Nuovi obblighi di notifica per i cyber attacchi in Francia

Dal 24 aprile 2023, in Francia, le vittime di attacchi informatici avranno 72 ore per presentare denuncia alle autorità competenti (organi di polizia o autorità giudiziaria) se desiderano ottenere il rimborso nell’ambito della propria polizza assicurativa sulla sicurezza informatica. Questo nuovo obbligo di segnalazione è stato introdotto dall’articolo L12-10-1 del Codice delle assicurazioni francese, che prevede testualmente:

“Il pagamento di una somma ai sensi della clausola di un contratto di assicurazione destinato a risarcire un assicurato per le perdite e i danni causati da una violazione di un sistema automatizzato di trattamento dei dati di cui agli articoli da 323-1 a 323-3-1 del codice penale è subordinato alla presentazione di una denuncia da parte della vittima alle autorità competenti entro settantadue ore dalla conoscenza della violazione da parte della vittima.”

Questo obbligo di presentare un reclamo entro un determinato periodo di tempo, si applica in aggiunta ad altri obblighi di notifica delle violazioni, in relazione a dati personali, dati sanitari e incidenti che incidono su operatori di vitale importanza e operatori di servizi essenziali, come fornitori di telecomunicazioni, servizi connessi all’energia, trasporti. 

A chi si applica la nuova norma?

La nuova norma si applica a qualsiasi entità o individuo:

• coperto da una polizza assicurativa soggetta alle disposizioni del Codice delle assicurazioni francese e
• che agisce nell’esercizio della propria attività professionale

Quali categorie di incidenti sono coperte?

L’obbligo di notifica riguarda gli attacchi informatici considerati reati ai sensi degli articoli da 323-1 a 323-3-1 del Codice penale francese, in particolare:

• accesso fraudolento a un sistema automatizzato di trattamento dei dati, che comporti o meno la cancellazione o la modifica dei dati contenuti nel sistema
• ostacolare o manomettere il funzionamento di un sistema automatizzato di trattamento dei dati
• introduzione fraudolenta di dati in un sistema di elaborazione automatizzato ed estrazione riproduzione, trasmissione o modifica fraudolenta dei dati in esso contenuti
• importare, possedere, offrire, trasferire o mettere a disposizione, senza un motivo legittimo, mezzi per commettere tali reati

Come verranno segnalati gli attacchi informatici

La legge non specifica l’identità delle “autorità competenti” a cui presentare una denuncia, sebbene la valutazione d’impatto del progetto di legge, ora adottato, faccia riferimento alle autorità di polizia e giudiziarie.

La legge inoltre non indica se ci sarà un meccanismo specifico per presentare tali reclami, ad esempio, l’agenzia nazionale francese per la sicurezza del sistema informativo (ANSSI), l’autorità sanitaria regionale (ARS) e la sua autorità per la protezione dei dati (CNIL) rendono disponibili moduli di notifica delle violazioni. Tuttavia, la Direzione generale francese della sicurezza interna (DGSI) afferma, sul suo sito web, che gli attacchi informatici possono essere segnalati online tramite il sito web del Ministero dell’Interno, che dispone di un portale generale per le denunce penali.

Infine, per quanto riguarda i tempi, secondo la legge, il termine di 72 ore inizia a decorrere dal momento in cui la vittima viene a conoscenza della violazione. Non è chiaro se ciò significhi conoscenza della natura criminale dell’incidente, o solo che si è verificato un incidente.

Le attenzioni e i chiarimenti necessari

Non è possibile derogare contrattualmente alle norme applicabili ai contratti di assicurazione contenute nel Codice. Tuttavia, le parti dovrebbero essere particolarmente caute nel negoziare contratti di assicurazione, al fine di evitare qualsiasi disposizione che estenderebbe l’ambito di applicazione dell’obbligo di notifica. La norma dovrebbe delineare una procedura chiara per la notifica all’autorità competente pertinente e affrontare in che modo tali azioni inciderebbero materialmente sulla copertura nell’ambito della polizza.

Una sfida più ampia si pone per le aziende internazionali con server in più giurisdizioni. Tali organizzazioni dovrebbero chiarire se la polizza assicurativa è soggetta alle disposizioni del codice francese delle assicurazioni e affrontare le implicazioni più ampie di un incidente internazionale, in particolare per quanto riguarda la richiesta di un indennizzo ai sensi della polizza.

Le organizzazioni dovrebbero anche essere consapevoli del fatto che, questi regolamenti, possono applicarsi non solo a polizze assicurative di natura informatica, ma anche a tutte le polizze che possono contenere elementi riguardanti l’IT, ad esempio la responsabilità professionale e le polizze di proprietà.

Le aziende dovranno prevedere la presentazione di denunce penali nelle proprie policy di risposta agli incidenti e nei processi di pianificazione.