Si può invocare la causa di forza maggiore in caso di attacco informatico? La domanda sorge spontanea quando si analizzano le clausole contrattuali sulla forza maggiore (una delle tante, spesso sorvolate, c.d. boilerplate clauses) che vanno diffondendosi nel periodo attuale, contraddistinto, finalmente, da una maggiore consapevolezza dei rischi informatici.
Essendo la teoria della causa di forza maggiore di attinenza squisitamente contrattuale, proveremo ad approfondirne le correlazioni con gli attacchi informatici in termini di interruzione dei servizi erogati e di sopravvenuta impossibilità, temporanea o permanente, ad adempiere alle obbligazioni scaturenti dai contratti, piuttosto che in termini di perdita della riservatezza dei dati personali e loro esfiltrazione (con collaterale violazione degli obblighi normativi sulla data protection).
Terremo dunque distinti, da un lato, l’obbligo di garantire la riservatezza, sicurezza e non divulgazione dei dati personali che è in primis (anche se non esclusivamente) un obbligo di derivazione normativa e, dall’altro lato, l’obbligo di garantire predeterminati livelli di servizio (i c.d. “Service Level Agreement” o “SLA”) e il rispetto delle tempistiche pattuite, che sono invece obblighi di derivazione prettamente contrattuale.
Ed è proprio in quest’ultimo ambito che si avverte l’esigenza di invocare tali tipologie di clausole, quanto meno per sospendere, se non addirittura risolvere, le obbligazioni contrattuali al ricorrere di ipotesi di:
- attacchi DDoS (Distributed Denial of Service) progettati per sovraccaricare un server, una rete o una piattaforma online fino a bloccarla, renderla inservibile e metterla offline,
- attacchi wiper, che distruggono i dati sulle macchine infette,
- ransomware, che criptando i file e, rendendoli inaccessibili, bloccano anche i servizi informatici, ma non solo, che su di essi si basano,
- minacce persistenti avanzate (APT) e simili.
[Vedi anche: RANSOMWARE: quando fare la notifica al Garante e la comunicazione agli interessati]
Indice
Cosa si intende per “Forza maggiore”?
Per poter valutare se la clausola di forza maggiore possa rivelarsi utile in tali concitati frangenti, bisogna innanzitutto comprenderne la nozione e la portata.
La nozione di forza maggiore, risalente al diritto romano classico e positivizzata per primo dal codice napoleonico, è tradizionalmente intesa come un evento, indipendente da azioni od omissioni – dirette od indirette – del debitore, che impedisce la regolare esecuzione del contratto rendendo al contempo inefficace qualsiasi azione dell’obbligato diretta ad eliminarlo (1).
Secondo il consolidato insegnamento di legittimità (cfr. Cass. sent. n. 12235/2007), perché un evento sia sussumibile nel nostro ordinamento all’interno del paradigma della forza maggiore, deve soddisfare
- un requisito oggettivo, la straordinarietà, che è misurabile sulla base di elementi quali la sua intensità, dimensione, novità, ricorrenza, etc.,
- ed uno soggettivo, l’imprevedibilità, che riguarda la diligenza della parte contraente rispetto al modello del contraente medio, dotato di ordinaria diligenza, che versi nelle stesse condizioni.
Riferendoci dunque alla causa maggiore in senso lato, anche come sinonimo di causa estranea non imputabile al debitore, intravediamo già quanto sia fondamentale il requisito soggettivo dell’imprevedibilità della causa di forza maggiore per il nostro tema.
Tale requisito sembra infatti rappresentare perfettamente il rovescio della medaglia del requisito dell’accountability, valevole anche tra società (B2B).
Un altro precetto che sembra strizzare l’occhiolino all’accountability ed esserne addirittura precursore è l’art. 1218 c.c., il quale prevede che la parte colpita debba assolvere l’onere della prova dimostrando la forza maggiore di cui si vuole avvalere.
Come formulare la clausola di forza maggiore?
Ma come può dunque un’azienda gestire, e magari anche arginare, il rischio di responsabilità contrattuale in caso breccia nel proprio perimetro di sicurezza informatica? Innanzitutto occorrerebbe partire da una ponderata e adeguata formulazione della clausola contrattuale stessa.
Per chi ha interesse a inserirla o a estenderne l’applicabilità
Se non volete farvi cogliere impreparati con una clausola di forza maggiore standard e dunque inutile e superata, possono valere le seguenti considerazioni.
- Ad esempio, per conferire maggiore ‘elasticità’ alla clausola di forza maggiore, parrebbe opportuno concedere, in un primo momento, più tempo, oltre alla data concordata, per adempiere alla propria obbligazione senza incorrere in responsabilità patrimoniale (e contestualmente attivarsi al fine di porvi rimedio il prima possibile), salvo poi, in un secondo momento, dopo un certo termine, autorizzare le parti a risolvere il contratto se l’adempimento degli obblighi non è ripreso e non v’è più interesse che riprenda.
In tal modo, infatti, la clausola potrà essere invocata anche quando il contratto è ‘solo’ ritardato, e non esclusivamente quando sia divenuto impossibile, specie mentre i sistemi della vittima vengono ripristinati.
Qui è importante notare che l’adempimento alle obbligazioni di origine normativa o regolamentare, di sicurezza, riservatezza, continuità aziendale e segnalazione critica, non potranno essere sospese durante la pendenza di un evento di forza maggiore, in quanto al di fuori della disponibilità negoziale delle parti.
- Indicare in modo inequivocabile nel contratto che un attacco informatico (tipo ransomware o DDoS) verrà considerato come un evento di forza maggiore.
Se infatti la specifica tipologia di cyberattacco non viene inclusa espressamente nell’elenco, idealmente con la doppia sottoscrizione della clausola predisposta da una sola parte a rafforzamento dell’impegno dell’altra, sarà molto difficile invocarla nei casi in cui le aziende (ad esempio a causa di una mancata installazione di una patch dopo diverso tempo dal suo rilascio) vengano colpite da ceppi ormai risalenti di ransomware che le agenzie di sicurezza hanno ormai censito e studiato e su cui gli avvertimenti si sono già sprecati.
Certo, in mancanza di tale specifica si potrebbero pur sempre – tentare di – invocare categorie più comuni di eventi di forza maggiore, quali ad esempio il furto, il danneggiamento doloso, l’atto o la minaccia di terrorismo, l’atto di guerra o di governo ostile (si pensi all’eclatante caso dell’attacco nord-coreano del 2014 a Sony).
Ma se un cliente decidesse di intentare una causa dopo aver scoperto che un proprio fornitore è risultato inadempiente per colpa di un virus informatico, è molto probabile che una generica clausola standard di forza maggiore non possa servire come difesa efficace, moltiplicando esponenzialmente i danni subiti.
- Oltre a ciò, le aziende che decidono di predisporre tali clausole, dovrebbero stare attente e decidere in anticipo come ripartire le forniture bloccate o limitate a causa dell’attacco informatico subito.
Infatti la forza maggiore difficilmente potrà giustificare un inadempimento completo se un’azienda avrebbe potuto adempiere parzialmente e proporzionalmente, ma ha invece scelto di allocare altrove l’intero adempimento che le era possibile.
Altro consiglio potrebbe essere quello di valutare se in questi casi la clausola di forza maggiore relativa agli attacchi informatici trovi la propria collocazione più organica come disposizione separata o come parte integrante delle disposizioni sulla continuità aziendale e sul disaster recovery oppure ancora nell’eventuale allegato costituente l’accordo sui livelli di servizio garantiti (SLA).
Per chi ha l’interesse contrario a limitarne l’applicabilità
Al contrario, invece, potrebbe esservi anche l’interesse opposto, e cioè ad esplicitare chiaramente che un attacco informatico non verrà considerato causa di forza maggiore.
Si pensi ad esempio a quei contratti con fornitori di servizi cloud critici o di altri servizi ICT che pubblicizzano alti livelli di sicurezza informatica by default, dove sarebbe del tutto irragionevole concedere loro di appellarsi alla clausola di forza maggiore dopo aver subito un attacco informatico paralizzante.
Infatti il punto più critico della questione è proprio il conflitto tra l’inserimento di una clausola di forza maggiore per i casi di attacchi informatici subiti, da un lato, e le aspettative dei clienti riguardo a ridondanza, elevata disponibilità, ripristino da disastri e livello di servizio, dall’altro.
- Come clienti di un fornitore di infrastrutture critiche ICT, oltre a pretendere la mutualità della clausola, in quanto il rischio informatico va in entrambe le direzioni, anche l’introduzione della condizionalità è un buon modo per riequilibrare il rischio.
- Altra best practice a disposizione dei clienti che si vedano proposte tali tipologie di clausole è quella di farsi garantire che le politiche di sicurezza ICT interne (che dovrebbero essere robuste e soprattutto fornite in estratto ai clienti in sede precontrattuale), i piani di continuità aziendale, di disaster recovery e di gestione dei data breach non subiranno sospensioni in caso di attacco informatico.
- Ulteriore condizione che i clienti possono legittimamente richiedere e vedersi riconosciuta è l’obbligo del vendor ICT di mitigare il più possibile gli effetti dell’attacco invocato come evento di forza maggiore e di porvi fine e rimedio al più presto.
L’invocabilità della clausola di forza maggiore da parte di questo tipo di fornitori, dunque, dovrebbe essere condizionata alla riprova dell’esperimento, da parte di colui che ha subito l’attacco, di tutte le procedure di continuità aziendale, incident response e remediation.
Precedenti giurisprudenziali
La forza maggiore è una creazione puramente contrattuale e, spettando alle parti definire cosa essa significhi nel loro contratto, il tema si presenta foriero di future vertenze commerciali potenzialmente sfocianti in contenzioso giudiziale. Nonostante ciò, però, non è ancora agevole reperire precedenti giurisprudenziali sulla relazione tra attacco informatico e causa di forza maggiore.
In Heritage Valley Health Sys, Inc. vs Nuance Commons, Inc. (W.D. Pa. 2020) si afferma che “un attacco informatico lanciato dal governo russo, che ha colpito molte altre aziende e organizzazioni in tutto il mondo, era probabilmente al di fuori del ragionevole controllo del [convenuto]“.
Guardando all’ordinamento interno, l’unico precedente parrebbe essere la sentenza del Consiglio di Stato n. 5882/2021 secondo la quale è legittimo rimettere in termini la società nella procedura di gara, perché a causa di una forza maggiore rappresentata proprio da un “attacco informatico” non ha potuto rispondere in tempo al soccorso istruttorio.
Tale sentenza non convince però pienamente in quanto l’azienda candidata, caduta vittima di ransomware, aveva avuto quattro giorni di tempo tra il ritorno all’operatività e la scadenza del termine entro cui adempiere alla richiesta d’integrazione documentale della stazione appaltante.
In tale lasso di tempo l’azienda candidata ben avrebbe potuto rettificare le incompletezze documentali, operazione che parrebbe di per sé non complessa, utilizzando la “maggior diligenza possibile” al fine di ripristinare l’operatività dei sistemi e cercare di evitare gli effetti negativi dell’evento avverso, ma così non ha fatto, essendo dunque costretta a richiedere la remissione in termini, istanza che in primo grado veniva rigettata dal TAR, salvo poi essere accolta dal Consiglio di Stato (2).
Conclusioni
Dalle brevi e superficiali riflessioni di cui sopra possiamo provare a trarre una prima, approssimativa, conclusione secondo la quale tanto più la tecnologia è centrale per l’attività della parte colpita, tanto meno è probabile che un attacco o incidente informatico su tale infrastruttura sia considerato al di là del ragionevole controllo, e dunque rientrante nella definizione di causa di forza maggiore scusante.
Infatti, nell’epoca dei piani di business continuty e disaster recovery, il contesto generale dell’allocazione del rischio informatico, della sicurezza ICT, della protezione dei dati tende a tirare nella direzione opposta rispetto a quella verso cui tendono le clausole di forza maggiore.
Auspichiamo dunque che si diffonda anche presso le PMI un approccio completo e proattivo, sia dal punto di vista contrattuale, sia dal punto di vista dell’implementazione di solide misure di cybersecurity, dello sviluppo di efficaci piani di risposta agli incidenti, dando priorità al backup e al ripristino dei dati, e mantenendo il monitoraggio continuo dell’intelligence sulle minacce, un vero e proprio game-changer.
Rimane comunque molto importante per le aziende che forniscono prodotti o servizi (anche non strettamente informatici) affiancare ai piani di continuità aziendale e di gestione degli incidenti informatici, adeguati meccanismi contrattuali volti ad evitare o ridurre al minimo la responsabilità contrattuale e patrimoniale nei confronti dei clienti, durante la gestione ed il superamento di tali crisi.
Come possiamo aiutarvi
Non esitate dunque a contattare lo Studio Legale Delli Ponti per assistenza
- nell’aggiornamento e negoziazione delle clausole di forza maggiore per porre le basi per poter sostenere in maniera autorevole e documentata che gli attacchi informatici possono essere considerati come moderni eventi di forza maggiore,
- e nel reperire, organizzare, razionalizzare e predisporre la documentazione adeguata a dimostrare, in ottica di accountability, alla controparte contrattuale, gli sforzi di mitigazione adottati.
Senza queste accortezze legali, infatti, non si potrebbe fare più di tanto affidamento sulle clausole di forza maggiore per essere sollevati da responsabilità contrattuale nei confronti dei clienti dopo aver subito un attacco informatico.
(1) “Il principio di forza maggiore: la disciplina nazionale e internazionale a confronto”, Avv. Maurizio Gardenal, 17.09.2014, in https://mglobale.promositalia.camcom.it.
(2) “Appalti, se il concorrente è vittima di un cyber attacco: cosa dice il Consiglio di Stato”, Avv. Enrico Attili, 07.10.2021, in https://www.agendadigitale.eu.