In un momento storico dove gli smartphone perennemente collegati ad internet hanno preso pieno possesso della nostra vita lavorativa e privata, dove tramite account accediamo e usufruiamo di servizi, dove tracciamo e trascriviamo ordini, appunti, informazioni e report aziendali, ci rendiamo conto che la più grande minaccia è rappresentata da coloro i quali queste informazioni ce li vogliono “rubare”, o al più dell’utilizzo possono abusarne.
Semplice. Guardando con un occhio all’imminente passato (non troppo indietro nel tempo), ci rendiamo conto di quanto la nostra vita dipenda dalla connessione ad internet, e della mole di informazioni preziose siano custodite all’interno dei nostri dispositivi (contatti, documenti, suggerimenti, informazioni) per farla breve: dati. I dati costituiscono infatti il patrimonio di cui disponiamo per reperire informazioni utili inerenti il lavoro, la famiglia, la salute. Ma siamo sicuri che queste informazioni per quanto indispensabili siano protette a dovere? Non è una novità che negli ultimi anni gli “attacchi cyber” siano cresciuti in maniera esponenziale, pertanto facciamo ancora troppo poco affinchè questo possa farci dormire tranquilli. Infatti, il 90% delle minacce va a buon fine, infettando o paralizzando i nostri dispositivi. Cosa significa paralizzare? Vuol dire che non solo perdiamo la disponibilità delle informazioni, ma non siamo nemmeno sicuri che le stesse siano integre, non sappiamo cosa ne sia stato fatto (divulgate oppure nel peggiore dei casi vendute). Spesso per riabilitare le funzioni ci viene richiesto il pagamento di una somma di denaro (ransomware) e che non vi è certezza del fatto che, malgrado, anche volendo effettuare il pagamento ci sia ripristino del dispositivo (ricordiamoci che seppure in un momento di fragilità, stiamo contrattando con chi di scrupoli non se ne fa).
In questo contesto, soprattutto in quello aziendale, ci aiuta la normativa sulla privacy nota come GDPR (General Data Protection Regulation). Si rende necessario innanzitutto capire quali sono le possibili minacce (fisiche o logiche) connesse quindi ai rischi a cui siamo esposti. Nella fase successiva, implementare quelle misure di sicurezza e organizzative che ci permettono di arginare i rischi potendo dunque gestire una situazione di crisi.
Stando a quanto definito dal GDPR, per violazione di dati o Data Breach s’intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Il legislatore europeo ha considerato che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio la perdita del controllo dei dati che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio della reputazione, perdita della riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica.
Il GDPR obbliga il titolare del trattamento di notificare la violazione all'autorità di controllo competente, senza ingiustificato ritardo, entro le 72 ore dal momento in cui ne è venuto a conoscenza. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. Immaginiamo, anche solo per un istante cosa significa per un azienda render noto ai propri clienti di aver subito una violazione e di non aver provveduto alla tutela necessaria.
Gianluca Magli