Digitalizzazione estrema della società, nuovo impulso normativo e un imprevedibile scenario bellico. Sono questi i tre fattori che stanno velocemente trasformando la cybersecurity in un’inedita priorità per istituzioni, aziende e cittadini[1].
Guerra in Ucraina: tutti i diritti negati e i risvolti sulle politiche digitali Ue
Occorre peraltro soffermarsi sul significato di questa diffusa attenzione verso un settore in così forte espansione, valutando attentamente anche le possibili interferenze con ambiti e normative storicamente contigue, prima fra tutte quella in materia di privacy e protezione dei dati personali.
La guerra come catalizzatore del fenomeno cibernetico
Dei tre fattori sopra citati, non c’è dubbio che la nuova forma di battaglia inaugurata con il conflitto tra Ucraina e Russia abbia la più ampia risonanza e il più temibile impatto. Si tratta di una concezione assolutamente inedita della guerra, una cyberwar, combattuta a colpi di attacchi cibernetici mirati e micidiali. Una guerra senza più confini, perché i cannoni della Rete hanno una gittata infinita, arrivando addirittura a colpire Paesi e soggetti non impegnati al fronte. Sono infatti all’ordine del giorno i risultati conseguiti dai numerosi gruppi di hacker che si sono schierati nel conflitto, al pari di quelli ottenuti dalle autorità di tutto il mondo per sventare tali minacce. Anche l’Italia è stata protagonista, in un senso e nell’altro, come testimoniamo, inter alia, l’attacco hacker al sito della Polizia di Stato e quelli sventati in occasione dell’Eurovision Song Contest.
L’attenzione, peraltro, rimane costantemente ai livelli di guardia: l’ultima allerta è stata diramata dal Computer Security Incident Response Team (“CSIRT”) istituito presso l’Agenzia per la Cybersicurezza Nazionale (“ACN”) appena pochi giorni fa.
Minacce cyber in costante aumento
Non c’è però solo la guerra. Il picco di attenzioni verso la sicurezza informatica è l’inevitabile reazione a un trend di pericolosità crescente. Secondo i dati del nuovo “Rapporto Clusit 2022”, nel corso del 2021 gli attacchi nel mondo hanno registrato un incremento del 10% rispetto al 2020, connotandosi peraltro di sempre maggiore gravità. Si registra, inoltre, un aumento degli attacchi verso l’Europa (21% contro il 16% del 2020). Quanto al livello di severità, il 79% degli attacchi rilevati ha avuto un impatto “elevato” (l’anno precedente erano il 50%). Guardando all’Italia, metriche interessanti emergono anche dalla “Relazione sulla politica dell’informazione per la sicurezza” relativa all’anno 2021 curata dal Comparto Intelligence, che prende espressamente in considerazione la “minaccia cyber”.
È del resto evidente lo stretto legame tra vita sempre più digitalizzata e sicurezza informatica. Una relazione ben fotografata dal “ Primo Rapporto Censis-DeepCyber sul valore della cybersecurity”, secondo il quale mentre il 61,6% degli italiani si preoccupa per la propria sicurezza informatica e adotta precauzioni per difendersi, quasi 4 italiani su 10 sono indifferenti o non si tutelano contro gli attacchi informatici. Lo stesso rapporto svela, da un lato, che al 64,6% degli italiani è capitato di ritrovarsi bersaglio di e-mail ingannevoli tese ad estorcere informazioni personali sensibili, e, dall’altro, che il 44,9% ha visto il proprio computer infettato da un virus. La ricerca ha inoltre indagato il contesto dei rischi cyber per aziende e lavoratori, rivelando che tra gli occupati il 19,5% ha sperimentato attacchi informatici con danni agli account social o al sito della propria impresa e il 14,7% attacchi che hanno causato la perdita di dati e informazioni aziendali.
Il fronte normativo
In un contesto come quello appena descritto tramite i numeri, anche i legislatori nazionali e sovranazionali hanno avviato una importante e proficua attività di regolamentazione. Guardando all’Italia, l’ultimo tassello della rivoluzione dell’architettura cybersecurity del nostro Paese è stato il varo della “Strategia Nazionale di Cybersicurezza”, un passaggio fondamentale guardando al presente e, soprattutto, al futuro. Ed è proprio sul fonte normativo che è possibile si verifichi un incrocio tra i campi di applicazione delle norme poste in ambito cyber e delle regole in materia di protezione dei dati personali. Ciò, in particolare, quando a venire in rilievo è un incidente di sicurezza. Il punto merita qualche riflessione in più.
Difatti, se è vero che a seguito dell’escalation portata dal conflitto russo-ucraino la soglia di attenzione da parte di PA e aziende per prevenire attacchi ad altissima pericolosità è ai massimi livelli – con tutto ciò che ne deriva in punto di compliance con le prescrizioni in materia di cybersicurezza – occorre sempre rammentare che la protezione di dati e informazioni passa anche (e forse prima di tutto) dal quotidiano, ove a trovare cittadinanza sono anzitutto le norme sulla privacy e la protezione dei dati.
In altre parole, bene alzare la guardia per difendersi dagli attacchi di hacker in guerra, ma attenzione anche alle altre minacce, magari meno eclatanti, ma altrettanto pericolose. Si pensi alle minacce interne. Sul punto, il Ponemon Institute ha svelato che nel 2019 il numero di incidenti di sicurezza legati a minacce interne è cresciuto del 47% rispetto al 2018, aumentando nello stesso tempo i relativi costi del 31% (fonte “2020 Cost of Insider Threats Global Report”). Ma spesso non se ne parla affatto. Quanto alle cause degli attacchi, il 62% è determinato da imprudenza, il 23% da criminal insider e il 14% da furto di credenziali, con un costo annuale per impresa rispettivamente pari a 4,58, 4,08 e 2,79 milioni di dollari.
Non sono poi assolutamente da trascurare malware, ransomware, phishing, sniffing e altre tecniche di uso ormai comune. A tal proposito, secondo i dati di Trend Micro Research, nel 2021 l’Italia è stato il quarto Paese al mondo e il primo in Europa più colpito da malware. Inoltre, secondo l’indagine condotta da Kaspersky, è in aumento il numero di attacchi di compromissione delle e-mail aziendali – cosiddetti “Business E-mail Compromise” – che peraltro risultano sempre più mirati.
Incidenti di sicurezza e data breach
In un simile contesto occorre dunque non perdere di vista quanto dispone il Regolamento Generale sulla Protezione dei Dati (“GDPR”), il quale fornisce una precisa definizione di “data breach”/“violazione dei dati personali” («la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati»). Il riferimento è cruciale poiché, qualificato un incidente di sicurezza come “violazione dei dati personali”, occorrerà procedere alla notifica dello stesso all’Autorità Garante per la protezione dei dati personali (servendosi dell’apposito servizio telematico, recentemente arricchito con un utile strumento di autovalutazione). Ciò dovrà avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione (salvo il caso in cui risulti improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche). Nei casi più gravi – vale a dire nelle ipotesi in cui il data breach risulti suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati – bisognerà altresì comunicare senza ingiustificato ritardo la violazione agli interessati. Per dare una dimensione quantitativa del fenomeno, si tenga conto che, secondo i dati diffusi dall’Autorità, dal 25 maggio 2018 al 31 marzo 2022, le notifiche di data breach pervenute al Garante sono state ben 5.879.
Risulta pertanto fondamentale una corretta valutazione, da parte del titolare del trattamento, in merito all’esatta qualificazione dell’evento registrato. Perché un incidente di sicurezza non è sempre un data breach (e in tal caso non scatteranno gli adempimenti previsti dal regolamento europeo), ma dietro ad ogni data breach c’è sempre un incidente di sicurezza. Si tratta di confini spesso molto labili, ma che determinano conseguenze di non poco conto. In tal senso, risulta sicuramente indispensabile il ruolo di consulenza e controllo ricoperto dai Data Protection Officer (“DPO”), chiamati a supportare i titolari nelle relative valutazioni (per chi fosse interessato ad approfondire l’argomento, rinvio al manuale essenziale sul DPO scritto assieme a due validissimi colleghi e pubblicato per Giuffrè).
La notifica degli incidenti
Le analisi fino a qui svolte devono poi essere necessariamente coordinate con quelle rilevanti ai sensi della normativa cyber, secondo una logica cumulativa e non escludente. A tal proposito, occorre tenere conto, in particolare, del “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”.
Per quel che qui più interessa, il regolamento (DPCM 14 aprile 2021, n. 81) riguarda la notifica degli incidenti («ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici») aventi impatto su un bene ICT cui sono tenuti i soggetti inclusi nel “Perimetro di Sicurezza Nazionale Cibernetica”.
Tale notifica – obbligatoria a partire dallo scorso primo gennaio – deve essere effettuata, nei casi e secondo le condizioni indicate nel regolamento, al CSIRT, entro un’ora o entro sei ore (secondo la tassonomia di incidenti individuata nell’allegato A al DPCM), decorrenti dal momento in cui il soggetto viene a conoscenza dell’incidente. Residua peraltro un canale di notifica volontaria per gli incidenti non rientranti nei casi sottoposti ad obbligo.
Per completezza, occorre altresì aggiungere quanto prescritto all’articolo 3, comma 6, del DPCM in commento, ove viene precisato che «[d]al 1° gennaio 2022, i soggetti di cui agli articoli 12 e 14 del decreto legislativo n. 65 del 2018, con la notifica di cui al presente articolo comunicano che la stessa, ai sensi dell’articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell’obbligo di notifica di cui, rispettivamente, agli articoli 12, comma 5, indicando a tal fine l’autorità competente NIS di cui all’articolo 7 del decreto legislativo n. 65 del 2018 alla quale la notifica deve essere inoltrata, e 14, comma 4, del decreto legislativo n. 65 del 2018.
I soggetti di cui all’articolo 16-ter, comma 2, del decreto legislativo n. 259 del 2003, con la notifica di cui al presente articolo, comunicano che la stessa, ai sensi dell’articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell’obbligo previsto ai sensi dell’articolo 16-ter del decreto legislativo n. 259 del 2003 e delle correlate disposizioni attuative. Restano fermi, per le notifiche degli incidenti non rientranti nell’ambito di applicazione del decreto-legge, gli obblighi e le procedure di notifica previsti dal decreto legislativo n. 65 del 2018 e dal decreto legislativo n. 259 del 2003».
_______________________________________________________
*Si ringrazia il Dottor Gabriele Franco per le ricerche e gli utili hyperlinks.
- Un dato ampiamente confermato dalla qualità e vivacità degli interventi che si sono susseguiti sul palco (virtuale) del “Cyber Security Summit”, l’evento organizzato da Agendadigitale.eu e Cybersecurity 360, al quale ho avuto il privilegio di portare anche il mio personale contributo. ↑