L’incidente di sicurezza che ha visto coinvolta UniCredit nei giorni scorsi è il primo esempio di applicazione del nuovo Regolamento Europeo in materia di Privacy, entrato in vigore l’anno scorso, ma che diverrà operativo a partire dal 25 maggio 2018. L’art. 33 del regolamento impone il vincolo per le imprese di denunciare pubblicamente le violazioni dei sistemi di sicurezza “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza”.
Il caso UniCredit è un esempio di quello che accadrà con maggiore frequenza in futuro, in forza di una legge che punisce con sanzioni molto elevate (fino al 4% dei ricavi) e quindi spingerà le aziende a denunciare invece che insabbiare a tutela della propria reputazione. Tuttavia, è molto probabile che in casi come quello che ha visto coinvolta UniCredit l’Autorità Garante avvierà delle indagini per capire se l’azienda ha adottato “misure tecniche e organizzative utili a garantire un livello di sicurezza adeguato al rischio”, così come previsto dall’articolo 32 del Regolamento e, se così non fosse, potrebbero essere emesse anche in questo caso delle sanzioni.
La sicurezza dei dati diventa quindi un tema centrale all’interno dei processi aziendali: dimostrare l’idoneità dei propri controlli in materia richiede un processo ben strutturato e un percorso logico che possa essere difeso anche in tribunale. Il problema è che la parte fondamentale di questo sistema di gestione sarà la capacità di venire a conoscenza tempestivamente del verificarsi di una violazione del sistema informatico. Se questa non sarà immediatamente riconoscibile, allora la perdita dei dati è molto più complessa e difficile da rilevare posto che non si producono e non sono visibili effetti istantanei. A ciò si aggiunga che sistemi informatici del calibro di quelli usati da UniCredit includono centinaia di migliaia di dispositivi, impiegati da altrettanti utenti e sempre connessi con altri sistemi. Questo produce una quantità enorme di informazioni, le quali andrebbero continuamente analizzate per rilevare eventuali attività illecite.
Sebbene vi siano dei sistemi automatizzati per la gestione e il controllo dei suddetti dati, solo un controllo umano è in grado di stabilire se effettivamente vi sia stata una violazione del sistema. Purtroppo tali risorse umane sono limitate, e questo implica il considerevole ritardo con cui le violazioni della Privacy vengono scoperte (infatti, UniCredit ha parlato di una prima intrusione avvenuta nel 2016). Inoltre, l’attività illecita potrebbe provenire da sistemi interni, quindi la sicurezza potrebbe essere compromessa per mezzo dei c.d. “cavalli di Troia”. In conclusione, il vero problema non è il tempo con cui si riesce a individuare una violazione dei sistemi, ma il tempo con cui si scopre di averla subita.

RICHIEDI UNA CONSULENZA SU QUESTO ARGOMENTO