Fornitori di mercati online e Nis2

Chi sono i fornitori di mercati online

Come definiti dall’art. 3, punto 14 del regolamento (UE) 2023/988 relativo alla sicurezza generale dei prodotti, sono da intendere quali fornitori “di un servizio di intermediazione che utilizza un’interfaccia online che consente ai consumatori di concludere contratti a distanza con operatori commerciali per la vendita di prodotti”.

Il ruolo chiave consiste nel rappresentare un anello di congiunzione fondamentale tra venditori e acquirenti, ospitando i primi sulle proprie piattaforme (offrendo altresì anche servizi di ranking e profilazione, ad esempio) e consentendo ai secondi di avere accesso a prodotti e servizi.

Sullo sfondo di tali vantaggi, tuttavia, si stagliano i rischi connessi al mondo digitale, dove le minacce cyber sono sempre più avanzate e, in ragione del contesto operativo, gli attacchi connessi a frodi e furti di dati sono elevati.

Applicazione della direttiva NIS 2 ai fornitori di mercati online

Proprio per queste ragioni i fornitori di mercati online sono inseriti tra i settori critici di cui all’Allegato II (cfr., in particolare, il punto 6) del D. Lgs. 138/2024, con cui è stata recepita nel nostro ordinamento la direttiva NIS 2 (direttiva (UE) 2022/2555).

Tale normativa europea – che ha sostituito la prima versione della direttiva Network and Information Security – si prefigge lo scopo di “stabilire misure volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno” (cfr. art. 1, comma 1, della direttiva), mitigando le minacce ai sistemi informatici e di rete utilizzati per fornire servizi essenziali in settori chiave, garantendone la continuità operativa e, di riflesso, contribuendo al funzionamento efficace dell’economia dell’Unione e della sua società.

L’applicazione della direttiva NIS 2 ai fornitori di mercati online si traduce in specifici obblighi per questi ultimi, di cui si elencano di seguito i principali:

• La preliminare attività di assessment, con analisi delle criticità, vulnerabilità e mappatura delle informazioni, nonché dei potenziali impatti su quest’ultime;
• L’implementazione di sistemi di gestione del rischio commisurati alle vulnerabilità tecnologiche e organizzative;
• La previsione di piani di risposta agli incidenti in grado di garantire la continuità operativa e la resilienza dei sistemi, anche attraverso piani di backup e disaster recovery;
• L’implementazione di specifiche procedure per l’effettuazione di eventuali notifiche di incidenti informatici;
• La formazione e sensibilizzazione del personale su cyber risk e gestione delle emergenze;
• La continua revisione e adattamento dei modelli e delle procedure in ragione del contesto operativo sostanziale.

L’approccio al tema della sicurezza deve pertanto essere proattivo e trasversale: non deve agli strumenti utilizzati per ridurre gli effetti pregiudizievoli delle minacce, ma estendersi a processi interni e risorse umane, in modo da sviluppare una responsabile cultura orientata alla prevenzione.

Data protection e compliance: l’applicazione del GDPR

Nella loro qualità di titolari del trattamento dei dati personali che trattano dei propri clienti, i fornitori di mercati online sono anche assoggettati alla disciplina europea in materia di protezione dei dati personali, nei limiti di quanto stabilito ex art. 3 del regolamento (UE) 2016/679 (GDPR) al quale, per ragioni di sintesi, si rinvia.

Il principale obiettivo della normativa europea privacy è quello di proteggere i dati personali e i soggetti interessati a cui si riferiscono. Pertanto, oltre al rispetto dei principi fondamentali di cui all’articolo 5 della normativa, i fornitori di mercati online, in qualità di titolari del trattamento, saranno chiamati a implementare l’ecosistema documentale previsto dal legislatore europeo (es. informative, registro del trattamento, atti di nomina, etc.).

Anche all’interno del GDPR troviamo disposizioni inerenti ai temi della sicurezza (art. 32) e degli incidenti informatici: questi ultimi rientrano nelle ipotesi di violazione dei dati personali (data breach, artt. 33 e 34) nel caso in cui l’evento si ripercuota negativamente sull’integrità di questi ultimi.

Con riferimento alle misure di sicurezza, l’art. 32 GDPR prevede in capo al titolare l’obbligo di individuare quelle che ritiene “adeguate” al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Il presupposto, anche in questo caso, è lo svolgimento di una preliminare attività di assessment e valutazione delle criticità e delle vulnerabilità del singolo contesto operativo.

Sotto il profilo del data breach, per quanto il disposto degli articoli 33 e 34 GDPR abbia a oggetto eventi pregiudizievoli occorsi non a tutte le informazioni conservate, bensì solo ai “dati personali”[1], anche il regolamento prevede specifiche regole in merito agli obblighi di notifica e comunicazione, da effettuare rispettivamente, in base alla gravità e agli effetti dell’evento, all’Autorità Garante privacy e agli interessati[2]. Anche per la compliance in ottica GDPR è dunque opportuno prevedere apposite procedure che facilitino l’effettuazione delle notifiche e comunicazioni di eventuali data breach.

Compliance sinergica tra NIS e GDPR: best practice

Per quanto si pongano obiettivi diversi – rispettivamente, sicurezza informatica e protezione dei dati personali – NIS 2 e GDPR richiedono un approccio integrato, multistrato e sinergico, il cui presupposto è un’attenta attività di preliminare valutazione delle minacce che favorisca la prevenzione e, successivamente, il continuo monitoraggio e aggiornamento delle politiche e delle misure di sicurezza, per rispondere efficacemente alle minacce.

Appaiono, pertanto, fondamentali:

• La previsione di piani di audit periodici su sicurezza informatica e privacy, anche attraverso il coordinamento tra le figure responsabili nominate (CISO, DPO, etc.);
• La formazione e sensibilizzazione continua del personale e dei collaboratori interni (nonché attente valutazioni circa l’affidabilità dei fornitori esterni seguite da formali atti di nomina);
• La revisione dei modelli e delle procedure, affinché non siano limitate a una sterile attività di “paper compliance” ma, al contrario, siano funzionali agli scopi per le quali sono state previste;
• Il ricorso a misure di sicurezza tecniche e organizzative adeguate e commisurate ai rischi insiti nel proprio contesto operativo;
• Lo svolgimento di un continuo risk assessment e periodiche simulazioni di attacco e test di resilienza dei sistemi informatici (penetration test).

Cosa devono fare i fornitori di mercati online

I fornitori di mercati online operano in un contesto, qual è quello digitale, sempre più regolamentato e caratterizzato dalla complessità tecnica e organizzativa degli adempimenti richiesti.

Sullo sfondo, inoltre, occorre considerare come vi siano anche le aspettative dei clienti in termini di affidabilità e sicurezza (elemento che deve fare a sua volta i conti con le sempre maggiori minacce cyber), la necessità di adattarsi e la capacità di investire in ulteriori sviluppi (ad esempio strumenti basati sull’intelligenza artificiale) e, ancora, la pressione competitiva. Questi elementi, che certamente rappresentano una sfida, costituiscono anche possibili vantaggi competitivi, laddove siano bene interpretati e, sotto il profilo degli obblighi normativi, si raggiunga una piena compliance.

Solo attraverso l’adozione di modelli di governance che mettano al centro la sicurezza e la protezione delle informazioni sarà possibile ottenere un vantaggio rispetto ai competitors, mitigare rischi reputazionali e garantire un sistema sicuro, conforme e sostenibile nel lungo periodo.

Note

[1] In base all’art. 2 GDPR (“Ambito di applicazione materiale”), il regolamento trova applicazione con riferimento “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, punto 1, GDPR).

[2] Con “interessato” si fa riferimento al soggetto persona fisica a cui il dato personale è riferito o riferibile, direttamente o indirettamente (art. 4, punto 1, GDPR).