sicurezza

Traditori col badge: come difendere le organizzazioni dalle minacce interne

Home Sicurezza digitale
Indirizzo copiato

 Le minacce interne possono destabilizzare le operazioni aziendali. Strategie integrate di gestione del rischio sono cruciali per prevenire attacchi dall’interno e mantenere la fiducia degli stakeholder

Pubblicato il 16 dic 2024
Francesco Di Maio

SVP, Corporate Security, Risk & Business Continuity Management, ELTGroup

minacce interne (1)

Lo spettro delle minacce interne incombe sulle organizzazioni di tutto il mondo, gettando una lunga ombra sulla fiducia che è fondamentale per salvaguardare la credibilità, la fiducia e la stessa integrità operativa di imprese e pubbliche amministrazioni.

Violazioni di dati, se la minaccia viene dall’interno: come limitare i danni

I recenti casi nei quali, per quanto noto e nel doveroso rispetto del principio di non colpevolezza sino a sentenza definitiva, si fa questione di asservimento di pubbliche funzioni, che per definizione dovrebbero presupporre l’assoluta fedeltà e la tutela del segreto d’ufficio, ad interessi privati, o peggio, di veri e propri casi di spionaggio verso potenze straniere, sono soltanto gli ultimi in ordine cronologico, di eventi che attraversano la storia e che dimostrano come la questione della minaccia interna o “insider threat” per gli appassionati anglofili, sia una questione non agevolmente risolubile, oggi arricchita da un profilo di vulnerabilità non soltanto analogica, ma anche digitale.

Tali casi non sono isolati e, come detto, attraversano la storia, ispirando opere di letteratura e cinematografiche che si connettono attraverso un filo comune di tradimento da parte di coloro a cui sono affidate informazioni sensibili: individui che, proprio sfruttando la loro posizione all’interno dell’organizzazione e privilegi connessi ad informazioni, luoghi, sistemi e reti, scelgono di agire – quasi sempre in modo deliberati – contro gli interessi delle loro organizzazioni e, per i pubblici funzionari, in dispregio del loro giuramento.

L’impatto emotivo dei casi di spionaggio

L’onda emotiva generata da questi eventi è palpabile. Quando il personale fidato tradisce le proprie organizzazioni, le ricadute che ne derivano non si limitano alla perdita di informazioni riservate; Si estende a un crollo della fiducia, del morale e dell’efficacia operativa. Il caso dell’ufficiale superiore della Marina Militare colto in flagranza di cessione di segreti militari, ad esempio, evidenzia le profonde implicazioni delle minacce interne in contesti dove è in gioco la sicurezza nazionale ed apre interrogativi non marginali anche sulle motivazioni, prevalentemente di natura patrimoniale, che evocano i famosi trenta denari della rappresentazione del Vangelo di Matteo: anch’esso, in fondo, un caso di insider threat.

I molti volti della violazione di fiducia

La motivazione del tradimento della fiducia può non limitarsi all’aspetto corruttivo, ma può radicarsi in diversi moventi della natura umana, dalla negligenza e sciatteria, fino al desiderio di arrecare danno alla propria organizzazione, per vendetta, perché ritenuta responsabile di trattamenti non appropriati nei propri confronti; o anche in manifesti casi di concorrenza sleale, quando il dipendente, prossimo a passare ad altra azienda, porta con sé il know-how della precedente azienda, anche con il consenso di quella acquirente.

La violazione della fiducia va oltre le vittime immediate, incidendo sulla reputazione delle istituzioni coinvolte ed erodendo la fiducia del pubblico, come avviene assai di sovente nel sistema finanziario e non solo.

Le indagini svolte dall’Autorità Giudiziaria e dai Carabinieri di Varese che hanno disvelato le attività illecite di un’azienda milanese che avrebbe avuto accesso a banche dati riservate del Ministero dell’Interno e dell’Intelligence sono, a tal riguardo emblematiche, non solo per le particolari modalità attuative di un disegno lucrativo, ma soprattutto perché minano alla radice la fiducia nella tenuta di informazioni che incidono direttamente sui diritti e sulle libertà fondamentali, cui, purtroppo, non sarebbero estranee aziende che hanno creduto di percorrere strade surrettizie ed illegali per soddisfare esigenze informative a carattere difensivo.

Così come la pericolosa commistione tra attività giornalistica e funzionari che hanno accesso ad informazioni qualificate, sottese al caso della divulgazione illecita di informazioni da parte di personale in servizio alla Direzione Nazionale Antimafia evidenzia come il movente possa essere anche non di natura patrimoniale, ma suscettibile di inquadrarsi in azioni di natura politica, con potenziali gravissimi rischi per il sistema democratico.

Nella personale esperienza di chi scrive, quando ero ufficiale di polizia giudiziaria chiamato ad investigare su casi che vedevano coinvolto personale delle forze di polizia in reati complessi, anche di favoreggiamento personale o di concorso esterno o partecipazione in reati associativi, vi era sempre un nesso con l’accesso abusivo a banche dati, nonostante la presenza di una norma incriminatrice, l’art. 12 della L. 1 aprile 1981, n. 121  di modesta portata deterrente “salvo che il fatto costituisca più grave reato”[1], a dimostrazione dello straordinario valore, per le organizzazioni criminali, di acquisire una capacità informativa, che è uno degli strumenti propri non solo delle organizzazioni criminali, ma anche parte di quei meccanismi di conflittualità asimmetrica condotta da Stati, organizzazioni parastatuali e organizzazioni terroristiche, fortemente interessate all’infiltrazione degli organismi di sicurezza e difesa, per ben intuibili motivazioni.

Un fil rouge comune a tutto ciò è la sostanziale incapacità delle organizzazioni pubbliche e private a fronteggiare, con la necessaria anticipazione della soglia del rilevamento, il fenomeno della minaccia interna in maniera efficace e questo, come vedremo, non sempre solo per negligenza ma per l’esistenza di una serie di limiti normativi. Salvo poi prendere atto, ex post che i buoi sono già fuggiti e può risultare inutile chiudere la stalla.

La dimensione fisica delle minacce interne

Le casistiche che hanno riguardato il traffico di informazioni sensibili, critiche o segrete ha monopolizzato da tempo l’attenzione dell’opinione pubblica, ma è essenziale riconoscere anche la dimensione fisica di questo problema.

I casi che hanno coinvolto l’aviazione civile

L’aviazione civile, ad esempio, ha assistito a gravi incidenti che sottolineano i rischi posti  da soggetti che rappresentavano, per definizione, il massimo dell’affidamento. È ancora viva l’impressione suscitata nell’opinione pubblica dal caso del primo ufficiale Andreas Lubitz della compagnia tedesca Germanwings che, operando sul volo 9525 da Barcellona a Düsseldorf, in una luminosa mattina primaverile, il 24 marzo 2015, profittando di una necessità fisica del comandante e sfruttando una dotazione di sicurezza introdotta come obbligo sugli aerei di linea, per impedire l’accesso in cabina a potenziali minacce provenienti dall’area passeggeri, ha deliberatamente fatto schiantare l’aeromobile sulle Alpi francesi, causando la morte di 150 persone. Le conclusioni del rapporto di incidente svolte dall’organismo di investigazione Francese BEA suona come un’evidenza di minaccia interna: “«La collisione con il suolo è stata dovuta all’azione deliberata e pianificata del copilota, che ha deciso di suicidarsi mentre era solo nella cabina di pilotaggio. Il processo di certificazione medica dei piloti, in particolare l’autodenuncia in caso di calo dell’idoneità medica tra due valutazioni mediche periodiche, non è riuscito a impedire al copilota, che soffriva di disturbo mentale con sintomi psicotici, di esercitare il privilegio della sua licenza.[2]»

Evento preceduto da analoga vicenda, avvenuta il 17 febbraio 2014, allorché il primo ufficiale del volo Ethiopian Airlines 702, da Addis Abeba a Roma, con le stesse modalità sopra descritte, dopo aver chiuso fuori il comandante, decideva di atterrare a Ginevra, scortato dai caccia italiani, per chiedere asilo politico (anche lui risulterà affetto da problemi psichici).

Il caso dell’esplosione in volo dell’aereo della compagnia russa Metrojet 9268 in servizio da Sharm-el-Sheikh a San Pietroburgo il 31 ottobre 2015, che decretò la morte di 212 persone, fu ascritta dall’azione di due agenti di polizia e di un addetto ai servizi di handling dell’aeroporto egiziano di origine, che furono successivamente arrestati, con l’accusa di aver portato a bordo dell’aeromobile un ordigno improvvisato con almeno un kg di esplosivo ad alto potenziale. La compagnia Metrojet è fallita per effetto diretto di quell’evento nel 2016.

Minacce interne all’aviazione civile: le risposte normative Ue

L’Unione Europea ha riconosciuto la necessità di affrontare le minacce interne all’aviazione civile attraverso quadri normativi quali il Regolamento UE 300/2008 e il Regolamento di esecuzione 2015/1998. Queste normative impongono agli operatori aeronautici (gestori aeroportuali, vettori aerei, organizzazioni del controllo del traffico aereo, ecc.) di inserire nei propri programmi di sicurezza specifiche strategie interne per il contrasto per migliorare la consapevolezza del personale e promuovere una solida cultura della sicurezza[3], intesa anche a prevenire fenomeni di “radicalizzazione”, definiti dal legislatore europeo con un’assai scivolosa ed incerta formula definitoria di “fenomeno della «socializzazione all’estremismo» che vede persone abbracciare opinioni, punti di vista e idee che potrebbero condurre ad atti terroristici[4].

Simili questioni si pongono in tutte le realtà, che sono esposte a significativi rischi e che possono rappresentare un’attrattiva più che rilevante per azioni distruttive condotte da insiders e che in ottica di attuazione delle previsioni dell’art. 13 del Decreto Legislativo 4 settembre 2024, n. 134, Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici (Direttiva CER), obbligherà tali soggetti a ricomprendere nella valutazione del rischio anche lo specifico tema delle minacce interne e di un appropriato piano di trattamento.

Le sfide della mitigazione delle minacce interne

Più facile a dirsi, in realtà, che ad attuare un processo di gestione della minaccia interna che sia realmente efficace.

Affrontare le minacce interne richiede un approccio multiforme che non si limita soltanto all’adozione di misure tecnologiche, ma richiede un’analisi di fattibilità e di conformità a norme cogenti seria e realistica.

Partiamo da una prima considerazione, che è di natura (anche) psicologica: siamo naturalmente propensi ad accettare l’idea di una minaccia che provenga dall’esterno ma mal tolleriamo, anche concettualmente, che la persona che condivide con noi lo stesso ambiente di lavoro possa rappresentare un pericolo anche per la nostra incolumità. Questo aspetto non è marginale e porta con sé una serie di complicazioni non indifferenti, tutte le volte in cui si tenti una strategia di gestione della minaccia interna con il coinvolgimento dei dipendenti, stimolando la vigilanza attiva e la segnalazione, anche attraverso strumenti che garantiscano l’anonimato. La complessità di un simile approccio presenta rischi pressoché equivalenti alla potenziale minaccia, creando un ambiente tossico ed una insopportabile cultura del sospetto, esattamente contraria agli obiettivi di sicurezza condivisa e trasparente, che rifiuta alla radice il concetto di “Security attraverso l’oscurità”. La security deve essere, senza “se” e senza “ma” patrimonio di ciascun lavoratore, che deve concorrere attivamente alla salvaguardia del bene “sicurezza” nel suo senso omnicomprensivo, ma non può spingersi fino all’istituzionalizzazione della delazione.

Sul versante della sicurezza delle informazioni, il tema della minaccia interna deve essere necessariamente affrontato dal processo di analisi del rischio, ma non sempre le contromisure si rivelano particolarmente efficaci, soprattutto nei casi in cui il principio della “segregation of duties” non sia adeguatamente rispettato e, di conseguenza, vi sia una immedesimazione tra “controllore” e soggetto munito di privilegi elevati.

I limiti di tipo normativo, di diritto del lavoro, di relazioni industriali e di privacy

Più in generale, i limiti oggi esistenti non sono solo di natura tecnologica, ma anche di tipo normativo, di diritto del lavoro, di relazioni industriali e di privacy, oltre che per i già menzionati aspetti di salvaguardia di un ambiente lavorativo di comunità. In particolare:

  • I controlli sui precedenti penali attraverso l’esame del casellario giudiziale ed il certificato dei carichi pendenti richiesti all’atto dell’assunzione incontrano diversi limiti. Salvo alcune specifiche eccezioni tassativamente previste[5] (e con controlli non operati dal privato) i processi di controllo dei precedenti di polizia o informazioni idi intelligence non sono consentiti alle imprese private e, anche qualora fossero consentiti, non avrebbero un reale significato: un soggetto immune da precedenti penali non è detto che non tradisca la fiducia in futuro; o potrebbe essere stato così scaltro da sottrarsi alle investigazioni e quindi il cosiddetto “background check & vetting” potrebbe essere al più un “tampone” e non un “vaccino”, per usare una metafora pandemica
  • Esistono per le imprese consistenti limiti legati alla tutela dei dati personali, alla garanzia di tutela sulle libertà individuali dei lavoratori, per cui sarebbe non legittima un’attività di monitoraggio pervasivo, anche della vita privata, dei lavoratori. Si pensi, ad esempio al monitoraggio massivo dei social media, alle indagini su affiliazioni, simpatie o inclinazioni politico-ideologiche: specifici limiti fissati dalla L. 300/1970, lo Statuto dei lavoratori, ed ai principi di cui all’art. 5 del Regolamento UE 2016/679 in materia di tutela dei dati personali: forme ingiustificabili, illecite e contrarie a valori fondamentali dell’Ordinamento costituzionale (e che sarebbero peraltro anche costose oltre che arbitrarie e minerebbero alla radice il necessario rapporto di reciproca lealtà e fiducia tra lavoratori e impresa e sostanzialmente inutilizzabili in giudizio, quindi inutili)

Sicurezza delle informazioni: la norma ISO 27001:2022

La norma ISO 27001:2022 fornisce un solido quadro di riferimento per la gestione dei rischi per la sicurezza delle informazioni, compresi quelli posti dalle minacce interne e che potrebbero essere adeguatamente considerati anche per gli aspetti fisici.

I controlli chiave includono:

  • Valutazione del rischio: condurre valutazioni sistematiche del rischio per identificare potenziali minacce interne correlate all’uso improprio dei dati, all’accesso non autorizzato o all’interruzione del sistema e sviluppare strategie di mitigazione.
  • Controllo accessi: implementare rigorosi controlli di accesso basati sul principio del privilegio minimo, garantendo agli utenti l’accesso minimo necessario per svolgere il proprio lavoro e riducendo il potenziale di uso improprio.
  • Monitoraggio e auditing: stabilire un programma per il monitoraggio e l’audit dell’attività degli utenti, concentrandosi su fattori tecnici e comportamentali per rilevare potenziali rischi e prevenire incidenti prima che si verifichino.
  • Formazione e consapevolezza dei dipendenti: sviluppare e fornire regolarmente programmi di formazione e sensibilizzazione sulla sicurezza delle informazioni e sulla gestione delle minacce interne, assicurando che i dipendenti comprendano appieno le loro responsabilità e le potenziali conseguenze delle loro azioni.

Le migliori pratiche e le linee guida per l’attuazione dei controlli

La ISO 27002:2022 integra la ISO 27001 fornendo le migliori pratiche e le linee guida per l’attuazione dei controlli. I controlli chiave includono:

  • Threat Intelligence (5.7): raccogliere e analizzare l’intelligence sulle minacce per fornire consapevolezza dell’ambiente delle minacce dell’organizzazione e intraprendere azioni di mitigazione appropriate.
  • Sicurezza delle informazioni per l’uso dei servizi cloud (5.23): implementare controlli solidi per l’uso dei servizi cloud, tra cui il coinvolgimento dei fornitori, la consapevolezza della sicurezza e le misure tecniche preventive.
  • Monitoraggio fisico (7.4): garantire il monitoraggio della sicurezza fisica per proteggere le risorse e le informazioni da manomissioni o furti non autorizzati.

Quadro di sicurezza informatica NIST

Il NIST Cybersecurity Framework, oggi in corso di transizione alla V2 e che costituisce in larga parte l’ossatura del sistema delle misure di sicurezza adottato dall’Agenzia per la Cybersicurezza Nazionale per il Perimetro della Sicurezza Nazionale Cibernetica (DPCM 81/2021, Allegato B) o della strategia cloud nazionale e del relativo regolamento adottato la scorsa estate, fornisce un approccio completo alla gestione dei rischi per la sicurezza informatica, comprese le minacce interne.

I controlli chiave

I controlli chiave includono:

  • Identificare (ID): sviluppare una comprensione dell’ambiente dell’organizzazione per gestire i rischi di sicurezza informatica per sistemi, asset, dati e funzionalità.
  • Protect (PR): implementare misure di sicurezza per garantire la fornitura di servizi infrastrutturali critici, tra cui il controllo degli accessi, la sensibilizzazione e la formazione, la sicurezza dei dati e la tecnologia di protezione.
  • Detect (DE): sviluppare e implementare attività appropriate per identificare il verificarsi di un evento di sicurezza informatica.
  • Respond (RS): sviluppare e implementare attività appropriate per intervenire in merito a un evento di sicurezza informatica rilevato.
  • Recover (RC): sviluppare e implementare attività appropriate per mantenere i piani di resilienza e ripristinare eventuali funzionalità o servizi compromessi a causa di un evento di sicurezza informatica.

La Separazione dei compiti (Segregation of Duties): la chiave di volta del sistema

Un punto ulteriore e di rilevanza estrema per l’argomento della minaccia interna è rappresentato dal tema della separazione dei compiti, principio che permette di evitare la concentrazione di poteri su singole persone fisiche (e singoli assetti organizzativi), consentendo una ripartizione dei poteri e dei controlli, quale idonea misura di mitigazione del rischio da minaccia interna.

Le norme ISO 27001:2022 e ISO 27002:2022 sottolineano l’importanza della separazione dei compiti per mitigare i rischi associati all’accesso non autorizzato e alle frodi. Gli aspetti chiave includono:

  • Separazione funzionale: i compiti e le responsabilità sono divisi tra diversi individui per ridurre il rischio di errori o azioni inappropriate (allegato A, controllo 5.3 ISO 27001:2022); Possibili ulteriori declinazioni sono:
  • Separazione sequenziale: le attività sono suddivise in fasi eseguite da persone diverse, garantendo che nessun singolo individuo abbia il controllo su tutti gli aspetti di qualsiasi funzione critica.
  • Separazione individuale: almeno due persone devono approvare un’attività prima che venga eseguita, aggiungendo un ulteriore livello di supervisione.
  • Separazione spaziale: diverse attività vengono eseguite in luoghi diversi per ridurre ulteriormente il rischio di collusione.

Anche il NIST Cybersecurity Framework V2 affronta anche il principio della separazione dei compiti, in particolare nel contesto del controllo degli accessi e della gestione del rischio:

  • Controllo degli accessi: questo controllo si concentra sulla divisione della missione o delle funzioni aziendali tra diversi individui o ruoli per prevenire l’abuso dei privilegi autorizzati. Garantisce che il personale di sicurezza che amministra le funzioni di controllo degli accessi non gestisca anche le funzioni di controllo3.
  • Applicazione dinamica e statica: la separazione dei compiti può essere applicata in modo statico (definendo ruoli in conflitto) o dinamicamente (imponendo controlli al momento dell’accesso), come la cosiddetta “regola delle due persone”.
  • Sviluppo completo delle politiche: La governance, che è una funzione centrale e critica del nuovo framework, richiede una riflessione organizzativa specifica: le organizzazioni sono incoraggiate a considerare l’insieme dei sistemi e dei componenti durante lo sviluppo delle politiche organizzative, adottando in maniera estesa la separazione dei compiti tra i soggetti che definiscono le regole e le controllano rispetto a quelli che sviluppano i task di implementazione per garantire una copertura completa e ridurre al minimo i rischi (caso tipico: la funzione di sicurezza delle informazioni sottoposta all’IT).

Implementando questi principi, le organizzazioni possono ridurre significativamente il rischio di frodi, errori e accessi non autorizzati, migliorando così la loro posizione di sicurezza complessiva.

Questi framework e standard forniscono un approccio completo alla mitigazione delle minacce interne affrontando vari aspetti della sicurezza delle informazioni, dalla valutazione dei rischi e dal controllo degli accessi al monitoraggio, alla formazione e alla risposta agli incidenti.

Insider threat come banco di prova tra gestione del rischio e sostenibilità

Per combattere efficacemente le minacce interne, le organizzazioni devono adottare un piano strategico omnicomprensivo che comprenda le dimensioni tecnologiche, normative e culturali.

Alla luce anche dei più recenti principi di sostenibilità, oggi necessari da valutare anche nel contesto dei nuovi precetti normativi dell’Unione Europea, bilanciare la tutela dei diritti individuali con la necessità di prevenire minacce interne è una sfida complessa, ma non impossibile.

Tra gli aspetti che le organizzazioni, pubbliche e private dovrebbero valutare mi sento di indicarne alcuni essenziali da considerare (e da documentare in maniera adeguata nelle politiche di sicurezza):

Principio di proporzionalità

Il principio di proporzionalità è fondamentale nel diritto europeo e costituzionale. Le misure adottate per prevenire le minacce interne devono essere proporzionate al rischio effettivo. Questo significa che qualsiasi misura di sicurezza che possa incidere su aspettative e diritti individuali, oltre che conforme alla legge, deve essere strettamente necessaria e adeguata a raggiungere l’obiettivo di sicurezza.

Trasparenza e responsabilità

Le organizzazioni devono essere trasparenti riguardo alle misure di sicurezza adottate e alle ragioni dietro di esse. È un principio codificato nei controlli ex art. 4 dello Statuto dei Lavoratori, anche in assenza dell’obbligo di accordo come le rappresentanze sindacali ed è un chiaro riflesso del principio di lealtà ed affidamento bilaterali, che è senso e misura dell’equilibrio imposto dalle norme fondamentali dell’Ordinamento. La trasparenza, oltre a sostenere la costruzione della fiducia, garantisce il “controllo del controllore” che deve declinare sempre i termini in cui i controlli sono eseguiti, stabilendo un meccanismo di responsabilità per monitorare e valutare l’efficacia e l’impatto delle misure di sicurezza.

I principi fondamentali per il trattamento dei dati personali come linee guida

Il GDPR può essere visto come una “cassetta degli attrezzi” per misurare la conformità delle misure ed anche la base legittima per l’adozione di misure di sicurezza. Il costante “dialogo” tra articolo 5 e articolo 32, ad esempio è un elemento essenziale per l’orientamento.

Formazione e sensibilizzazione

Educare i dipendenti sui rischi delle minacce interne e sulle misure di sicurezza adottate può contribuire a creare un ambiente di lavoro più sicuro e consapevole. La formazione può anche aiutare a ridurre il rischio di minacce interne attraverso una maggiore vigilanza e consapevolezza.

Monitoraggio e revisione continua

Le misure di sicurezza devono essere soggette a monitoraggio e revisione continua per garantire che rimangano efficaci e proporzionate, soprattutto in un contesto in continua evoluzione e dove la minaccia non è mai statica e trova l’unico limite nella fantasia e capacità dell’attore avverso. Questo processo deve includere la valutazione dell’impatto sui diritti individuali e l’adeguamento delle misure in base ai risultati ottenuti.

L’evoluzione delle applicazioni di intelligenza artificiale (qualunque cosa essa significhi) porterà ad esplorare soluzioni innovative per il monitoraggio e il rilevamento delle minacce interne a condizione che questi processi non volino i diritti individuali.

Ciò implicherà l’uso di analisi avanzate e apprendimento automatico per identificare modelli di comportamento anomali che potrebbero indicare potenziali rischi. È certamente un universo ancora da scoprire e che richiederà un’attenta valutazione, sotto diversi profili, non da ultimo di bilanciamento tra sicurezza e libertà.

Conclusioni

I fatti di cronaca degli ultimi mesi non saranno certamente gli ultimi e probabilmente sono solo la parte affiorante dell’iceberg, disvelato dalle indagini. Questo significa che l’approccio alla materia della “minaccia interna” è tutt’altro che semplice e non agilmente risolvibile, neppure con un significativo inasprimento delle pene, in alcuni casi già estreme, come nel caso dello spionaggio militare.

Regole e processi, tecnologie e fattore umano sono la combinazione da investigare per una strategia multilivello, che ancora una volta dovrebbe richiedere una visione partecipata pubblico-privato per una definizione adeguata e proporzionale alle misure di gestione di un rischio che risale alla notte dei tempi e con una visione concreta a modelli di azione e di controllo (inteso non tanto come attività ispettiva, quanto nel senso delle ISO, ossia di contromisura di mitigazione) che si inquadrino nella gestione complessiva del rischio, che dovrebbero essere propri di ogni organizzazione, pubblica e privata, in particolare per quelle nei cui confronti esistono doveri specifici di protezione verso diritti e interessi pubblici e la cui violazione, come ricorda l’articolo 40 comma 2 del codice penale, può comportare in capo all’organizzazione una specifica responsabilità.

Note

[1] Art. 12 L. 121/81: Il pubblico ufficiale che comunica o fa uso di dati ed informazioni in violazione delle disposizioni della presente legge, o al di fuori dei fini previsti dalla stessa, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a tre anni.
Se il fatto è commesso per colpa, la pena è della reclusione fino a sei mesi.

[2] Rapporto finale BEA sull’incidente

[3] Paragrafo 11.1.11 del Regolamento di Esecuzione (UE) 2015/1998 del 5 novembre 2015 che stabilisce disposizioni particolareggiate per l’attuazione delle norme fondamentali comuni sulla sicurezza aerea come integrato dal Regolamento di Esecuzione 103/2019: “Al fine di affrontare la minaccia interna e fatti salvi le rispettive competenze e i contenuti della formazione del personale di cui al punto 11.2, il programma di sicurezza degli operatori e dei soggetti di cui agli articoli 12, 13 e 14 del regolamento (CE) n. 300/2008 comprende un’adeguata strategia interna e misure correlate volte a migliorare la sensibilizzazione del personale e a promuovere una cultura della sicurezza.

[4] Paragrafo 11.0.8 del Reg. Es. 2015/1998 cit.

[5] Ancora una volta il mondo dell’aviazione civile è particolarmente avanzato sui cosiddetti processi di background check & vetting, obbligatori per i soggetti che hanno accessi in aree sterili e parti critiche dei sedimi aeroportuali o per coloro che assumono il ruolo di amministratori di sistema o con privilegi elevati. È sempre il Regolamento di Esecuzione (UE) 2015/1998 ad identificare la fonte di tale obbligo. Si dovranno attendere, per i soggetti che rientrano nell’applicazione della Direttiva sulla resilienza delle entità critiche, le discipline di dettaglio sulle modalità di esecuzione dei controlli dei precedenti previste dall’art. 15 del D. Lgs. 134/2024

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Francesco Di Maio
SVP, Corporate Security, Risk & Business Continuity Management, ELTGroup
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • competenze e tecnologia

    Ciso: chi è e cosa fa il chief information security officer

    27 Mag 2024

    di Federica Maria Rita Livelli

    Condividi

  • approfondimento

    AI e camere di commercio, ecco i servizi e le sperimentazioni

    28 Mag 2024

    di Domenico Tarantino

    Condividi

  • la guida

    Email con l'AI: i sei migliori servizi per aumentare la produttività

    31 Mag 2024

    di Maurizio Stochino

    Condividi

Prossimo

Ciso: chi è e cosa fa il chief information security officer

Articolo 1 di 4