Nuove frontiere
[Torna su]
In Italia si sa sempre molto poco degli attacchi informatici che avvengono nel nostro Paese ai danni di organizzazioni, ministeri e grandi aziende (basti pensare al quasi totale silenzio sui recenti attacchi ai siti internet del Ministero della Difesa, del Senato, dell'Istituto Superiore di Sanità, dell'ACI, del Ministero della Transizione Ecologica). Questa strategia comunicativa modifica la percezione generale sull'importanza del crimine informatico. La nebulosità delle informazioni in merito alla natura degli incidenti presta il fianco a numerose interpretazioni degli stessi. Al contrario, una pubblicità precisa e circostanziata di un incidente consentirebbe di comprendere l'accaduto e di fornire una corretta percezione del rischio, senza sovra o sotto dimensionarlo. Nonostante prevalga appunto il concetto di negazione o minimizzazione, per il triennio 2022-2026 il governo italiano ha stanziato l'1,2% degli investimenti lordi del paese per la cybersecurity (cui si aggiungono anche sgravi fiscali per le aziende chi investono nella sicurezza informatica). È la dimostrazione che il problema esiste: infatti, le minacce e gli attacchi sono in aumento di circa il 15% nel raffronto tra il primo semestre degli ultimi due anni. Se è esiste un problema vi è allora anche un mercato per la sua risoluzione.
Perchè un avvocato
[Torna su]
La dinamicità e la velocità evolutiva del mercato tecnologico (si pensi soltanto alla costante evoluzione dell'intelligenza artificiale e dei servizi digitali) e il progetto di digitalizzazione posto in atto nel nostro paese, non possono scindere la tecnologia dalla cybersecurity, oramai divenute due facce della stessa medaglia.
La sicurezza informatica è un qualcosa di interdisciplinare: non contempla soltanto un aspetto tecnico che deve ovviamente essere curato da consulenti informatici e ingegneri. È un insieme di tematiche che rivestono anche aspetti tecnici, ma che si riferiscono al più ampio e generale concetto di tutela della riservatezza. Nascono così team di ingegneri, consulenti informatici, avvocati civilisti, penalisti e specializzati in diritto della privacy. Questo perché l'aspetto tecnico è di per sé insufficiente. Deve essere affiancato da un insieme di regole di comportamento cui i dipendenti devono attenersi sia all'interno dell'azienda sia nei rapporti con soggetti terzi, nonché da una conformità delle attività aziendali alle disposizioni normative, ai regolamenti, alle procedure e ai codici di condotta.
Mentre i tecnici procedono a prevenire o quanto meno limitare i rischi di una intrusione nei server e nei data base, uno studio legale di supporto può eseguire una valutazione prodromica di progettazione per verificare il rispetto delle normative europee e nazionali in materia di riservatezza e cybersecurity e, conseguentemente, redigere le policy interne; la compliance; la documentazione prevista dal GDPR; suggerire le modalità di acquisizione e trattamento dei dati personali; individuare le finalità legittime; gestire le richieste degli interessati che volessero esercitare i loro diritti; intervenire in caso di data breach; eseguire le notifiche alle autorità e agli interessati; effettuare indagini interne per accertare le cause che hanno permesso il verificarsi dell'evento e per individuare eventuali responsabilità interne; eseguire operazioni di controllo del danno e di tutela della proprietà intellettuale dell'azienda e dei dati dei suoi clienti, nonché il rafforzamento del sistema di difesa sulla base dell'esperienza acquisita come conseguenza dell'attacco di cui si è stati vittima.
Nella malaugurata ipotesi che un soggetto dovesse subire un attacco informatico è determinante, ai fini della responsabilità personale e aziendale, poter dimostrare di aver fatto tutto il possibile per prevenire attacchi, sottrazioni di dati, diffusione di informazioni, sia dal punto di vista tecnico, ma anche e soprattutto comportamentale e documentale. Sì, perché in caso di attacco - e peggio ancora di sottrazione di informazioni, di sabotaggi, di richieste di riscatto - sarà necessario procedere al data breach, vale a dire alla comunicazione all'Autorità dell'evento delittuoso, con possibilità che la stessa sia estesa agli interessati. Ciò significa che il Garante per la privacy valuterà se sono stati rispettati i principi di responsibility e di accountability previsti dal GDPR 2016/679. Si dovrà quindi dimostrare di "aver fatto" e bisognerà "saper rendere conto". Saranno determinanti le previsioni previste nella "valutazione di impatto", vale a dire in quel documento che deve appunto predire le conseguenze, in termini di privacy, di una diffusione dolosa dei dati personali posseduti. Qualora non si riesca a dimostrare di aver rispettato un principio di responsabilizzazione, si potrebbero subire le pesanti conseguenze sanzionatorie già previste dal GDPR, ma anche e soprattutto richieste risarcitorie avanzate dagli interessati vittime di sottrazione e diffusione dei loro dati personali in nostro possesso.
Il mercato
[Torna su]
Le richieste di esercizio dei propri diritti da parte degli interessati, la sottrazione di dati finalizzata alla richiesta di un riscatto, gli attacchi ai siti internet per fini dimostrativi, sono solo alcuni dei fattori legati alla cybersecurity. Le aziende stanno sempre più acquisendo la consapevolezza di quanto sia importante la tutela della rete informatica. Vi è oggi maggiore conoscenza dei rischi e delle conseguenze di un attacco informatico e, quindi, della necessità di adottare sistemi idonei a proteggersi da eventuali attacchi, ma anche di redigere documenti e adottare procedure per la tutela dell'azienda, degli interessati e dei loro dati. Non vi è più soltanto un contesto di sicurezza tecnica, ma anche di sicurezza documentale. Un ruolo fondamentale dell'avvocato nel contesto della cybersecurity - oltre a quelli già accennati - risiede anche nel prestare la propria consulenza nella fase di negoziazione e sottoscrizione di contratti. Vi è sempre una maggiore richiesta, da parte dei committenti, di conoscere le policy aziendali in materia di sicurezza aziendale dei soggetti cui ci si affida per ragioni di business. Un altro accento importante è posto sulla formazione e l'aggiornamento continuo del personale dipendente dell'azienda cliente. L'onere non è soltanto normativo, ma anche di soddisfare quel criterio di accountability previsto dal legislatore. Da ultimo, ma non per questo meno importante, vi è la tutela dell'immagine aziendale. Non è certamente il massimo, in termini di pubblicità, dover comunicare di aver subito un attacco informatico con conseguente diffusione dei dati personali in nostro possesso.
Vai alla guida Cybersecurity
G. L. Rabita
Presidente della Leonardo Intelligence
Tenente dei Carabinieri in congedo
A. Pedicone
Consigliere per gli Studi Legislativi - Leonardo Intelligence
Analista di intelligence internazionale
Leonardo Intelligence
Comitato per gli Studi legislativi
Via Fasana 28, 00195 Roma
www.leonardointelligence.it - info@leonardointelligence.it
• Foto: 123rf.com