di Vincent Vandendael*
Il nuovo Regolamento europeo sulla privacy entrerà in vigore tra sei mesi. L’obiettivo è creare una struttura coordinata sulla protezione dei dati per tutta l’Ue. La sua attuazione darà ai cittadini molti più poteri rispetto al modo con cui i loro dati sono raccolti e gestiti, incluso il tanto discusso diritto all’oblio. Il nuovo Regolamento darà vantaggi notevoli ai consumatori ma allo stesso tempo darà rilevanti problemi alle aziende, in particolare per le conseguenze finanziarie degli attacchi informatici. Violazioni dei dati causano sempre perdite finanziarie, e per vari motivi: perdita di clientela, blocco dell’attività, danni alla reputazione. Il nuovo Regolamento europeo (Gdpr) renderà le conseguenze ancora più significative. Le aziende che non rispetteranno i termini del nuovo regolamento o subiranno una violazione informatica, potrebbero dover far fronte a multe fino a 20 milioni di euro o al 4% del fatturato annuale. In Italia l’ammontare dei pagamenti effettuati nel 2016 da parte dei soggetti verso i quali sono stati avviati procedimenti sanzionatori è risultato pari a 3.3 milioni di euro e nel 2017 il Garante italiano ha emesso la più alta sanzione, pari a 11 milioni di euro, nell’ambito dell’Unione Europea per la violazione della normativa privacy. L’entrata in vigore del nuovo regolamento Ue è destinata ad aumentare le sanzioni, basti pensare che gli esperti di cybersicurezza del Gruppo Ncc hanno stimato che le multe comminate dall’Information Commissioner’s Office (Ico) alle compagnie britanniche lo scorso anno avrebbero toccato i 69 milioni di sterline, anziché 880.500 se il Gdpr fosse già stato in vigore. Non è una differenza insignificante: le multe multimilionarie possono far uscire le aziende dal mercato. I rischi di un attacco sono sempre presenti e l’impatto potenziale sarà molto più serio tra sei mesi. Un’ovvia risposta a questa minaccia è aumentare la spesa per la sicurezza informatica e creare barriere protettive più forti. Di sicuro un passo nella giusta direzione e le aziende che potranno dimostrare di aver adottato tali misure saranno valutate in modo più favorevole dalle Autorità.
Le aziende europee lavoreranno intensamente nei prossimi mesi per garantire la loro conformità e preparazione al Gdpr. I nuovi regolamenti rappresentano anche un’opportunità per tutte le organizzazioni per accertarsi di avere a portata di mano le competenze necessarie a difendersi da un attacco informatico, salvaguardando l’attività aziendale.
Ma ci sono limiti oggettivi a quanto le organizzazioni possono fare. Secondo una recente indagine dei Lloyd’s, Facing the Cyber Risk Challenge, il 92% degli intervistati europei conferma che la loro azienda ha subito violazioni dei dati negli ultimi 5 anni. Un hacker può arrivare a penetrare firewall e altre protezioni, come dimostrato da violazioni di alto profilo ai danni di enti come il Pentagono. In realtà è più un problema di quando, piuttosto che di se, un’azienda sarà vittima di un cyberattacco.
Se non è possibile garantire la sicurezza alzando il livello di protezione, cosa si può fare per ridurre l’impatto di una violazione dei dati?
Per la maggior parte delle aziende la portata e la gravità delle multe imponibili, in linea con il Gdpr, in caso di violazione dei dati sono semplicemente troppo pesanti per essere sostenute. Le aziende che vogliono essere preparate al meglio dovranno dunque cercare di mitigare i rischi legati a un cyberattacco e ridurre il costo dei premi, affidandosi ad un assicuratore specializzato. Assicurarsi dovrebbe essere il primo importante passo. Lavorando con esperti di sicurezza informatica e assicuratori, le aziende potranno valutare meglio i rischi e ridurli, proteggendo non solo il conto economico ma anche la reputazione. (riproduzione riservata)
*chief commercial officer, Lloyds
Fonte: