Malware e spionaggio online, per le pmi il tempo è scaduto: ecco cosa rischiano

Un caso concreto di phishing subito da un’azienda italiana dà il senso dei pericoli in agguato. Destinati a crescere, se non ci si affretterà nel 2017 a adeguarsi al Regolamento Europeo in materia di protezione dei dati

22 Dic 2016
Giuseppe Vaciago

R&P Legal e Founder di LT42

cyber-security-cyber-161219105805

Nel nostro Paese, il 99,9% della totalità delle imprese è costituito da imprese di piccole e medie dimensioni che producono il 68% della ricchezza italiana con 12 milioni di persone impiegate. È indiscutibile e, quasi ovvio, che dobbiamo proteggere questa fondamentale risorsa del Paese come è altrettanto indubitabile e, oramai noto a tutti, che tutte queste realtà si sono dovute scontrare con una rivoluzione digitale impensabile prima del nuovo millennio.

Da una ricerca di GfK Eurisko risulta che le piccole e medie imprese italiane pur avendo mostrato una consapevolezza crescente del fenomeno del cyber crime negli ultimi quattro anni (dallo 0,8 al 10%) non hanno ancora un livello adeguato di conoscenza del fenomeno. Lo dimostra il fatto che un’azienda su quattro subisce attacchi informatici (ricerca PWC, 2016), senza considerare la ritrosia degli intervistati a fornire informazioni veritiere.

Un caso concreto

Al di là dei dati statistici, vorrei raccontare un caso concreto che è accaduto e potrebbe accadere a molte realtà aziendali. Lo scenario è banale e sicuramente molto lontano dagli avveniristici video di alcune società di security che dipingono il cyber crime come un incrocio tra “Ocean Eleven” e “Mr Robot”, ma è quello che tristemente succede in Italia. L’attaccante prima intercetta tutto il flusso di comunicazioni tra le due società impossessandosi di una casella di posta elettronica priva di filtri anti-phishing con sistemi di social engineering spesso “artigianali”. L’attaccante osserva il flusso e poi crea un account falso molto simile a quello di posta elettronica di una delle due società per ingannare l’interlocutore. Dopo un paziente “ascolto” delle conversazioni tra le due società, viene inviata un’email contenente la comunicazione del cambio dei dati bancari della società fornitrice e il sollecito di un pagamento per una fattura effettivamente ricevuta dalla società “vittima”. Il responsabile acquisti affidandosi al fatto che i riferimenti alla fattura sono corretti e l’invio è coerente con il precedente scambio di email, procede al pagamento verso la nuova banca senza ulteriori accertamenti. Quando non si vede recapitare la merce (magari a distanza di mesi), la vittima capisce l’inganno, ma non ha alcuna tutela legale perché (e non tutti lo sanno) il D.lgs. 11/2010 relativo ai servizi di pagamento prevedono che il solo IBAN faccia fede per la corretta esecuzione del bonifico anche ove il destinatario dello stesso non coincida con quello indicato nella distinta di bonifico. Vedremo cosa succederà con l’applicazione della PSD2 (Legge 170/2016).

Da questa vicenda traggo tre considerazioni: la prima è che, come diceva una nota pubblicità, “una telefonata salva la vita”. Il fatto che le email abbiano permesso una maggiore operatività aziendale, non deve far mai dimenticare che le email sono uno strumento insicuro “by design”. In realtà, non sarebbe così se venissero usati sistemi di cifratura (la gran parte gratuiti), ma questo è un assunto che viola il dogma tecnologico dell’usabilità: non accettare mai nessun strumento che possa diminuire la semplicità di utilizzo del device e conseguentemente l’operatività aziendale. La seconda è che le PMI non investono in sicurezza: esistono numerosi software e soluzioni tecnologiche che avrebbero potuto evitare una truffa di questo tipo, ma il dogma del “saving” sull’IT è rispettato tanto quanto quello dell’usabilità. La terza è che le PMI hanno un disperato bisogno di formazione e di una policy aziendale “semplificata”. Non ha alcun senso il recepimento (molto spesso, attraverso maldestri “copia e incolla”) di regolamenti complessi e non letti da parte di dipendenti. Più una realtà è piccola, più le regole devono essere poche e chiare, ma conosciute e rispettate da tutti i dipendenti.

Cosa cambierà nel 2018 con il Regolamento Europeo in materia di protezione dei dati

In questo scenario dalle tinte piuttosto fosche, il Regolamento Europeo 2016/679 ha introdotto alcuni fondamentali principi in tema di protezione dei dati applicabili a tutte le realtà aziendali. Sarebbe esagerato dire che è la soluzione definitiva al problema, ma è sicuramente un primo passo concreto verso una seria responsabilizzazione delle società sul tema della protezione dei dati personali. Prima di elencare alcuni degli aspetti più innovativi della normativa, vorrei citare il primo comma dell’art. 40: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”. Ciò che mi preme sottolineare, è l’inciso dedicato specificamente alle PMI con il quale si evidenzia implicitamente che è impensabile, o quantomeno estremamente complesso, chiedere l’applicazione di standard articolati che solo realtà strutturate sono in grado di rispettare grazie alla loro organizzazione e alle loro risorse economiche. Tuttavia, è necessario che tutte le realtà aziendali si attivino, per quanto possibile, per implementare i propri sistemi di sicurezza dando priorità a queste quattro direttrici:

1. Un cloud più “prudente”: il titolare del trattamento del dato (data controller) è obbligato a scegliere un responsabile del trattamento del dato (data processor) che sia in possesso di adeguate garanzie nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati. Pensiamo alla scelta del fornitore cloud: la scelta iniziale e le necessarie attività di audit di seconda parte successive all’instaurazione del rapporto commerciale dovranno essere molto attente e ponderate.

2. Cifratura: nel limite di quanto è concretamente fattibile la cifratura e la pseudonomizzazione dovranno essere dei principi da applicare in ogni contesto aziendale.

3. Privacy Impact Assessment: in pratica dovranno essere messi in atto quell’insieme di processi funzionali al fine di realizzare, attraverso lo studio delle modalità di trattamento dei dati, un’analisi dei rischi e conseguentemente di individuare le misure idonee a neutralizzarli.

4. Data Breach: dal maggio del 2018 tutte le realtà aziendali italiane dovranno notificare entro 72 ore al Garante per la Protezione dei Personali, ogni violazione di dati personali subita all’interno del proprio sistema informatico. Se tale violazione può presentare anche rischi specifici per gli interessati (rectius clienti), la notifica deve essere fatta anche a questi ultimi. Quest’ultimo aspetto è molto importante perché garantirà, in primis, di avere una più corretta percezione del fenomeno e, inoltre, obbligherà le società a investire direttamente o indirettamente sui processi di gestione degli incidenti informatici che sono alla base della sicurezza informatica.

Il vero problema è un altro: ii cyber espionage

Il rispetto di standard più adeguati rispetto a quelli imposti dall’attuale disciplinare tecnico previsto dal codice della privacy, contribuiranno certamente a far diminuire gli attacchi provenienti dall’esterno, ma non potranno facilmente impedire i cd “attacchi dall’interno”, ossia quelli provenienti dai dipendenti stessi. Nessun dubbio che adeguati sistemi di autorizzazione e di classificazione del dato possano rendere la vita più difficile a chi vuole commettere illeciti all’interno dell’azienda, ma è quasi fisiologicamente impossibile impedire a un dipendente che lavora con dati estremamente sensibili per la sopravvivenza dell’azienda di poterli, in qualche modo, copiare e trasferirli ad un concorrente in grado di proporgli un contratto con una retribuzione più alta proprio in forza del trafugamento di tali dati.

La soluzione in questo caso è data non solo dall’applicazione di un regolamento aziendale severo e attento circa l’utilizzo dei dati e dei device aziendali, ma anche dalla facoltà di un controllo informatico più pervasivo sulle attività compiute dal dipendente. Il tema è indubbiamente delicato perché lo Statuto dei Lavoratori va rispettato e non si può modificare con facilità, ma è anche vero che una norma pensata 46 anni fa non poteva prevedere l’evoluzione tecnologica degli ultimi anni. Il tentativo fatto con il decreto attuativo del jobs act (schema di decreto delegato attuativo della legge n. 183/2014) è sicuramente nobile, ma non risolutivo. Di fatto, concede la possibilità di effettuare dei controlli per finalità di tutela del patrimonio aziendali sui device dei dipendenti, ma a condizione che lo strumento sia considerato quale mezzo che “serve” al lavoratore per adempiere la prestazione. Ciò significa che ogni ulteriore software idoneo a controllare eventuali attività di cyber espionage dovrebbe essere soggetto ad uno specifico accordo sindacale che, come noto, in Italia è – inspiegabilmente- temuto quasi di più della “Corazzata Potëmkin” per un amante di cinepanettoni. Due considerazioni sul punto: la prima è che l’accordo sindacale non è così tragico come si pensi quando si parla di questioni tecnologiche per cui i dipendenti sono meno sensibili di quanto lo possano essere, ad esempio, sul tema salariale o della gestione dell’orario lavorativo. La seconda è che la “mancata” riforma dell’art. 4 dello Statuto dei lavoratori genera un paradosso per cui un responsabile IT di un’azienda da un lato ha la disponibilità del dato per fisiologiche esigenze di gestione e di sicurezza, ma dall’altro non può analizzarlo per questioni legate allo spionaggio industriale.

Questo paradosso è paragonabile a quello generato dall’art. 617-quinquies del codice penale. Tale articolo, infatti, prevede la pena da 1 a 4 anni per colui il quale installa apparecchiature atte ad intercettare comunicazioni informatiche o telematiche. Difficile non pensare che un responsabile IT non abbia “installato” software di questo tipo sul proprio computer per finalità di security. Per tranquillità dei CIO che sono arrivati pazientemente alla fine di questo articolo, garantisco che non esiste una giurisprudenza su questo argomento, ma questi due esempi mi fanno pensare che sia arrivato il momento, con moderazione e cautela, di adeguare alcune norme entrate in vigore molto prima dell’avvento di internet e delle nuove tecnologie.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4