Le mode passano, si alternano, a volte ritornano. Ciò è vero non solo nel mondo del c.d. fashion system, e quindi per l’industria tessile, dell’abbigliamento e degli accessori, ma è una regola che funziona anche nel mondo di Internet, in quello del digitale e più ancora con riferimento a tutto ciò che è tecnologico.
Abbiamo avuto, negli ultimi anni, la moda del cloud, poi quella dei big data, l’anno scorso quella dell’Internet delle Cose e poi dell’industria 4.0 – che ha portato, però, all’approvazione da parte del Governo Renzi, subito dopo l’estate, di un importante pacchetto di misure ed incentivi fortemente voluti dal Ministro Calenda.
Parole, frasi, concetti che racchiudono un mondo. Anzi un universo o più universi, talvolta già regolamentati e disciplinati da norme varie e complesse, spesso purtroppo banalizzate o misconosciute, come, ad esempio, quelle sulla privacy.
Tra le tante mode, ve n’è una che sembra resistere sopra tutte le altre. E’ quella relativa alla cybersecurity. E verrebbe da dire: menomale! Di cloud e nuvole non si parla (quasi) più – al netto del capolavoro architettonico progettato per Roma da Massimiliano e Doriana Fuksas: La Nuvola – mentre di cybersecurity si legge, si scrive, si dibatte e si legifera.
Perché? Forse perché la cybersecurity, più del cloud e dei big data, è tema anche di rilievo cinematografico e quindi più popolare, o forse perché davvero stiamo acquisendo un po’ di consapevolezza sui rischi connessi alla sicurezza dei sistemi informatici, che vanno dall’hacking diretto o indiretto di piattaforme istituzionali o di singoli siti web, con violazione degli account di posta elettronica, sino alle tecniche mirate di captazione di credenziali di accesso (user id e password) per svaligiare conti correnti, o clonare carte di credito e debito, senza dimenticare il phishing e le frodi connesse agli acquisti online.
Ma i rischi per la sicurezza dei sistemi non vengono solo da insidie esterne al perimetro degli stessi. Il cyberisk è costituito anche da violazioni di dati perpetrate dall’interno stesso di aziende ed istituzioni, da parte di personale fedifrago e senza scrupoli o talvolta anche a seguito di incidenti per scarsità di misure di sicurezza o per cause di forza maggiore.
L’esposizione al rischio incide sui dati e su ciò che essi sono in grado di raccontare: dai dati economici a quelli sulla salute, dalle informazioni rivelatrici dell’identità personale a quelle relative agli orientamenti sessuali e alla rete delle relazioni di ciascuno di noi, dai segreti aziendali alle strategie di marketing e vendita delle aziende. Il patrimonio da tenere al sicuro dal rischio cyber è presso chè infinito e cresce esponenzialmente ogni giorno. Quest’anno, poi, la questione è stata affrontata a livello comunitario con due diversi importanti atti dell’Unione Europea, da un lato il regolamento c.d. GDPR, sulla libera circolazione e protezione dei dati personali, che di cybersecurity vive e si alimenta, e dall’altro lato la direttiva c.d. NIS, sulla Network and Information Security, provvedimento tutto incentrato a porre in essere le misure per contrastare il rischio cyber a livelli macro.
L’Europa introduce dunque un sistema duale di protezione.
Da un canto, l’obiettivo della direttiva NIS è quello di raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni che si ponga come standard comune a tutti i Paesi membri dell’UE. Per raggiungere tale obiettivo occorrerà migliorare le capacità di cybersecurity dei singoli Stati dell’Unione, anche aumentando il livello di cooperazione tra gli stessi, mentre in concreto verrà posto in essere un obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità in capo agli operatori di servizi essenziali e ai fornitori di servizi digitali.
D’altro canto, molto più pervasiva ed ampia è la portata delle norme sulla cybersecurity introdotte dal GDPR, che come noto entrerà in vigore a maggio del 2018.
La riforma della normativa sulla privacy ha di molto irrigidito le norme sul data breach e più in generale sulla cybersecurity, introducendo un meccanismo di protezione progressiva e crescente basata sul rischio, la cui valutazione è rimessa ai soggetti che trattano i dati.
Vengono inoltre introdotti obblighi universali di notificazione all’autorità Garante per la privacy e a tutti i soggetti interessati entro un termine piuttosto ristretto di 72 ore (sic!), intensificando fortemente la pressione che il sistema sanzionatorio previgente già faceva sentire sui titolari del trattamento dei dati.
Si passerà dall’attuale massimo cumulato di sanzioni fino a 2 milioni e 250 mila Euro – sanzione in verità finora mai irrogata in tale misura – ad un massimo calcolabile fino al 4% del fatturato annuo globale di gruppo della società titolare o responsabile del trattamento. E’ del tutto evidente alle aziende, ma anche alle P.A., come non siano più eludibili le azioni volte a mappare e perimetrare adeguatamente i rischi connessi al trattamento dei dati tanto online, quanto offline, quantomeno in ragione dei mutati obblighi e delle nuove e significative sanzioni che potranno essere irrogate dal Garante privacy.
Ma vi è di più, in quanto il rischio cyber è un rischio di sistema che riguarda ormai l’intero patrimonio informativo delle nostre complesse società, che può arrivare a mettere in crisi ora il settore di trasporti, ora quello del credito, ora il sistema ospedaliero, ora la macchina della giustizia e della p.a, oppure può bloccare il sistema produttivo del Paese, dalle industrie ai servizi. Non può più essere trascurata l’adozione di serie politiche di cybersecurity, non tanto e non solo, dunque, per le aumentate sanzioni, quanto piuttosto per il rischio di paralisi del sistema economico produttivo e sociale in cui viviamo, con tutte le conseguenze che possiamo solo immaginare. Occorrerà dunque introdurre d’ora in poi misure di sicurezza informatiche adeguate ai rischi che i nostri dati corrono nei diversi ambiti in cui essi vengono trattati, ma potrebbe non bastare e sarà necessario incrementare, al tempo stesso, il ricorso all’assicurazione contro il rischio cyber, auspicando l’introduzione di meccanismi di protezione assicurativa obbligatoria, onde coprire quanto più è possibile il rischio e ridurre contestualmente il costo dei premi, rendendoli accessibili non solo alle più grandi aziende multinazionali, ma a tutti gli attori del mercato.
