TERZO SETTORE E SICUREZZA INFORMATICA

 



TERZO SETTORE E SICUREZZA INFORMATICA.


Come da recenti rilevazioni espresse dalle istituzioni italiane, gli attacchi informatici sono aumentati del 115%. Questo dato dovrebbe suscitare interesse sia nelle persone fisiche che nelle Istituzioni, nelle imprese e nelle organizzazioni non profit.

Mi posi il problema della cybersecurity quando nel 2014 promossi la nascita dell'Associazione Le cose che vanno. Mi venne naturale pensarci perchè era una associazione che nasceva in rete e voleva sfruttare ogni strumento internet per raggiungere i propri scopi sociali, efficientando notevolmente le spese.

Se si fosse deciso di spendere risorse in affitto per la sede legale, in viaggi per riunioni e incontri, in affitto di sale per conferenze e tavoli di confronto, in continui spostamenti, sarei stato certo che non avremmo avuto risorse adeguate da investire in generatività.

L'idea che ebbi nel 2014 oggi si è rivelata apprezzabile, così come si è rivelata giusta l'attenzione alla cybersicurezza:

Pur non potendoci permettere una spesa importante in consulenza tecnica e monitoraggio continuo di sicurezza di rete, e dovendo comunque garantire, al meglio che potevamo, una adeguata sicurezza informatica in trasparenza, abbiamo promosso comunicazioni attraverso sistemi di rete più sicuri, come ad esempio una email ed un cloud con dominio non personalizzato e con servizi di aziende di alta professionalità.

Le riunioni le abbiamo svolte attraverso sistemi informatici protetti e il nostro sito internet, sin da subito, è stato predisposto in HTTPS (Hypertext Transfer Protocol Secure). Eravamo in pochi nel nostro ambiente ad averlo già previsto. Molti, allora, avevano il proprio sito ancora in HTTP.

Abbiamo sin da subito limitato al massimo la fruizione del nostro website, rendendolo utile solo come spazio promozionale delle nostre attività, offrendo documentazione strettamente necessaria.

In sostanza, in via generale, abbiamo agito cercando di limitare al massimo i rischi e tutelando, in tal senso, anche i dati che la nostra associazione tratta nel suo operato.

Non solo.

Dal 2021 stiamo promuovendo il tema della cybersicurezza anche nelle Reti di cui facciamo parte e siamo fiduciosi di ottenere apprezzabili sviluppi nel prossimo futuro.

Vero è che il chiederci se gli sforzi che abbiamo fatto e che stiamo facendo siano sufficienti a scongiurare rischi è secondo me, per definizione, un errore di prospettiva.

La sicurezza non basta mai e non potremmo mai valutarla in misura sufficiente da soli, nè pretendere che qualcuno lo faccia per noi.

In linea di massima, il metodo che ci può tornare utile è il seguente: ogni occasione che si presenta per potenziare ragionevolmente i livelli di sicurezza della nostra associazione, dei suoi flussi e dei suoi processi, se possiamo farlo, dobbiamo coglierla.

Ciò non significa che dobbiamo improvvisarci ingegneri informatici, ma significa che dobbiamo ricavare un adeguato spazio nella gestione dell'Ente per promuovere al meglio che possiamo i livelli di cui sopra.

Attenzione, dunque, a ben comprendere che frasi del tipo:

"ma io presiedo una piccola associazione", "ma io sono solo un consigliere direttivo", "ma io non volevo fare il presidente, me lo hanno chiesto gli amici e ho detto si per gentilezza", etc etc...

non costituiscono degli "esimenti" validi!

Il dovere suesposto, nel caso dei quadri di Terzo settore, sotto il profilo civilistico non potrebbe considerarsi alla stregua della normale diligenza, ma sarebbe da considerarsi nel quadro della diligenza qualificata ex art. 1176 cc comma 2, ovvero un livello di responsabilità decisamente maggiore rispetto al livello che il nostro ordinamento richiederebbe ad una persona che non ricopra ruolo di direttivo e/o incarico di responsabilità.

L’art 28 del Codice del Terzo Settore rinvia all’art. 2392 del Codice civile, pertanto gli amministratori degli ETS devono adempiere i doveri ad essi imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell’incarico e dalle loro specifiche competenze.

"Gli amministratori, i direttori generali, i componenti dell'organo di controllo e il soggetto incaricato della revisione legale dei conti rispondono nei confronti dell'ente, dei creditori sociali, del fondatore, degli associati e dei terzi, ai sensi degli articoli 2392, 2393, 2393 bis, 2394, 2394 bis, 2395, 2396 e 2407 del codice civile e dell'articolo 15 del decreto legislativo 27 gennaio 2010, n. 39, in quanto compatibili." ( Art. 28 CTS)

Nel caso dell'"incarico", sulla corresponsabilità aprirei un'autostrada enorme, ma non cedo allo spirito discorsivo.

In tale post mi fermo all'argomento della cybersicurezza applicata al terzo settore ed al dovere in capo agli Amministratori delle organizzazioni non profit di ogni livello (dalla micro associazione sino alla grande organizzazione) di porsi questo problema e di armarsi dei migliori strumenti possibili per affrontare la digitalizzazione anche in quelle zone d'ombra che necessitano di diligente attenzione. 

Roma 14 dicembre 2022

Mirko Marangione