Nel nostro Paese, il 99,9% della totalità delle imprese è costituito da imprese di piccole e medie dimensioni che producono il 68% della ricchezza italiana con 12 milioni di persone impiegate. È indiscutibile e, quasi ovvio, che dobbiamo proteggere questa fondamentale risorsa del Paese come è altrettanto indubitabile e, oramai noto a tutti, che tutte queste realtà si sono dovute scontrare con una rivoluzione digitale impensabile prima del nuovo millennio.
Da una ricerca di GfK Eurisko risulta che le piccole e medie imprese italiane pur avendo mostrato una consapevolezza crescente del fenomeno del cyber crime negli ultimi quattro anni (dallo 0,8 al 10%) non hanno ancora un livello adeguato di conoscenza del fenomeno. Lo dimostra il fatto che un’azienda su quattro subisce attacchi informatici (ricerca PWC, 2016), senza considerare la ritrosia degli intervistati a fornire informazioni veritiere.
Un caso concreto
Al di là dei dati statistici, vorrei raccontare un caso concreto che è accaduto e potrebbe accadere a molte realtà aziendali. Lo scenario è banale e sicuramente molto lontano dagli avveniristici video di alcune società di security che dipingono il cyber crime come un incrocio tra “Ocean Eleven” e “Mr Robot”, ma è quello che tristemente succede in Italia. L’attaccante prima intercetta tutto il flusso di comunicazioni tra le due società impossessandosi di una casella di posta elettronica priva di filtri anti-phishing con sistemi di social engineering spesso “artigianali”. L’attaccante osserva il flusso e poi crea un account falso molto simile a quello di posta elettronica di una delle due società per ingannare l’interlocutore. Dopo un paziente “ascolto” delle conversazioni tra le due società, viene inviata un’email contenente la comunicazione del cambio dei dati bancari della società fornitrice e il sollecito di un pagamento per una fattura effettivamente ricevuta dalla società “vittima”. Il responsabile acquisti affidandosi al fatto che i riferimenti alla fattura sono corretti e l’invio è coerente con il precedente scambio di email, procede al pagamento verso la nuova banca senza ulteriori accertamenti. Quando non si vede recapitare la merce (magari a distanza di mesi), la vittima capisce l’inganno, ma non ha alcuna tutela legale perché (e non tutti lo sanno) il D.lgs. 11/2010 relativo ai servizi di pagamento prevedono che il solo IBAN faccia fede per la corretta esecuzione del bonifico anche ove il destinatario dello stesso non coincida con quello indicato nella distinta di bonifico. Vedremo cosa succederà con l’applicazione della PSD2 (Legge 170/2016).
Da questa vicenda traggo tre considerazioni: la prima è che, come diceva una nota pubblicità, “una telefonata salva la vita”. Il fatto che le email abbiano permesso una maggiore operatività aziendale, non deve far mai dimenticare che le email sono uno strumento insicuro “by design”. In realtà, non sarebbe così se venissero usati sistemi di cifratura (la gran parte gratuiti), ma questo è un assunto che viola il dogma tecnologico dell’usabilità: non accettare mai nessun strumento che possa diminuire la semplicità di utilizzo del device e conseguentemente l’operatività aziendale. La seconda è che le PMI non investono in sicurezza: esistono numerosi software e soluzioni tecnologiche che avrebbero potuto evitare una truffa di questo tipo, ma il dogma del “saving” sull’IT è rispettato tanto quanto quello dell’usabilità. La terza è che le PMI hanno un disperato bisogno di formazione e di una policy aziendale “semplificata”. Non ha alcun senso il recepimento (molto spesso, attraverso maldestri “copia e incolla”) di regolamenti complessi e non letti da parte di dipendenti. Più una realtà è piccola, più le regole devono essere poche e chiare, ma conosciute e rispettate da tutti i dipendenti.
Cosa cambierà nel 2018 con il Regolamento Europeo in materia di protezione dei dati
In questo scenario dalle tinte piuttosto fosche, il Regolamento Europeo 2016/679 ha introdotto alcuni fondamentali principi in tema di protezione dei dati applicabili a tutte le realtà aziendali. Sarebbe esagerato dire che è la soluzione definitiva al problema, ma è sicuramente un primo passo concreto verso una seria responsabilizzazione delle società sul tema della protezione dei dati personali. Prima di elencare alcuni degli aspetti più innovativi della normativa, vorrei citare il primo comma dell’art. 40: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”. Ciò che mi preme sottolineare, è l’inciso dedicato specificamente alle PMI con il quale si evidenzia implicitamente che è impensabile, o quantomeno estremamente complesso, chiedere l’applicazione di standard articolati che solo realtà strutturate sono in grado di rispettare grazie alla loro organizzazione e alle loro risorse economiche. Tuttavia, è necessario che tutte le realtà aziendali si attivino, per quanto possibile, per implementare i propri sistemi di sicurezza dando priorità a queste quattro direttrici:
1. Un cloud più “prudente”: il titolare del trattamento del dato (data controller) è obbligato a scegliere un responsabile del trattamento del dato (data processor) che sia in possesso di adeguate garanzie nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati. Pensiamo alla scelta del fornitore cloud: la scelta iniziale e le necessarie attività di audit di seconda parte successive all’instaurazione del rapporto commerciale dovranno essere molto attente e ponderate.
2. Cifratura: nel limite di quanto è concretamente fattibile la cifratura e la pseudonomizzazione dovranno essere dei principi da applicare in ogni contesto aziendale.
3. Privacy Impact Assessment: in pratica dovranno essere messi in atto quell’insieme di processi funzionali al fine di realizzare, attraverso lo studio delle modalità di trattamento dei dati, un’analisi dei rischi e conseguentemente di individuare le misure idonee a neutralizzarli.
4. Data Breach: dal maggio del 2018 tutte le realtà aziendali italiane dovranno notificare entro 72 ore al Garante per la Protezione dei Personali, ogni violazione di dati personali subita all’interno del proprio sistema informatico. Se tale violazione può presentare anche rischi specifici per gli interessati (rectius clienti), la notifica deve essere fatta anche a questi ultimi. Quest’ultimo aspetto è molto importante perché garantirà, in primis, di avere una più corretta percezione del fenomeno e, inoltre, obbligherà le società a investire direttamente o indirettamente sui processi di gestione degli incidenti informatici che sono alla base della sicurezza informatica.
Il vero problema è un altro: ii cyber espionage
Il rispetto di standard più adeguati rispetto a quelli imposti dall’attuale disciplinare tecnico previsto dal codice della privacy, contribuiranno certamente a far diminuire gli attacchi provenienti dall’esterno, ma non potranno facilmente impedire i cd “attacchi dall’interno”, ossia quelli provenienti dai dipendenti stessi. Nessun dubbio che adeguati sistemi di autorizzazione e di classificazione del dato possano rendere la vita più difficile a chi vuole commettere illeciti all’interno dell’azienda, ma è quasi fisiologicamente impossibile impedire a un dipendente che lavora con dati estremamente sensibili per la sopravvivenza dell’azienda di poterli, in qualche modo, copiare e trasferirli ad un concorrente in grado di proporgli un contratto con una retribuzione più alta proprio in forza del trafugamento di tali dati.
La soluzione in questo caso è data non solo dall’applicazione di un regolamento aziendale severo e attento circa l’utilizzo dei dati e dei device aziendali, ma anche dalla facoltà di un controllo informatico più pervasivo sulle attività compiute dal dipendente. Il tema è indubbiamente delicato perché lo Statuto dei Lavoratori va rispettato e non si può modificare con facilità, ma è anche vero che una norma pensata 46 anni fa non poteva prevedere l’evoluzione tecnologica degli ultimi anni. Il tentativo fatto con il decreto attuativo del jobs act (schema di decreto delegato attuativo della legge n. 183/2014) è sicuramente nobile, ma non risolutivo. Di fatto, concede la possibilità di effettuare dei controlli per finalità di tutela del patrimonio aziendali sui device dei dipendenti, ma a condizione che lo strumento sia considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione. Ciò significa che ogni ulteriore software idoneo a controllare eventuali attività di cyber espionage dovrebbe essere soggetto ad uno specifico accordo sindacale che, come noto, in Italia è – inspiegabilmente- temuto quasi di più della “Corazzata Potëmkin” per un amante di cinepanettoni. Due considerazioni sul punto: la prima è che l’accordo sindacale non è così tragico come si pensi quando si parla di questioni tecnologiche per cui i dipendenti sono meno sensibili di quanto lo possano essere, ad esempio, sul tema salariale o della gestione dell’orario lavorativo. La seconda è che la “mancata” riforma dell’art. 4 dello Statuto dei lavoratori genera un paradosso per cui un responsabile IT di un’azienda da un lato ha la disponibilità del dato per fisiologiche esigenze di gestione e di sicurezza, ma dall’altro non può analizzarlo per questioni legate allo spionaggio industriale.
Questo paradosso è paragonabile a quello generato dall’art. 617-quinquies del codice penale. Tale articolo, infatti, prevede la pena da 1 a 4 anni per colui il quale installa apparecchiature atte ad intercettare comunicazioni informatiche o telematiche. Difficile non pensare che un responsabile IT non abbia “installato” software di questo tipo sul proprio computer per finalità di security. Per tranquillità dei CIO che sono arrivati pazientemente alla fine di questo articolo, garantisco che non esiste una giurisprudenza su questo argomento, ma questi due esempi mi fanno pensare che sia arrivato il momento, con moderazione e cautela, di adeguare alcune norme entrate in vigore molto prima dell’avvento di internet e delle nuove tecnologie.
