Cyber Security: cosa cambia, alla luce del nuovo Regolamento europeo sul trattamento dei dati personali

La nuova normativa impone a tutti i soggetti che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali di adottare un'articolata politica di risk management, allo scopo di garantire la propria conformità ai requisiti di sicurezza previsti dal Regolamento.

La protezione dei dati delle persone fisiche costituisce infatti un diritto sancito dall'articolo 8 della Carta dei diritti fondamentali e dall'articolo 16 del Trattato sul funzionamento dell'Unione Europea ed è vitale che le norme previste per la loro tutela siano improntate al pieno rispetto delle libertà di chi li possiede.

Esempi includono gli archivi di società commerciali, nei quali i nomi dei clienti sono associati alle informazioni sulle loro carte di credito o ad altri dati sensibili, oppure le informazioni mediche conservate da assicuratori, medici ed ospedali.

Si tratta dunque di assicurare la protezione di tali dati ed informazioni personali, quando vengano potenzialmente messi a rischio a causa di frodi informatiche, problemi tecnici od errori di qualunque tipo.

La tecnologia ha radicalmente mutato il nostro modo di vivere e lavorare, dilatando lo spazio che ci circonda oltre i confini delle nostre case ed aziende ed elevando i rapporti degli individui su un piano che prescinde dalla località in cui essi si trovino, dando loro accesso ad un mondo che è, per definizione, senza confini.

Materia prima ed elemento portante di questo cosmo, nel quale interagiamo in ogni momento tramite smartphones e tablets con persone, elettrodomestici, computers e macchine produttive, sono i dati.

Questi elementi intangibili trasportano nel cyber-spazio molecole di informazioni che si raggruppano ed organizzano, ordinando agli strumenti che ci circondano di compiere le operazioni che sostanziano il nostro vivere quotidiano: acquistare oggetti e servizi, impostare ed accendere in remoto un'apparecchiatura od un macchinario, comunicare, informarsi, lavorare, divertirsi, muoversi…

Ma questa materia, così duttile e sfuggente, è delicata: essa può essere violata, trafugata e manipolata con intenti criminosi, o semplicemente danneggiata e distrutta per un errore umano o per disattenzione.

Definiamo pertanto violazione di dati, o data breach, ogni evento in cui dati sensibili ed informazioni personali, mediche o finanziarie vengano potenzialmente messi a rischio. All'origine delle violazioni di dati possono trovarsi le frodi informatiche (attacchi dolosi), ma anche problemi tecnici ed errori umani: in ogni caso, le conseguenze per le vittime possono essere rilevanti e i danni assai cospicui, dalla perdita di profitto ai costi di recupero dei sistemi, al danno reputazionale.

Anche i danni causati a terzi possono essere ingenti: è possibile, infatti, che si debbano fronteggiare azioni collettive per risarcire i propri clienti per le conseguenze delle violazioni subite, o che gli amministratori delle società titolari del trattamento subiscano richieste di risarcimento da parte degli investitori, per aver omesso di porre in atto le strategie necessarie ad evitare le violazioni e le perdite ad esse conseguenti.

I soli costi di difesa in seguito a violazioni o perdita di dati possono essere altissimi ed includono spese legali e di consulenza a vari livelli, nonché le spese sostenute per informare i clienti di quanto accaduto e delle azioni correttive eventualmente intraprese, senza contare multe ed ammende previste dalla Legge.

Secondo l'ultimo report Breach Level Index di Safe Net-Gemalto, sarebbero più di 5,3 miliardi i dati persi o trafugati dal 2013 ad oggi: più di 3,8 milioni al giorno e 2.600 ogni minuto.

I costi causati dagli attacchi informatici sono valutati in circa 500 miliardi all'anno dal Center for Strategic and International Studies e si ritiene che in Italia essi si aggirino tra 800 e 900 milioni di euro. Tuttavia, i soli danni alla reputazione ammonterebbero nel nostro paese a più di 8 miliardi di euro, pari a circa lo 0,6% del PIL, e le perdite dovute ad interruzioni operative dei sistemi supererebbero addirittura i 14 miliardi di euro.

Solo il 40% delle compromissioni totali ha origine dolosa, mentre la restante parte si divide equamente tra guasti nel funzionamento dei sistemi e semplice errore umano.

In Europa, per garantire la sicurezza dei dati personali, sono previste ormai da tempo precise regole e tutele giuridiche.

Questa normativa articolata e complessa si è evoluta in tre tappe essenziali:

1. Direttiva comunitaria 95/46/CE, che ha fissato i principi generali in materia di libera circolazione dei dati personali all'interno del territorio europeo;
2. Direttive Comunitarie 2002/58/CE e 2009/136/UE, relative al trattamento dei dati personali ed alla tutela della vita privata nell'ambito delle comunicazioni elettroniche, che hanno poi introdotto precise regole sulla raccolta on line dei dati personali e sull'uso dei cookies;
3. Regolamento 2016/679 del Parlamento e del Consiglio Europeo, del 27 aprile 2016, che ha infine abrogato e sostituito la precedente Direttiva 95/46/CE, introducendo nuovi principi sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali ed alla loro libera circolazione.

Il nuovo Regolamento diventerà pienamente operativo in tutti i paesi membri il 25 maggio 2018, due anni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell'Unione Europea.

I suoi effetti, però, si produrranno assai prima di tale termine, poiché sarà compito dei Garanti nazionali favorirne l'armonizzazione, anticipando in ciascun paese parti significative della riforma.

Inoltre, il diritto applicabile all'interno dell'Unione Europea viene ora esteso anche al trattamento dei dati personali effettuato al di fuori di essa, purché relativo all'offerta di beni o servizi a cittadini UE: una vera rivoluzione, poiché fino a questo momento valeva il principio per cui la normativa applicabile era quella del luogo in cui aveva sede il Titolare del trattamento.

Social network, piattaforme web (anche in modalità cloud) e motori di ricerca saranno pertanto soggetti alla normativa europea, anche se gestiti da società con sede fuori dall'Unione.

Altre novità rilevanti prevedono l'obbligo di:

• definire i tempi di conservazione dei dati ed indicarne la provenienza, in caso di utilizzo;
• comunicare tempestivamente al Garante qualsiasi violazione dei propri database;
• predisporre un documento di valutazione del rischio inerente la gestione dei dati, denominato Privacy Impact Assessment (PIA);
• garantire con adeguati presidi organizzativi l'accountability del soggetto che tratta i dati.

In sostanza, la gestione dei dati personali non costituisce più solo un adempimento, ma diviene un processo che incide profondamente sull'organizzazione di ogni azienda, attraverso l'individuazione di due figure chiave: il Titolare ed il Responsabile del trattamento.

Tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, del contesto e delle finalità, il Titolare ed il Responsabile del trattamento sono tenuti a porre in atto tutte le misure necessarie a garantire un livello di sicurezza adeguato al rischio costituito dal trattamento dei dati personali.

Tra queste, la cifratura dei dati e la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la flessibilità dei sistemi e dei servizi di trattamento, nonché di ripristinare tempestivamente l'accesso ai dati personali in caso di incidente tecnico.

Il Titolare ed il Responsabile del trattamento devono inoltre garantire che chiunque agisca sotto la loro autorità ed abbia accesso ai dati trattati sia perfettamente istruito in tal senso.

Qualora la valutazione dell'impatto del trattamento implichi un'elevata percentuale di rischio è anche prevista una consultazione dell'Autorità di controllo.

Sarà quindi necessario elaborare un sistema documentale di gestione della privacy, attraverso l'istituzione obbligatoria di un Registro del trattamento dei dati, grazie al quale tutte le operazioni effettuate siano tracciabili e documentabili secondo i principi di rendicontazione o accountability, previste dal Regolamento, in modo da assicurare la conformità di ciascuna operazione alle disposizioni ivi previste.

Al Titolare è richiesto di effettuare un'adeguata analisi dei rischi e di documentarla, incorporando i principi della Privacy by design e Privacy by default introdotti dal Regolamento,fin dalla progettazione dei processi aziendali e degli applicativi informatici, per garantire che siano trattati in automatico solo i dati personali necessari per ciascuna finalità specifica del trattamento ed impedire eventuali abusi nell'utilizzo delle informazioni.

Il Regolamento introduce inoltre la figura del “Responsabile per la protezione dei dati” o Data Privacy Officer (DPO).

Non si tratta di un semplice responsabile, ma del manager del trattamento, una nuova figura professionale che deve possedere ampie competenze (giuridiche, informatiche, organizzative..) per svolgere un'attività che, al di là del semplice controllo formale, sia il supporto strategico per le decisioni operative del Titolare.

Il DPO è il referente diretto del Garante e può essere un soggetto interno od esterno rispetto all'azienda. La sua nomina, che dura normalmente quattro anni, è obbligatoria per le Autorità e gli organismi pubblici e per tutte le imprese che trattino i dati di un rilevante numero di persone, ovvero tipologie di dati che per loro natura e finalità siano considerate a rischio.

Come si è detto, il Titolare del trattamento deve effettuare una valutazione dell'impatto del rischio “privacy”, o Privacy Impact Assessment (PIA), in tutti i casi in cui siano ravvisabili rischi particolari per i diritti e le libertà degli interessati.

Questo documento deve prevedere l'analisi dei rischi previsti, l'identificazione delle eventuali problematiche esistenti, un Action Plan per la loro risoluzione ed infine un controllo annuale degli interventi effettuati per assicurarne il controllo e la riduzione.

In caso di violazione, il Titolare ha l'obbligo di darne nota al Garante entro 72 ore dal fatto e, qualora la violazione stessa possa comportare danni per i diretti interessati, di segnalarla anche a questi ultimi senza ritardo.

La questione non è di poco conto: secondo uno studio del Ponemon Institute, occorrono in media 205 giorni per identificare una falla nei sistemi di sicurezza e molti soggetti si rendono conto dell'avvenuta violazione solo dopo che gli autori della stessa si sono fatti avanti con eventuali tentativi di estorsione.

Nel luglio del 2014, ad esempio, un attacco di hackers alla BCE ha causato la sottrazione di migliaia di indirizzi e dati personali di cittadini europei: questo attacco, però, è stato scoperto solo quando gli autori hanno contattato la banca per chiedere un riscatto.

Inoltre si stima che ogni giorno vengano scoperti più di 300.000 varianti di malwares, ovvero di programmi creati con lo scopo di eseguire attacchi specifici per distruggere dati, rubare informazioni e perfino compromettere l'attività delle vittime.

Gli obiettivi degli attacchi possono essere disparati, dalla semplice diffusione (accesso ai sistemi per propagazione massiva, come accade per lo SPAM), al cybercrime (furto di dati per trarne vantaggi politici, economici o finanziari); dall'hactivism (diffamazione di organizzazioni o divulgazione di dati riservati) al furto di identità (sottrazione di informazioni personali dei cittadini), fino al danneggiamento vero e proprio degli affari di una compagnia, in seguito a distruzione o cancellazione dei suoi dati.

Una tale varietà e complessità di intenti rende estremamente difficile l'individuazione tempestiva degli attacchi e costituisce ora un serio pericolo per il Titolare del trattamento, se non dovesse denunciarli nei tempi previsti.

In caso di perdita dei dati, infatti, sono ora previste multe fino a 20 milioni di euro per i privati e per le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato complessivo per i gruppi societari: importi assai cospicui, volti ad incidere sulla condotta dei grandi gruppi internazionali che trattano dati in diverse aree geografiche, cercando di eludere le norme ed i criteri definiti dalle nazioni più rigorose sul trattamento dei dati personali.

Attraverso l'imposizione del Privacy Impact Assessment, le Autorità di controllo incoraggiano l'istituzione di meccanismi di gestione del rischio e di certificazione delle procedure per la protezione dei dati. L'adesione ad un codice di condotta o ad un meccanismo di certificazione approvato può dunque essere utilizzata come elemento per dimostrare la conformità ai requisiti di sicurezza previsti dal Regolamento. È sempre più evidente, infatti, come i dati personali costituiscano una nuova materia prima in grado di generare ingenti guadagni o perdite per le imprese, che deve essere gestita con modelli organizzativi evoluti ed efficienti.

Ma un'efficace strategia di protezione e mitigazione dei rischi inizia sempre dalla formazione degli utenti, che rappresenterebbero altrimenti l'anello debole della sicurezza, all'interno di un'organizzazione.

Secondo uno studio di Microsoft sui tentativi di phishing (tipo di truffa, attraverso la quale un malintenzionato cerca di ingannare la vittima, convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale), il 23% dei messaggi elettronici che contengono questo tipo di attacchi viene regolarmente aperto.

L'11% delle vittime, a questo punto, apre il link contenuto nei messaggi, concedendo agli hackers pieno accesso ai propri sistemi, e nel 60% dei casi l'attacco ha successo in pochi minuti.

Sfortunatamente, infatti, la maggior parte dei sistemi usati per rilevare le infezioni da malware sono configurati in modo da consentire l'esecuzione di un processo informatico prima ancora che il sistema di monitoraggio (basato sul riconoscimento della firma o “impronta” del malware) rilevi l'evento come un attacco.

In pratica, solo dopo l'entrata in funzione del malware, il sistema anti-malware interviene per ripulire il computer ed assicurarsi che l'infezione non si ripeta. Questa è la ragione principale per cui, secondo Symantec, gli antivirus sarebbero oggi in grado di individuare non più del 45% degli attacchi provenienti dagli hackers.

C'è da notare, inoltre, che questi ultimi eseguono sempre più spesso attacchi di tipo avanzato, definiti Advanced Persistent Threats (APT o minacce persistenti avanzate), grazie ai quali, una volta entrati nella rete bersaglio, ne sfruttano gli strumenti di sistema e persistono al suo interno anche per anni, rendendo estremamente difficili e costosi i processi di disinfezione.

Lo stato della sicurezza informatica nel nostro paese risulta essere particolarmente inadeguato.

Uno studio effettuato nel 2014 dal Ponemon Institute sulle violazioni dei dati, ha rivelato come il settore pubblico e quello delle aziende private di vendita al dettaglio prevedano la più alta probabilità di accadimento, probabilmente per via della maggiore quantità di informazioni riservate e sensibili raccolte da questi settori, in combinazione con un livello generalmente inferiore di sicurezza.

Secondo il Cyber Intelligence and Information Security Center dell'Università La Sapienza di Roma, che ha condotto una ricerca a livello nazionale, tutte le organizzazioni finanziarie risulterebbero essere state attaccate, ma le violazioni avrebbero avuto successo solo nel 17% dei casi, grazie all'elevato grado di sicurezza che caratterizza i sistemi di banche e istituti di credito in genere.

La Pubblica Amministrazione, invece, probabilmente a causa delle insufficienti politiche di sicurezza adottate, registrerebbe il 62% di attacchi riusciti.

Il settore industriale resterebbe il meno aggredito, ma solo il 29% delle aziende sarebbe in grado di rilevare minacce persistenti avanzate (APT).

A prescindere dall'efficienza dei sistemi adottati, comunque, bisogna considerare che la superficie di attacco complessivamente esposta dalla nostra civiltà digitale sembra crescere assai più velocemente della nostra capacità di proteggerla. Pure a fronte di crescenti investimenti nella sicurezza informatica, infatti, il numero degli attacchi continua ad aumentare ovunque e si stima che gran parte degli incidenti non vengano nemmeno rilevati dalle vittime.

In tale contesto si inquadra il nuovo Regolamento europeo per la salvaguardia dei dati personali, una normativa articolata e complessa, che impone alla quasi totalità dei soggetti giuridici che operano nella nostra società, siano essi privati, aziende o enti pubblici, di operare con un approccio completamente integrato per il trattamento dei dati personali, non più basato sul semplice concetto di compliance ma caratterizzato da un'attenta analisi e gestione dei rischi determinati dall'affermarsi dell'era digitale.