Rilevanza delle legittime aspettative di sicurezza nella comunicazione via e-mail nel traffico commerciale
La questione della protezione tecnica e organizzativa adeguata nel contesto della comunicazione via e-mail commerciale subisce un continuo aggiornamento in considerazione della crescente digitalizzazione. Soprattutto nel traffico commerciale, dove dati sensibili e talvolta riservati vengono regolarmente scambiati elettronicamente, l’entità delle misure di sicurezza da adottare per l’invio delle e-mail riveste un’importanza pratica significativa. La recente decisione della Corte d’Appello di Karlsruhe del 19.09.2023 (rif. 19 U 83/22) contribuisce a chiarire ulteriormente quali standard giuridici debbano essere applicati in questo ambito. In particolare, si pone al centro il criterio delle legittime aspettative di sicurezza nel traffico commerciale.
Parametro per le misure di sicurezza: le aspettative legittime del traffico
Distinzione degli obblighi di protezione tecnica
La Corte d’Appello di Karlsruhe ha chiarito nel suo giudizio che il livello necessario delle misure di protezione tecniche per l’invio di e-mail non deve essere definito secondo standard astratti di sicurezza informatica, ma piuttosto in base alle legittime aspettative del partner commerciale medio. Non esiste pertanto un obbligo generale di criptare tutte le e-mail in modo sistematico dal solo punto di vista tecnologico, bensì è necessario che, in relazione alle circostanze del traffico commerciale specifico e alla natura delle informazioni scambiate, sussista una necessità di criptazione. Fondamentali sono sia la sensibilità dei dati sia l’influenza del settore di riferimento sullo stato dell’arte tecnologico.
Circoli di traffico e particolarità settoriali
Il livello di protezione sviluppato si orienta fortemente alle consuetudini del relativo circolo di traffico. Gli standard minimi tecnici sono quindi influenzati dalla prassi effettiva del settore e dai mezzi di comunicazione tipicamente utilizzati. A seconda del settore e del tipo di dati trasmessi, possono dunque emergere requisiti differenti. Ciò significa, per esempio, che nel settore bancario e finanziario possono applicarsi criteri più severi rispetto al commercio ordinario di merci. Le aspettative usuali nella vita economica delimitano quindi l’obbligo di implementare ulteriori misure di sicurezza.
Parametro di diligenza e responsabilità organizzativa nell’impresa
Differenziazione in base all’organizzazione e al gruppo destinatario
Il parametro di diligenza che le imprese devono osservare nell’invio di e-mail si basa nuovamente sulle legittime aspettative di sicurezza dei destinatari. La responsabilità organizzativa comprende pertanto l’obbligo di valutare e adeguare i processi interni, in particolare per quanto riguarda la scelta del percorso di trasporto appropriato e gli obblighi di informazione nei confronti delle parti coinvolte. Nella misura in cui la e-mail riguarda solo lo scambio di informazioni generalmente accessibili o comunque non riservate, il trasferimento semplice e non criptato è tuttora riconosciuto come prassi commerciale.
Rapporto con le questioni di responsabilità
L’entità di una possibile responsabilità in caso di danno derivante da una comunicazione e-mail insicura dipende dalle misure di sicurezza adottate e dovute. Qualora il livello di sicurezza usuale dal punto di vista tecnico e organizzativo venga sottovalutato, ciò può configurare una violazione dell’obbligo di sicurezza del traffico. La Corte d’Appello di Karlsruhe ha chiarito tuttavia che un livello di protezione oggettivamente più elevato è dovuto solo se anche il destinatario medio, per ragioni di situazioni di rischio comprensibili, poteva attendersi misure di protezione corrispondenti.
Impatto sulla gestione contrattuale e commerciale
Importanza per la fiducia commerciale
La decisione rafforza la legittima fiducia degli operatori economici che l’entità delle misure di sicurezza da adottare si basi sullo stato attuale della prassi e delle aspettative del traffico. In tal modo si mantiene il principio secondo cui non ogni possibile opzione tecnica è necessariamente imposta anche dal punto di vista giuridico. Per le imprese ciò significa una maggiore prevedibilità dei propri obblighi nella gestione della corrispondenza elettronica quotidiana.
Evoluzione delle aspettative
È da tenere in considerazione che, con l’avanzamento dello sviluppo tecnologico e la crescente digitalizzazione, gli standard delle aspettative del traffico sono soggetti a un continuo adeguamento. Una procedura finora usuale può essere modificata da nuovi requisiti legislativi, da impegni settoriali volontari o da standard di mercato generalmente riconosciuti verso requisiti più elevati. Ciò si verifica, per esempio, quando criptazioni di trasporto finora poco utilizzate diventano uno standard tramite un’applicazione più diffusa.
Esame caso per caso e questioni giuridiche aperte
Significato del caso singolo
La decisione dell’OLG Karlsruhe sottolinea la necessità di un approccio differenziato che tenga conto di tutte le circostanze del processo commerciale concreto. Determinanti sono il tipo di informazione, il rischio di divulgazione dei dati e il grado in cui le parti comunicanti potevano ragionevolmente aspettarsi una trasmissione confidenziale. Non si adotta una tipizzazione rigida degli obblighi di protezione; piuttosto è sempre richiesta una valutazione del singolo caso, che oltre alle misure tecniche adottate consideri in particolare le aspettative individuali e le consuetudini del settore.
Situazione giuridica in evoluzione
Va considerato che la decisione alla base è soggetta a discussioni in corso e potenziali ulteriori revisioni. Il fatto pubblicato si basa sulla sentenza dell’OLG Karlsruhe del 19.09.2023 (Az. 19 U 83/22), la cui valutazione fattuale e giuridica potrebbe in futuro subire modifiche, ad esempio a seguito di un ricorso alla Corte federale di giustizia (Fonte: https://urteile.news/OLG-Karlsruhe_19-U-8322_Mass-der-Sicherheitsvorkehrungen-beim-Versand-von-E-Mails-im-geschaeftlichen-Verkehr-richtet-sich-nach-berechtigten-Sicherheitserwartungen-des-Verkehrs~N33273). Fino a una chiarificazione definitiva da parte della giurisdizione superiore si presuppone uno sviluppo continuo.
Conclusioni e prospettive
L’OLG Karlsruhe, nella definizione delle misure di sicurezza IT nella comunicazione via e-mail, fa principalmente riferimento alle aspettative legittime degli operatori di mercato e respinge obblighi generali relativi all’impiego delle tecniche di crittografia più elevate. Ciò fornisce alle imprese un quadro orientato alla realtà commerciale per i flussi informativi elettronici, che soddisfa sia l’esigenza economica di soluzioni praticabili sia la protezione delle informazioni riservate. Considerando l’evoluzione delle possibilità tecniche e delle disposizioni normative, le imprese dovrebbero tuttavia monitorare attentamente lo sviluppo della giurisprudenza e delle consuetudini del settore. Per questioni giuridiche approfondite o riflessioni sulla protezione della comunicazione e-mail commerciale alla luce della giurisprudenza attuale è consigliabile rivolgersi a consulenza qualificata. Ulteriori informazioni e supporto individuale sono offerti da MTR Legal nell’area tematica Consulenza legale in diritto informatico.
