Alessandro Piva: in Italia manca nelle aziende un approccio strategico alla sicurezza informatica
Gabriele Faggioli: la normativa italiana prevede l'obbligo di comunicazione al Garante in caso di violazione
Milano, 23 settembre 2016 - Almeno 500 milioni di utenti Yahoo! sarebbero stati rubati in un attacco perpetrato a fine 2014. Nomi, indirizzi mail, numeri di telefono, date di nascita, password, domande e risposte di sicurezza sono tra i dati che potrebbero essere stati hackerati. Una grave violazione, che si inserisce in un contesto di costante crescita delle minacce informatiche: nel 2015 sono avvenuti più di 1.000 incidenti gravi online e il Cybercrime è aumentato di oltre il 30%, secondo la rilevazione CLUSIT, l’Associazione Italiana per la Sicurezza Informatica. E L'Osservatorio Information Security & Privacy del Politecnico di Milano rileva nel 2016 che il 33% delle organizzazioni ha subito una perdita o un furto di dati nei 12 mesi precedenti, anche se cresce la consapevolezza delle aziende sui pericoli.
“Il caso Yahoo! ci deve mettere in guardia: alle aziende servono nuovi strumenti e tecnologie per prevenire attacchi di questo genere - dichiara Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy -. Nonostante una generale crescita della consapevolezza da parte delle imprese, manca ancora in Italia un approccio strategico alla gestione della sicurezza informatica. Secondo la nostra ricerca, solo una grande azienda su cinque ad oggi ha messo in atto modelli organizzativi e progetti tecnologi in grado di garantire un alto livello di sicurezza. Come dimostra lo stesso caso di Yahoo, è impossibile essere sicuri al 100%, ma è necessario sviluppare una cultura della prevenzione e della pianificazione che mitighi il più possibile le potenziali conseguenze di attacchi di questo tipo”.
La consapevolezza è in aumento, anche spinta dalle esigenze di adeguamento normativo, per effetto del nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR), pubblicato a maggio 2016, che impone alle aziende una serie di azioni a tutela dei dati personali, pena pesantissime sanzioni: “Gli Stati Uniti, dove Yahoo! ha la propria sede, hanno una legislazione differente da quella Europea e da quella dei singoli Stati UE – rileva Gabriele Faggioli, responsabile scientifico dell'Osservatorio Information Security & Privacy e presidente del CLUSIT -. In California, Yahoo! non sarà tenuta a notificare la violazione dei dati agli interessati, non sussistendo tra i dati rubati informazioni finanziarie. La disciplina nazionale ed Europea, invece, è più puntuale e stringente, in virtù non solo di un'uniformità normativa tra i Paesi della UE, ma anche a tutela dei diritti e delle libertà dell’interessato”.
“In Italia – prosegue Faggioli - la disciplina attualmente in vigore sulla violazione di dati prevede l'obbligo di comunicare eventuali violazioni al Garante, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. Con il nuovo Regolamento UE 2016/679, che sarà pienamente applicabile a partire dal 25 maggio 2018 in tutti gli Stati dell'UE, è prevista un'estensione dell’obbligo di notifica all’Autorità in capo a tutti i titolari del trattamento e per tutte le tipologie di dati personali entro 72 ore da quando se ne è avuta notizia. La comunicazione agli interessati, invece, non è sempre obbligatoria ma sostanzialmente quando i diritti e le libertà degli interessati sono a rischio”.