Dal 24 aprile 2023, in Francia, le vittime di attacchi informatici avranno 72 ore per presentare denuncia alle autorità competenti (organi di polizia o autorità giudiziaria) se desiderano ottenere il rimborso nell’ambito della propria polizza assicurativa sulla sicurezza informatica. Questo nuovo obbligo di segnalazione è stato introdotto dall’articolo L12-10-1 del Codice delle assicurazioni francese, che prevede testualmente:
“Il pagamento di una somma ai sensi della clausola di un contratto di assicurazione destinato a risarcire un assicurato per le perdite e i danni causati da una violazione di un sistema automatizzato di trattamento dei dati di cui agli articoli da 323-1 a 323-3-1 del codice penale è subordinato alla presentazione di una denuncia da parte della vittima alle autorità competenti entro settantadue ore dalla conoscenza della violazione da parte della vittima.”
Questo obbligo di presentare un reclamo entro un determinato periodo di tempo, si applica in aggiunta ad altri obblighi di notifica delle violazioni, in relazione a dati personali, dati sanitari e incidenti che incidono su operatori di vitale importanza e operatori di servizi essenziali, come fornitori di telecomunicazioni, servizi connessi all’energia, trasporti.
La nuova norma si applica a qualsiasi entità o individuo:
L’obbligo di notifica riguarda gli attacchi informatici considerati reati ai sensi degli articoli da 323-1 a 323-3-1 del Codice penale francese, in particolare:
La legge non specifica l’identità delle “autorità competenti” a cui presentare una denuncia, sebbene la valutazione d’impatto del progetto di legge, ora adottato, faccia riferimento alle autorità di polizia e giudiziarie.
La legge inoltre non indica se ci sarà un meccanismo specifico per presentare tali reclami, ad esempio, l’agenzia nazionale francese per la sicurezza del sistema informativo (ANSSI), l’autorità sanitaria regionale (ARS) e la sua autorità per la protezione dei dati (CNIL) rendono disponibili moduli di notifica delle violazioni. Tuttavia, la Direzione generale francese della sicurezza interna (DGSI) afferma, sul suo sito web, che gli attacchi informatici possono essere segnalati online tramite il sito web del Ministero dell’Interno, che dispone di un portale generale per le denunce penali.
Infine, per quanto riguarda i tempi, secondo la legge, il termine di 72 ore inizia a decorrere dal momento in cui la vittima viene a conoscenza della violazione. Non è chiaro se ciò significhi conoscenza della natura criminale dell’incidente, o solo che si è verificato un incidente.
Non è possibile derogare contrattualmente alle norme applicabili ai contratti di assicurazione contenute nel Codice. Tuttavia, le parti dovrebbero essere particolarmente caute nel negoziare contratti di assicurazione, al fine di evitare qualsiasi disposizione che estenderebbe l’ambito di applicazione dell’obbligo di notifica. La norma dovrebbe delineare una procedura chiara per la notifica all’autorità competente pertinente e affrontare in che modo tali azioni inciderebbero materialmente sulla copertura nell’ambito della polizza.
Una sfida più ampia si pone per le aziende internazionali con server in più giurisdizioni. Tali organizzazioni dovrebbero chiarire se la polizza assicurativa è soggetta alle disposizioni del codice francese delle assicurazioni e affrontare le implicazioni più ampie di un incidente internazionale, in particolare per quanto riguarda la richiesta di un indennizzo ai sensi della polizza.
Le organizzazioni dovrebbero anche essere consapevoli del fatto che, questi regolamenti, possono applicarsi non solo a polizze assicurative di natura informatica, ma anche a tutte le polizze che possono contenere elementi riguardanti l’IT, ad esempio la responsabilità professionale e le polizze di proprietà.
Le aziende dovranno prevedere la presentazione di denunce penali nelle proprie policy di risposta agli incidenti e nei processi di pianificazione.
Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…
Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…
Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…
L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…
La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…
L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…