La protezione dei sistemi informatici rappresenta un aspetto di centrale importanza nella gestione dei rischi aziendali. Gli attacchi e i crimini informatici hanno la capacità di causare danni significativi, mettendo a rischio non solo le attività delle imprese, ma anche la sicurezza di comunità e individui. Le conseguenze di un attacco informatico possono includere furti di identità, estorsioni, perdita di dati sensibili, interruzioni delle attività, perdita di clienti e, nei casi più gravi, il fallimento delle aziende colpite. Questi eventi, oltre a compromettere il tessuto economico, evidenziano la necessità di adottare misure efficaci per prevenire tali rischi.

L’impatto economico degli attacchi informatici è enorme, con costi che continuano a crescere a causa dello sviluppo di tecniche sempre più avanzate da parte dei criminali. Stime recenti indicano che la criminalità informatica potrebbe generare perdite per l’economia globale pari a 10,5 trilioni di dollari l’anno entro il 2025, sottolineando l’urgenza di rafforzare la resilienza delle infrastrutture digitali. Per le aziende, affrontare questo rischio non è solo una questione di protezione interna, ma anche di guadagnare e mantenere la fiducia degli stakeholder esterni.

Allo stesso modo e in un quadro di ampio respiro, due prospettive principali sono coinvolte: quella delle aziende, che devono tutelare i dati e le risorse dei propri clienti, oltre che i propri processi produttivi; e quella degli utenti, che si affidano a fornitori capaci di prevenire (e quindi di tutelarli da) eventuali attacchi. Questa duplice esigenza ha portato molte imprese a dare ampia informazione al pubblico in merito alle proprie politiche di cybersecurity, evidenziandole come elemento distintivo e rassicurante per il mercato. La comunicazione di solidi standard di sicurezza, infatti, non risponde solo ad eventuali obblighi normativi (a seconda del settore in cui si opera), ma si pone anche come elemento che rafforza la percezione di affidabilità verso clienti e partner commerciali e che quindi si inserisce nella strategia di competizione concorrenziale.

Una recente decisione della U.S. Southern District Court di New York (“la District Court” o “la Corte”), emessa il 18 luglio 2024, ha introdotto un importante cambiamento in tema di responsabilità aziendali in ambito di cybersecurity. Questa opinion, destinata a influenzare significativamente sia il quadro normativo che quello giurisprudenziale, ha delineato nuovi criteri per stabilire la responsabilità delle società in relazione alle dichiarazioni pubbliche sulle loro politiche di sicurezza informatica. La Corte ha sottolineato l’importanza della trasparenza e dell’aderenza agli standard dichiarati al pubblico dalla società, richiamando, in particolare, l’attenzione sulle conseguenze derivanti da eventuali omissioni o affermazioni non veritiere.

Nel caso in questione, la SEC ha intentato un’azione legale contro SolarWinds Corp. (“SolarWinds” o “la Società”), azienda di Austin, Texas, quotata in borsa e specializzata nella progettazione e distribuzione di software di cui è fornitore per clienti privati e per istituzioni pubbliche U.S., nonché contro il suo Chief Information Security Officer.

Fra le diverse accuse mosse dalla SEC, la principale era relativa al “Security Statement” (“il Security Statement” o “il Comunicato”), un documento pubblicato alla fine del 2017 sul sito aziendale che vantava come la Società (i) fosse conforme al National Institute of Standards and Technology per la valutazione delle politiche di sicurezza informatica; (ii) avesse implementato un ciclo di produzione sicuro per la creazione dei propri software; (iii) impiegasse un sistema di monitoraggio della rete; (iv) avesse una rigorosa politica di gestione delle password; infine, (v) adottasse un solido sistema di controllo degli accessi ai propri servers.

Tuttavia, secondo la SEC, queste affermazioni erano ingannevoli, dal momento che – da un’analisi approfondita – erano emersi gravi carenze proprio nelle practices vantate nel Comunicato, tra cui l’assenza di pratiche fondamentali per una corretta gestione degli accessi e password poco sicure.

L’importanza delle dichiarazioni pubbliche

Nel valutare la motion to dismiss di SolarWinds, la Corte ha accolto solo alcune delle richieste della difesa, riconoscendo come non meritevoli di dismissal alcune delle accuse di frode finanziaria relative al Security Statement. La Corte, in particolare, ha ritenuto che le dichiarazioni della Società sulle proprie pratiche di gestione degli accessi e delle password non corrispondessero alle politiche effettivamente implementate e che questa discrepanza avrebbe potuto alterare in modo significativo la valutazione dei rischi e della solidità della governance aziendale, con conseguenze dannose per gli investitori, le cui scelte sarebbero state influenzate sulla base di una percezione distorta delle pratiche aziendali.

Questa decisione stabilisce un precedente importante per le imprese e richiama l’attenzione sulla necessità di gestire con grande prudenza la produzione dei propri comunicati o pubblicazioni, soprattutto quando riguardano la sicurezza informatica aziendale. La decisione evidenzia, infatti, che dichiarazioni non veritiere o imprecise possono comportare gravi responsabilità, soprattutto quando possono influire sulle decisioni degli investitori.

E, anche se – in sede di motion to dismiss – non c’è stato un accertamento definitivo sulla sussistenza o meno della frode, la Corte ha ritenuto in ogni caso insostenibile la richiesta di archiviazione di SolarWinds su due delle cinque categorie di cybersecurity vantate nel Security Statement e ha specificato come questo scostamento risultasse “materially misleading”, evidenziando che “[u]na persona ragionevole che intendesse investire in SolarWinds avrebbe considerato il presunto divario tra le parole di SolarWinds [nel Security Statement, n.d.r.] e la realtà sul campo come altamente impattante”.

Il caso SolarWinds – tutt’ora sub iudice davanti alla District Court – rappresenta un chiaro segnale d’allarme: ogni informazione non veritiera o imprecisa resa pubblica può essere oggetto di scrutinio da parte di soggetti pubblici e privati, con conseguenze potenzialmente gravi per le imprese coinvolte.

Questo episodio deve essere interpretato come una call to action per le aziende di tutti i settori, con particolare riguardo per quelle attive nella fornitura di servizi informatici e per le quali un eventuale attacco informatico potrebbe avere conseguenze devastanti: è urgente agire per evitare liabilities legate a dichiarazioni rese in relazione ai propri sistemi di sicurezza che possono aver condizionato gli investitori nelle loro scelte.

È fondamentale assicurarsi che vi sia piena consapevolezza sul contenuto e sull’attendibilità delle dichiarazioni pubbliche. Tale analisi dovrebbe perseguire due obiettivi principali: da un lato, identificare i contenuti condivisi con il pubblico per mappare le policies divulgate; dall’altro, verificare se tali dichiarazioni siano ancora attuali o debbano essere aggiornate per riflettere accuratamente le pratiche effettivamente adottate. Il binomio “dichiarazione/implementazione” dovrebbe, quindi, diventare un principio guida per prevenire possibili criticità legali e reputazionali.

I riflessi in Italia

In Italia, un parallelo con il caso SolarWinds può essere individuato nell’ambito dell’art. 185 del D. Lgs. n. 58/1998 (“Testo Unico della Finanza” o “TUF”), relativo alla manipolazione del mercato. La diffusione di informazioni false o fuorvianti che potrebbero alterare i prezzi degli strumenti finanziari richiama la necessità di garantire un mercato trasparente, in cui le decisioni degli investitori siano prese in un contesto di efficienza e correttezza.

Si può, allora, comprendere la valenza della pronuncia della District Court anche per il panorama italiano, dal momento che l’obiettivo della Corte e quello della norma del TUF coincidono nel voler assicurare il corretto funzionamento del mercato finanziario, declinato – nel caso SolarWinds – nella necessità di tutelare gli investitori nella formazione delle loro scelte. L’opinion della Corte assume una valenza ancora più pionieristica, se si considera che, al momento, non si registrano simili precedenti giurisprudenziali nel nostro paese sul punto, pur immaginando che, se la direzione indicata dalla Corte dovesse trovare seguito nella giurisprudenza (negli Stati Uniti o altrove), certamente non tarderanno a palesarsi.

Del resto, la sicurezza informatica è ormai una priorità nell’agenda delle autorità di vigilanza e non è irragionevole prevedere che la direzione indicata dalla Corte nel caso SolarWinds possa essere seguita e dare origine ad un attento scrutinio delle dichiarazioni dirette a descrivere (e talvolta a vantare) i presidi di sicurezza adottati a livello aziendale. Per affrontare questa sfida, diventa cruciale sviluppare meccanismi di controllo interno più efficaci, rafforzando la cooperazione tra i team di marketing e quelli responsabili dell’implementazione delle policies di sicurezza.

E, in tal senso, all’interno delle strutture aziendali, gli Organismi di Vigilanza previsti dal D. Lgs. n. 231/2001 possono svolgere un ruolo determinante, agendo come revisori finali delle informazioni rese pubbliche in materia di sicurezza informatica e garantendo la loro conformità alle normative e alle policies effettivamente in uso. Tuttavia, ogni azienda, considerando le proprie risorse e la propria struttura, deve definire soluzioni ad hoc per monitorare e garantire l’accuratezza e l’affidabilità dei propri comunicati pubblici, implementando una strategia efficace basata su una valutazione attenta delle proprie necessità, delle dinamiche del settore di appartenenza e del livello di rischio associato alle dichiarazioni rese.