Ha suscitato un certo interesse una recente sentenza della Cassazione su un caso di bancarotta documentale (determinata cioè dalla mancanza dei libri e delle altre scritture contabili prescritti dalla legge), in cui i documenti contabili, mantenuti in forma digitale come previsto dall’art. 2215-bis del Codice Civile, risultavano mancanti perché il dispositivo di memorizzazione era risultato non funzionante, impedendo quindi l’accesso ai file. Da questa vicenda e dal dispositivo della sentenza, è possibile fare alcune riflessioni e ricavare indicazioni estremanente importanti.
Le norme di tenuta delle scritture in forma digitale
Il citato articolo 2215-bis è rubricato “Documentazione informatica” e al secondo comma recita: Le registrazioni contenute nei documenti di cui al primo comma debbono essere rese consultabili in ogni momento con i mezzi messi a disposizione dal soggetto tenutario e costituiscono informazione primaria e originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge. Il primo comma definisce tali documenti come I libri, i repertori, le scritture e la documentazione la cui tenuta è obbligatoria per disposizione di legge o di regolamento.
Va da sé che tali documenti hanno valore giuridico, e come tali sono soggetti anche al Codice dell’Amministrazione Digitale (CAD per gli amici) che introduce il principio che debbano essere assicurati autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti che riportanti atti, fatti o dati in quanto giuridicamente rilevanti; senza entrare nei dettagli, per assicurare tali carattestiche il CAD introduce dei requisiti per quella che viene definita conservazione a norma.
Analogie con altri tipi di dato
La normativa sui dati personali, cioè il GDPR, prevede all’art. 32 (comma 1) che siano presenti misure adeguate per: b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; e c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Più in generale, considerando cioè qualsiasi genere di dato, la disciplina della Sicurezza delle Informazioni è definita come preservazione della riservatezza, integrità e disponibilità delle informazioni; in questo caso non si tratta di una norma di legge da rispettare, quanto di un interesse stesso di ogni ente che gestisce dei dati (cioè, tutti), poiché senza di essi l’ente non è in grado di operare e raggiungere di conseguenza gli obiettivi per cui esiste.
La buona notizia è che, a prescindere dal tipo di dato e della relativa normativa di riferimento, poiché i requisiti sono estremamente simili e peraltro vengono incontro anche all’interesse stesso dell’azienda, le metodologie e gli strumenti che possono essere messi in campo in un determinato ambito possono anche essere riutilizzati per ottenere gli stessi risultati (in termini di sicurezza) negli altri ambiti. Il costo sostenuto per adottare queste misure è comunque ampiamente compensato dal risparmio in termini di danni (sia economici che di reputazione) e sanzioni che altrimenti gli inevitabili incidenti comporterebbero.
Cosa fare nel concreto
Nel testo della sentenza si legge un passaggio fondamentale: È dunque compito dell’amministratore prevenire l’eventuale malfunzionamento del dispositivo nel quale vengono tenuti i libri contabili predisponendo anche modalità alternative o concorrenti di conservazione (stampa cartacea, backup su autonomo supporto ecc.) e comunque reagire tempestivamente a tale malfunzionamento provvedendo, qualora possibile, al recupero dei dati. La Corte quindi sottolinea la prevenzione dei malfunzionamenti come obbligo (ovviamente si deve intendere limitato a quei documenti per i quali esiste l’obbligo legale di conservazione, ma come detto negli altri casi subentra l’interesse stesso dell’ente), dando anche come indicazione quella delle modalità concorrenti di conservazione, in pratica: non è pensabile avere copia unica (di ogni documento che si vuole/deve conservare).
Volendo tradurre ciò in considerazioni pratiche, si possono dedurre alcune indicazioni generali.
La prima è che non possiamo affidarci esclusivamente ad un fornitore di servizi (per esempio, un gestionale contabile in cloud), per quanto famoso e blasonato: i disservizi e gli incidenti sono una realtà quotidiana, e sono inevitabili nel lungo periodo; quindi è assolutamente necessario che abbiamo in qualche modo il controllo sui nostri dati, perché siamo noi in ultima analisi ad avere gli oneri assegnati dalla legge (“è compito dell’amministratore”, sottinteso: dell’ente), e potersi rivalere su un fornitore esterno dopo che il danno è stato fatto, è solo parzialmente una soluzione.
Posto quindi che dobbiamo avere in mano (cioè: su un sistema di memorizzazione che gestiamo direttamente) i nostri dati, la seconda indicazione è che dobbiamo proteggerli, e la cosa fondamentale è non conservarli in un’unica copia (a questo aspetto abbiamo dedicato l’articolo sui backup, che infatti viene citato espressamente come possibile soluzione). Inoltre, poiché la gestione e la sicurezza dei sistemi digitali è estremanente specialistica, è necessario avere a disposizione le competenze necessarie, o con personale interno, o (se non possibile o non conveniente) con partner esterni sufficientemente affidabili. Infine, poiché è evidente che le minacce alla disponibilità dei dati sono innumerevoli e solo parzialmente dovute ad aspetti tecnici o esterni, è necessario che tutti abbiano consapevolezza (attraverso attività di formazione dedicate) dei rischi che loro stessi rappresentano e che conoscano di conseguenza le corrette pratiche da adottare.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
