di Marco Scotti ♦ Le imprese italiane sono pronte per l’entrata in vigore del nuovo GDPR, la normativa europea sulla tutela dei dati sensibili, che sarà operativa dal 25 maggio prossimo? La risposta, secondo Microsoft e IDC, è no. O almeno, non del tutto. Ecco che cosa bisogna fare
Secondo una ricerca commissionata dalla più importante software house del mondo a IDC il 43% delle aziende italiane con almeno 10 dipendenti non è ancora compliant con la nuova normativa. Un dato estremamente allarmante, soprattutto se si guardano i numeri della cybersecurity in Italia e nel mondo. Il 2016 è stato l’anno peggiore per quanto riguarda la sicurezza informatica, con un incremento del 1116% alla voce “tentativi di phishing.” «Secondo l’ultimo Rapporto Clusit – spiega Carlo Mauceli, National Technology Officer di Microsoft Italia – oltre il 50% delle organizzazioni mondiali ha subito almeno un attacco grave e qualsiasi organizzazione, indipendentemente da dimensione o attività, rischia di subire un attacco informatico di entità significativa nei prossimi mesi. In questo scenario le sfide sono molte e la nuova normativa europea per la tutela dei dati personali deve essere vista come un’opportunità per ripensare il proprio approccio alla Cybersecurity e dare avvio a un percorso di Trasformazione Digitale che non trascuri l’elemento imprescindibile della Privacy e della Sicurezza a supporto di una crescita di lungo termine».
La GDPR
La General Data Protection Regulation non è un concetto del tutto nuovo, ma il punto è che diventerà mandatoria a partire dal 25 maggio prossimo. Nell’aprile del 2016, il Parlamento Europeo ha approvato in via definitiva il Regolamento UE 2016/679 GDPR finalizzato all’ incremento della protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea. Non si tratta di nulla di particolarmente innovativo, ma secondo Giancarlo Vercellino, research consulting manager IDC, «le aziende europee rappresentano solo il 4% dei player digitali mondiali e il presidente della Commissione, Juncker, vuole aumentare il pil del comparto di 100 miliardi di euro in cinque anni. Per fare questo, però, è necessario che tutti si attrezzino e siano al passo con i tempi: il GDPR rende un problema informatico un problema aziendale». L’obiettivo principale che si è posta l’Unione Europea è quello di sostituire la precedente direttiva, la 95/46/EC, soprattutto per quanto riguarda la tutela dei dati personali dei residenti in Ue da parte delle aziende che operano sul territorio continentale.
I dati da proteggere
Tra le informazioni che dovranno essere protette, oltre ai dati sensibili troviamo tutti i cosiddetti dati identificativi, ovvero le indicazioni su sesso, età, religione, residenza, ma anche busta paga, dati sanitari e perfino la nuova frontiera della privacy, ovvero i dati biometrici come impronte digitali e scansione della retina. Il nuovo regolamento – si legge nel testo della legge – «permette di armonizzare le diverse normative sulla protezione dei dati in tutta l’Ue, facilitando così l’osservanza delle norme da parte delle imprese non europee».
Che cosa dovranno fare le aziende
Per le aziende l’entrata in vigore del GDPR comporterà una serie di adempimenti molto importanti. In primo luogo, le imprese avranno solo 72 ore di tempo – dal momento in cui ci si accorge di un attacco ai sistemi IT – per “autodenunciarsi”. Se non agissero per tempo scatterebbero multe che, a seconda delle dimensioni, potranno arrivare fino a 20 milioni di euro o fino al 4% del fatturato dell’anno precedente. Cifre molto significative, in grado di mandare al tappeto realtà aziendali anche con un giro d’affari notevole. Inoltre, viene introdotto il principio dell’accountability, che obbliga le imprese a dimostrare di aver preso tutte le misure necessarie per garantire una efficiente protezione dei dati personali.
Diventerà obbligatorio mettere in atto almeno tre soluzioni che, se combinate, garantiscono all’azienda di essersi comportata in maniera congrua alla nuova norma. Prima di tutto, i dati dovranno essere protetti da una password di almeno otto caratteri, di cui uno maiuscolo, un numero e un carattere speciale. In secondo luogo, bisogna separare il dato dall’identificativo in due luoghi diversi del server. Il terzo punto quello relativo è all’anonimizzazione, che consente di eliminare qualsiasi riferimento alla persona, pur mantenendo i suoi dati.
Dal punto di vista dell’organigramma aziendale, viene introdotta una nuova figura professionale, quella del Dpo (Data Protection Officer). Si tratta di una mansione con un inquadramento preciso e competenze specifiche ben delineate: il soggetto dovrà ricoprire almeno la qualifica di quadro aziendale, dovrà essere in possesso di un preciso “patentino” e dovrà essere laureato in legge o esperto di privacy. Inoltre, il suo parere diventa vincolante per il datore di lavoro: questo significa che il titolare dell’azienda, o il legale rappresentante, qualora venga informato della necessità di apportare correttivi o misure strutturali per incrementare la tutela dei dati personali, non potrà esimersi dal metterle in atto e, qualora non lo faccia, ne risponde in prima persona. Infine, se il Dpo è inserito nell’organico aziendale con un contratto di assunzione, non può essere licenziato, esattamente come avviene per il rappresentante sindacale. Si prevede che nei prossimi anni ci sarà una necessità di circa 41mila Dpo.
L’Italia e il cybercrime
L’Italia è in una condizione difficile: è quarta al mondo per incidenza degli attacchi informatici e ha visto aumentare, nel 2016, del 102% gli attacchi al Sistema Sanitario Nazionale, del 70% quelli diretti verso il settore retail e del 64% quelli con obbiettivo il settore bank&finance. Il cybercrimine costa alle aziende italiane circa 900 milioni di dollari all’anno, tanto da far dichiarare a Jim Lewis, direttore del CSIS (Centro per gli Studi Strategici Internazionali) che è una sorta di «tassa sull’innovazione, che rallenta il cammino dell’innovazione globale riducendo il ritorno economico per innovatori e investitori». Le Pmi temono in particolare il furto dei dati dei clienti e la diminuzione della propria business reputation.
L’Italia però non è messa bene neanche per quanto riguarda la consapevolezza delle aggressioni subite. Soltanto il 40% delle aziende è a conoscenza del fatto di essere stato “bucato”. Inoltre, l’introduzione delle nuove tecnologie, dell’IoT, del cloud e dei moderni devices ha incrementato esponenzialmente il deficit tra il tempo di compromissione di un dispositivo o di una rete e il tempo di “recovery”. Secondo IDC, al momento meno del 5% delle aziende è già compliant con le norme del GDPR; una percentuale intorno al 50% ha in essere un piano per adempiere agli obblighi della nuova normativa e il 43% si trova in una fase di analisi preliminare delle criticità e degli interventi da mettere in essere. I settori più pronti sono la Pubblica Amministrazione e il commercio, mentre nei servizi e nell’industria una percentuale rispettivamente del 60 e del 53% delle aziende non ha ancora avviato alcuna roadmap per essere compliant.
I perché di un ritardo
Un ritardo sulla tabella di marcia che può essere spiegato attraverso le difficoltà delle aziende italiane a soddisfare alcuni requisiti della nuova normativa europea. In primo luogo, nel 70% dei casi, le imprese non riescono a mettere in atto l’obbligo di notifica dei “data breach” entro 72 ore dal momento della scoperta; inoltre, in sei casi su dieci si incontrano difficoltà nell’implementare le tecnologie che sovrintendono alle soluzioni di crittografia e anonimizzazione dei dati. L’individuazione di un DPO, invece, preoccupa le imprese italiane “solo” nel 20% dei casi, nonostante si tratti della selezione di una figura con requisiti molto particolari.
Ma, al di là degli ostacoli tecnologici, lo scoglio più significativo da superare per le imprese del nostro paese rimane l’allocamento delle risorse all’uopo per il comparto IT e per la sicurezza in particolare. Una fetta consistente delle aziende, infatti, destina agli adempimenti GDPR meno dell’1% del budget (spesso già risicato) destinato all’Information Technology aziendale. Si tratta di una cifra particolarmente bassa che deve necessariamente essere aumentata se non si vogliono correre rischi peggiori a partire dal 25 maggio. Un’azienda che venga sanzionata per non aver ottemperato agli obblighi rischia sostanzialmente di chiudere i battenti a causa delle multe particolarmente salate che il legislatore ha previsto.
Come funziona un cyber attacco
L’obiettivo primario, nel 76% dei cyberattacchi, non è la liquidità, ma il furto d’identità, che può poi essere declinato almeno secondo due direttrici: o per ottenere in cambio un riscatto, o per utilizzare queste credenziali per attività illecite. Quale che sia lo scopo prescelto dai “cybercriminali”, è importante ricordare come avviene l’infezione. Il primo passaggio è l’attacco a un singolo dispositivo connesso a internet. Il secondo step è il cosiddetto “movimento laterale”, ovvero il furto delle credenziali e la compromissione del maggior numero di computer in rete. Una volta completata questa operazione, l’hacker inizia a risalire la catena di controllo, per ottenere le credenziali dell’amministratore del dominio o dei server. Fatto anche questa non resta che portare a termine il motivo primario dell’attacco, ovvero rubare dati, distruggere i sistemi e le informazioni (nel caso dello spionaggio industriale) e, soprattutto, mantenere la propria presenza all’interno dei server dell’obiettivo colpito.
L’attività di Microsoft per le aziende
«Già oltre 10 anni fa – ci ha raccontato Carlo Mauceli, National Technology Officer di Microsoft Italia (nel nostro paese la multinazionale è guidata dall’ ad Silvia Candiani) – in Microsoft abbiamo stabilito delle regole di condotta per un Cloud in linea con i principi di sicurezza, privacy, compliance e trasparenza, gli stessi principi che guidano anche il nuovo GDPR. Siamo convinti che la nuova normativa rappresenti un passo importante per i diritti della privacy di ogni individuo, consentendo a coloro che risiedono all’interno dell’Unione Europea di rendere più sicura la protezione dei dati personali, ovunque questi vengano inviati, elaborati o conservati e stiamo operando per supportare le realtà italiane coinvolte nel processo di adeguamento».
Consapevole di quanto fatto fin qui, ma soprattutto che con il 25 maggio non si chiuderà una fase ma, anzi, se ne aprirà una nuova in cui sarà necessario mantenere elevati standard di sicurezza, Microsoft ha realizzato una serie di tools che accompagnino le aziende prima di tutto per diventare conformi al GDPR e poi per confermare la propria compliance. Un ecosistema di 10.000 partner dislocati sul territorio offre consulenza a realtà di qualsiasi dimensione attraverso un modello che si articola su quattro passaggi fondamentali: il primo è l’identificazione dei dati personali che si possiedono e del luogo dove risiedono; il secondo è la gestione degli gli accessi e il modo in cui i dati vengono usati; il terzo è l’implementazione dei controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni; il quarto è la conservazione della documentazione necessaria e gestire le richieste di dati e notifiche delle violazioni. Inoltre, la più importante software company del mondo ha organizzato Microsoft 365 Circle, un ciclo di webinar online accessibili anche on demand per restare sempre aggiornati sulle nuove tecnologie, tra cui sono già disponibili video e contenuti multimediali sul tema Cybersecurity e GDPR.
D’altronde, come ci ha spiegato Giancarlo Vercellino, Research & Consulting Manager di Giancarlo Vercellino, Research & Consulting Manager di IDC Italia, «gestire il rischio IT con consapevolezza è un passaggio evolutivo necessario per la Digital Transformation. Il GDPR offre l’opportunità per un cambiamento strutturale, non solo dei processi di business, ma anche della cultura aziendale. L’approssimarsi dell’entrata in vigore della nuova normativa implica un ripensamento delle strategie di sicurezza e privacy delle aziende italiane. Non esiste una soluzione univoca, ma a partire da un’analisi delle peculiarità delle singole realtà è possibile definire strategie e soluzioni ad hoc. Il Cloud Computing può rappresentare una valida risposta, soprattutto per le organizzazioni più piccole e meno strutturate, che possono così affidarsi ad IT provider qualificati e delegare loro la compliance ai nuovi requisiti tecnici e organizzativi previsti dalla normativa».
Infine, è bene ricordare che già da ora Microsoft offre alle aziende soluzioni in linea con i requisiti del GDPR e i propri device e software sono dotati di funzionalità di gestione delle identità e degli accessi, di protezione delle informazioni, di tutela dalle minacce cyber e disaster recovery, e di gestione degli strumenti di sicurezza. In particolare il Cloud di Microsoft integra alcune nuove funzionalità per aiutare le aziende ad essere in linea con i requisiti del GDPR, come Azure Information Protection per la tracciatura dei documenti o Office 365 Advanced Data Governance per gestire in modo intelligente i dati aziendali classificandoli. Anche Microsoft 365, la nuova suite che include strumenti per la creatività e la collaborazione quali Office 365, Windows 10 ed Enterprise Mobility + Security, aiuta le aziende a proteggere i dati personali dalla perdita, dall’accesso e dalla divulgazione non autorizzati, rispettando i nuovi standard per la trasparenza e privacy.
