Nuovi+obblighi+di+notifica+per+i+cyber+attacchi+in+Francia
cryptohackit
/nuovi-obblighi-di-notifica-per-i-cyber-attacchi-in-francia/amp/
Cyber Security

Nuovi obblighi di notifica per i cyber attacchi in Francia

Dal 24 aprile 2023, in Francia, le vittime di attacchi informatici avranno 72 ore per presentare denuncia alle autorità competenti (organi di polizia o autorità giudiziaria) se desiderano ottenere il rimborso nell’ambito della propria polizza assicurativa sulla sicurezza informatica. Questo nuovo obbligo di segnalazione è stato introdotto dall’articolo L12-10-1 del Codice delle assicurazioni francese, che prevede testualmente:

“Il pagamento di una somma ai sensi della clausola di un contratto di assicurazione destinato a risarcire un assicurato per le perdite e i danni causati da una violazione di un sistema automatizzato di trattamento dei dati di cui agli articoli da 323-1 a 323-3-1 del codice penale è subordinato alla presentazione di una denuncia da parte della vittima alle autorità competenti entro settantadue ore dalla conoscenza della violazione da parte della vittima.”

Questo obbligo di presentare un reclamo entro un determinato periodo di tempo, si applica in aggiunta ad altri obblighi di notifica delle violazioni, in relazione a dati personali, dati sanitari e incidenti che incidono su operatori di vitale importanza e operatori di servizi essenziali, come fornitori di telecomunicazioni, servizi connessi all’energia, trasporti. 

Immagine | Envato Elements

A chi si applica la nuova norma?

La nuova norma si applica a qualsiasi entità o individuo:

  • coperto da una polizza assicurativa soggetta alle disposizioni del Codice delle assicurazioni francese e
  • che agisce nell’esercizio della propria attività professionale

Quali categorie di incidenti sono coperte?

L’obbligo di notifica riguarda gli attacchi informatici considerati reati ai sensi degli articoli da 323-1 a 323-3-1 del Codice penale francese, in particolare:

  • accesso fraudolento a un sistema automatizzato di trattamento dei dati, che comporti o meno la cancellazione o la modifica dei dati contenuti nel sistema
  • ostacolare o manomettere il funzionamento di un sistema automatizzato di trattamento dei dati
  • introduzione fraudolenta di dati in un sistema di elaborazione automatizzato ed estrazione riproduzione, trasmissione o modifica fraudolenta dei dati in esso contenuti
  • importare, possedere, offrire, trasferire o mettere a disposizione, senza un motivo legittimo, mezzi per commettere tali reati

Come verranno segnalati gli attacchi informatici

La legge non specifica l’identità delle “autorità competenti” a cui presentare una denuncia, sebbene la valutazione d’impatto del progetto di legge, ora adottato, faccia riferimento alle autorità di polizia e giudiziarie.

La legge inoltre non indica se ci sarà un meccanismo specifico per presentare tali reclami, ad esempio, l’agenzia nazionale francese per la sicurezza del sistema informativo (ANSSI), l’autorità sanitaria regionale (ARS) e la sua autorità per la protezione dei dati (CNIL) rendono disponibili moduli di notifica delle violazioni. Tuttavia, la Direzione generale francese della sicurezza interna (DGSI) afferma, sul suo sito web, che gli attacchi informatici possono essere segnalati online tramite il sito web del Ministero dell’Interno, che dispone di un portale generale per le denunce penali.

Infine, per quanto riguarda i tempi, secondo la legge, il termine di 72 ore inizia a decorrere dal momento in cui la vittima viene a conoscenza della violazione. Non è chiaro se ciò significhi conoscenza della natura criminale dell’incidente, o solo che si è verificato un incidente.

Immagine | Envato Elements

Le attenzioni e i chiarimenti necessari

Non è possibile derogare contrattualmente alle norme applicabili ai contratti di assicurazione contenute nel Codice. Tuttavia, le parti dovrebbero essere particolarmente caute nel negoziare contratti di assicurazione, al fine di evitare qualsiasi disposizione che estenderebbe l’ambito di applicazione dell’obbligo di notifica. La norma dovrebbe delineare una procedura chiara per la notifica all’autorità competente pertinente e affrontare in che modo tali azioni inciderebbero materialmente sulla copertura nell’ambito della polizza.

Una sfida più ampia si pone per le aziende internazionali con server in più giurisdizioni. Tali organizzazioni dovrebbero chiarire se la polizza assicurativa è soggetta alle disposizioni del codice francese delle assicurazioni e affrontare le implicazioni più ampie di un incidente internazionale, in particolare per quanto riguarda la richiesta di un indennizzo ai sensi della polizza.

Le organizzazioni dovrebbero anche essere consapevoli del fatto che, questi regolamenti, possono applicarsi non solo a polizze assicurative di natura informatica, ma anche a tutte le polizze che possono contenere elementi riguardanti l’IT, ad esempio la responsabilità professionale e le polizze di proprietà.

Le aziende dovranno prevedere la presentazione di denunce penali nelle proprie policy di risposta agli incidenti e nei processi di pianificazione.

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

La classifica dei lavori che più sentiranno l’impatto dell’intelligenza artificiale

Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…

18 ore ago

Coca Cola, i nuovi spot di Natale creati con l’IA non sono piaciuti a tutti

Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…

2 giorni ago

ChatGPT, Copilot o Gemini, le differenze e quale scegliere

Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…

2 giorni ago

La frase choc di Gemini, l’intelligenza artificiale a un utente: “Sei un peso, muori”

L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…

3 giorni ago

DeFi, cosa si intende per finanza decentralizzata e come funziona

La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…

4 giorni ago

Mike Tyson torna sul ring per sfidare lo youtuber Jake Paul e ChatGPT ha previsto chi vincerà

L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…

7 giorni ago