A seguito del verificarsi di incidente di sicurezza si configurano principalmente due tipologie di esigenze in relazioni alle quali possono sorgere implicazioni di natura anche penalistica
Sotto un primo profilo, come già visto sopra, è necessario che si provveda, al ricorrere degli opportuni indici di rilevanza, a notificare l’avvenuta violazione al Garante, nonché, in determinati casi (e.g. quello dei soggetti rientranti nel perimetro di sicurezza cibernetica) –ed anche a prescindere dal verificarsi di una violazione di dati personali– alle altre Autorità competenti (CSIRT, Autorità NIS). L’omissione, in particolare, di quest’ultimi obblighi di comunicazione e notifica è di regola punita con sanzioni amministrative, ma può, nei casi più gravi, essere perseguibile anche penalmente al pari della mancata collaborazione con le Autorità e/o alla trasmissione a quest’ultime, in occasione delle proprie attività ispettive e di accertamento, di dati e/o informazioni inveritiere.
Da un altro lato, si pone la necessità di procedere alla raccolta di ogni elemento in grado di ricostruire la dinamica che ha caratterizzato l’incidente di sicurezza, per favorire la migliore gestione e risoluzione delle conseguenze derivate e, laddove possibile, individuare gli autori di eventuali condotte illecite.
Con riferimento agli incidenti di sicurezza, le attività di ricerca e raccolta di elementi di prova deve essere necessariamente svolta con modalità (i.e. attività e tecniche di digital forensics) tali non solo da consentire un’efficace individuazione di ogni elemento rilevante ma anche, e soprattutto, di garantire l’attendibilità e non ripudiabilità degli esiti della raccolta, così come la possibilità di ripetere gli accertamenti in un successivo procedimento giudiziario senza che l’oggetto delle prime investigazioni risulti da queste irrimediabilmente modificato o alterato. Tale ultimo aspetto è infatti centrale laddove detti elementi debbano essere spesi in un procedimento, come quello penale, assistito da particolare garanzie e divieti in punto di acquisizione e utilizzo degli elementi di prova. L’esigenza di affidarsi a personale specializzato, in grado di applicare le più opportune ed efficaci tecniche di investigazione forense, è pertanto tanto più forte quanto più complessi e invasivi siano gli accertamenti da intraprendere sul sistema informatico coinvolto nell’incidente di sicurezza.