Studi professionali e PMI: quando proteggere i dati non è solo una questione di Privacy

Lo scorso 19 settembre è entrato in vigore il decreto legislativo n.101 del 2018 che adegua la normativa italiana a quella europea, come previsto dal Regolamento Europeo 2016/679 (GDPR). Non si tratta, in realtà, di un semplice adeguamento burocratico: il decreto modifica profondamente tutto il sistema di tutela dei dati precedentemente in vigore nel nostro Paese, conosciuto come Codice della Privacy.

Va sottolineato che l’applicazione del decreto è immediata: a più voci richiesto, non c’è stato infatti alcun prolungamento del periodo “vacatio legis” da parte del Garante della Privacy.

Alcune norme, all’interno del decreto stesso, disciplinano tuttavia la prima fase di applicazione del D.Lgsl. n.101 del 2018, quali:

  • la definizione agevolata delle sanzioni relative a violazioni di norme del vecchio Codice verificatesi prima del 25 maggio 2018, di cui all’art. 18;
  • la trattazione di affari pregressi, di cui all’art. 19;
  • la rivisitazione, da parte del Garante, dei Codici di deontologia e buona condotta vigenti alla entrata in vigore del decreto e le Autorizzazioni generali di cui agli artt.20 e 21;
  • le disposizioni transitorie finali di cui all’art. 22;
  • le ulteriori disposizioni di coordinamento, di cui agli artt.23, 24 e 25; l’elenco puntuale delle disposizioni del d.lvo n. 196 del 2003, abrogate dal nuovo decreto.

E’ però necessario che Aziende e Professionisti  entrino al più presto in confidenza con le novità del decreto 101/2018 che – accogliendo gli input del nuovo Regolamento per la Protezione dei Dati – conferma la richiesta di una nuova e concreta assunzione di responsabilità da parte del responsabile del trattamento dei dati, per andare oltre al mero adeguamento formale alla legge, e garantire innanzi tutto la tutela dei soggetti.

 

Anche studi professionali e PMI tra gli obiettivi del cyber crimine globale

Secondo i dati presentati nello scorso mese di luglio dall’Autorità Garante per la Protezione dei dati personali nella propria relazione annuale alla Camera, qualsiasi realtà è potenzialmente un obiettivo per i cyber criminali: ad oggi, infatti, è ormai assodata la tendenza ad attacchi sui grandi numeri, indipendentemente da settori industriali e dimensioni delle organizzazioni. Ovvero, non sono le singola azienda o il singolo studio professionale ad essere presi di mira, ma un’area geografica. O un intero database in cui, magari con un indirizzo email privato – o, peggio, professionale – è iscritto il titolare dello studio o il manager dell’azienda.

Si legge nell’introduzione al Rapporto Clusit 2018: “Se dovessimo riassumere in tre concetti-chiave la situazione, potremmo dire che il 2017 si è caratterizzato come “l’anno del trionfo del Malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia, il che è molto preoccupante, perché questo scenario prefigura concretamente l’eventualità di attacchi con impatti sistemici molto gravi”.

Gli esperti dell’Associazione per la Sicurezza Informatica in Italia, che analizzano ogni anno l’andamento mondiale della cyber security confermano quindi la gravità del problema, che può effettivamente provocare danni economici rilevanti (sempre nel Rapporto Clusit 2018 si parla di danni derivanti da sole attività cybercriminali per 10 miliardi di euro nel solo 2016, cifra pari ad una frazione consistente della finanziaria di quell’anno). Ma ancora più importante è la consapevolezza del cosiddetto “rischio reputazionale”, che aziende e studi professionali molto spesso sottovalutano o, addirittura, ignorano.

 

Malware e cryptolocker, a rischio anche studi professionali e PMI

Non solo British Arways e i danni ai suoi passeggeri: è ormai piuttosto all’ordine del giorno la notizia di malware che colpiscono anche piccole e medie aziende, causando danni per milioni di euro, anche nel nostro Paese.  Meno note le vicende di alcuni studi professionali – e così è stato in generale fino all’entrata in vigore del GDPR, che obbliga alla comunicazione della violazione dei dati entro  il tempo massimo di 72 ore dal momento in cui il titolare del trattamento dei dati personali nell’organizzazione ne sia venuto a conoscenza – che hanno visto i propri sistemi informatici bloccarsi. L’attacco di un cryptolocker, un malware che rende illeggibili file presenti nei dispositivi elettronici, crittografandoli, ha infatti in diversi casi impedito l’accesso dei professionisti  agli strumenti quotidiani di lavoro e ai dati, causando l’arresto di tutta l’operatività dello studio. Per ri-ottenere la chiave di accesso ai propri sistemi, è stato richiesto ai professionisti – da parte di non identificate organizzazioni – un riscatto in bitcoin.

In questi casi, alle criticità relative alla potenziale perdita delle informazioni sensibili e non, si sono sommate le giornate lavoro perse dall’organizzazione per capire come affrontare l’estorsione dal punto di vista tecnologico e per effettuare la denuncia del data breach al Garante, come previsto dall’art. 33 del GDPR. Fondamentale, per una soluzione senza danno economico e reputazionale verso i propri clienti, partner, fornitori, è il recupero degli ultimi back up dei server, che devono essere effettuati in maniera sistematica e professionale.

 

I rischi nell’Industria 4.0

Nel caso in cui la vittima del malware sia un’azienda manifatturiera, l’impatto può essere ancora più pesante, dato il crescente livello di digitalizzazione e interconnessione che ormai caratterizza gli impianti produttivi della cosiddetta “Industry 4.0”: a dispetto della scarsa consapevolezza dei rischi, da parte delle organizzazioni, e la conseguente mancanza di soluzioni di sicurezza in ambito industriale, sono state nel 2017 almeno una su due le aziende colpite da attacchi informatici, e il 25% delle aziende colpite ne ha registrati dai tre ai cinque

La nostra esperienza “sul campo” ci dice che, una volta consapevoli dei rischi, studi professionali e PMI sono al momento nelle condizioni ideali per agire molto rapidamente e ottemperare alla normativa. Noi di Alavie operiamo in maniera molto efficiente per supportare realtà di queste dimensioni che vogliano proteggere il proprio business con una strategia di cyber security, in grado di trasformare il percorso di adeguamento normativo in un processo di messa in sicurezza della propria organizzazione.

E la tua azienda quali passi sta facendo per mettere in sicurezza i propri dati?

Contattaci per un confronto su adeguamento normativo al nuovo D.Lgsl. 101/2018 e la sicurezza dei dati!