Responsabilità IT e Coperture Assicurative:
Il primo appuntamento dell’ITClub FVG del 2025, ha riscosso un notevole interesse tra i professionisti del settore informatico e i responsabili aziendali. L’evento, tenutosi martedì 25 marzo 2025 presso la sala riunioni di Banca 365 a Udine, ha affrontato un tema cruciale e sempre più attuale: “Le responsabilità dell’amministratore di sistema e le coperture assicurative”. La serata si è articolata in tre interventi principali, offrendo una panoramica completa sugli aspetti legali, assicurativi e pratici legati alla gestione dei rischi IT.
Aspetti Legali e Normativi: L’Intervento dell’Avvocato David d’Agostini
L’introduzione della serata è stata affidata all’Avvocato David d’Agostini, il quale ha analizzato gli aspetti legali e normativi a cui sono soggetti gli amministratori di sistema. Un focus particolare è stato posto sulle responsabilità derivanti dal trattamento e dalla tutela dei dati personali secondo il GDPR, evidenziando gli obblighi in termini di sicurezza informatica e le possibili conseguenze giuridiche in caso di violazioni o incidenti informatici.
L’Avvocato d’Agostini ha sottolineato come la responsabilità civile sia di natura patrimoniale, ma ha anche messo in guardia sulla responsabilità penale, da cui non esiste una “schermatura” contrattuale. Ha inoltre accennato alla responsabilità amministrativa degli enti e alla responsabilità erariale, rilevante soprattutto per chi opera in enti pubblici.
Attraverso l’esame di casi reali, sono state illustrate le responsabilità connesse alla mancata conservazione dei log di accesso ai sistemi informatici e ai data breach derivanti dalla mancata applicazione delle misure minime di sicurezza previste dalla legge. È emerso che la responsabilità colpisce in prima battuta l’ente giuridico, per poi eventualmente individuare la figura di riferimento interna.
Un punto chiave evidenziato è la distinzione tra dolo (volontà di commettere l’illecito) e colpa (svista, disattenzione), con la maggior parte degli incidenti IT riconducibili a colpa. L’Avvocato ha ricordato che, in caso di data breach, la responsabilità può estendersi non solo al titolare del trattamento (es. l’ospedale) ma anche al responsabile del trattamento (es. la società IT in outsourcing).
Riguardo alla responsabilità del dipendente, la giurisprudenza insegna che il datore di lavoro può rivalersi solo in caso di dolo o colpa grave. L’Avvocato ha poi affrontato il delicato tema delle richieste “non lecitissime” da parte dei superiori, sottolineando che un dipendente non può esimersi dalla responsabilità penale adducendo di aver eseguito un ordine, specialmente in riferimento al reato di accesso abusivo ai sistemi informatici (articolo 615-ter del codice penale), aggravato per gli operatori di sistema.
Infine, è stata sottolineata l’importanza per il datore di lavoro di loggare le attività degli amministratori di sistema, effettuare audit annuali e nominarli nominativamente, richiamando il provvedimento generale del Garante del 2008. L’Avvocato d’Agostini ha concluso ribadendo l’importanza della formazione per i dipendenti con ruoli IT, invitandoli a chiedere ai propri datori di lavoro percorsi di approfondimento sulle normative. Ha inoltre consigliato, in caso di richieste dubbie, di richiedere sempre una comunicazione scritta per tutelarsi.
Responsabilità Civile Professionale e Coperture Assicurative per l’IT: L’Intervento di Matteo Scala
La seconda parte della serata ha visto l’intervento di Matteo Scala di SMB Scala & Mansutti Broker, il quale ha focalizzato l’attenzione sulla responsabilità civile professionale specifica per gli IT manager e gli amministratori di sistema. Scala ha affrontato domande cruciali come cosa succede in caso di errore informatico commesso per semplice distrazione e se la mancata conoscenza della normativa possa sollevare dalle responsabilità.
Un punto fondamentale chiarito è la distinzione tra la responsabilità dell’IT manager esterno (con partita IVA), che ha una responsabilità piena, e quella dell’IT manager dipendente, per il quale risponde l’azienda, salvo rivalsa in caso di dolo o colpa grave.
Scala ha illustrato come il mercato assicurativo italiano sia talvolta indietro nell’offrire coperture specifiche per professioni non ordinistiche, mentre le compagnie internazionali sono più attive in questo settore. Ha presentato le polizze “miscellanee”, meno specifiche, e le polizze dedicate al settore Mediatech, ritenute più adatte e spesso con costi non superiori. Ha sottolineato che, sebbene non obbligatoria, una polizza RC professionale è altamente raccomandata per gli IT manager esterni.
Sono state dettagliate le coperture tipiche, che includono danni patrimoniali e non patrimoniali riconosciuti in via giudiziale o stragiudiziale, a seguito di una richiesta di risarcimento coperta dalla polizza. Sono state anche elencate le esclusioni, tra cui importi non legalmente dovuti, mancati guadagni, compensi dell’assicurato, multe e sanzioni, costi di ripristino del servizio e danni consequenziali.
Scala ha spiegato quando si attiva la polizza: in caso di comportamento colposo che genera errore, omissione o ritardo nel servizio; vulnerabilità della rete dei clienti; violazione di dati personali o informazioni aziendali private; danno reputazionale a terzi; e violazione di diritti di proprietà intellettuale.
Sono state presentate estensioni di copertura importanti presenti nelle polizze specifiche, come le spese per il ripristino della reputazione, il rimborso di corrispettivi non pagati per evitare richieste di risarcimento, la perdita o il danneggiamento di documenti cartacei di terzi, le spese di incident response sostenute dai clienti e assunte per contratto dall’assicurato, i danni predeterminati (penali contrattuali in alcuni casi) e le spese di mitigazione del danno.
Infine, Scala ha chiarito gli aspetti relativi alla validità temporale della polizza (regime “claims made”) e alla possibilità di acquistare un periodo di garanzia postuma in caso di mancato rinnovo. Ha fornito indicazioni sui massimali, franchigie e costi, che variano in base all’attività svolta, al fatturato e al massimale richiesto, con un premio minimo indicativo di €1000 e una franchigia minima di €2000-€2500 per gli IT manager esterni.
Per quanto riguarda gli IT manager dipendenti, Scala ha evidenziato l’importanza della copertura contro il cyber risk per l’azienda nel suo complesso, che estende la sua protezione a tutti i dipendenti, compreso l’IT manager. Questa polizza copre le spese di ripristino dati, la responsabilità civile verso terzi a seguito di violazioni del sistema informatico e la perdita di margine operativo in caso di interruzione. Ha ribadito che le polizze cyber più complete includono servizi di incident response per la gestione di data breach. È stata menzionata anche la possibilità di polizze integrate che coprano sia la RC professionale che il cyber risk, risultando spesso più vantaggiose economicamente.
Scala ha concluso sottolineando l’utilità della polizza di tutela legale, che può coprire le spese legali in ambito penale (non coperte dalla RC professionale) e in caso di controversie contrattuali, procedure tributarie e fiscali (limitatamente ai costi di ricorso, non alle sanzioni). Ha chiarito che, se la polizza RC non opera per specifiche esclusioni o esaurimento del massimale, la tutela legale può intervenire.
Case History e Riflessioni sulla Sicurezza IT: L’Intervento di Cesare Burei
La terza e conclusiva parte della serata è stata animata da Cesare Burei Margas, che ha guidato i partecipanti attraverso un case history realmente accaduto. L’obiettivo era svelare la causa reale dell’incidente informatico (errore umano, sottovalutazione dei rischi o altro), come sono stati individuati i responsabili e quali strumenti di tutela sono stati decisivi per proteggere l’azienda e i professionisti coinvolti. Attraverso l’analisi di indizi, errori e soluzioni, sono stati evidenziati dettagli utili per evitare di cadere nelle stesse trappole, sottolineando l’importanza cruciale di una copertura assicurativa adeguata.
Burei ha introdotto la sua presentazione con esempi concreti di incidenti, partendo dall’attacco ransomware un ente museale che ha causato la perdita di 20 anni di memoria digitale, evidenziando la responsabilità dell’MSP (Managed Service Provider) e l’insufficienza della polizza assicurativa. Ha poi citato il caso dell’incendio del cloud OVH nel 2021, sottolineando come in quel caso sarebbe stata più utile una polizza incendio (per il fermo attività dovuto a un fornitore critico) rispetto a una cyber (che esclude danni materiali diretti). Ha rimarcato l’importanza per l’IT manager di avere una visione trasversale dei rischi, possibilmente partecipando al CDA.
Un altro esempio significativo è stato l’errore di Google nel cancellare un’intera infrastruttura virtuale di un fondo pensione australiano, evidenziando la responsabilità del cloud provider e l’importanza di una solida strategia di backup su ambienti diversi. Ha poi menzionato l’incidente con Crow Strike nel 2024, che ha causato l’interruzione di servizi Microsoft e di diverse aziende, con richieste di risarcimento miliardarie. In questo contesto, ha sottolineato che una polizza cyber ben strutturata dovrebbe coprire anche incidenti causati da errori umani nel cloud, se il sistema informatico dell’azienda comprende anche l’infrastruttura cloud.
Burei ha sfatato il mito che “tanto ho tutto sul cloud, quindi non mi serve la polizza cyber”, richiamando il concetto di shared responsibility tra il cliente e il provider di cloud. Ha mostrato come, secondo Amazon Web Services e Microsoft Azure, la responsabilità della cifratura dei dati, della gestione del dato in cloud e del Disaster Recovery rimanga in capo all’azienda. Il cloud provider si occupa della sicurezza “della” cloud, ma non di ciò che l’utente ci mette “dentro”.
Ha poi introdotto il concetto di governance del digitale come nuova sfida, sottolineando la necessità di passare dal “cyber risk” al “cyber risk management”, investendo in formazione, tempo, risorse e assicurazione. Ha suggerito di porsi cinque domande chiave per un efficace piano di Disaster Recovery: chi fa cosa, come lo fa, quando lo fa, quanto costa.
Infine, Burei ha anticipato le novità normative con la revisione della direttiva RC prodotti, che estenderà la responsabilità del produttore anche al software, in caso di danni patrimoniali causati al consumatore finale o perdita di dati a causa di difetti del software. Ha evidenziato la complementarietà con il Cyber Resilience Act, che pone l’accento sulla sicurezza del software e del firmware nei prodotti “intelligenti”. Ha concluso raccomandando la lettura delle linee applicative della NIS 2 per l’IT manager, che contengono indicazioni cruciali da portare all’attenzione del CDA. Ha esortato gli IT manager a farsi mettere per iscritto eventuali dinieghi a implementare misure di sicurezza raccomandate, per tutelare la propria responsabilità.
La serata si è conclusa con uno spazio dedicato alle domande, che ha permesso ai partecipanti di approfondire ulteriormente i temi trattati e di confrontarsi direttamente con i relatori. L’evento ha rappresentato un’importante occasione di aggiornamento e riflessione per i professionisti IT, evidenziando la complessità delle responsabilità legate alla gestione dei sistemi informatici e l’importanza di una strategia di protezione a 360 gradi, che integri aspetti legali, assicurativi e tecnici.
🎥 Qui sotto trovate il link a un breve video teaser che riassume i momenti salienti della serata.
La versione integrale del video, con tutti gli interventi completi, verrà inviata tramite newsletter a tutti i soci dell’ITClub FVG.
📬 Iscrivetevi al club per restare sempre aggiornati sui prossimi eventi e per accedere a contenuti esclusivi pensati per chi vuole approfondire i temi più attuali del mondo IT.
