0
Cybersecurity e sviluppo sostenibile

Cybersecurity, sicurezza informatica e sviluppo sostenibile

Sia la sostenibilità che la sicurezza informatica sono concetti generali, macrocategorie o meglio ancora meta-discipline, costantemente in prima pagina e vitali per la competitività delle imprese e di intere economie.

La fiducia nelle ICT (c.d. Infotecnologie, Tecnologie dell’Informazione e della Comunicazione) è fondamentale per raggiungere gli Obiettivi di Sviluppo Sostenibile delle Nazioni Unite, così come formalizzati all’interno di Agenda 2030.

Dal punto di vista tecnico, etico, economico e legale, la fiducia riveste un ruolo cruciale per le imprese e, in questo caso particolare, migliora sia la sostenibilità sia la sicurezza informatica.

I governi e le imprese devono trovare un delicato equilibrio tra l’autoprotezione a mezzo delle ultime tecnologie emergenti da un lato e un atteggiamento cautelativo nel non affrettarsi ad essere gli early adopters di nuove tecnologie che non sono state ancora adeguatamente testate, dall’altro.

Guardando alla sicurezza informatica attraverso la lente degli SDG (obiettivi di sviluppo sostenibile) si dimostra l’importanza socio-economica della fiducia nell’ ambiente digitale e della sua sicurezza.

La promozione dei diritti umani è essenziale per favorire la cyber-peace, ed è un’area in grande espansione nel contesto della sostenibilità.

L’uso efficace di tecnologie innovative è fondamentale per la realizzazione di molti degli SDG, e il percorso di conseguimento di tali obiettivi sarebbe sostanzialmente compromesso in assenza di appropriate pratiche di sicurezza informatica, minando la fiducia e quindi l’adozione delle ICT, nonchè per effetto dei costi finanziari e reputazionali connessi agli attacchi informatici.  

Esempi di connessione SDG-CYBERSECURITY:

  • Sviluppare l’industria, l’innovazione e l’infrastruttura (SDG 9)
  • Raggiungere l’uguaglianza di genere e l’empowerment di donne e fanciulle (SDG 5)
  • Rendere le città inclusive, sicure, resilienti e sostenibili (SDG 11)
  • Rivitalizzare la partnership globale per lo sviluppo sostenibile (SDG 17): le ICT possono connettere persone e istituzioni, consentire la condivisione d’informazioni e promuovere la contaminazione reciproca (cross pollination) d’idee e di innovazione in tutti i settori.

Le aziende dovrebbero considerare la sicurezza informatica come una questione di CSR/RSI ovverosia di responsabilità sociale di impresa per salvaguardare i loro clienti e il progresso sociale.

In generale, la sicurezza informatica comprende una serie di  politiche sociali, dalla sensibilizzazione alla formazione dei consumatori, fino a programmi di assicurazione del cyber riskcorporate governance e relazioni internazionali.

Gli attuali modelli di compliance e gestione dei rischi legati alla sicurezza informatica partono da un focus di breve periodo che non è utile né tanto meno potrebbe esserlo nella costruzione di tecnologie resilienti, necessarie per il mantenimento della fiducia pubblica in ottica di lungo periodo e può favorire  la crescita economica e l’adozione del sistema globale di interconnessione, il c.d. “Internet of Things” o IoT (una delle buzzwords più esaltate e meno comprese dal mainstream)

L’economia digitale, sottoinsieme del fenomeno Quarta Rivoluzione Industriale, è destinata a far registrare una crescita esponenziale e non lineare a causa dello sviluppo e dell’adozione dell’IoT: a differenza delle tre precedenti rivoluzioni industriali, questa è caratterizzata dalla convergenza, dalla fusione di tecnologie e scienze che sta offuscando i confini tra la sfera fisica, quella biologica e quella digitale, impattando tutte le economie, industrie e discipline.

Questa nuova crescita segue un decennio (2006-2016) in cui l’economia digitale è cresciuta ad un tasso più veloce rispetto all’economia generale, il 5,6 percento rispetto all’1,5 percento all’anno.

L’aumento dei dati e il suo ruolo cruciale nell’economia globale (Big Data Economy) hanno portato diversi studiosi, tra cui il coordinatore della Cybersecurity della Casa Bianca Rob Joyce, nonchè la prestigiosa testata The Economist, a stabilire analogie tra i dati ed il petrolio

Inoltre, contrariamente alle risorse naturali fossili limitate come il petrolio e al capitale naturale (aria, acqua, suolo e biodiversità), Internet è al momento illimitato.

Le vulnerabilità note e latenti di cui soffrono miliardi di dispositivi che formano l’Internet of Things rappresentano una bomba a orologeria, pronta a compromettere irrimediabilmente la fiducia pubblica e minare lo sviluppo socioeconomico delle istituzioni democratiche.

Se vogliamo evitare questo disastro di fiducia pubblica, dobbiamo adottare un approccio sostenibile alla sicurezza informatica.

Integrare elementi di gestione della sostenibilità nella cybersecurity aiuterà a ridefinire le percezioni di sicurezza informatica, convertendo paura, incertezza e dubbi in un atteggiamento proattivo di opportunità, dinamismo e trasformazione.

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 4,75 out of 5)
Loading...
0
Data Protection Officer - DPO

Data Protection Officer: esperto giurista o esperto informatico

Il Data Protection Officer (DPO) è una nuova figura professionale introdotta dal Reg. UE n. 679/2016 del Parlamento europeo (c.d. GDPR, General Data Protection Regulation), e oggi prevista anche nel nostro ordinamento, a seguito dell’entrata in vigore del GDPR in data 25.05.2018 in tutto il territorio dell’Unione europea.

Il GDPR (art. 39) impone al DPO degli obblighi importanti in seno all’organismo che lo ha nominato; egli infatti è incaricato (e quindi è ritenuto responsabile di):

  • Informare e consigliare il titolare o il responsabile del trattamento dei dati personali, e i loro dipendenti;
  • Assicurare il rispetto del regolamento e della legge nazionale in merito alla protezione dei dati;
  • Informare l’organizzazione sulla realizzazione di studi di impatto sulla protezione dati e verificarne l’esecuzione;
  • Collaborare con il Garante ed esserne il punto di contatto;
  • Collaborare nell’adeguamento agli obblighi imposti dal regolamento europeo, fornendo informazioni sul contenuto dei nuovi obblighi imposti dal regolamento europeo;
  • Condurre un inventario del trattamento dei dati della propria organizzazione;
  • Progettare azioni di sensibilizzazione;
  • Gestire in maniera continuativa la conformità dell’organizzazione al regolamento.

E’ evidente, da questo breve elenco, che le responsabilità che sorgono in capo alla persona designata come Data Protection Officer sono quindi rilevantissime. Inoltre, una volta nominato, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati al Garante della privacy (l’Autorità garante per la protezione dei dati personali).

Ci si potrebbe quindi chiedere se, effettivamente, un avvocato possa essere la persona più indicata a rivestire il ruolo di Data Protection Officer, una nomina che comporta necessariamente il possesso di nozioni tecniche maggiori e diverse rispetto alle semplici competenze legali.

Laddove l’avvocato dovesse svolgere funzioni di DPO dovrà, infatti, tenere presente che i compiti, le funzioni e le verifiche imposti dal GDPR non richiedono conoscenze di esclusiva natura legale.

Inoltre, l’assimilazione delle due funzioni di avvocato difensore e di Data Protection Officer è un elemento da valutare con grande attenzione. L’avvocato, infatti, oltre a essere sempre capace di garantire la propria autonomia e indipendenza, dovrebbe anche evitare di essere coinvolto in conflitti di interesse, i quali potrebbero derivare dall’essere egli, contemporaneamente, sia la persona di contatto dell’autorità di protezione dei dati (un ruolo che comporta l’obbligo di riferire all’Autorità di vigilanza informazioni che, nel concreto, potrebbero essere in contrasto con l’interesse del cliente) sia colui che, in qualità di legale nominato, tutela e rappresenta gli interessi dei clienti in sede giudiziaria e stragiudiziale.

In considerazione di questo potenziale conflitto di interessi, sarebbe opportuno che l’avvocato assumesse il ruolo di Data Protection Officer solo laddove non abbia agito come legale di fiducia in questioni che potrebbero rientrare nella responsabilità del Data Protection Officer. Egli, inoltre, durante il mandato come DPO, non dovrebbe assumere compiti di difesa in questioni in cui dovesse essere coinvolto in qualità di Data Protection Officer.

Al di là di questi principi-guida, che all’avvocato – anche il meno esperto – non sono certo estranei, occorre però chiedersi se il sapere scientifico da cui attingere per svolgere il ruolo di DPO sia più quello tecnico-informatico oppure quello giuridico.

Al riguardo, una sentenza del Tar Friuli Venezia Giulia, la n. 287/2018 del 13.09.2018, nell’annullare un avviso pubblico per l’affidamento dell’incarico di DPO in un’azienda sanitaria, è intervenuta sui requisiti richiesti per ricoprire tale figura.

I giudici amministrativi, in particolare, hanno escluso che un bando pubblico possa richiedere il possesso, in capo al DPO, della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.

Infatti, la figura del DPO richiede la scrupolosa conoscenza e applicazione delle norme di legge speciali (europee e nazionali) in materia di tutela dei dati personali e della riservatezza, oltre che, dobbiamo aggiungere, le indicazioni del Garante privacy (almeno) nazionale che periodicamente vengono pubblicizzate anche in forma di pareri giuridici e pubblicati sul sito istituzionale dell’Autorità di vigilanza, che spesso contengono utili – se non cogenti – opinioni circa i modi in cui dare piena garanzia ai diritti dei titolari dei dati.

Ciò che i giudici rilevano, quindi, è la specifica funzione di garanzia insita nell’incarico di DPO, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi tecnici e/o informatici volti a incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni; al contrario, la funzione del DPO è volta alla “tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”. Tematiche, queste, che non sono garantite dal possesso della certificazione ISO/IEC/27001, i cui programmi di corso sono caratterizzati da una durata particolarmente contenuta (2/5 giorni) per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura degli enti pubblici.

Da qui, la conclusione che il nucleo essenziale e irriducibile della figura professionale del Data Protection Officer non può che qualificarsi come eminentemente giuridico.

Circostanza sicuramente da tenere conto visto che, proprio nell’ambito della pubblica amministrazione, può essere designato un unico Data Protection Officer per più enti pubblici o PA, in ragione della loro dimensione e struttura organizzativa. In questi casi, il DPO potrà essere individuato sia tra il personale dipendente in organico, sia tra professionisti esterni all’azienda a cui sarà possibile affidare tale incarico in base a un contratto di servizi.

In entrambi i casi però, il ruolo (che potrà essere rivestito anche da un team di professionisti, non essendoci nel GDPR preclusioni al riguardo) dovrà necessariamente possedere expertise in ambito giuridico.

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...
Reati informatici

Reati informatici e Cybercrime

La maggior diffusione e conoscenza delle nuove tecnologie e tecnologie emergenti ha portato, negli ultimi anni, a evidenti cambiamenti non solo nelle abitudini di vita quotidiana, ma anche nel modo di produzione, diffusione e fruizione dei beni di consumo. È ormai un dato di fatto che la digitalizzazione è presente in ogni fase della nostra vita, non solo privata ma anche e soprattutto lavorativa: computers, smartphones, case, automobili, fabbriche, ospedali, città, mostrano come i chips e i softwares oramai ci circondano, aumentando le opportunità di sviluppo di nuovi servizi per i cittadini e nuovi modelli di business per le aziende, ma, al contempo, alimentando i rischi di crimini informatici.

Il Rapporto CLUSIT (Associazione Italiana per la Sicurezza Informatica) sulla sicurezza ICT in Italia, pubblicato nell’aprile 2018, ha stimato che i costi generati globalmente dalle attività di cyber crime e dai vari reati informatici come la frode informatica sono stati, nel 2017, di 500 miliardi di dollari; in particolare, le truffe, le estorsioni, i furti di denaro e di dati personali hanno colpito nel 2017 quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita che è stata stimata in 180 miliardi di dollari.

Per quanto riguarda l’Italia, i dati a disposizione stimano che nel 2016 i danni derivanti dai reati informatici sono stati di quasi dieci miliardi di euro, mentre un’altra ricerca, eseguita da Il Sole 24 Ore all’inizio del 2018 e relativa ai costi medi per un’azienda manifatturiera con 120 milioni di euro di ricavi annui, ha calcolato in 20 milioni di euro l’esborso a cui la società deve far fronte in caso di attacco ransomware o di altro virus informatico che riesca a bloccare l’intera attività aziendale. Il calcolo si basa sull’impiego di risorse e il tempo necessari per far ripartire a pieno regime la produzione aziendale, che gli esperti calcolano fra le 2 e le 52 settimane a seconda della pervasività e gravità dell’intrusione.

Negli ultimi anni, l’esperienza maturata nelle aule di giustizia ha mostrato come gli autori di reati informatici agiscano, quasi sempre, in base a due modelli: individuano come obiettivo sistemi o gadget informatici di privati o istituzioni (pubbliche o private) per diffondere virus informatici o per sottrarre, alterare e riutilizzare dati sensibili; utilizzano apparati o sottosistemi elettronici (come server, database, mainframe, modem, terminali) per porre in essere reati di natura comune come molestie, minacce, estorsioni, atti persecutori, diffamazione, compravendita di beni o servizi illeciti, frodi, scommesse illegali, reati pedopornografici.

Da un punto di vista legale, è utile distinguere, all’interno della macro-categoria dei reati informatici, due sotto-categorie di condotte illecite: i computer crimes, che si riferiscono alle condotte di rilevanza penale che hanno i computer e gli altri devices elettronici come obiettivi primari dell’atto criminoso; i computer facilitated crimes, cioè i crimini comuni realizzati attraverso l’impiego di strumenti informatici.

Nella prima categoria rientrano gli attacchi informatici a infrastrutture digitali di privati e aziende tramite computer viruses, denial-of-service attacks, malware (malicious code) con l’obiettivo primario di danneggiare un sistema informatico, quasi sempre a scopo di lucro. Nella seconda categoria possono rientrare svariati esempi di condotte criminali, come il furto o il trattamento illecito di dati, l’appropriazione indebita, il riciclaggio di denaro, la clonazione di carte di credito, lo stalking informatico, le molestie, le ingiurie, la diffamazione e il cyberbullismo, la pornografia, l’estorsione, la frode informatica, l’information warfare, il phishing, il dialer, lo spam. Quest’ultima categoria ricomprende, quindi, una serie di condotte che possono avere le finalità illecite più disparate, non solo di danneggiamento.

Da un punto di vista criminal-sociologico, invece, è interessante la classificazione effettuata dall’UNODC (United Nations Office on Drugs and Crime) nel documento del febbraio 2013 dal titolo Comprehensive Study on Cybercrime. In esso, i reati informatici vengono distinti in base all’oggetto dell’offesa e al modus operandi del criminale, nel modo seguente:

  • reati informatici contro la confidenzialità, l’integrità e la disponibilità dei dati di un computer o di altro sistema elettronico (Acts against the confidentiality, integrity and availability of computer data or systems), in cui si possono ricomprendere condotte come l’accesso abusivo a un sistema informatico; l’intercettazione o acquisizione di dati informatici; la manomissione abusiva di dati; la produzione, distribuzione o possesso di strumenti che favoriscano l’abuso informatico; la violazione delle misure di tutela della privacy o di dati personali;
  • reati informatici con modus operandi finalizzato al guadagno personale o al danneggiamento di un’altra persona (Computer-related acts for personal or financial gain or harm), come la frode informatica o le falsificazioni tramite sistema informatico, (tra cui il c.d. phishing); furti di identità; violazioni di copyright o di marchi registrati; spamming; mobbing e stalking informatici; trolling (invio di messaggi o immagini contenenti minacce); cyberbullismo; adescamento di minori on-line (c.d. grooming);
  • reati informatici relativi al contenuto del materiale digitale prodotto e/o distribuito (Computer content-related acts), come i comportamenti che coinvolgono razzismo o xenofobia; la produzione, distribuzione o semplice possesso di materiale pedo-pornografico (tra cui anche il c.d. sexting); i comportamenti informatici a sostegno di reati di terrorismo.

In Italia, il primo provvedimento normativo volto a punire i crimini informatici risale alla legge 23 dicembre 1993 n. 547 in tema di “Modificazioni e integrazioni alle norme del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica”. Successivamente, il legislatore italiano ha recepito le indicazioni derivanti dalla normativa europea, in particolare la Convenzione di Budapest del 2001 sui reati informatici, ratificata dall’Italia nel 2008.

Attualmente, nel nostro ordinamento possono individuarsi i seguenti comportamenti illeciti, da ricomprendersi nella categoria concettuale dei crimini informatici:

  • accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.);
  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615-quater c.p.);
  • diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (vale a dire la diffusione di virus e malware) (art. 615-quinquies c.p.);
  • intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; installazione di apparecchiature dirette a intercettare, interrompere o impedire comunicazioni informatiche o telematiche; falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (articoli 617-quater, 617-quinquies e 617-sexies c.p.);
  • danneggiamento di sistemi informatici o telematici (articoli 635-bis, 635-ter, 635- quater e 635-quinquies c.p.);
  • frode informatica (art. 640-ter c.p.);
  • falsificazione di documenti informatici (art. 491-bis c.p.);
  • il c.d. Spamming (disciplinato dall’art. 130 del Codice in materia di protezione dei dati personali, intitolato “Comunicazioni indesiderate”);
  • il c.d. grooming (art. 609-undecies c.p.) ovvero l’adescamento di minori attraverso la rete;
  • il fenomeno del cyber-bullismo, definito dalla legge n. 71 del 29 maggio 2017 come “qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”;
  • la produzione, il possesso e la diffusione di materiale pedo-pornografico, riscontrabili anche all’interno del fenomeno del c.d. sexting, regolato dagli articoli 600-ter c.p. (“Produzione di materiale pedo-pornografico”) e 600-quater c.p. (“Detenzione di materiale pornografico riguardante i minori”).

Non vi è da dimenticare, poi, il diffusissimo fenomeno del c.d. Phishing, vale a dire una tecnica di social engineering, finalizzata a estorcere informazioni personali e riservate oppure abitudini e stili di vita. Nel nostro ordinamento non vi è una norma specifica che incrimina tale fenomeno, ma la copertura legislativa si ottiene attraverso il ricorso a varie norme penali: sostituzione di persona (art. 494 c.p.); detenzione abusiva di codici di accesso informatico (art. 615 quater c.p.); accesso abusivo a sistema informatico (art. 615 ter c.p.), per citare quelle maggiormente usate nelle aule di giustizia.

Come sopra detto, l’Italia non è messa bene. Il nostro Paese è il quarto al mondo per incidenza di attacchi informatici, e analizzando più approfonditamente i dati del già citato Rapporto CLUSIT, si scopre che l’utilizzo di malware, creati con costi sempre più bassi a livello industriale, è un vettore di attacco il cui utilizzo nel 2017 è aumentato del 95% rispetto al 2016, quando già era cresciuto del 116% rispetto al 2015. Gli attacchi più articolati, definiti come “Multiple Threats/APT” sono invece cresciuti del 6%, così come gli attacchi basati su tecniche di “Account Cracking”, mentre le tecniche di Phishing hanno avuto un incremento del 34%.

Considerato che il Rapporto CLUSIT analizza i dati ricavati dagli attacchi informatici più gravi del periodo, compiuti contro primarie aziende del settore pubblico e privato a livello mondiale, si evidenzia il fatto che la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, Phishing, malware “semplice”) rappresenta addirittura il 68% del totale (l’anno precedente era il 56%), considerazione che porta necessariamente a rilevare come gli hacker riescano, più che in passato, a realizzare attacchi di successo contro le loro vittime con relativa semplicità e a costi sempre più bassi.

A tal proposito, gli esperti di sicurezza informatica (assolutamente da non confondere con l’attività di IT management) suggeriscono una serie di punti chiave che l’imprenditore, ma anche il privato cittadino, dovrebbe seguire per sentirsi maggiormente cyber-sicuro:

  1. rendersi conto che il cyber-crimine può colpire chiunque, anche la semplice (e preziosa) casalinga;
  2. essere sempre aggiornato in tema di cybersecurity – meno se ne sa, e più si è esposti alle minacce on-line;
  3. avere una buona conoscenza delle competenze informatiche presenti nella propria realtà aziendale;
  4. informare e formare adeguatamente il proprio personale e i propri collaboratori in tema di sicurezza informatica, per evitare di essere vittime involontarie degli hackers;
  5. tenere ben distinti i concetti di cybersecurity e di IT management;
  6. sapere che un attacco informatico da parte di hackers potrebbe anche far fallire l’azienda;
  7. dare valore primario ai dati del cliente (come fossero un lingotto d’oro), perché chi li perde, mette in pericolo il proprio business;
  8. essere coscienti che più si è connessi alla rete informatica, maggiori sono i rischi di attacchi criminali;
  9. dare molta importanza agli aggiornamenti dei devices e degli altri strumenti informatici utilizzati dall’azienda.

Come buona pratica, dunque, ogni imprenditore dovrebbe curare la formazione del proprio personale aziendale in tema di cybersecurity, fornendo corsi sul tema e manuali pratici ai propri dipendenti, per far capire che il rischio di reati informatici, oramai, fa parte della nostra vita quotidiana, e che il rischio di esserne vittima da parte di coloro che usano internet è costante, sia in ambiente di lavoro che a casa, sul divano, mentre si sta guardando un film sulla propria Smart-TV.

Un profilo interessante, trascurato da molti esperti, è quello della convergenza e dalla fusione delle tecnologie, che stanno assottigliando il confine tra la sfera fisica, quella biologica e quella digitale; a causa di ciò, le tematiche di cybersecurity assumono una importanza ed un impatto estremo anche per le cosiddette Life Sciences, dove si parla più correttamente di CYBERBIOSECURITY.

Su questo affascinante tema, abbiamo realizzato una pubblicazione per la rivista “Cyber & Security Affairs Magazine” qui di seguito linkato.

In proposito al tema della sicurezza informatica, P&S Legal offre a privati cittadini e aziende, assistenza legale sia nella fase di prevenzione che di reazione (Incident Response) alle aggressioni informatiche, oltre che di consulenza strategica e assistenza alla formazione del personale aziendale.

Lo Studio Legale, altresì, offre assistenza giudiziale specifica sia in sede civile che penale, con la possibilità di affiancamento di tecnici informatici in grado di effettuare qualificate indagini forensi, comprensive di analisi e recupero dati informatici.

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5,00 out of 5)
Loading...
1 2