Quando l’ormai famigerato aggiornamento software program CrowdStrike ha fatto crollare aziende in tutto il mondo a luglio, period inevitabile che sarebbero seguite delle trigger legali, e così è stato. Delta che ha fatto causa all’azienda per danni fino a 500 milioni di dollari e ha assunto l’avvocato David Boies è forse l’esempio più noto.
Tra la vasta gamma di clienti di alto profilo di Boies ci sono Theranos, Harvey Weinstein, le vittime di Jeffrey Epstein e Al Gore in Bush v. Gore sui risultati delle elezioni presidenziali del 2000. Ha anche guidato il caso antitrust del governo contro Microsoft negli anni ’90.
Ancor prima che Delta si facesse avanti, gli azionisti erano già intenzionati a ottenere la loro fetta di carne al fuoco, presentando una class motion contro CrowdStrike, sostenendo che l’azienda li aveva ingannati riguardo alle sue process di aggiornamento software program.
Da parte sua, CrowdStrike ha incaricato lo studio legale Quinn Emanuel Urquhart & Sullivan di difendere l’azienda dall’imminente ondata di azioni legali, dando credito all’concept che gli avvocati avrebbero guadagnato un sacco di soldi da questo errore.
In misura minore, anche Microsoft è stata coinvolta nella battaglia perché l’aggiornamento software program difettoso di CrowdStrike ha interessato solo i laptop Home windows.
Ma per la maggior parte, è la croce di CrowdStrike da portare, e sta affrontando una sfida legale scoraggiante, afferma Rob Wilkins, che lavora presso lo studio legale della Florida Jones Foster, dove è co-presidente del gruppo di pratica di contenzioso e risoluzione delle controversie complesse. Ciò che potrebbe salvare CrowdStrike, tuttavia, sono i limiti contrattuali sui danni, che sono in genere incorporati nei contratti di software program aziendale.
“Quello che ho scoperto di interessante è che esiste un limite contrattuale sui danni tra CrowdStrike e Delta, e presumo che ci sarà un tipo simile di limite contrattuale sui danni nei contratti degli altri clienti”, ha detto Wilkins a TechCrunch.
Tuttavia, Delta sostiene che il cattivo aggiornamento software program è stato causato da grave negligenza o dolo da parte di CrowdStrike, il che potrebbe potenzialmente invalidare il limite contrattuale. Il servizio Delta è stato interrotto per cinque giorni, rispetto a United, che ha dovuto affrontare solo tre giorni di ritardi correlati a CloudStrike. CrowdStrike afferma che Delta ha avuto problemi con i propri sistemi interni e che la società non può attribuire l’intera interruzione all’aggiornamento difettoso di CrowdStrike.
Wilkins afferma che Delta potrebbe avere problemi a dimostrare negligenza grave o dolo, il che comporta un notevole onere della prova. Gli azionisti che sostengono che la società li ha tratti in inganno e truffati non avvisandoli della mancanza di un regime di take a look at del software program affrontano anche notevoli difficoltà nel dimostrarlo in tribunale.
“Tutto si riduce a: CrowdStrike ha intenzionalmente travisato o non ha comunicato agli investitori di essere completamente aggiornata per quanto riguarda tutte le sue process di sicurezza e di controllo relative alla sua piattaforma software program?” ha affermato Wilkins.
Wilkins afferma che, qualunque cosa accada, le singole aziende che hanno fatto causa a CrowdStrike probabilmente si uniranno per presentare una class motion contro l’azienda, perché le trigger individuali diventeranno costose e poco maneggevoli per tutti i soggetti coinvolti. Vale la pena notare, afferma, che una volta che c’è una class motion, questa tende advert attrarre più aziende che vogliono essere incluse.
“In genere, con le azioni collettive, le persone si ammucchiano, e non sarei sorpreso se fosse così, e poi vedi tutto consolidato in un collegio di contenziosi multidistrettuali, che assegna tutti i casi in tutto il paese a un particolare tribunale distrettuale federale per tutti gli scopi relativi alla fase istruttoria, e questo riduce significativamente il processo”, ha affermato.
Una volta che questo è in atto, c’è la tendenza a un processo “campione”, in cui un caso viene lanciato come caso di prova per tutti gli altri querelanti nella class motion e, indipendentemente da come determine la giuria, questa è una tabella di marcia per altri accordi futuri. “Quindi puoi tornare a CrowdStrike e dire, ‘Guarda, sei stato colpito per 20 milioni di dollari da questa società e abbiamo altre 15 società che ti stanno facendo causa in queste class motion con gli stessi fatti, ecc., dovresti trovare un accordo'”, ha detto.
Un altro fattore complicato è il ruolo delle compagnie assicurative, che coprirebbero CrowdStrike e i suoi clienti da possibili danni in questi casi. Le compagnie assicurative dei clienti potrebbero anche perseguitare CrowdStrike per riavere indietro una parte dei pagamenti effettuati.
“Probabilmente c’è un’assicurazione lì, e probabilmente faranno intervenire il vettore, e di solito difendono queste cose. Anche se non ho visto la loro politica specifica, nelle politiche di sicurezza informatica che ho esaminato, coprirebbe questo tipo di negligenza. E quindi dipende da cosa hanno e da quali esclusioni hanno nella loro polizza, ma vedo l’assicurazione come parte di essa.”
Oltre alle questioni monetarie, Wilkins afferma che c’è una componente reputazionale, e prima tutto questo andrà through, prima CrowdStrike potrà andare avanti. L’azienda ha assunto buoni avvocati per difendersi, ma alla superb dei conti, l’azienda dovrà fare tempo con azionisti e clienti, relazioni che sono fondamentali per il successo di qualsiasi attività.
“Mi sembra che il loro approccio a questo problema sarà quello di combattere, ma anche di combattere con la consapevolezza che hanno davvero bisogno di risolvere la questione e andare avanti, quindi questo è ciò che mi aspetterei”.