Stampa l'articolo Chiudi

Cyber security: un tema di sempre maggiore rilevanza per le imprese


Commento a cura dell' avv. Fabio Cattaneo

Negli ultimi anni si è assistito in tutto il mondo, in particolare in alcune nazioni, tra le quali l'Italia, all'esplosione del fenomeno dei cosiddetti "attacchi informatici" ad istituzioni pubbliche e finanziarie, a società ed a privati con un crescente grado di sofisticazione degli attacchi.


Attualmente appare sempre più sentita e diffusa nel mondo delle aziende, e dei privati l'esigenza di potere avere strumenti di difesa adeguati sia sotto il profilo tecnico che sotto il profilo legale/normativo.


La forma più diffusa degli attacchi informatici registrata negli ultimi anni consiste nel cosiddetto "ransomware", che è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.


I recenti attacchi a primari istituti di credito, istituzioni sanitarie e infrastrutture dei trasporti, che hanno avuto notevole risonanza mediatica, costituiscono solo la punta dell'iceberg di questo fenomeno.

Solo per dare un'idea in termini numerici della portata del fenomeno, è da evidenziare che un istituto di Antimalware indipendente nel 2017 ha intercettato 390.000 malware al giorno, per un totale di quasi 700 milioni di malware nei primi sei mesi del 2017. Nel 2016 il fenomeno del ransomware è aumentato del 726% rispetto al 2015.


Il Paese che è maggiormente colpito da questo fenomeno sono gli Stati Uniti, seguiti dal Giappone e dall'Italia. Symantec ha rilevato in Italia la presenza di un allegato o di un link malevolo in 1 email ogni 141, percentuale vicina alla media mondiale di 131. L'Italia si posiziona al terzo posto a livello mondiale come destinazione di attacchi con una percentuale del 7,1 ed in Europa si posiziona al primo posto davanti a Paesi Bassi (3,4%), Russia e Germania (3,0%) e Regno Unito (2,7%).


La totalità degli studi relativi al rischio cibernetico individuano nei malware la principale minaccia per le nostre imprese. I settori maggiormente esposti sono quello finanziario, quello energetico quello, quello sanitario e la grande distribuzione.


Secondo l'annuale rapporto dell'associazione italiana per la scurezza informatica, il CLUSIT, l'anno 2016 è stato il peggiore per quanto riguarda la sicurezza informatica sia a livello mondiale che per quanto riguarda l'Italia.


Uno degli aspetti maggiormente preoccupanti è che le imprese devono difendersi da malware sempre più sofisticati e difficili da individuare: un terzo degli attacchi è considerabile come "zero day", cioè basato su malware non noti, con la conseguenza che tali attacchi non sono individuabili con i metodi convenzionali basati sull'analisi delle "signature" dei codici malevoli, sicché appare necessaria l'adozione di nuove metodiche di rilevamento che finora, come la risposta legislativa, sono apparse sempre "un passo indietro" rispetto alla realtà.


In Europa ed in Italia una prima risposta legislativa, anche se non sufficiente, considerata la velocità di crescita ed il livello di sempre maggiore sofisticatezza dei cyber attacchi, si è avuta con l'emanazione del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il Regolamento è entrato in vigore il 25 maggio 2016 e diventerà applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.


Il Regolamento costituisce una svolta epocale in tema di "data protection" per ambito di applicazione, contenuti ed approccio.


La prima novità fondamentale è costituita dal fatto che il Regolamento sarà direttamente in vigore in tutti gli stati membri UE, introducendo così una normativa omogenea ed unica per tutti gli stati UE. Inoltre il Regolamento introduce un allargamento della sua applicazione a tutti quei soggetti (anche extraeuropei) che sono chiamati a trattare in maniera automatizzata o meno i dati personali di cittadini appartenenti ad uno stato UE.

Viene dunque introdotto il principio dell'applicazione del diritto dell'Unione europea anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.

Questo rappresenta una rilevante novità rispetto alla normativa precedente, secondo la quale la legge applicabile era quella del luogo in cui ha la sede il Titolare del trattamento.

La conseguenza di questo più ampio ambito di applicazione comporta che social network, piattaforme web e motori di ricerca saranno soggetti alla normativa europea anche se gestiti da società con sede fuori dall'Unione europea.


Da un punto di vista dei contenuti e dell'approccio il nuovo quadro normativo introdotto con il Regolamento costituisce una svolta radicale rispetto al passato. Esso è focalizzato sui doveri e sulla responsabilizzazione (principio della accountability) del Titolare del trattamento che, in virtù del suddetto principio dovrà dare prova di avere adottato tutti gli strumenti di "data protection" conformi al Regolamento. L'innovazione consiste nel passaggio da una concezione formale di mera compliance alle prescrizioni della privacy, ad un approccio sostanziale di tutela dei dati e delle persone stesse.


Un altro principio sostanziale introdotto dal Regolamento che costituisce un obbligo ad innalzare gli standard di difesa dei dati da parte delle imprese è quello del "data protection by design and by default": si tratta di un nuovo approccio che prevede l'incorporazione della "data protection" fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto ("by design") e la predisposizione di meccanismi per garantire che siano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento ("by default").


E' importante rilevare che le tutte le aziende, a prescindere dal settore di operatività e dalle dimensioni, dovranno dare concreta applicazione ai suddetti principi, rivedendo radicalmente la postura dell'organizzazione aziendale relativamente al trattamento ed alla protezione dei dati, intendendosi per postura l'insieme di configurazioni di hardware e software e l'insieme dei processi d'uso delle infrastrutture hardware e software che impediscono o favoriscono un attacco informatico o una infezione informatica.


Le sanzioni introdotte dal Regolamento diventano molto più pesanti rispetto al passato: fino ad Euro 20.000.000 per i privati e le imprese non facenti parte di gruppi; fino al 4% del fatturato complessivo consolidato per i gruppi societari.


Alla luce delle statistiche esposte qualsiasi azienda che non si doterà entro il 25 maggio 2018 di adeguati presidi di difese dei dati trattati, è esposta continuamente a rischi che possono inficiare la sua operatività sia da un punto di vista operativo che normativo.


Ma v'è di più: per un'azienda non essere adeguatamente protetto da attacchi ed infezioni di natura informatica, rappresenterà una nuova forma di "digital divide", delle imprese, dal momento che questo potrebbe comportare:
1. Maggiori costi sia diretti che indiretti;
2. Interruzione dell'operatività e del business;
3. Perdita di reputazione verso i clienti ed i partner di business;
4. Esposizione a truffe o problemi legali.


E' evidente che il Regolamento costituisca solo un passo normativo che obbliga nell'immediato le aziende di qualsiasi settore e dimensione ad approntare dei sistemi di gestione e protezione dei dati che innalzano il livello di protezione dei dati, che costituiscono ormai l'aspetto centrale di qualsiasi attività.


Occorre rilevare che relativamente alla cyber security, è oramai particolarmente pressante da parte di tutti i soggetti coinvolti (istituzioni pubbliche e private, enti, mondo imprenditoriale ed operatori) l'esigenza e la richiesta di ulteriori interventi normativi in tempi brevi, volti a dare una disciplina normativa omogenea ad aspetti di carattere transnazionale relativi alle nuove tipologie di cyber attacchi, unitamente allo sviluppo di strumenti tecnici di difesa che possano, con maggiore efficacia di quella attuale, difendere preventivamente o neutralizzare e ripristinare in tempi rapidi i siti colpiti.