Vi ricordate i lamenti e le proteste con cui era stata accolta l’entrata in vigore della Gdpr in Italia? Ebbene, a quasi quattro anni di distanza, qualcosa sta cambiando nella percezione che le aziende del bel Paese hanno della privacy. Da male necessario, si sta trasformando in un investimento mission critical, e per alcuni è già diventato un fattore di vantaggio competitivo. Certo non sono tutte rose e fiori, e in alcuni settori la percezione è ancora un po’ arretrata. Ma nel complesso, anche nel nostro Paese, si sta facendo strada l’idea che gestire i dati del cliente in modo sicuro e trasparente sia qualcosa di più di un dovere morale. Questo almeno è ciò che si ricava dal report “Privacy becomes Mission Critical”, del quale Cisco ha pubblicato recentemente la quinta edizione. Il report è frutto dell’elaborazione dei dati provenienti dalle ricerche Cisco 2021 Security Outcomes (5.300 professionisti intervistati in 27 Paesi) e Cisco 2021 Consumer Privacy (2.600 intervistati in 12 Paesi).
«Sulla privacy si sta alzando il livello di attenzione. Non è più un oggetto sconosciuto, ora è diventato un tema di business, sul quale si misura un Roi. E questo influisce nel rendere tutti più sensibili e disponibili a trattarlo in modo adeguato» ci ha detto Fabio Florio, business development manager in Cisco Italia, nonché leader del Cybersecurity Co-Innovation Center che l’azienda di San Jose ha aperto presso il Museo della Scienza e Tecnica di Milano. Sul tema della privacy, tuttavia, l’Italia sconta un ritardo storico. «L’Italia ha colmato un po’ il gap rispetto al passato, almeno su alcune aree. Gli investimenti qui sono ancora bassi rispetto alla media, spendiamo meno delle aziende Cinesi e Tedesche, addirittura la metà rispetto a quelle olandesi. Ma è aumentata la consapevolezza, sia fra le aziende nel b2b, sia fra i consumatori, che iniziano a valutare la condotta dell’azienda per quanto riguarda la privacy nelle loro decisioni di acquisto».
Per tornare a livello globale, dal report emergono alcuni fatti interessanti. Per esempio, l’elevato ritorno che si ottiene dagli investimenti in privacy. Questo in particolare per le organizzazioni piccole e medie, con ritorni crescenti all’aumentare della “maturità” aziendale sulla privacy. Un altro fatto messo in evidenza è che esiste ancora un gap fra l’offerta di privacy delle aziende e la richiesta di trasparenza del cliente. In particolare, la clientela si preoccupa dell’utilizzo dei suoi dati da parte di sistemi di intelligenza artificiale e da sistemi di decisione automatica. Terza osservazione interessante, stanno crescendo le esigenze di localizzazione dei dati: soprattutto con gli attuali sistemi cloud, aumentano le preoccupazioni e con esse le richieste di mantenere i dati in determinati ambiti geografici. Le aziende stanno rispondendo – anche perché sono entrate in vigore in molti Stati leggi specifiche – ma al momento vedono ancora la cosa più come un costo che come qualcosa che possa migliorare la trasparenza e l’affidabilità del trattamento delle informazioni.
Infine, sembra emergere il fatto che le aziende che hanno allineato privacy e cybersecurity stiano ottenendo concreti vantaggi anche finanziari, rispetto alle organizzazioni dove i due aspetti vengono trattati separatamente. Non per niente anche il Cybersecurity Co-Innovation Center di Cisco tratta gli aspetti di privacy all’interno delle sue attività di sicurezza, a vari livelli. Per esempio mostrando alle aziende le “best practice” utilizzate internamente, visto che comunque oggi la privacy informatica è più un tema di processi, organizzazione e know-how, che di software specifici. Anche se, naturalmente, il sistema informativo aziendale va pensato tenendo presente il problema, esattamente come per l’aspetto cybersecurity. Tanto che Cisco consiglia di includere nei team di sviluppo, fin dalle primissime fasi, un “data privacy engineer”, che si occupi di far sì che il software sia progettato per la privacy “by design“.
La privacy è mission critical
Il report di Cisco rileva che la privacy negli ultimi anni è diventata un imperativo di business, oltre a essere un componente critico per ottenere la fiducia dei clienti di tutto il mondo. Il 90% delle aziende ha ammesso che i clienti non comprerebbero da loro, se non proteggessero adeguatamente i loro dati. E il 91% delle aziende ha dichiarato di tenere conto, nei loro processi di acquisto, delle certificazioni di privacy esterne dei loro fornitori. Infine, addirittura il 92% delle aziende dichiara che la privacy è integrale nella loro cultura societaria. Si direbbe un risultato bulgaro a favore della trasparenza e dell’etica. Tuttavia, vista la disparità fra queste dichiarazioni e alcuni altri dati sulle aspettative e richieste dei clienti, forse è il caso di prenderli “cum grano salis”. Sta di fatto che l’83% delle aziende intervistate ha dichiarato che l’arrivo di leggi sulla privacy nei Paesi dove operano ha avuto un impatto positivo, e solo il 3% ha indicato un impatto negativo.
Queste ultime puntano il dito soprattutto verso i maggiori costi di gestione: catalogazione dei dati, registrazione delle attività di processamento, creazione di sistemi di controllo o di “privacy by design“, maggior carico di lavoro nella gestione delle richieste degli utenti. A oggi, 128 Paesi su 194 hanno promulgato leggi sull’argomento, che spingono verso standard più consistenti nella gestione, precisano i diritti dei proprietari dei dati, danno linee guida rispetto a quali attività di processamento sono permesse o proibite. E in Italia? Beh, qui la Gdpr non è ancora apprezzata in modo così plebiscitario. Se negli altri Paesi europei si viaggia su percentuali di apprezzamento grosso modo intorno all’80%, in Italia le aziende che considerano positive le leggi sulla privacy sono appena il 69% – siamo fanalino di coda nel mondo, davanti solo a Hong Kong (68%). In compenso, abbiamo poche aziende che le considerano negative: solo il 4%, contro i 5% di Francia e Germania, o il 6% dell‘Uk.
Chi gestisce la privacy in azienda?
Ai professionisti della sicurezza intervistati per il report è stato chiesto quali fossero le loro tre maggiori responsabilità. È emerso che la data privacy è fra le tre massime priorità per il 32% degli intervistati, seconda solo all’identificazione e neutralizzazione delle minacce informatiche e davanti alla valutazione e gestione dei rischi. In Italia poi, il 30% dei professionisti della sicurezza individua la privacy come propria area di responsabilità: in Europa siamo secondi solo alla Germania (40%). Questo parrebbe indicare che, in moltissime aziende, il responsabile della privacy coincida con il responsabile della cybersecurity. Il che non è un male, anzi, soprattutto in aziende piccole dove è difficile disporre di risorse distinte per i vari ruoli, per cui spesso sicurezza, privacy, gestione dei sistemi e tanti altri aspetti vanno in capo all’It manager. Ma vista la necessità di know-how adeguato, sarebbe auspicabile avere persone ad hoc, soprattutto nelle grandi organizzazioni. E in effetti questo è quanto sta avvenendo anche qui da noi. «È stata creata una figura che si sta sempre più diffondendo, soprattutto nelle aziende medio grandi: quella del data privacy officer. È già molto presente nel settore pubblico, dove c’è una forte attenzione all’argomento, visto che bisogna trattare i dati dei cittadini e lo Stato, a tutti i livelli, ha un dovere etico nei loro confronti. Nelle aziende il ruolo si sta diffondendo: in quelle grandi c’è una persona dedicata, in quelle più piccole magari coincide con chi si occupa di sicurezza se non di tutto l’It. Ma già il fatto che si sia creato un ruolo specifico è un segnale positivo» spiega Florio.
Ma a chi risponde il responsabile della privacy? Secondo il report, nel 94% delle aziende almeno una parte dei risultati misurati rispetto alla privacy (furti di dati, risposta agli incidenti, audit, impatto eccetera) sono presentati al consiglio di amministrazione. Stupisce un po’ a dire il vero, che solo nel 15% delle aziende vengano presentati al board of directors i risultati del Roi sulla privacy. «Le aziende italiane in realtà sono un po’ indietro sul riportare a livello di board i dati della privacy, ma anche qui si sta cercando di recuperare – ammette Florio – il fatto è che per portare queste metriche al board bisogna prima definire a livello manageriale la responsabilità, che non può essere spalmata su “n” funzioni. Comunque le aziende che sono partite prima discutono già regolarmente i dati sull’impatto della privacy a livello di board. Anche perché è diventato un fattore differenziante a livello di business: gestire correttamente la data privacy fa vendere di più».
Cisco: Talos e 5G per la Cybersecurity industriale
L’investimento in privacy rende
Mano a mano che la privacy si integra maggiormente nelle priorità aziendali, crescono i relativi investimenti. Il budget medio è cresciuto del 13% dal 2020 al 2021, con percentuali maggiori per le piccole aziende, mentre le più grandi hanno investito negli scorsi anni e adesso hanno meno necessità di spendere. Ma la buona notizia è che il valore associato a questi investimenti è alto. Tanto che in media i due terzi degli intervistati parlano di benefici concreti in tutte le sei principali aree di indagine: lealtà e fiducia nell’azienda, capacità di attrazione, efficienza operativa, agilità e innovazione, mitigazione dei danni di sicurezza, riduzione dei ritardi nelle vendite. Quest’ultima voce può apparire strana, ma è in effetti una naturale conseguenza della maggiore fiducia verso chi assicura una gestione trasparente dei dati. «Il cliente si fida ed è più disposto a comprare dall’azienda che dimostra di gestire bene la data privacy – spiega Florio – se non presenti una policy chiara, il cliente deve capire con chi ha a che fare, approfondire, fare domande, chiedere garanzie, e tutto questo ritarda le vendite. Se la policy è chiara, questi ritardi non ci sono». Ma come la mettiamo per il Roi? È possibile misurare un Roi sull’adozione di una serie di procedure che mi tutelano da eventi statisticamente possibili ma non certi? «La data privacy richiede un investimento, che sia in persone, in processi, o in generale in cose che devi gestire – dice Florio – e le aziende che hanno investito hanno mappato i risultati delle vendite. Quando hanno visto che aumentando l’investimento crescevano le vendite, hanno potuto concludere che la privacy introduceva un ulteriore fattore differenziante rispetto ai competitor. Perché è emerso che il cliente inizia a selezionare le aziende con cui interagisce, e vuole essere tranquillo sul fatto che esse trattino i suoi dati in modo appropriato».
Nelle aziende italiane, a quanto pare, la percezione del vantaggio competitivo dato dagli investimenti in privacy è ancora un po’ scarsa. E questo si ripercuote sul livello degli investimenti, che è mediamente più basso degli altri Paesi europei. Addirittura, le aziende olandesi hanno budget circa doppi delle nostre di dimensioni confrontabili. «L’Italia è partita da un livello più basso di investimenti, e molti settori sono ancora in ritardo. Alcuni sono più avanti, perché storicamente la privacy è sempre stata importante per loro. Basti pensare al settore finanziario, alle banche, che hanno fatto gli investimenti necessari già parecchi anni fa. In altri, dove questo tema è sempre stato sottovalutato, c’è da recuperare. L’industria è uno di questi. Succede soprattutto dove non c’è un customer feedback diretto» ammette Florio. Un dettaglio interessante è che il Roi sembra essere legato a una sorta di “maturità della privacy aziendale”, ovvero a quanto la tutela della privacy sia interiorizzata, integrata, e vissuta in azienda. Se chi è rimasto indietro rispetto ai competitor può aspettarsi ritorni dell’ordine di 1,53 volte l’investimento, le aziende che sono avanti su questo fronte arrivano a ritorni di 1,97 volte la cifra investita. Inoltre il ritorno è maggiore nelle aziende dove le responsabilità della privacy sono state identificate come proprie dal responsabile security, suggerendo che si ottengono migliori risultati di business se security e privacy viaggiano di conserva.
Il punto di vista dei consumatori
Il 92% delle aziende interpellate ha sostenuto di trattare i dati esclusivamente in maniera eticamente corretta. E l’87% ritiene di disporre di processi che garantiscano l’utilizzo di sistemi automatici di decisione in accordo con le aspettative dei clienti. Tuttavia, questi ultimi non sembrano concordare con queste affermazioni: dalla Cisco 2021 Customer Privacy Survey emerge che quasi la metà di loro (46%) ritengono i loro dati non sufficientemente protetti. Secondo loro, è ancora troppo difficile capire cosa fanno le aziende con i loro dati, senza contare che spesso se vogliono attivare un servizio sono obbligati ad accettare le condizioni d’uso dei dati dell’azienda, che spesso sono poco trasparenti. Inoltre, il 56% degli intervistati cita espressamente preoccupazioni riguardo a come vengono usati algoritmi di intelligenza artificiale sui loro dati. Da un terzo a metà di loro si fidano meno di un’azienda se sanno che usa l’Ai per determinati processi di decisione, come la scelta delle persone da assumere in base a ipotesi sulla loro etica.
Fra le richieste “dal basso” – che però in alcuni casi stanno trovando accoglimento anche a livello legislativo – c’è anche quella di una più trasparente localizzazione geografica dei dati. «I clienti ci chiedono spesso, soprattutto per i servizi in cloud, se c’è una gestione a livello europeo, se i dati sono memorizzati in data center posizionati qui in Europa e non solo negli Usa. È per questo motivo che in Cisco, per certi servizi come per esempio WebEx (servizi di comunicazione, ndr) o Cisco Umbrella (servizi di security, ndr), abbiamo aperto dei data center in Europa. Così soddisfiamo questa esigenza della “sovranità del dato”, per cui il dato deve risiedere almeno nel continente dove ha sede il suo proprietario. Non sarebbe possibile farlo a livello di singolo Paese, perché siamo operativi in 180 nazioni e non è possibile gestire 180 data center, ma almeno a livello continentale si può fare». Secondo il report, la localizzazione dei dati è una questione importante per il 92% delle aziende. E per l’88% di esse (in Italia solo l’83%) rappresenta un aggravio non indifferente dei costi operativi.
Cybersecurity: i nuovi progetti del Co-innovation center di Cisco
I trend della data privacy
Se negli ultimi anni si è innescato il circolo virtuoso che ha trasformato la data privacy da scomodo obbligo a opportunità di business, per il futuro le prospettive si mantengono buone e si continua a prevedere elevati ritorni degli investimenti in questo settore, soprattutto per chi saprà cavalcare i trend fondamentali. «Il trend che vedo emergere è quello dell’integrazione con la sicurezza. Ci sarà una sempre maggiore collaborazione fra il data privacy officer e il Ciso, perché i due temi si incrociano molto fra loro e non è più possibile trattarli in modo indipendente. Fino a ieri le security si occupava di controllare chi poteva entrare nella rete aziendale e chi no. Adesso non basta più, e deve controllare anche se chi è entrato tratta i dati in modo corretto o meno, se tenta di accedere a dati che non ha il diritto di vedere, eccetera. Questo è un trend forte, che è già partito e che tutte le aziende devono fare proprio, integrando i due processi» commenta Florio. Un secondo tema che è importante portare avanti è quello del know-how. «Serve più conoscenza diffusa del tema della data privacy, è un discorso di sensibilizzazione degli utenti come lo è stato per la sicurezza – spiega Florio – E anche a livello di cultura aziendale ci deve essere una crescita di questa conoscenza, altrimenti c’è il rischio di mettere in piedi dei processi che non verranno digeriti dalla struttura aziendale e quindi non avranno efficacia».
Non per nulla questo è uno dei temi che vengono portati avanti nel Cisco Co-Innovation Security Center di Milano. «Nel Centro mostriamo alle aziende le best practice in uso in Cisco. Siamo una grande azienda che gestisce da sempre questo tema e quindi condividiamo le best practice che usiamo internamente, facciamo vedere come lo gestiamo noi. Per esempio mostriamo come sviluppiamo i prodotti, facendo notare che nel gruppo di sviluppo c’è fin dall’inizio un “data privacy engineer” che si occupa degli aspetti di data privacy del prodotto. Spesso ci colleghiamo con i colleghi della regione Emear, per mostrare ai clienti cosa facciamo a livello più ampio. Poi naturalmente sta ai clienti scegliere cosa fare proprio e cosa no. Ma questo è il trend attuale: cerchiamo di creare una sorta di comunità che condivida la conoscenza su come vengono gestite le cose, per far sì che ci sia una più ampia diffusione delle buone pratiche» conclude Florio.
