“Non sono stato io” non funziona più. Il colpevole ai tempi del GDPR
“Non sono stato io” non funziona più. Il colpevole ai tempi del GDPR
di Dott. Christian Bernieri - DPO
Dopo ogni attacco informatico, ogni azienda colpita si sente vittima incolpevole, cerca il supporto dei tutori dell’ordine e auspica pene severe per i colpevoli. Il recente caso SIAE non fa eccezione. Purtroppo molti dei colpevoli non sono noti ma uno è certo e già individuato: l’azienda stessa, certamente danneggiata ma, non per questo, esentata dalle proprie responsabilità. Infatti, dopo un data breach, spesso, oltre ai colpevoli, vengono sanzionate anche le imprese colpite
Ogni volta che si verifica un data breach si leggono dichiarazioni della prima ora che, salvo scivoloni imbarazzanti come il recente caso che ha coinvolto SIAE, paiono comunque mosse da genuino stupore, candida sorpresa e ingenua ricerca di un colpevole. Questo, in modo molto pittoresco, viene subito identificato con una generica figura di hacker o un lavoratore, meglio se in smart working. Agli occhi di un DPO si tratta di folklore che non ha senso commentare.
Questo atteggiamento, decisamente emotivo, evidenzia l’approccio che i manager, i responsabili della comunicazione e, in ultima analisi, le aziende hanno rispetto ad eventi che riguardino i dati che esse custodiscono.
In caso di data breach, magari conseguente ad un crimine informatico, non c’è un colpevole bensì ce ne sono almeno due: il criminale che è stato capace di rubare i dati e l’azienda che non è stata capace di proteggerli in modo adeguato.
Anche in caso di incidente informatico i colpevoli sono generalmente almeno due: l’azienda danneggiata, che magari ha perso tutti i dati contenuti nei propri server, e il fornitore al quale ci si appoggia che, magari per inadeguatezza, magari a sua volta vittima di una disfunzione di filiera, ha fondato le premesse per la responsabilità del suo cliente, il titolare del trattamento.
La sorprendente rivelazione lascia spesso basiti i vertici aziendali e non contribuisce a mantenere la lucidità necessaria per gestire la crisi, tuttavia è un fatto che, per quanto difficile da accettare, deve essere conosciuto e preventivamente considerato.
L’equivoco probabilmente nasce dall’errata considerazione che i dati appartengano a chi li ha raccolti e li tratta: costui, derubato, violato nei server o ingannato da criminali informatici, si sente depredato di un valore analogo ad un asset o ad un bene faticosamente acquisito.
Il GDPR ci insegna che i dati personali appartengono unicamente alla persona fisica alla quale si riferiscono e che sono, incidentalmente, in custodia presso enti ed aziende ai fini di uno specifico trattamento. La consegna dei propri dati personali avviene sotto condizione e sulla base di una promessa di adeguata protezione, sia dall’abuso del custode stesso, sia dal furto che altri potrebbero perpetrare.
Non mantenere questa promessa rappresenta la colpa dell’azienda che, certamente, ha subito un attacco ma che, in termini tecnici, non ha saputo garantire un adeguato livello di protezione. L’articolo 24 del GDPR ci svela un mondo nuovo e sorprendente.
La richiesta che il GDPR ci fa non è nuova e non può sorprenderci, almeno non in Italia dove, sin dal 1942, ogni imprenditore è chiamato a garantire condizioni di lavoro e protezione adeguate rispetto ai rischi per la sicurezza del lavoro. Mutatis mutandis, pur con le dovute differenze, sono evidenti le analogie e l’identità di approccio rispetto ad eventi che, tradizionalmente, sono ricondotti alla sorte, al caso, al fato, alla malizia o all’inadeguatezza di un soggetto esterno rispetto all’imprenditore stesso.
Il concetto di adeguatezza si presta a interpretazioni di comodo se non viene parametrato ad un criterio oggettivo e, per comprenderne la portata, occorre fare riferimento al mondo reale:
Quali dati personali sono trattati dall’azienda? La natura dei dati sottende il loro valore, sia rispetto agli usi preordinati, sia rispetto agli eventuali usi deteriori e malevoli del titolare del trattamento, dei responsabili del trattamento o di terzi. Alla crescita del valore cresce anche il rischio di attacco.
Quali standard di protezione esistono nel panorama a cui abbiamo accesso? Il GDPR non include la lista della spesa: non ci dice cosa dobbiamo fare per essere a norma, demanda al titolare la definizione di ciò che è necessario ed adeguato. Il concetto di adeguatezza tecnologica ed organizzativa si sta delineando giorno dopo giorno, anche grazie ai provvedimenti del Garante che, a volte con ottica preventiva, altre volte intervenendo su singole violazioni, ci indicano la strada per l’esatta applicazione del GDPR.
Cosa è capitato nel mondo? Questa domanda è forse la più difficile da affrontare ma è qui che si manifesta tutta la potenza tipica della capacità di adattamento dell’essere umano. Imparare dai propri errori è naturale e necessario e, oggi, è necessario anche imparare dagli errori altrui. L’approccio migliore è imparare anche da ciò che sarebbe potuto essere un errore e che, per fortuna, non ha avuto conseguenze: si parla di Near Miss. Studiare i data breach, gli attacchi informatici, gli incidenti di sicurezza e i mancati incidenti rappresenta una strategia vincente e ci permette di essere preparati rispetto ad eventi che possono replicarsi ai danni della nostra azienda in qualsiasi momento.
L’adeguatezza del livello di prevenzione e di protezione, sia sotto il profilo tecnico che organizzativo, va ricercato partendo da una approfondita analisi interna, aggiungendo la prospettiva di un attore malevolo e del peggior caso ipotizzabile e, infine, facendo tesoro dell’esperienza di chi ha già affrontato problemi analoghi.
Questa è l’unica strategia che un titolare del trattamento può applicare per meritare la fiducia delle persone che gli affidano i propri dati.
Chi si occupa di sicurezza informatica sa che non esiste un sistema sicuro ma che, al contrario, ogni sistema ha delle vulnerabilità e che queste sono tanto più pericolose quanto più è alto l’interesse di un attaccante a violare il sistema stesso. In pratica, per dati molto appetibili è necessario un livello di protezione elevato poiché è più alto il rischio e la probabilità che siano bersaglio di un attacco. Quanto più è abile l'attaccante, quanto più dev’essere solida e raffinata la protezione e questo fa lievitare velocemente il livello di competenza necessario e naturalmente i costi.
Decidere di rinunciare, di farsi bastare qualcosa di meno o non riuscire a garantire un livello adeguato significa, in ultima analisi, aver accettato uno standard inadeguato, più semplice da ottenere o manutenere ed economicamente più sostenibile.
Ecco l’origine della responsabilità. Ecco svanire la sorpresa per l’azienda naïve vittima di attacco che, in ultima analisi, sa di aver fatto la scelta sbagliata.