I da­ti, un pa­tri­mo­nio azien­da­le da met­te­re al si­cu­ro

Un'azien­da oggi re­sta com­pe­ti­ti­va se è ca­pa­ce di ave­re un“piano d'azione” che ga­ran­ti­sca un livello di pro­te­zio­ne ta­le da crea­re uno scu­do sui pro­pri ap­pa­ra­ti in­for­ma­ti­ci

Costozero - - Sommario - Pie­ra Di Stefano Av­vo­ca­to del Web™ T.R.ON® - Tu­te­la del­la Re­pu­ta­zio­ne ON­li­ne www.av­vo­ca­to­del­web.com in­fo@av­vo­ca­to­del­web.com

di P. Di Stefano

L’As­so­cia­zio­ne ita­lia­na per la Si­cu­rez­za In­for­ma­ti­ca (Clu­sit) nel suo Rap­por­to 2018 ha di­chia­ra­to che il 2017 si è ca­rat­te­riz­za­to co­me “l'an­no del trion­fo del Mal­ware”, con un au­men­to de­gli at­tac­chi in­for­ma­ti­ci del 240% (1.127 gli at­tac­chi “gra­vi” re­gi­stra­ti a livello mon­dia­le). La Ban­ca d'Ita­lia nel suo dossier ha evi­den­zia­to che ben il 30,3% del­le azien­de italiane ha su­bi­to un attacco in­for­ma­ti­co (al Sud Ita­lia, il 24,4% ne ha su­bi­to al­me­no uno), con dan­ni com­ples­si­vi che am­mon­ta­no a cir­ca 9 mi­liar­di di eu­ro, in­clu­si i co­sti di ri­pri­sti­no. Mol­to spes­so gli at­tac­chi sono del ti­po cd. ran­som­ware: un vi­rus (so­li­ta­men­te con­te­nu­to nel rin­vio ad un si­to web o nell'al­le­ga­to di una e-mail) che si “im­pos­ses­sa” dei pc azien­da­li e ne bloc­ca il fun­zio­na­men­to, si­no a quan­do non vie­ne pa­ga­to il riscatto dall'azien­da, il che non ga­ran­ti­sce quasi mai l'ef­fet­ti­vo “sbloc­co” dei com­pu­ter. Oggi le po­liz­ze as­si­cu­ra­ti­ve con­tro il co­sid­det­to ri­schio in­for­ma­ti­co pos­so­no di cer­to rap­pre­sen­ta­re uti­li stru­men­ti per far­vi fron­te, ma va pre­ci­sa­to che es­se co­pro­no il ri­schio re­si­duo, va­le a di­re quel­lo che non è possibile con­te­ne­re pur adot­tan­do ade­gua­te mi­su­re di si­cu­rez­za. Ciò pre­sup­po­ne che l'azien­da in­te­res­sa­ta ab­bia adot­ta­to un “piano d'azione” per ga­ran­ti­re un livello di si­cu­rez­za in­for­ma­ti­ca ta­le da crea­re uno scu­do sui pro­pri ap­pa­ra­ti in­for­ma­ti­ci. Gli at­tac­chi in­for­ma­ti­ci non sono sol­tan­to fi­na­liz­za­ti a “dan­neg­gia­re” la re­te azien­da­le per estor­ce­re da­na­ro; nel­la mag­gior par­te dei ca­si il con­tro­va­lo­re dell'attacco sono i da­ti stes­si che ven­go­no sot­trat­ti alle azien­de per essere “ri­ven­du­ti” al mi­glior of­fe­ren­te. Da­ti azien­da­li (di­rit­ti di pro­prie­tà in­tel­let­tua­le, in­for­ma­zio­ni ri­ser­va­te, da­ti fi­nan­zia­ri), ma an­che e so­prat­tut­to da­ti per­so­na­li (ac­ces­so ai da­ta­ba­se con­te­nen­ti da­ti sen­si­bi­li). Il Reg. UE 2016/679, ov­ve­ro­sia il nuo­vo Re­go­la­men­to Eu­ro­peo del­la Pri­va­cy, in bre­ve - GDPR -, la cui ap­pli­ca­zio­ne è or­mai alle por­te (25 mag­gio 2018), po­ne al cen­tro la tu­te­la dei da­ti per­so­na­li, che non può dir­si pie­na­men­te ef­fi­ca­ce se an­che la si­cu­rez­za di quei da­ti non ri­sul­ta ade­gua­ta. Nell'ot­ti­ca del GDPR, in ge­ne­ra­le, nel va­lu­ta­re il livello di ade­gua­tez­za del­le mi­su­re tecnico-or­ga­niz­za­ti­ve oc­cor­re con­si­de­ra­re i ri­schi che un de­ter­mi­na­to trat­ta­men­to dei da­ti per­so­na­li pre­sen­ta in ter­mi­ni di: 1) di­stru­zio­ne; 2) per­di­ta; 3) mo­di­fi­ca; 4) di­vul­ga­zio­ne non au­to­riz­za­ta; 5) ac­ces­so, in mo­do ac­ci­den­ta­le o il­le­ga­le “a da­ti per­so­na­li tra­smes­si, con­ser­va­ti o co­mun­que trat­ta­ti” (art. 32, co. II, Reg. UE 2016/679). Que­sti ca­si in­te­gra­no ipo­te­si di vio­la­zio­ne dei da­ti per­so­na­li - si par­la di cd. da­ta brea­ch - per la cui ge­stio­ne il GDPR ri­chie­de si ri­spet­ti una

pro­ce­du­ra ri­go­ro­sa sia nei tem­pi, che nel­le mo­da­li­tà, per evi­ta­re o con­te­ne­re i dan­ni de­ri­van­ti agli in­te­res­sa­ti (qua­li, fur­to d'iden­ti­tà, dan­no alla re­pu­ta­zio­ne, com­pro­mis­sio­ne del­la ri­ser­va­tez­za di in­for­ma­zio­ni sen­si­bi­li et si­mi­lia). Il Ti­to­la­re ha 72 ore a di­spo­si­zio­ne, dal mo­men­to in cui ne vie­ne a co­no­scen­za, per no­ti­fi­ca­re all'Au­to­ri­tà di con­trol­lo (il Ga­ran­te per la Pro­te­zio­ne dei Da­ti Per­so­na­li) la vio­la­zio­ne di da­ti per­so­na­li che, si ba­di be­ne, egli stes­so ha ri­te­nu­to essere, in ter­mi­ni pro­ba­bi­li­sti­ci, ri­schio­sa per i di­rit­ti e le li­ber­tà de­gli in­te­res­sa­ti. In ca­so con­tra­rio, l'ob­bli­go di no­ti­fi­ca non scat­ta e non v'è san­zio­ne pe­cu­nia­ria (pre­vi­sta in mi­su­ra si­no a 10 milioni di eu­ro, o per le im­pre­se, fi­no al 2% del fat­tu­ra­to globale an­nuo dell'esercizio pre­ce­den­te, se su­pe­rio­re). An­che nei ca­si in cui il Ti­to­la­re non è te­nu­to alla no­ti­fi­ca, egli do­vrà in ogni ca­so do­cu­men­ta­re le vio­la­zio­ni, in­di­can­do le re­la­ti­ve cir­co­stan­ze, gli ef­fet­ti e le con­tro­mi­su­re adot­ta­te per ri­me­diar­vi. Tra le mi­su­re di si­cu­rez­za in­di­ca­te a ti­to­lo esem­pli­fi­ca­ti­vo co­me ade­gua­te dal Reg. UE ri­tro­via­mo, ol­tre alla cd. pseu­do­no­miz­za­zio­ne( che per­met­te di ri­dur­re la cor­re­la­bi­li­tà di un in­sie­me di da­ti all'iden­ti­tà ori­gi­na­ria di una per­so­na in­te­res­sa­ta) e alla ci­fra­tu­ra (che per­met­te di in­via­re un mes­sag­gio/do­cu­men­to/in­for­ma­zio­ne ad un de­sti­na­ta­rio sen­za che altri pos­sa­no leg­ger­lo), l'ado­zio­ne di pro­ce­du­re di bac­kup, le qua­li per­met­to­no la co­pia di si­cu­rez­za dei da­ti ri­du­cen­do in ma­nie­ra no­te­vo­le il ri­schio di dan­neg­gia­men­to/di­stru­zio­ne del­le in­for­ma­zio­ni me­mo­riz­za­te, non­ché di pro­ce­du­re di cd. di­sa­ster re­co­ve­ry, che per­met­to­no di ot­te­ne­re il ri­pri­sti­no tem­pe­sti­vo del­la di­spo­ni­bi­li­tà dei da­ti (in ca­so di da­ti sen­si­bi­li o giu­di­zia­ri il ter­mi­ne è di 7 gior­ni). Si trat­ta di pro­ce­du­re che van­no do­cu­men­ta­te e pe­rio­di­ca­men­te te­sta­te nel­la lo­ro ef­fi­ca­cia, al­me­no una vol­ta all'an­no. Ri­spet­to al Co­di­ce Pri­va­cy, che in­di­ca i re­qui­si­ti mi­ni­mi di cui un si­ste­ma di si­cu­rez­za deve do­tar­si per de­fi­nir­si “a nor­ma” (cd. All. B D.Lgs. 2003/196), il GDPR po­ne a ca­ri­co del Ti­to­la­re del trat­ta­men­to l'in­di­vi­dua­zio­ne del­le mi­su­re di si­cu­rez­za e la va­lu­ta­zio­ne dell'ade­gua­tez­za del­le stes­se ri­spet­to al ti­po di ri­schio con­nes­so al trat­ta­men­to dei da­ti dal­lo stes­so ef­fet­tua­to, ri­schio che egli è te­nu­to ad ana­liz­za­re, va­lu­ta­re e ge­sti­re con pro­ce­du­re do­cu­men­ta­te. Ri­cor­dia­mo, pe­rò, che la mag­gior par­te de­gli at­tac­chi in­for­ma­ti­ci de­ri­va­no da un er­ro­re uma­no o da con­dot­te di di­pen­den­ti non ade­gua­ta­men­te for­ma­ti sui ri­schi, an­che cd. cy­ber. Il Ti­to­la­re ha per­tan­to l'ob­bli­go del­la for­ma­zio­ne in ma­te­ria di pro­te­zio­ne dei da­ti per­so­na­li per tut­te le fi­gu­re pre­sen­ti nell'or­ga­niz­za­zio­ne, sia di­pen­den­ti che col­la­bo­ra­to­ri, for­ma­zio­ne la cui cen­tra­li­tà è evi­den­zia­ta pro­prio nell'art. 32, al pa­rag. 4, del GDPR ove è pre­vi­sto che: « il ti­to­la­re del trat­ta­men­to ed il re­spon­sa­bi­le del trat­ta­men­to fan­no sì che chiun­que agi­sca sot­to la lo­ro au­to­ri­tà e ab­bia ac­ces­so a da­ti per­so­na­li non trat­ti ta­li da­ti se non è istrui­to in tal sen­so dal ti­to­la­re del trat­ta­men­to, salvo che lo ri­chie­da il di­rit­to dell'Unione o de­gli Sta­ti mem­bri » . Le azien­de de­vo­no in­di­vi­dua­re un per­cor­so for­ma­ti­vo, con pro­ve fi­na­li e ses­sio­ni di ag­gior­na­men­to. In man­can­za, an­che qui scat­ta la me­de­si­ma san­zio­ne pe­cu­nia­ria pre­vi­sta per l'omes­sa no­ti­fi­ca dei cd. da­ta brea­ch. Non si trat­ta solo di adem­pi­men­ti bu­ro­cra­ti­ci e ob­bli­ghi le­ga­li: co­me di­chia­ra­to po­chi gior­ni fa dal Ga­ran­te Pri­va­cy, Antonello So­ro, « (..) La ca­pa­ci­tà di pro­te­zio­ne è un si­no­ni­mo di buo­na im­pre­sa, di com­pe­ti­ti­vi­tà e buo­na re­pu­ta­zio­ne. Un'im­pre­sa che non sa pro­teg­ge­re il pro­prio pa­tri­mo­nio in­for­ma­ti­vo ten­den­zial­men­te si tro­ve­rà emar­gi­na­ta dal mercato per­ché da una par­te sa­rà vul­ne­ra­bi­le ad at­tac­chi in­for­ma­ti­ci e fur­ti di iden­ti­tà, dall'al­tra aven­do in­de­bo­li­to le ga­ran­zie offerte su que­sto ter­re­no ai clien­ti, sa­rà me­no com­pe­ti­ti­va .

Newspapers in Italian

Newspapers from Italy

© PressReader. All rights reserved.