del contratto.

Magari li avete sempre presi alla leggera, ma tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia.

Come tecnici, esperti, manager IT o consulenti magari avete spesso dato consigli a colleghi, amici, clienti, affrontando le questioni legali legate al mondo informatico con un approccio pratico o comunque di buon senso. Purtroppo non è detto che questa sia la strada migliore da percorrere, perlomeno per evitare rischi, danni o ripercussioni sulla vostra attività.

Tutti i malware – ovvero i software dannosi che si infiltrano nei computer o nei sistemi informatici per rubare informazioni, aprire le porte a controlli remoti o altri pericoli, piuttosto che cifrare dati ai fini di estorsione – violano chiaramente l’ordinamento giuridico italiano e chi li diffonde commette un reato, sanzionato dal nostro codice penale. In particolare, si verifica non solo un accesso abusivo ad un sistema informatico o telematico (ex art.615 ter c.p.), ma la diffusione di dispositivi o programmi, con il dolo specifico (insomma consapevolmente, )di danneggiare, interrompere o alterare un sistema informatico o telematico, si può essere di fronte all’ipotesi criminosa dell’art.615 quinquies c.p. Se si verifica anche il “danneggiamento di informazioni, dati e programmi informatici”, il reato è punito (dall’art.635bis c.p.) con la pena base della reclusione da 6 mesi a 3 anni, a querela da presentare, a norma dell’art.124 c.p., entro tre mesi dalla notizia del fatto di reato (pena l’improcedibilità dell’azione penale).

Le cose peggiorano quando si parla delle recenti minacce portate dai Ransomware, i virus che cifrano i file e chiedono un “riscatto” (ransom) per avere la chiave dei file criptati. In questi casi ci si potrebbe trovare di fronte al delitto, non specifico del mondo informatico, di estorsione, punito dall’art.629 c.p., anche in aderenza con l’indicazione data in merito dal Ministero della Giustizia. Il reato di estorsione viene commesso da “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno”. Da questo, discenderebbe l’applicazione, a carico dei responsabili, di pene ben più severe (pena base della reclusione da 5 a 10 anni e multa da euro 1.000 a 4.000), oltreché la perseguibilità d’ufficio del reato. E ancora, dal trasferimento del denaro proveniente dal pagamento del “riscatto”, il reato di riciclaggio ex art.648 bis c.p. a carico di chi ha ricevuto e “riciclato” il denaro.

Come comportarsi allora quando si rimane vittime di un malware o ransomware?