Tra le conseguenze legate al conflitto in Ucraina c’è anche l’aumento del rischio di crimini informatici, specie per le moltissime aziende che lavorano con la Russia. Ma quello della cybersecurity è un tema che riguarda tutti coloro che ogni giorno si trovano a scambiare dati e informazioni con qualunque device elettronico. Non è un caso se già da prima della crisi Ucraina con la pandemia da Covid-19 – e l’aumento del telelavoro – si è reso necessario pensare alla creazione di una struttura ad hoc per la difesa informatica del nostro Paese, con la fondazione dell’Agenzia Nazionale per la cybersicurezza, indispensabile per sviluppare una strategia di cyber-resilienza nazionale. Non solo, più di recente, il presidente del Consiglio Mario Draghi ha firmato la “Strategia Nazionale di cybersicurezza 2022-2026”, dove si legge che l’1,2% degli investimenti nazionali lordi va destinato ogni anno alla cybersecurity.
Se proprio negli ultimi mesi molti servizi online e siti italiani, tra cui i siti web del Senato e del Ministero della Difesa e dell’ABI (Associazione Bancaria Italiana), sono stati oggetto di attacchi informatici (anche da parte dei russi), il tema riguarda il settore pubblico tanto quanto quello privato. L’edizione 2022 del Data Breach Investigations Report di Verizon fa notare un notevole aumento degli attacchi ransomware con un incremento pari al 13% in un solo anno. Si tratta della crescita “maggiore rispetto agli ultimi 5 anni messi insieme”. Proofpoint, invece, nel suo report annuale fa notare che il 2021 è stato un anno di grande creatività per i criminali informatici: gli attori delle minacce si sono orientati su metodi non convenzionali e focalizzati sulle persone con 100mila attacchi giornalieri da smartphone mentre lo smishing è raddoppiato rispetto all’anno precedente.
“Secondo i dati condivisi dalla polizia postale, anche nel primo trimestre del 2022 si è registrato un incremento di attacchi informatici di circa il + 40% rispetto lo stesso periodo nello scorso anno”, spiega a Dealflower Guido Moscarella, Coo di Innovery, multinazionale italiana specializzata in cybersicurezza. “La colpa di questo incremento – continua – non si può imputare completamente alla guerra, il numero di attacchi informatici e la loro complessità aumentano di anno in anno, specialmente nel post pandemia. La diffusione del remote working ha fatto emergere nuove vulnerabilità in breve tempo, perché ha ampliato il perimetro di attacco dei cybercriminali, un perimetro che le aziende non erano ancora in grado di sorvegliare”.
Ma l’intervento del governo è sufficiente? “Dire se gli investimenti ipotizzati sono sufficienti non è semplice. Il costo indotto da reati di origine informatica è di circa 7 miliardi di euro l’anno. L’investimento previsto per l’agenzia è di 623 milioni, a cui si ipotizza ti aggiungere ulteriori leve finanziare, come sgravi fiscali e altro. In un Paese in cui il 95% del tessuto produttivo è costituito da piccole e medie imprese, di cui la grande maggioranza non dispongono di un sistema di sicurezza informatica all’altezza, spesso proprio per problemi di budget, avremmo auspicato un investimento più corposo”, fa notare Moscarella.
Tuttavia, dalle Pmi alle multinazionali, le aziende di qualsiasi dimensione sono soggette ad attacchi hacker. “Una situazione che è peggiorata con la pandemia poiché il patrimonio aziendale è più esposto con lo smart working”, spiega a Dealflower l’avvocato Elena Cannone, Managing Associate e Compliance e Focus Team Leader dello studio De Luca & Partners. Ma la soluzione potrebbe già essere a portata di mano se si guarda al Gdpr. “Questo regolamento e la cybersecuirity sono facce della stessa medaglia”, spiega l’avvocato. Perché? “Nel regolamento si parla di misure tecniche e misure organizzative in merito alla cybersecurity. Il tutto viene fatto nel principio di accountability: quindi l’azienda deve fare un assessment, capire i rischi, censirli e, di conseguenza, adottare delle misure adeguate al livello di rischio”.
Se il Gdpr potrebbe essere un primo passo, ricorda Cannonne, “occorre avere un’infrastruttura It che permetta di arginare e ridurre il rischio più possibile. Le aziende devono essere sensibilizzate sull’aspetto della sicurezza informatica, anche perché questo va a tutela del patrimonio, ma anche dell’immagine e la reputazione dell’azienda”. Infatti, oltre i numeri che sono pubblici, non va dimenticato che molte aziende non denunciano gli attacchi hacker. L’ideale, quindi, è prevenire quello che potrebbe succedere in modo da tutelare il patrimonio, “ma c’è ancora strada da fare. Ci si sta pian piano arrivando: dal 2018 ad oggi sono comunque stati fatti passi in avanti”. Tuttavia, a mancare è la consapevolezza di formare i dipendenti. “Questi vanno formati e disciplinati con formazioni specifiche e periodiche”, sottolinea l’avvocato.
Ma la formazione è un tema cruciale anche oltre l’azienda. “L’Italia sta affrontando un grave gap di profili con competenze nei settori It, soprattutto nel settore della cybersecurity. La mancanza di questi profili rende difficile un presidio continuativo delle strutture critiche e garantire interventi immediati in caso di necessità”, aggiunge Moscarella. Innovery possiede due SOC – Security Operation Center, sul territorio italiano, strutture che garantiscono un monitoraggio continuo, attivo 24/7 per 365 giorni all’anno, in grado di rispondere a ogni emergenza. “Ma per aumentare l’efficacia di questi centri è necessario implementarli con sempre nuove risorse, in grado di affrontare i rischi informatici a tutti i livelli, per questo è fondamentale investire in formazione”
Anche secondo un recente rapporto di Fortinet, multinazionale americana che si occupa di sviluppo e commercializzazione di software, dispositivi e servizi di sicurezza informatica, in Italia mancano 100mila esperti di cyber security. Secondo i dati dell’analisi 2022 Cybersecurity Skills Gap, che ha coinvolto1.223 manager di altrettante società in 29 Paesi del mondo, le carenze dei sistemi di protezione sono evidenti. Massimo Palermo, Country manager per Italia e Malta di Fortinet, ha fatto notare che in Italia servono almeno 100mila figure specializzate consideranto che siamo “il terzo Paese al mondo più colpito da attacchi ransomware”.
Per una corretta gestione di un sistema di whistleblowing è indispensabile prestare la dovuta attenzione alla protezione dei dati personali trattati.
Nel realizzare il necessario bilanciamento tra l’esigenza di riservatezza del segnalante e della segnalazione, la necessità di accertamento dell’illecito e il diritto del segnalato alla difesa e al contraddittorio, l’adozione di misure adeguate a garantire la tutela e la sicurezza delle informazioni personali rappresentano un fattore determinante per il raggiungimento di tale equilibrio.
Vittorio De Luca, Managing Partner dello Studio De Luca & Partners commenta: “Il recente provvedimento adottato dall’Autorità Garante per la privacy è solo l’ultimo dei provvedimenti adottati sul tema che, come ricorda la stessa Autorità, si inserisce in un più ampio piano ispettivo dedicato a verificare il massimo rispetto della tutela della protezione dei dati personali nell’ambito della gestione delle segnalazioni di condotte illecite. Fermo ciò, è opportuno evidenziare come una corretta gestione del «sistema whistleblowing» si inserisce anche all’interno di una efficace strategia di compliance aziendale. Implementare modelli di organizzazione, gestione e controllo costruiti a partire dai risultati di quanto emerge da una preliminare analisi dei rischi permette di ridurre sia il pericolo di commissione di reato sia il rischio di incorrere nelle pesanti sanzioni previste dalla normativa oggi applicabile. In tale contesto, occorre, quindi, adottare specifiche procedure aziendali e adeguate misure tecniche ed organizzative a tutela della protezione e della sicurezza delle informazioni di tutti i soggetti coinvolti; senza trascurare l’importanza della sensibilizzazione e della formazione tanto degli utilizzatori di tali sistemi tanto di coloro che sono incaricati di gestire e verificare le segnalazioni effettuate. Raggiungere un alto livello di consapevolezza e cultura tra la popolazione aziendale deve rappresentare uno dei primi obiettivi da raggiungere”.
Il 7 aprile 2022, con una ordinanza di ingiunzione emessa nei confronti di una Azienda ospedaliera, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato nell’ambito della gestione di un sistema di whistleblowing dalla stessa adottato.
Con il medesimo provvedimento, il Garante ha sanzionato la società informatica incaricata di gestire il servizio per denunciare le presunte attività corruttive o comportamenti illeciti all’interno dell’ente, la quale agiva in qualità di responsabile del trattamento dei dati personali.
Il Garante ha, innanzitutto, rilevato che l’Azienda ospedaliera, nella sua qualità di Titolare del trattamento, non aveva provveduto a rendere, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”), una specifica e preventiva informativa circa i trattamenti di dati personali effettuati a seguito di una segnalazione. Ciò, in violazione del principio di “liceità, correttezza e trasparenza” che impone al titolare del trattamento l’obbligo di fornire preventivamente ai soggetti interessati specifiche informazioni sul trattamento dei dati adottando “misure appropriate” per raggiungere tutti i destinatari.
È emerso, altresì, che l’Azienda sanitaria non aveva provveduto (i) a tracciare i trattamenti effettuati all’interno del Registro delle attività di trattamento in conformità con quanto disposto dall’articolo 30 del GDPR nonché ad effettuare una preliminare valutazione di impatto privacy.
Il Garante, con l’occasione, ha ricordato che il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenta dei rischi specifici per i diritti e le libertà degli interessati in virtù “della particolare delicatezza delle informazioni potenzialmente trattate, della “vulnerabilità” degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore”.
La decisione del Garante
Tutto ciò rilevato, il Garante ha comminato, all’Azienda sanitaria e alla società informatica, una sanzione di euro 40.000 concedendo all’ente ulteriori 30 giorni di tempo per adeguare il rapporto con il proprio fornitore alla normativa in materia.
◊◊◊◊
Come specificato nel comunicato condiviso dal Garante, l’attività istruttoria effettuata nel caso di specie si inserisce “nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro”.
Altri insights correlati:
Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:
“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì, sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72 ore da quando ne sono venute a conoscenza”.
Alla luce dei principi contenuti della sentenza c.d Schrems II della Corte di Giustizia del 16 luglio 2020, la Commissione Europea, con la Decisione n. 2021/914 del 4 giugno 2021, ha approvato due nuove serie di Clausole Contrattuali Standard (“SCC” – Standard Contractual Clauses) che dal prossimo 27 settembre, dovranno essere inserite all’interno dei contratti per regolamentare un trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali. Per tutti i contratti sottoscritti prima di tale data sarà, invece, previsto un periodo di transizione che terminerà il 27 dicembre 2022, purché i trattamenti oggetto dei contratti rimangano invariati e le “vecchie” clausole garantiscano che il trasferimento di dati personali sia soggetto a garanzie adeguate. Successivamente a tale scadenza, anche questi contratti dovranno essere aggiornati alla luce delle nuove SCC. Entrando nel dettaglio, le nuove SCC copriranno le ipotesi di trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali che non offrono un sistema di protezione equivalente a quello assicurato dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”). Le nuove SCC dovranno essere adottate in caso di trasferimenti di dati personali: (i) tra titolari del trattamento; (ii) tra un titolare del trattamento ed un suo responsabile del trattamento; (iii) tra un responsabile del trattamento ed un suo (sub) responsabile e (iv) tra un responsabile del trattamento ed un suo titolare qualora quest’ultimo non sia soggetto all’ambito di applicazione del GDPR.
Altri insight correlati:
