Chi risponde in caso di danni derivanti da un Penetration Test?

Definire legalmente i limiti di responsabilità in attività quali vulnerability assessment e penetration testing non sempre è facile.

In questo articolo si andrà ad analizzare ed eliminare alcuni dubbi legali in merito alla responsabilità delle società che effettuano controlli di questo tipo.

Chi risponde di eventuali danni al sistema informatico della società committente derivanti dall’attività di penetration testing?

Dal punto di vista legale chi adempie alle obbligazioni contrattuali mediante un’attività di penetration testing deve eseguirla con la diligenza di un “buon padre di famiglia” (frase arcaica alla quale il codice civile è molto legato), ma non sempre questo avviene.

Vi sono tre macro casi in cui la responsabilità dei danni derivanti da una attività erronea di penetration testing è della società adempiente.

1. Nel compiere il penetration test in questione non vengono rispettati gli obblighi e le procedure vincolanti del contratto. Qui viene verificata una fattispecie di inadempimento di un contratto di servizi e quindi si è tenuti al risarcimento del danno [Il debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno, art. 1218 Cod. Civ.], che comprende sia la perdita subita dalla società committente che il mancato guadagno, se conseguenza immediata e diretta dell’inadempimento (art. 1223 Cod. Civ.). In questo caso però è possibile inserire una clausola di esonero dalle responsabilità della società adempiente, e quindi declinare questo tipo di responsabilità.
   Es: Se a causa di un’attività di penetration testing per un portale e-commerce questo viene reso inattivo per due giorni e il security researcher non si è limitato a rispettare il perimetro stabilito dal contratto, il danno economico derivante dalla cessata attività sarà in carico al professionista.

2. Nel caso venga provocato un danno economico o operativo alla società committente si è responsabili, pur avendo rispettato gli obblighi espressamente previsti dal contratto, se si è venuti meno a quegli obblighi di protezione secondo dottrina e giurisprudenza, i quali fanno parte dei doveri contrattuali anche se non previsti e espressi. Non essendo tali obblighi di protezione previsti contrattualmente, non ci si può esonerare dalle responsabilità che ne derivano mediante clausole.

3. Nell’agire con dolo o colpa grave, ovvero volontariamente e senza il rispetto delle regole di diligenza. In tal caso la responsabilità civile sarà pienamente a carico della società adempiente e non escludibile mediante clausole contrattuali.

Delineare alla perfezione il perimetro di testing e modalità è la soluzione migliore per evitare situazioni di conflitto legale in caso di danni o alterazioni, sia per la società committente, sia per la società che svolge l’attività.