Nell’attuale era digitale, i dati personali sono diventati un valore prezioso.
Ma tanto più aumenta il loro valore, tanto più diventa fondamentale tutelarli e proteggerli da incidenti che li possano mettere a repentaglio.
Questi incidenti (i cosiddetti data breach), che comportano l’accesso o la divulgazione non autorizzati di dati personali, possono avere conseguenze devastanti, sia per le aziende che li detengono e trattano per propri scopi (legittimi) sia per gli individui, persone fisiche a cui questi dati si riferiscono.
Cos’è un Data Breach?
Un data breach (“violazione dei dati personali“, secondo il Reg. UE 2016/679 – GDPR, art. 4 n. 12) consiste in una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” da un soggetto (titolare o responsabile esterno).
Ciò non si limita alla perdita fisica di dati personali, ma include anche accessi indesiderati, alterazioni, o divulgazioni non autorizzate. Per esempio, un attacco ransomware che cripta il database contenente i dati personali dei clienti (mail, numeri di telefono, indirizzi di residenza, preferenze di acquisto, ecc.) – perdita di disponibilità e di integrità – o una mail inviata per errore a un destinatario non autorizzato e contenente i dati personali di una terza persona – perdita di riservatezza -, sono considerati, a tutti gli effetti, casi di data breach.
Le aziende che subiscono un data breach possono incorrere in sanzioni severe, con multe sino al 4% del loro fatturato globale annuo o sino a 20 milioni di Euro, a seconda di quale sia il valore maggiore.
Ma, oltre alle sanzioni economiche, le aziende devono anche affrontare conseguenze che, a ben guardare, vanno al di là e sono (potenzialmente) superiori al mero esborso economico: parliamo di danni alla propria reputazione e della perdita di fiducia da parte di clienti e partner commerciali.
Gestire un Data Breach
Nel malaugurato caso in cui un data breach dovesse verificarsi, il tempo di reazione è un fattore essenziale: a prescindere, infatti, dal dato normativo (il GDPR richiede che l’Autorità Garante sia informata in merito all’incidente entro 72 ore dalla sua identificazione; inoltre, nel caso in cui sia probabile che il data breach comporti un rischio elevato per i diritti e le libertà delle persone fisiche, anche queste ultime devono essere informate senza indebito ritardo), ogni azione intrapresa per gestire correttamente il data breach può significativamente influenzare l’impatto dell’incidente sugli assetti aziendali.
La gestione di un data breach richiede un approccio metodico, coordinato e multidisciplinare, che possiamo sintetizzare nelle seguenti fasi:
- identificazione e valutazione iniziale: non appena viene intercettato un probabile data breach, è essenziale valutare rapidamente l’ampiezza e la gravità dell’incidente. Per fare ciò, occorre in primo luogo determinare quali tipologie di dati personali sono stati compromessi, quante persone sono state interessate, e se vi è un rischio continuo di perdita di dati. In questa fase, è cruciale e fondamentale la collaborazione di diverse funzioni aziendali, oltre al management, quali principalmente quelle IT e legale.
- contenimento: identificata la violazione, la priorità dev’essere quella di contenerla, adottando dinamicamente diverse soluzioni (per esempio: disconnessione di sistemi informatici dalla Rete Internet, revocare l’accesso a database a utenti sospetti) per prevenire ulteriori e maggiori perdite di dati.
- rimozione e ripristino: successivamente occorre rimuovere completamente la minaccia dai sistemi aziendali, adottando quelle misure organizzative e tecniche che possono ripristinare la sicurezza del perimetro (soprattutto quello informatico) dell’azienda, per poi tentare di recuperare quanti più dati possibili (ciò è possibile, per esempio, utilizzando file di backup dei database il più possibile aggiornati). Questo, al fine di poter garantire all’Impresa di tornare alla normalità operativa il più rapidamente possibile.
- analisi post-evento e miglioramento: una volta contenuti la minaccia e il “danno” è di fondamentale importanza comprendere come e perché l’incidente si è verificato, per identificare le proprie debolezze e, di conseguenza, implementare miglioramenti per prevenire che situazioni pericolose simili si ripetano. Ci teniamo a ricordare che il personale aziendale è il primo “baluardo” di sicurezza per un’Impresa: pertanto, in caso di data breach, organizzare (regolarmente, ma soprattutto a seguito di un incidente di sicurezza) momenti di formazione ai dipendenti risulta fondamentale, tanto quanto l’implementazione di nuove tecnologie o processi di sicurezza informatica.
L’ultima, non meno importante, delle fasi è quella (citata in apertura) di eventuale notifica all’Autorità Garante per la protezione dei dati personali dell’avvenuto data breach e, in caso di probabile alto rischio per i diritti e le libertà degli individui, alle persone fisiche che potrebbero essere danneggiate da tale evento.
Prevenire un Data Breach
Nonostante le fasi e la procedura descritta sopra possano essere un valido supporto per gestire un data breach nel suo concreto svolgimento, siamo dell’opinione che la prevenzione sia sempre meglio della cura, soprattutto quando si tratta di tutelare dati che riguardano persone fisiche.
Le valutazioni periodiche del rischio sono fondamentali per identificare in tempo e mitigare eventuali vulnerabilità e minacce alla sicurezza dei dati personali trattati dall’azienda.
Misure tecniche adeguate – come la crittografia, la sicurezza delle reti e la gerarchizzazione degli accessi – possono proteggere i dati dagli attacchi, ma la formazione e la sensibilizzazione dei dipendenti sono fondamentali per prevenire errori (umani) che possono portare a violazioni dei dati. Le misure organizzative, come l’adozione di policy interne sull’utilizzo dei devices aziendali e sulla sicurezza dei dati, nonché di piani specifici di risposta agli incidenti, sono altrettanto importanti.
Prevenire i data breach richiede un impegno costante insieme a un approccio multilivello e olistico che integra tecnologia, formazione, politiche aziendali e valutazioni del rischio e che coinvolge l’intera azienda, a tutti i livelli.
In un mondo dove le minacce alla sicurezza sono in costante evoluzione, la prevenzione dei data breach non è solo una questione di conformità legale: è un requisito essenziale e una mossa strategica dell’Impresa per preservare la fiducia dei clienti, proteggere la propria reputazione e la propria sostenibilità.
