BEYOND INTERNET

Dal data breach alla cybersecurity

Le aziende dedicano ancora scarsa attenzione e budget marginali ai problemi di sicurezza e privacy. La rubrica di Rocco Panetta

06 Nov 2015

Rocco Panetta, avvocato esperto di Internet e privacy

Non passa giorno senza che vi sia una notizia relativa ad una violazione di sistemi informativi, banche dati, reti e server, sistemi di pagamento, archivi e farm informatiche.

Parole come cyber attack, cyber risk e cyber security sono ampiamente entrate nell’immaginario collettivo, evocando tuttavia più scenari futuribili di attacchi informatici e non, perpetrati da macchine contro altre macchine, tralasciando un dato statistico importante e cioè che dietro ad un cyber attack si celano persone che usano macchine.

La narrativa di tali eventi, che tecnicamente possono essere considerati tutti come ipotesi di data breach o, come tradotto dalle leggi italiane, come violazioni di dati, è dunque ancora abbastanza distratta. Raramente poi emerge una riflessione critica che rappresenti plasticamente la portata e le conseguenze potenzialmente esplosive di tali eventi per i nostri complessi e delicati sistemi economico-sociali.

E’ di qualche giorno fa la cronaca della più grande violazione di dati mai mossa contro un operatore telefonico, TalkTalk. Le veloci indagini hanno portato all’arresto di un quindicenne nordirlandese che avrebbe sferrato con successo un cyber attack ai sistemi informativi e ai server dell’operatore più per gioco che per precisi fini criminali. Le conseguenze sono state tuttavia di enorme portata.

Miliardi di dati personali relativi a milioni di persone fisiche (e giuridiche) sono stati resi trasparenti con gravi pregiudizi all’identità personale, alla riservatezza, alla segretezza delle comunicazioni, al domicilio, agli orientamenti sessuali e religiosi di utilizzatori ignari. Qualche decina di diritti fondamentali, protetti dal Trattato di Lisbona e dalla Carta dei diritti fondamentali di Nizza, sono stati violati, per non parlare delle tutele ad essi riservate in molte giurisdizioni europee, inclusa quella italiana, a livello costituzionale e dunque anche penale. La società avrebbe poi anche ritardato le dovute comunicazioni (data breach notification) ad autorità e utenti, aggravando di fatto il quadro di responsabilità e l’esposizione dei dati violati. I danni di natura economica alle persone esposte sono altrettanto gravi, si pensi a ciò che potrebbe accadere rendendo pubblici i dati relativi a transazioni mediante sistemi elettronici di pagamento. La società potrebbe essere chiamata a pagare milioni di euro in sanzioni e risarcimenti danni.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Se il danno fosse capitato in Italia, sarebbero anche scattate indagini da parte della Procura competente. Se l’attacco fosse stato causato ad una banca, ad una istituzione finanziaria, ad un giornale, a un ospedale o a una amministrazione sanitaria o della giustizia, le conseguenze sarebbero state ancora più gravi.

Allo stesso rischio teorico sono esposte anche le reti della sicurezza dello Stato. La verità è che il mondo non ha ancora capito la portata epocale della rivoluzione che Internet e i suoi “derivati” hanno posto in essere. Le aziende dedicano ancora marginali attenzioni e piccoli budget alla sicurezza informativa e dei processi relativi alla circolazione dei dati che gli appartengono o di quelli relativi a clienti, pazienti e consumatori, costruendo strategie di azione sui mercati totalmente irresponsabili e cieche rispetto ai (nuovi) rischi informatici.

Gli Stati dedicano poca attenzione alle politiche della sicurezza informatica, investendo poco e male in tale campo e spesso delegando a privati e stranieri la tenuta e la gestione di reti strategiche per la sicurezza nazionale e per la tenuta dei loro sistemi democratici.

In Italia invece il Governo sta prestando inedita attenzione a questi fenomeni, trattandoli per la prima volta nella storia come temi prioritari, strategici e che meritano un approccio unitario integrato.

La sfida che ci attende è ambiziosa ed il compito di ciascuno di noi è quello di innalzare quantomeno i livelli di awereness di tutti, focalizzando l’attenzione più sulle questioni economiche, giuridiche e sociali di tali fenomeni e meno sul sensazionalismo narrativo, che da un lato affascina mentre dall’altro deprime il dibattito, creando un pericoloso effetto di distacco dalla realtà.