(Angelo Alabiso*)  Secondo il Garante per la protezione dei dati personali, il concetto di violazione dei dati (Data breach) può essere definito in questi termini: “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (Art. 4 del Regolamento generale sulla protezione dei dati, UE/2016/679). Come ben si è intuito, anche alla luce dei recenti attacchi ransomware sferrati nei confronti di alcune aziende italiane, quelli che sono i dati personali rappresentano oggi un patrimonio importantissimo per le stesse (alcuni li hanno definiti il nuovo petrolio) che, di conseguenza, se ne devono prendere cura scrupolosamente al fine di evitare qualsiasi violazione che ne possa compromettere la riservatezza, l’integrità o la disponibilità. All’art. 83 del regolamento generale sulla protezione dei dati, dal punto di vista delle sanzioni amministrative pecuniarie è chiaro, definendo due diversi importi pari ad un massimo di:

  • 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per tutte quelle violazioni di minore gravità commesse dai seguenti soggetti:
  • Il titolare ed il responsabile del trattamento (art. 8,11, dal 25 al 39, 42 e 43 del Gdpr);
  • L’organismo di certificazione a norma degli articoli 42 e 43;
  • L’organismo di controllo dei codici di condotta (art.41 Gdpr).
  • 20 milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore, per le violazioni di maggiore gravità rispetto:
  • A quelli che sono i diritti degli interessati a norma degli articoli 12 e 22;
  • Ai principi base del trattamento, incluso tutte quelle condizioni relative al consenso, a norma degli articoli 5,6,7 e 9.
  • Al trasferimento dei dati personali a un destinatario situato in un paese terzo oppure ad un’organizzazione internazionale (Art.44 e 49);
  • All’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento se non anche di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58 (paragrafo 2), per non evidenziare anche il negato accesso in violazione dell’articolo 58 (paragrafo 1).
  • A qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX.

Oltre a queste non possono non essere prese in considerazione tutte quelle conseguenze aggiuntive che ricadono sulle imprese e sui professionisti che commettono delle violazioni:

  • Risarcimenti del danno in favore degli interessati;
  • Sanzioni di tipo penale;
  • Sanzioni di tipo amministrativo;
  • Divieto di trattare i dati personali fin quando non si sarà risolta la questione della non conformità

Nonostante tutto questo, purtroppo il reale costo di un data breach va ben oltre l’importo dell’eventuale sanzione, in quanto devono essere considerati altri fattori: l’impatto sulla reputazione, l’allocazione di tutte quelle risorse, dal punto di vista umano e tecnologico, per risolvere la violazione, possibili denunce degli utenti finali, l’impatto indiretto sulle vendite e molto altro. A tal proposito si delineano i cinque problemi più grandi che possono essere legati alla violazione dei dati per un’azienda:

  • Data Breach e danno reputazionale: l’azienda può perdere la credibilità nei confronti dell’opinione pubblica, dei clienti, dei fornitori e dei partner subendo, indirettamente, dei gravi danni sul proprio fatturato.
  • Data Breach e Business Continuity: uno stop forzato delle proprie attività.
  • Estorsione e Data Breach: situazione tipica di un attacco ransomware che riesce a cifrare i dati, chiedere un riscatto con la minaccia di divulgare dei documenti riservati.
  • Furto di informazioni riservate: nel caso in cui l’obiettivo dell’attaccante non fosse quello di chiedere un riscatto ma di appropriarsi del know-how dell’azienda.
  • Data Breach e GDPR: nel caso dovesse avvenire una violazione dei dati personali, oltre le sanzioni esposte precedentemente, le aziende devono dimostrare di aver preso tutte le precauzioni sufficienti per proteggere in maniera adeguata i dati sensibili in loro possesso.

Come ormai noto, il GDPR prevede un obbligo di notifica e comunicazione in capo al titolare del trattamento (entro 72 ore al Garante per la protezione dei dati personali), qualora dovessero presentarsi una o più violazioni dei dati personali tali da compromettere la libertà e i diritti dei soggetti interessati. Più in generale, vanno notificate quelle violazioni dei dati personali che possano avere degli effetti negativi significativi sugli individui, causando danni materiali e immateriali. In questi casi, in virtù anche di tutto quello che si è visto precedentemente, si intuisce la necessità di dotarsi di un piano di risposta, approvato e messo in atto dall’organizzazione, in grado di:

  • Rendere più agevole, tempestivo ed efficace tutto l’aspetto del ripristino delle attività (dei sistemi e dei dati) nel minor tempo possibile;
  • Garantire il rispetto di tutta una serie di obblighi contrattuali e normativi (inclusa la notifica al Garante);
  • Limitare tutti quei costi e quelle violazioni legate al data breach;
  • Cercare di salvaguardare meglio l’aspetto reputazionale;
  • Migliorare la consapevolezza dell’intera organizzazione (dipendenti inclusi).

Data la sua importanza, per svolgere bene il suo compito, un piano di risposta deve essere in grado di:

  • Definire cosa si intende per violazione dei dati (con esempi chiari e precisi);
  • Mettere in evidenza i ruoli e le responsabilità delle persone coinvolte nella risposta all’incidente (con i relativi contatti);
  • Definire i principali mezzi di comunicazione;
  • Descrivere tutte quelle procedure operative che possano essere utili al personale per segnalare un incidente sospetto tanto quanto svolgere, nel miglior dei modi, tutte quelle azioni e quell’attività strettamente connesse alla violazione in oggetto.

Nonostante il GDPR non preveda espressamente un IRT (Incident Response Team), è evidente che l’implementazione di un programma di Incident Response è fondamentale per garantire la conformità all’articolo 33 del regolamento soprattutto nella seguente parte: “descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi”.    

In generale, anche in virtù di tutto quello che si è descritto prima, l’unico modo, per un’azienda, di limitare i rischi legati alla violazione dei dati è quello di mettere in atto strategie di prevenzione, gestione e risposta a possibili incidenti del genere. In questo senso, di fondamentale importanza è la DPIA (Data Protection Impact Assessment): quella valutazione fondata sull’origine, la natura, la probabilità e la gravità del rischio, il contesto, l’ambito di applicazione e le finalità del trattamento, tesa a rilevare il livello di rischio e le priorità di intervento. In estrema sintesi, essa rappresenta una vera e propria valutazione di impatto nel caso dovesse presentarsi una violazione verso quella che è la Data Protection.  In questo senso, è possibile attribuire al DPIA due scopi: valutare le conseguenze potenziali di un possibile data breach oppure pesare la reale portata di un incidente già subito o in corso d’opera. Detto questo, e quindi dotati di misure di sicurezza che possono essere considerate adeguate a gestire il rischio (DPIA) o a definire delle procedure che assegnino chiaramente i ruoli e le responsabilità all’interno di un’organizzazione, resta da constatare che quest’ultime, qualora dovessero essere brillantemente sviluppate, rimangono ancora troppo chiuse nel cassetto del Privacy Officer, risultando poco conosciute all’esterno. Per questo motivo è importante formare i propri dipendenti tanto quanto simulare degli incidenti che possano rendere ancora più chiare le procedure da mettere in atto.

Constatati i rischi e le possibili misure di prevenzione e gestione degli incidenti legati al Data Breach, si sottolinea infine il fondamentale ruolo svolto dai Siem (Security Information and Event Management) con l’obiettivo di gestire la sicurezza cibernetica attraverso dei sistemi centralizzati in grado di raccogliere, normalizzare, correlare e analizzare diversi eventi anche apparentemente innocui. A questo importante ruolo deve essere tenuto conto anche un altro importante fattore: quella che è la centralizzazione dei log permette inoltre di favorire la conformità con il requisito delineato dall’articolo 32 del GDPR, “Security of processing”, con specifico riferimento all’adeguatezza delle cosiddette “misure tecniche e organizzative”.

Un’organizzazione priva di strumenti di monitoraggio del genere oppure di fornitori esterni che svolgano un’attività di questo tipo, sicuramente si trova nella condizione di rilevare troppo in ritardo un incidente di questa portata, esponendosi a una serie di rischi che come abbiamo visto non sono per niente trascurabili o di lieve entità. In aggiunta, si rischia anche di lasciare troppo tempo e spazio ai cyber criminali di compromettere i sistemi e cancellare le loro tracce. Purtroppo, quelle che sono le azioni di attacco che portano a questo tipo di incidenti di sicurezza sono tantissime e spesso legate a strategie offensive intenzionali, errori umani e mancati aggiornamenti. Nonostante anche le grandi aziende hanno subito notevoli danni in questo senso, le piccole e medie realtà economiche sono sicuramente quelle più esposte a problemi del genere poiché limitate in termini di personale, tecnologie e risorse economiche.  

*Angelo Alabiso Criminologo AICIS

AICIS