Le imprese di oggi navigano in un mare digitale in rapida evoluzione, dove le acque sono sempre più infestate dai rischi legati alla cybersecurity. In tale contesto, la sicurezza dei propri dati e sistemi informatici non è una opzione, ma una necessità vitale. Peraltro, la cronaca ci rappresenta una progressiva e sempre maggiore affinatezza delle tecniche utilizzate dai cybercriminali e ciò rende la protezione delle proprie infrastrutture informatiche una attività continua e costante a tutela della parallela operatività aziendale.
In materia di data breach e cyberattack risulta fondamentale distinguere:
- il crescente numero di attacchi informatici evidenza l’importanza cruciale di una efficace strategia di prevenzione, che non è semplicemente una questione di implementazione di tecnologie avanzate, ma è anche (e soprattutto!) una questione di cultura aziendale, formazione degli impiegati e adesione a pratiche/protocolli di sicurezza rigorose;
- allo stesso tempo, considerando l’abilità crescente dei cybercriminali di eludere i sistemi di sicurezza aziendali, la gestione dei data breach è diventata altresì un aspetto altrettanto fondamentale della resilienza aziendale. Una azione rapida e decisa in risposta a una violazione può fare la differenza sotto plurimi aspetti (reputazionali, sanzionatori, nelle interlocuzioni con le Autorità ovvero per la continuità della operatività aziendale). Di conseguenza, l’abilità di identificare rapidamente una violazione, contenerla e recuperare le operazioni è ormai altrettanto importante quanto la prevenzione.
Allo stato attuale, dai dati del Rapporto Clusit 2024, il quale analizza ogni anno gli incidenti di sicurezza più significativi avvenuti a livello globale, l’Italia rimane un bersaglio particolarmente facile per gli hacker internazionali: il nostro Paese è risultato il destinatario di ben l’11% degli attacchi rilevati su scala globale, dei quali oltre la metà (il 56%) ha avuto conseguenze di gravità critica o elevata. Peraltro, si registra un aumento del 65% degli attacchi cyber in Italia rispetto al 2022.
Infine, nessun settore può dirsi “immune”, dal Manufacturing (13%) alla Logistica e Trasporti (12%), passando per il mondo Finance/Insurance (9%), ma anche Retail o Helthcare sono stati oggetto di un numero considerevole di attacchi.
Le possibili conseguenze di un data breach
Un eventuale data breach può scatenare una catena di conseguenze che potrebbero comportare rilevanti danni per la società, che vanno ben oltre la semplice eventuale perdita di informazioni confidenziali. In particolare:
- danni pecuniari, i quali possono comportare sia perdite economiche dirette, ad esempio nel caso in cui il cybercriminale sia riuscito ad ottenere dati sensibili, accesso ai conti correnti ovvero quando sia riuscito ad ottenere direttamente somme di denaro (si pensi al caso del phishing); sia in termini di perdite economiche indirette, dovute ad un blocco totale o parziale dell’operatività aziendale (pensiamo ai casi di cyber estorsion, in cui il cybercriminale è riuscito a bloccare l’operatività dei server aziendale e chiede il pagamento di una somma al fine per poter riavviare la loro operatività);
- danni reputazionali, poiché l’ammissione di avere subito un data breach, a maggior ragione quando lo stesso ha causato una esfiltrazione di dati inerenti anche ai propri fornitori o ai propri clienti, può incidere profondamente sulla fiducia degli stakeholder aziendali;
- infine, una non corretta gestione del data breach potrebbe comportare sanzioni da parte del Garante per la Protezione dei Dati Personali, le quali possono arrivare fino a 10 milioni di euro ovvero fino al 2% del fatturato totale annuo.
Come noto, infatti, le società devono notificare entro 72 ore dal momento in cui ne sono venute a conoscenza la violazione al Garante, nonché comunicare a tutti gli interessati l’esfiltrazione subita. La notifica dovrà descrivere la natura della violazione dei dati personali, descriverne le probabili conseguenze e descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Tempi davvero esigui per predisporre la documentazione richiesta, a fronte dei quali appare opportuno che in azienda vengano predisposte procedure adeguate per la gestione dell’incident e la conseguente risposta.
Fase preventiva
A fronte di tali premesse, la necessità di prevenire questo tipo di fenomeni risulta quanto più cruciale.
Ciò comporta la necessità per le imprese di agire su tre fronti: tecnico, formativo e organizzativo:
- innanzitutto, come è ovvio, è necessaria l’implementazione di firewall avanzati e sistemi di intrusion detection, l’uso di software antivirus e antimalware aggiornati, e la crittografia dei dati sensibili, sia in transito che in stato di riposo, nonché sottoporre ciascuno di questi sistemi ad un aggiornamento costante ed a specifici stress test condotti con l’ausilio di società specializzate in sicurezza informatico. In particolare, la struttura informatica della società dovrebbe essere concepita:
- in primo luogo, per una protezione ottimale dall’attacco esterno. Ad esempio, senza alcuna pretesa di esaustività, ogni società dovrebbe attivare un sistema di autenticazione multi-fattore (MFA) per tutti i servizi di accesso remoti, nonché per i movimenti laterali all’interno del server aziendale;
- in secondo luogo, nel caso di instrusione, l’infrastruttura societaria deve essere concepita per far in modo che l’hacker, seppur introdotto nel server aziendale, non abbia modo di muoversi all’interno ovvero di esfiltrare dati. In merito, a titolo di esempio, le società dovrebbero procedere ad una segmentazione della propria rete in base alla funzionalità e al tipo di dispositivo, permettendo solamente il traffico necessario tra le varie sottoreti.
- tuttavia, un ottimo sistema di sicurezza informatica, per quanto permetta di ridurre considerevolmente il rischio, non fornisce la certezza di evitare il Ciò deriva da un lato, dalla pervasività e raffinatezza delle tecniche utilizzate dagli hacker, dall’altro lato dalla mancanza di preparazione e formazione del personale dell’azienda. Infatti, come ci insegna spesso anche l’esperienza comune, il principale vettore comune di attacco è spesso l’errore umano (cd. tecniche di ingegneria sociale), senza il quale l’hacker non riuscirebbe ad arginare le difese aziendali.
Di conseguenza, la formazione del personale riveste un ruolo chiave. Ed in particolare, la formazione non dovrebbe essere un evento isolato, ma un processo continuo che si adatta all’evoluzione delle minacce e che rafforza periodicamente le conoscenze e le pratiche di sicurezza. Simulazioni di attacchi di phishing, aggiornamenti regolari e workshop possono contribuire a mantenere elevato il livello di vigilanza del personale, promuovendo una cultura aziendale in cui la sicurezza informatica è considerata una responsabilità collettiva;
- infine, è imprescindibile predisporre protocolli e procedure specifici per la cybersecurity, i quali siano volti a delimitare al minimo il rischio di cyberattack (nonché, come visto sopra, procedere ad una divulgazione e formazione sul loro contenuto). Trattasi, in particolare, di linee guida basate sulle principali e migliori best practice e finalizzate a mantenere la sicurezza a livelli ottimali. Esse devono essere rivolte: (i) da un lato, alla prevenzione del rischio, e ciò risulta estremamente connesso con la formazione di cui sopra; (ii) dall’altro lato, cd. procedure di disaster recovery, ossia l’insieme delle misure tencihe, logistiche e organizzative volte a ripristinare il regolare svolgimento dell’attività senza perdere tempo, al fine di garantire la business continuity anche nel caso di incidente. Si pensi ad esempio, a procedure che regolarizzino i backup aziendali, ossia le copie dei dati finalizzate a scongiurare qualsiasi minima perdita di dati: un concetto semplice e facile da implementare, ma che tuttavia non viene ancora oggi tenuto in abbastanza considerazione dalle società.
Fase Patologica
Come anticipato, il rischio di subire un cyberattack può (e deve!) essere notevolmente ridotto, ma non può mai essere azzerato.
Ebbene, quando una società subisce l’attacco informatico, la gestione dell’emergenza diventa fondamentale. Questa fase risulta estremamente delicata, la società deve: (i) da un lato, cercare di continuare/ripristinare l’operatività aziendale, limitando le perdite economiche direttamente ed indirettamente derivanti dall’attacco; (ii) dall’altro lato, gestire i rapporti con le Autorità (e con gli stakeholder), e specialmente con il Garante della Privacy, al quale dovrà essere rappresentato l’accaduto nelle forme più adeguate, dimostrando le misure prese per migliorare la sicurezza post-incidente, nonché, in generale, un atteggiamento proattivo al fine di assumere lo status di vittime incolpevoli (prevenendo eventuali contestazioni per aver “colposamente agevolato” l’evento).
In particolare, la fase di gestione dell’incidente comprende: (i) la comprensione delle carenze, organizzative e tecniche, che hanno consentito all’hacker di bucare le difese aziendali; (ii) come anticipato, una corretta gestione dei rapporti con gli stakeholder e il Garante della Privacy. In questi termini, la “sfida” sta nel descrivere l’evento occorso con oggettività, di così come richiesto nei rapporti da instaurare con il Garante, al contempo rappresentando la pervasività dell’attacco e l’adeguatezza della propria struttura informatica societaria.
In particolare, dunque:
- in primis, una corretta comprensione delle carenze della struttura informatica, finalizzata all’adozione di nuove ed ulteriori misure protettive post-incidente.
In merito, le imprese dovrebbero considerare la possibilità di gestire tale fase tramite l’istituto delle “indagini difensive preventive”, di cui agli artt. 391 bis c.p.p. ss. Le aziende potrebbero anche svolgere autonomamente indagini interne; tuttavia, ciò comporterebbe l’impossibilità, sulla base della normativa vigente, di gestire tali indagini in totale riservatezza. A differenza di quanto avviene in altri Paesi, come ad esempio negli Stati Uniti e nel Regno Unito, l’ordinamento italiano non riconosce il carattere di indipendenza professionale all’attività dell’inhouse counsel, il cd. giurista d’impresa. Ciò significa che le attività poste in essere da quest’ultimo, pur connotate da una valenza lato sensu difensiva, sono da ritenersi sprovviste di qualsivoglia copertura privilegiata. Diverso è il caso delle investigazioni difensive, sul cui report finale sarebbe opponibile il segreto aziendale;
- in secondo luogo, come detto, la Società deve rappresentare i fatti occorsi al Garante (nonché a tutti i destinatari dei dati esfiltrati). Nel farlo, deve dimostrare di aver presto tutte le iniziative idonee ed adeguate a tutela sua e dei soggetti coinvolti. A tal fine, è opportuno predisporre :
- atto di denuncia-querela presso la Procura della Repubblica competente;
- segnalazione alla Polizia Postale;
- segnalazione al Garante della Privacy;
- informativa ai clienti e ai principali stakeholders in merito all’episodio occorso, con l’intesa di fornire costanti aggiornamenti.
- Regolamenti Europei
L’aumentata attenzione verso la sicurezza informatica ha spinto il legislatore europeo a elaborare nuovi strumenti normativi, tra cui spiccano il regolamento DORA (Digital Operational Resilience Act) e la direttiva NIS (Network and Information Systems).
In particolare, in data 16 gennaio 2023 è entrato formalmente in vigore il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act, cd. “DORA”). Il nuovo Regolamento, a far data dal 17 gennaio 2025, vincolerà le imprese finanziarie interessate e i rispettivi fornitori di natura critica al rispetto di una serie di requisiti di sicurezza informatica e di resilienza. In merito, è possibile illustrare che:
- quanto all’’ambito di applicazione, esso si applicherà a circa 22.000 società rientranti nell’ambito della fornitura dei servizi finanziari, sia tradizionali – come ad esempio sono gli istituti di pagamento e le imprese di assicurazione – che non – come, ad esempio, sono i fornitori di servizi cripto e i fornitori di servizi ICT;
- quanto agli obiettivi dichiarati dal Legislatore europeo, essi sono: (i) rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per i soggetti operanti nell’ambito finanziario e assicurativo; (iii) garantire che tutti i soggetti interessati dispongano di idonee garanzie per mitigare eventuali attacchi informatici e altri rischi cyber, attraverso l’implementazione di misure di governance, gestione del rischio del tecnologie ICT e segnalazione degli incidenti;
- i soggetti finanziari interessati dovranno, adottando un approccio di risk assessment, classificare le minacce informatiche e gli incidenti cyber connessi ai fornitori di tecnologie ICT, alla luce di una serie di criteri elaborati dal Regolamento DORA, fra i quali – a titolo esemplificativo e non esaustivo – si citano: (i) il numero e/o la rilevanza di clienti o controparti finanziarie interessati; (ii) la durata dell’incidente connesso alle tecnologie ICT; (iii) le perdite di dati derivanti dall’incidente connesso alle tecnologie ICT, per quanto riguarda la disponibilità, autenticità, integrità e riservatezza dei dati;
- quanto alle attività di protezione e prevenzione richieste dalla nuova normativa, in concreto, l’entità finanziaria dovrà:
- aggiornare o elaborare una politica di sicurezza dell’informazione;
- realizzare una solida struttura di gestione della rete e delle infrastrutture ICT(“progettando l’infrastruttura di connessione di rete in modo che sia possibile isolarla o segmentarla istantaneamente nel caso di incidente”);
- aggiornare o stabilire politicheche limitino l’accesso a strutture fisiche ed informatiche;
- aggiornare o adottare processi per l’individuazione e il monitoraggio delle vulnerabilitàpresenti sui propri sistemi ICT;
- aggiornare o attuare politiche, procedure e controlli per la gestione delle modifiche delle ICT, in modo da registrare qualsiasi modifica apportata ai sistemi;
- assicurare che i sistemi e i dati relativi alle ICT siano conservati in maniera sicura e – in caso – ripristinati tempestivamente, riducendo al minimo il periodo di inattività e limitando le perdite. Dovranno quindi dotarsi di efficaci politiche e procedure di backup e ripristino;
- infine, il Regolamento DORA ha l’obiettivo di obbligare le società all’adozione di politiche miranti alla business continuity in caso di incidenti:
- la continuità di funzioni essenzialiin caso di incidenti;
- l’attivazione di misure di risposta efficacie rapide nella contestualità di un incidente informatico;
- la stima di impatti, danni e perdite.
Da ultimo, il tema è stato affrontato anche nell’ambito della Direttiva NIS 2, approvata a gennaio, volta ad una revisione della Direttiva NIS ed al superamento delle sue carenze.
La Direttiva NIS 2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio: (i) società di produzione e distribuzione energia; (ii) servizi sanitari; (iii) trasporti; (iv) infrastrutture di comunicazione elettronica; (v) servizi bancari e finanziari.
Queste imprese devono alzare più di tutte le asticelle dei propri sistemi cyber security, in quanto sono considerate “strategiche” per il funzionamento dei servizi essenziali dei paesi in cui risiedono e spesso, anche per i paesi limitrofi
Inoltre, la Direttiva NIS 2, si applica anche ai fornitori di servizi digitali. Questi ultimi includono le piattaforme online, quali (i) e-commerce; (ii) motori di ricerca; (iii) cloud computing; (iv) gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
Rispetto al GDPR dove, nell’art. 32 che riguarda la protezione dati si indica solo cosa si deve fare ma non come, nella Direttiva NIS 2 vengono indicate chiaramente le “le misure tecniche, operative e organizzative adeguate”:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, gestione del backup ripristino in caso di evento disastroso;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla
259 news2 cornerstone1 tutoeial
riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
- best practices di igiene informatica di base e formazione in materia di sicurezza informatica;
- policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Infine, si segnala che la Direttiva NIS prevede anche sanzioni specifiche (ed ingenti) per le Società che non ne rispetteranno la normativa, fino a un massimo di 10 milioni di euro o il 2% del fatturato, a seconda di quale importo risulti più elevato.
Entrambi questi documenti normativi, in fase di attuazione, testimoniano la volontà europea di creare un ambiente digitale più sicuro e resiliente, riconoscendo la cybersecurity come un pilastro fondamentale per l’integrità e la crescita del mercato unico digitale.
Cosa devono fare le imprese (Servizi offerti)
Ricapitolando, per le imprese è fondamentale una:
- Valutazione del Rischio e Formazione: a fronte di quanto è stato dettagliatamente esposto, è chiaro che la prevenzione in materia di cybersecurity nasce da una adeguata attività di risk assessment, nonché di formazione mirata ai dipendenti, al fine di sensibilizzare sui pericoli e sulle migliori pratiche da adottare. Questo servizio è essenziale per creare una cultura aziendale della sicurezza e minimizzare le vulnerabilità interne;
- Predisposizione di Policy e Procedure di Prevenzione: siccome “prevenire è meglio che curare”, risulta fondamentale la definizione di policy e procedure volte a ridurre il rischio di esfiltrazione di dati. Ciò include la formazione del personale, l’adozione di protocolli di sicurezza informatica, e la preparazione di piani di emergenza. Queste procedure non solo proteggono contro attacchi esterni ma sono anche fondamentali per dimostrare all’autorità di controllo un approccio responsabile e organizzato nella gestione dell’emergenza, qualora un data breach si verifichi;
- Gestione del Data Breach, attraverso Investigazioni Difensive: Nel caos che segue un data breach, è vitale condurre indagini immediate per identificare le cause e limitare i danni. In questa fase, è fondamentale avere il supporto di personale specializzato in materia di cybersecurity, sia sotto un profilo tecnico che legale. Lo società può strutturare le indagini sotto forma di “investigazioni preventive difensive”, assicurando che i risultati siano protetti da segreto professionale e quindi non siano direttamente accessibili alle autorità giudiziarie. Questo passaggio è cruciale per proteggere la società in caso di scoperte di eventuali lacune organizzative che potrebbero altrimenti esporre a ulteriori responsabilità legali;
- Redazione e Deposito dell’atto di denuncia-querela: il deposito della querela risulta un passo strategico che non solo innesca le indagini penali ma serve anche a dimostrare al Garante per la Protezione dei Dati Personali l’agire proattivo dell’azienda. Questa mossa può risultare determinante nel mitigare ovvero evitare eventuali sanzioni, rappresentando altresì la volontà dell’impresa di tutelare i detentori dei dati (e quindi anche gli stakeholders).
- Compliance con la normativa comunitaria: a fronte di una normativa sempre più stringente sulla protezione dei dati ed in materia di ed in materia di cybersecurity, è fondamentale essere in linea con le leggi vigenti, al fine di evitare eventuali sanzioni.