L’incendio del data center OVH ha interessato molte aziende italiane, che dipendono per la messa online di siti web e mail dall’hosting francese
Se ci seguite quotidianamente, o se ieri avete navigato intensamente trovandovi davanti parecchie schermate “404”, saprete senza dubbio che 24 ore fa è letteralmente andato in fumo uno dei data center di OVH. L’incidente si è verificato a Strasburgo ma, in un mondo mai così interconnesso, ha avuto immediate ripercussioni in tutta Europa, e probabilmente pure oltre. Siti giù per diverse ore, mail inaccessibili o perse per strada. Non capita spesso che i data center vadano a fuoco, ma l’incidente ci ha fatto riflettere sulla fragilità di Internet. Dati preziosissimi che sono però immateriali, come se fossero scritti sulla sabbia, rischiano di sparire e non poter essere più recuperati. In genere vengono continuamente fatte copie di backup che evitano qualsiasi perdita, ma questo non vuol dire che simili incidenti non rischino comunque di danneggiare una pluralità di soggetti.
Attività danneggiata dall’incendio al data center di OVH?
Cosa fare se si ritiene di essere stati danneggiati? Lo abbiamo chiesto ai legali di Rödl & Partner, esperti in questo genere di situazioni, oggi ancora poco esplorate dal legislatore e dalla giurisprudenza. “Le aziende, prima di poter procedere con un’azione legale nei confronti del data center – commenta l’avvocato Rita Santaniello –, devono verificare se ci siano state omissioni dello stesso nell’attuazione di tutte le misure tecnico-organizzative previste dal regolamento GDPR e dalla normativa Cyber Security. In caso queste mancanze siano state riscontrate è opportuno verificare se a livello contrattuale ci siano delle clausole che limitino la responsabilità del data center nei confronti dell’azienda e se esista anche un liability cap, ovvero un limite di responsabilità nel risarcimento economico dei danni. Verificato queste tutte queste condizioni l’azienda può procedere con un’azione legale.”
Attenzione, però. Anche l’imprenditore ha in capo diversi obblighi ben circostanziati. “In caso di perdita di dati occorre verificare se si tratta di un data breach ex art. 33 GDPR e nel caso inviare una notifica al Garante competente entro 72 ore – commenta l’avvocato Nadia Martini, partner e Head of data protection dello studio legale Rödl & Partner – per l’Indisponibilità delle reti è, invece, necessario verificare se si tratti di un incidente di impatto rilevante secondo la normativa NIS e Cyber Security, che impone agli Stati Membri dell’Unione l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi, e notificarla, entro 24 ore dall’accaduto, allo CSIRT (Computer Security Incident Response Team), la struttura che ha la responsabilità di monitorare, intercettare, analizzare e rispondere alle minacce cyber. In merito, invece, alla perdita di know-how occorre accertare se vi è stata una violazione dello stesso e se occorra informarne le controparti. In tutti questi i casi, occorre documentare le misure tecniche e organizzative messe a terra per prevenire i fatti o impedire che ricapitino, in particolare le più rilevanti riguardano policy e procedure.”