• GDPR: cosa cambia per la sicurezza informatica?

    Maggio si avvicina e con lui l’entrata in vigore del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation).

     

    In estrema sintesi con il GDPR che diventerà attuativo il 25 maggio prossimo:

    - vengono introdotte regole più chiare su informativa e consenso;

    - sono definiti i limiti al trattamento automatizzato dei dati personali;

    - vengono poste le basi per l’esercizio di nuovi diritti;

    - sono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue;

    - vengono fissate norme rigorose per i casi di violazione dei dati (data breach).

     

    La nuova normativa europea favorirà quindi la creazione e lo sviluppo di nuovi e più puntuali sistemi di monitoraggio delle intrusioni, anche grazie alla sempre maggiore diffusione dell’intelligenza artificiale. In tal senso aumenterà la circolazione delle informazioni sui breach avvenuti e porterà delle novità positive nell’ambito della sicurezza informatica.

     

    Nell’ultimo anno, anche grazie ad alcuni casi eclatanti, come i dubbi sulle possibili interferenze della Russia nell’elezione di Donald Trump o come l’esposizione di dati personali di centinaia di migliaia di clienti di Unicredit, dovuta a quanto pare alla violazione dei sistemi di un partner commerciale, il tema della cybersecurity è lentamente uscito dall’ambito esclusivo degli addetti ai lavori per spostarsi al centro di un dibattito quotidiano sia per le imprese sia per i singoli cittadini.

     

    Abbiamo chiesto a Luca Guidi, Responsabile Commerciale di IambOO, l’opinione dell’azienda sulla futura entrata in vigore del regolamento Ue.

     

    «È un intervento legislativo particolarmente incisivo perché si tratta appunto di un regolamento che verrà attuato dai singoli paesi senza la possibilità di effettuare emendamenti di alcun tipo. Oggi ci troviamo a produrre molti più servizi che prodotti e l’importanza assunta dal dato non può più non essere tenuta in considerazione. IambOO, attraverso i suoi prodotti, da sempre si fa portavoce di questa necessaria attenzione verso la sicurezza del dato e il GDPR porterà le aziende, volenti o nolenti, alla consapevolezza di ignorare se non del tutto almeno in parte l’argomento. Raggiungeremo quella che Niccolò Cusano definiva “una dotta ignoranza”… Il GDPR non è un punto di arrivo, bensì di partenza verso una maggiore attenzione ai dati e una maggiore richiesta di servizi» ha affermato Guidi.

     

    Ma quali sono le novità portate dal GDPR nell’ambito della sicurezza informatica?

     

    L’evoluzione tecnologica sempre più veloce degli ultimi anni e l’avvento del concetto dell’industry 4.0, ha portato diverse aziende a porsi davvero il problema della cybersecurity in relazione alla tutela dei propri processi operativi, e non solo come tema di conformità a qualche nuova normativa. Non ci stancheremo mai di ripeterlo: oggi la domanda non è se i miei dati sono a rischio attacco informatico, ma piuttosto quando questo attacco avverrà.

    Il moto ondoso in questione ha però certamente ricevuto una nuova spinta dal GDPR, soprattutto per quanto riguarda l’attenzione delle aziende alla gestione e sicurezza dei propri dati, per due ordini di ragioni.

     

    1. Il tema della notifica dei data breach

     

    Oltre che per limitare il più possibile le sanzioni, il nuovo Regolamento Europeo crea nelle aziende la necessità di rilevare e notificare al Garante i data breach attraverso sistemi di monitoraggio efficaci delle vulnerabilità che metterebbero a rischio i dati (maggiori informazioni sul Vulnerability Assessment di IambOO). Ed è proprio questa capacità di monitoraggio che porterà anche le piccole o medie aziende ad avere sempre maggiore coscienza della necessità di sicurezza dei propri sistemi e delle proprie infrastrutture.

     

    Dall’altra parte il titolare dei dati dovrà dare notifica anche a tutti gli eventuali interessati i cui dati siano stati esposti al data breach ed argomentare i modi in cui intende rimediare al danno ed eliminare la possibilità che una situazione del genere torni a verificarsi. Un’azienda potrà decidere di non informare gli interessati se la violazione non comporta un rischio elevato per i loro diritti o se dimostra di aver già adottato le dovute misure di sicurezza. Può far eccezione anche il caso in cui informare gli interessati comporti uno sforzo sproporzionato al rischio ma si dovrà comunque provvedere a una comunicazione pubblica.

    In ogni caso l’Autorità Garante effettuerà una valutazione dei rischi relativi alla violazione commessa e potrà comunque imporre al titolare del trattamento di informare gli interessati dell’accaduto.

     

    Vuoi approfondire il tema della sicurezza dei tuoi dati? Scrivici subito!

     

    2. La maggiore disponibilità di informazioni sugli incidenti di sicurezza

     

    La seconda novità nell’ambito della cybersecurity del GDPR sarà la maggiore disponibilità di informazioni sugli incidenti di sicurezza visto che le nuove sanzioni previste dal Regolamente Europeo 2016/679 in caso di mancata notifica al Garante dei data breach sono un rischio che le aziende non vorranno prendersi e anche per questo motivo saranno incentivate a investire nell’ambito della cybersecurity.

    Anche il settore dei mobile payment riceverà nuove attenzioni da parte delle aziende. Se il 2017 è stato l’anno dell’accettazione ufficiale dei Bitcoin, che ha portato alle luci della ribalta anche temi come la blockchain, il 2018 vedrà sicuramente la diffusione della necessità di avere strumenti di pagamento online innovativi e sicuri creando una maggiore consapevolezza tra i suoi utilizzatori finali.

     

    Vuoi approfondire il tema della sicurezza dei pagamenti online? Scrivici subito!

     

    Infine una novità assoluta che arriva con il GDPR sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

    Per quanto molti abbiano frainteso, la norma non si riferisce ai motori di ricerca e in generale alla libertà di stampa e di manifestazione del pensiero. Il tema si discosta anche dall’ambito della sicurezza informatica me è interessante dal punto di vista dell’impegno richiesto alle aziende in termini di monitoraggio e infrastrutture: queste non solo dovranno essere tecnicamente in grado di recuperare e cancellare i dati qualora richiesto, ma dovranno al contempo preoccuparsi di rimuovere i dati che nel tempo sono stati dati in concessione a terze parti.

     

    In conclusione, la portata del GDPR anche solo nell’ambito della sicurezza informatica è notevole, ma si tratta solo dell’aspetto normativo della questione perché il mondo si sta già muovendo in questa direzione da tempo anche se molte aziende non ne avevano consapevolezza.