GDPR, Privacy e Sicurezza Cyber: verso un cambio di prospettiva

Era il 2013 quando il Garante per la Privacy Antonello Soro pronunciò nella sua relazione annuale alla Camera il discorso che fece forse per la prima volta chiaramente percepire le minacce alla “libertà” individuale in rete: “I colossi di Internet diventano sempre più intermediari esclusivi tra produttori e consumatori… Il potere di questi soggetti non può essere ignorato… Non dovremmo permettere che i dati personali, che hanno assunto un valore e norme in chiave predittiva e strategica, diventino di proprietà di chi li raccoglie“.

Come evidenziarono i media all’epoca, era piuttosto evidente il riferimento del Garante alle grandi multinazionali depositarie delle informazioni che, più o meno consapevolmente, ogni giorno tutti noi immettiamo sul web. Oggi, alla luce dell’attualità e del recente caso “Facebook – Cambridge Analytica” (ma la questione riguarda anche altri colossi del web ),  queste parole appaiono quasi profetiche.

Alla base sta il concetto, ormai di dominio comune, che i dati personali abbiano un effettivo valore commerciale e che quanto più riguardino la sfera privata dell’individuo, tanto più conferiscano  potere a chi ne abbia accesso.  Se consideriamo che ogni 60 secondi nel mondo nel solo 2017 sono state digitate oltre tre milioni di ricerche su Google, che da ognuna di queste ricerche è possibile estrarre delle informazioni su attitudini, preferenze e comportamenti individuali, e che soltanto negli Stati Uniti in un minuto vengono utilizzati 2.657.700 Gigabyte di dati in rete, ci rendiamo conto della portata effettiva di questo “potere”.

 

Sicurezza sul web: tutto ciò che può essere attaccato lo sarà

Il ritornello è noto ormai da tempo e il trend si conferma inarrestabile, proprio per l’evoluzione stessa delle tecnologie, oggi in primis con i paradigmi dell’Internet of Things (IoT) e dell’Industria 4.0.

Gli esperti del Clusit – Associazione per la Sicurezza Informatica in Italia – hanno calcolato l’impatto economico delle attività criminali di violazione dei dati sulla rete tra il 2011 al 2017: i costi generati globalmente dal Cybercrime (la cui finalità ultima è sottrarre informazioni e denaro) sono quintuplicati nel periodo in oggetto, arrivando a toccare quota 500 miliardi di dollari soltanto lo scorso anno. Il dato emerge dal Rapporto Clusit 2018, dove si evidenzia che proprio il Cybercrime è la prima causa di attacchi alla rete a livello mondiale (76% degli attacchi complessivi).

Nel 2017 – si legge sempre nel Rapporto Clusit – truffe, estorsioni, furti di denaro e dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. Sono esclusi da questa quantificazione i danni causati dalle attività di Cyber Espionage (lo spionaggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale,  cresciuto del 46% nel 2017 rispetto al 2016) e le conseguenze sistemiche generate dalle crescenti attività di Information Warfare (la “guerra delle informazioni”, che segna +24% rispetto al 2016). L’impatto economico di queste attività criminali è difficilmente calcolabile, ma sicuramente in crescita, dicono gli esperti.

In particolare, in Italia sono stati stimati nel 2016 (dato più recente disponibile, secondo il Rapporto Clusit 2018) danni derivanti da attività cybercriminali pari a quasi 10 miliardi di euro, cifra che rappresenta una frazione consistente della legge finanziaria di quell’anno e dieci volte il valore attuale degli investimenti del nostro Paese in Information & Communication Technology.

Per portare un esempio concreto, sempre dal Rapporto Clusit apprendiamo che il fenomeno del carding – ovvero lo scambio e la compravendita di informazioni riguardanti carte di credito, debito o account bancari – è una delle attività oggi più diffuse e popolari tra i cyber criminali a livello globale. Esistono infatti numerosi “marketplace” di informazioni illegali specializzati nella sola vendita di dati relativi a carte di credito e completi di filtri di ricerca, news sui prodotti, servizi di feedback e customer care, procedure di rimborso, oltre ovviamente a tariffari “ufficiali”. Secondo questi ultimi, il prezzo delle carte di pagamento si aggira intorno ai 20 dollari, a seconda della quantità di informazioni associate disponibili (intestatario, indirizzo, numero di telefono, PIN, etc).

Lo scenario economico  ci porta a riflettere in merito alla portata del fronte d’attacco dei cybercriminali, inesorabilmente destinata ad ampliarsi, nonché al valore potenzialmente illimitato delle informazioni che è possibile trarre dalla rete.

 

Privacy, diritto fondamentale per i cittadini europei

La Carta dei Diritti fondamentali dell’Unione europea (2000/C 364/01) ha sancito già nell’anno 2000 il “rispetto della vita privata e della vita familiare, del proprio domicilio e delle sue comunicazioni” (art. 7), nonché la “protezione dei dati personali” (art. 8).

Oggi, con l’applicazione del Regolamento Europeo 2016/679 – GDPR, l’Unione Europea va oltre e definisce il presupposto  della progettazione dei servizi e dei processi delle organizzazioni, nonché dei programmi e dei software che ne consentono il funzionamento. E’ la cosiddetta “Privacy by design”: non più mero adempimento burocratico, questo nuovo concetto conferisce innanzi tutto ai responsabili d’impresa un ruolo  proattivo. In primo luogo, con il principio di Accountability – che possiamo tradurre con l’italiano “responsabilizzazione”), il Titolare del trattamento dei dati diventa il soggetto che deve assicurare il rispetto dei principi introdotti della Privacy, ovvero liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza. Come specificato dall’Articolo 24 del nuovo Regolamento Europeo per il trattamento dei dati, inoltre, il Titolare deve essere in grado di rendere comprovabili tali principi nell’operatività dell’organizzazione, sulla base del contesto di azione e dei rischi, che vanno classificati in maniera specifica per la tutela delle singole persone fisiche.

 

Privacy e sicurezza motori di innovazione

 Il GDPR, che disciplina in maniera omogenea la protezione dei dati personali di cittadini e residenti nell’Unione europea, consentirà l’allineamento degli standard a livello sovranazionale. Gli esperti predicono un significativo sviluppo del mercato digitale anche grazie al rafforzamento della fiducia nei servizi online che ne conseguirà.

Se è certamente preoccupante la visione del Clusit, secondo cui ad oggi “la cronica insufficienza degli investimenti in cyber security nel nostro Paese … ci pone sostanzialmente ultimi tra i paesi avanzati”, ci sembra significativamente incoraggiante l’affermazione della società di ricerca IDC secondo cui, a livello tecnologico, stiamo assistendo a un vero e proprio cambio di prospettiva, a livello globale ma anche nel nostro Paese: le aziende stanno ovvero evolvendo da una logica perimetrale di difesa “a una prospettiva centrata su dato / identità”. Contestualmente, gli analisti di IDC attribuiscono alle azioni di adeguamento al GDPR la forza trainante degli investimenti in sicurezza IT nell’ultimo anno, insieme al progressivo nuovo indirizzamento dei razionali di spesa verso nuove aree tecnologiche. Questo trend continuerà per i prossimi quattro anni, “andando a incidere sia sul valore del mercato del software che su quello dei servizi di sicurezza”, e, più in generale, promuovendo innovazione e crescita economica, nonché la creazione di nuove figure professionali nell’ambito di un mercato globale che si caratterizzerà sempre più per innovazione e sviluppo tecnologico.

Tra meno di due settimane – il 25 maggio –  il General Data Protection Regulation, GDPR – Regolamento UE 2016/679, già in vigore, dovrà avere piena applicazione in tutti i paesi dell’Unione europea. A quali cambiamenti state assistendo nella vostra azienda?

Contattateci per un confronto sui temi della privacy!