G         Profili di responsabilità e possibili violazioni




              "data breach" secondo le forme e le modalità previste dall’art. 33  (209) rubricato
              Notifi ca di una violazione dei dati personali all’autorità di controllo del regolamento
              (UE) 2016/679.
                 Il problema maggiore dinanzi a questi fenomeni di truff a, veicolate attraverso
              le e-mail, concerne le responsabilità dei soggetti coinvolti che non sempre sono
              defi nibili con ordine, precisione e certezza, perché se, per un certo verso, sono più
              "facilmente" ascrivibili certe fattispecie di reato ai soggetti attivi della condotta (phi-
              sher e/o fi nancial manager), per certi altri, bisogna tener conto che, il perfezionarsi
              dello scopo dell’illecito, è possibile per eff etto del verifi carsi di alcune circostanze e
              corresponsabilità:
              •  imputabili, in taluni casi, alla vittima:
                -  spesso chi fa il bonifi co all’IBAN sbagliato avrebbe la possibilità di accorgerse-
                   ne prestando maggiore attenzione agli indirizzi utilizzati dagli aggressori. Ciò
                   che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fat-
                   to che i delinquenti utilizzano uno scambio di corrispondenza con uno storico
                   tale da rendere "credibile" la fonte e superfl ue le verifi che;
                -  magari da una visione più attenta della e-mail potrebbe risultare che sareb-
                   be stato possibile accorgersi che il mittente non era davvero il fornitore; in
                   quest’ottica una parte di responsabilità può essere demandata anche alla vitti-
                   ma. Vero è che se la truff a è stata possibile grazie alla compromissione di ca-
                   selle o computer del fornitore, il rapporto di responsabilità potrebbe invertirsi;
                -  la carenza di misure minime e degli opportuni controlli di sicurezza può far sì
                   che i criminali riescano ad accedere alle caselle di posta e le utilizzino per la
                   truff a, falsifi cando i PDF delle fatture facendo fi gurare che le stesse proveniva-
                   no realmente dagli indirizzi di posta dei fornitori;
              •  imputabili, in altri casi, all’istituto di credito stesso ove è radicato il conto corrente:
                pensiamo per esempio ai casi in cui la banca, grazie all’operatore connivente,
                consente di far aprire un conto a un prestanome con il nome di una società di cui
                il soggetto non è il titolare o non ricopre alcuna carica sociale in essa; oppure a
                quelli dove la banca riceve grandi quantità di denaro destinate a persone o azien-

                (209)  Art. 33 Notifi ca di una violazione dei dati personali all’autorità di controllo del regolamento (UE)
                   2016/679 secondo cui:
                   "1. In caso di violazione dei dati personali, il titolare del trattamento notifi ca la violazione all’autori-
                   tà di controllo competente a norma dell’articolo 55 senza ingiustifi cato ritardo e, ove possibile, en-
                   tro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la vio-
                   lazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fi siche. Qualora
                   la notifi ca all’autorità di controllo non sia eff ettuata entro 72 ore, è corredata dei motivi del ritardo.
                   2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustifi cato ritardo dopo
                   essere venuto a conoscenza della violazione.
                   3. La notifi ca di cui al paragrafo 1 deve almeno:
                   a)  descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e
                     il numero approssimativo di interessati in questione nonché le categorie e il numero approssi-
                     mativo di registrazioni dei dati personali in questione;
                   b)  comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro pun-
                     to di contatto presso cui ottenere più informazioni;
                   c)  descrivere le probabili conseguenze della violazione dei dati personali;
                   d)  descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento
                     per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i pos-
                     sibili eff etti negativi.
                   4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le infor-
                   mazioni possono essere fornite in fasi successive senza ulteriore ingiustifi cato ritardo.
                   5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circo-
                   stanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale do-
                   cumentazione consente all’autorità di controllo di verifi care il rispetto del presente articolo".


              144
              144