Il Convegno “Cyber Risk & Privacy: rischi e tutele per le imprese” organizzato dal Gruppo Lercari, Willis Towers Watson e BTG Legal ha voluto promuovere un confronto aggiornato sulle soluzioni di ultima generazione, a supporto del management delle imprese, nella gestione del “rischio cyber”.
L’avvocato Giogio Grasso, partner di BTG Legal, ha condotto una relazione sui rischi legali. Rischi legati agli attacchi degli hacker. Attacchi che si moltiplicano per numeri dai molti zeri. La tecnologia, come è noto, cammina sempre un po’ più avanti della legislazione, che comunque – a livello comunitario – si è attivata. Introducendo nuove regole della Privacy per adeguare la normativa all’evoluzione tecnologica e alla ormai sviluppatissima connessione di aziende e P.A.
Per quanto riguarda la Privacy , si sta passando, in Italia, da una regolamentazione nazionale (ispirata a quella comunitaria : Dlgs 196/2003 , Codice penale per i reati) a una mista. Che avrà attuazione dal 2018, basata oltre che sul Regolamento EU 679/2018, su alcune disposizioni del D.lgs 196/2003, sulla Direttiva NIS e sul Codice penale (per i reati). Nel suo ruolo fondamentale, l’informativa si deve rivolgere al soggetto cui si riferiscono i dati trattati. Qualora siano questi dati raccolti presso un soggetto diverso, l’informativa va indirizzata prima alla persona presso la quale i dati sono raccolti, e poi all’interessato.
Dell’informativa è prevista, indifferentemente, Oggetto la forma orale o scritta. Oggetto dell’informativa sono tutta una serie di notizie su argomenti specifici elencati nella lettera dalla a) alla f) dell’articolo 13, comma 1 del Codice.
L’informazione deve essere il più possibile completa tale da mettere il destinatario nella condizione di sapere fin dal primo approccio quale sarà l’utilizzo dei dati che lo riguardano.
L’informativa deve esprimere in che modo e a che scopo verranno trattati i dati personali, indicando se il conferimento è obbligatorio o facoltativo e quali siano le conseguenze in caso di rifiuto a fornirli.
So deve dire a chi saranno comunicati e vanno indicati inoltre i diritti previsti dall’art.7 del Codice civile (Diritto di accesso ai dati) . Infine chi è il responsabile (se è stato designato) del trattamento di tali dati.
Il Regolamento UE si inserisce all’interno di quello che, insieme alla Direttiva 2016/680, è stato devinito Pacchetto Europeo protezione dati.
Ciascuno Stato membro ha tempo fino al maggio 2018 per adeguare le normative interne e sensibilizzare le aziende circa le novità introdotte.
La Commissione Europea ha la facoltà e il potere di adottare atti delegati e di esecuzione allo scopo di rendere operativa la disciplina, lasciando tuttavia ai legislatori nazionali la facoltà di introdurre norme nazionali ad hoc.
Le principali novità, per quanto riguarda le aziende (ovvero i “titolari” del trattamento dei dati personali) il regolamento si applicherà a tutte quelle che , avendo uno stabilimento all’interno dell’UE, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato dall’UE stessa.
Dal punto di vista delle persone fisiche (ovvero gli “interessati” al trattamento dei dati personali) , la nuova normativa si applicherà a tutti i soggetti presenti nell’UE , anche quando, sebbene l’azienda titolare del trattamento non abbia uno stabilimento in territorio UE , il trattamento riguardi l’offerta di beni o la prestazione di servizi ai soggetti interessati o il monitoraggio dei loro comportamenti, nella misura in cui tali comportamenti abbiano luogo all’interno dell’UE.
Il Regolamento istituisce una nuova figura professionale che va a affiancarsi alla nomenclatura già conosciuta dal nostro Codice Privacy: il Responsabile del trattamento e della protezione dei dati.
Che è obbligatorio, per ogni azienda, designare e che ha l’obbligo di tenere un registro circa le attività di trattamento svolte.
L’autorità di controllo sanzionerà pesantemente chi deroghi da tale norma.
Con sanzioni previste fino a 20 milioni di euro o pari a un quarto del fatturato mondiale dell’azienda, nei casi più gravi.
Siamo tutti potenzialmente sotto attacco. Quindi, per evitare ogni rischio l’unico sistema veramente sicuro è stare spenti e disconnessi o stare chiusi in una cassaforte al titanio o protetti da una coltre di gas nervino…
Paradossi, naturalmente.
Nella vita normale di un’azienda, anche di grandi dimensioni, non esiste la figura che sappia far fronte alle mille sfaccettature del cyber risk.
Gli attacchi possono procurare danni rilevatissimi all’attività di un’azienda. E anche il ricorso alla tutela legate ex post può rivelarsi una blanda panacea.
Le perdite economiche previste per un breach di 1000 record è stato calcolato tra i 52mila e gli 87mila dollari.
La perdita di un singolo record vale 100 euro.
Un attacco a CardSystem ha esposto 40milioni di record a potenziali frodi e ha costretto la società a dichiarare bancarotta.
Per far fronte alle minacce del cyber risk necessita un processo integrato di risk management e assicurazione.
Per garantire un efficace scudo preventivo grazie allo sviluppo di una adeguata consapevolezza da parte dell’azienda , unita alla ottimizzazione del processo di trasferimento del rischio al sistema assicurativo.
La copertura assicurativa di tali rischi è infatti l’ultimo tassello di un processo strutturato, che parte con l’analisi della realtà specifica dell’azienda, dal tipo di business e di attività. Fino alle caratteristiche della dotazione delle strutture informatiche.
L’errore umano è uno dei punti deboli su cui lavorare per difendersi dagli attacchi informatici. Mentre è ovvio procedere, da parte delle aziende, alla creazione di un awareness program, accertandosi che venga spiegato ai tutti i dipendenti.
Nei casi sospetti di data breach l’organizzazione aziendale deve immediatamente mettere in pratica un piano di azione, attraverso un Incident Response Team che segua e completi le rilevazioni necessarie alla data breach notification, seguendo i percorsi del già predisposto piano strategico di difesa dagli attacchi informatici.
Volendo stendere un elenco dei principali cyber risk in cui incorrono le imprese, si parte dall’interruzione dell’attività,
alla perdita dei dati riguardanti i brevetti e le strategie aziendali, alla perdita di dati personali riguardanti i clienti, al danneggiamento delle strutture dei network aziendali, al rischio di perdita della reputazione.
Quanto ai danni provocati, si va dalla perdita di fatturato conseguente al blocco delle attività, fino alla perdita di fornitori o partner commerciali e di clienti in conseguenza della divulgazione di informazioni riservate.
Si considerino anche le azioni di risarcimento attuate dai titolari dei dati personali dispersi e i costi di ripristino delle infrastrutture informatiche danneggiate.
Ha fatto sensazione e clamore il black out dell’Enel di qualche anno fa. Un caso su cui riflettere.
Il Regolamento che entrerà in vigore rafforza gli obblighi per le imprese, garantendo tuttavia una limitazione dell’ammontare del risarcimento in caso di pieno rispetto per le norme.
Imprese che dovranno implementare un Data Breach Response Strategy , seguendo corsi specifici di adeguamento e aggiornamento su questioni specifiche.
Occorrerà prestare attenzione alle comunicazioni del Garante per la protezione dei dati personali, per adeguarsi alle linee-guida.
E pensare a coperture assicurative contro il cyber risk. Non farlo è come guidare a fari spenti nella notte.
– seconda parte –