MSPRansomwareResponsabilità

MSP e ransomware: responsabilità, contratti e cosa fare prima

Cosa rischia un MSP quando un cliente viene cifrato. Clausole contrattuali utili, polizze cyber, comportamento operativo nelle prime 24 ore.

2 min di lettura

TL;DR

Quando un cliente MSP viene cifrato, la prima domanda dell'avvocato del cliente sarà: chi è responsabile? Tre clausole contrattuali, una polizza E&O cyber e un runbook 24h sono il minimo difensivo.

La responsabilità in pratica

L'MSP che gestisce backup e DR del cliente è considerato responsabile professionale per i servizi forniti. In caso di ransomware con perdita dati il cliente può:

  • contestare il rispetto del SLA;
  • richiedere risarcimento del danno;
  • escutere la polizza professionale dell'MSP.

Il rischio cresce esponenzialmente con la dimensione del cliente cifrato.

Le 3 clausole contrattuali fondamentali

1. Limite di responsabilità

Cap sulla responsabilità totale (es. 12 mensilità di canone). Senza, esposizione illimitata.

2. Esclusione attacchi mirati

I ransomware con riconoscimento di stato-nazione sono fuori scope. Va scritto.

3. Obblighi del cliente

MFA obbligatorio, applicazione patch entro N giorni, divieto di disabilitare il backup. Se il cliente viola, decade la garanzia.

Polizza E&O cyber

Ogni MSP che gestisce DR sopra i 10 clienti dovrebbe avere una polizza professionale Errors & Omissions cyber. Massimali tipici: 1-3 milioni €. Premi annuali in Italia: €4-12k per MSP medio.

Le polizze richiedono evidenza di test DR. Senza, premi 30-50% più alti.

Il runbook 24h post-incidente

Cosa fare nelle prime 24 ore quando un cliente vi chiama "Siamo cifrati":

Ora 0-2: isolamento. Disconnettete il cliente dalla rete, salvate i log, identificate la variante (con strumenti come ID Ransomware).

Ora 2-6: assessment. Quale data del backup pulito? Quali sistemi compromessi? Notifica al cliente, valutazione legale.

Ora 6-12: decisione. Restore o paga? La decisione la prende il cliente, voi raccomandate (e documentate).

Ora 12-24: esecuzione. Restore in ambiente isolato, validazione, ripristino progressivo.

Documentate tutto. Vi servirà.

Errori che fanno perdere la causa

  • toccare il sistema senza forensics: distrugge le prove;
  • negoziare con i criminali a nome del cliente: vi mette in fascia di rischio AML;
  • non notificare l'autorità: per entità NIS2 è obbligo entro 24h.

FAQ

Posso ripristinare immediatamente senza forensics?

Solo se il cliente lo richiede esplicitamente per iscritto. Spiegate che si distruggono le prove.

La polizza copre anche errori del cliente?

No. Per quello serve la polizza del cliente.

Devo notificare il Garante Privacy?

Se ci sono dati personali coinvolti, sì, entro 72 ore. Coordinate con il DPO del cliente.

Per la struttura SLA, SLA DR da proporre al cliente. Per la differenziazione del servizio, Differenziarsi con DR managed.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo