Tecnologia

Il caso Unicredit e l’obbligo a denunciare gli attacchi hacker (con…

Sicurezza & Privacy

Il caso Unicredit e l’obbligo a denunciare gli attacchi hacker (con la nuova normativa)

fonte AP
fonte AP

Nei prossimi anni dovremo abituarci a notizie come l'incidente di sicurezza che ha coinvolto i dati personali di 400 mila clienti della principale banca italiana. Non tanto perché non accadevano, quanto per l'applicabilità del Regolamento Europeo in materia di privacy, entrato in vigore lo scorso anno, ma operativo a partire dal 25 maggio 2018. All'articolo 33 della norma si specifica il vincolo per l'impresa a denunciare violazioni “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza”.

Il caso Unicredit sembra essere una “prova generale” di quello che ci attende, rispetto a una legge che punisce con sanzioni draconiane gli inadempienti (le multe possono arrivare a 4 per cento dei ricavi) e quindi stimolerà le organizzazioni a denunciare piuttosto che insabbiare in nome della tutela della propria reputazione. Tuttavia è facile immaginare che in casi di questo genere l'Autorità Garante farà seguire un'indagine per comprendere se l'azienda aveva adottato “misure tecniche e organizzative utili a garantire un livello di sicurezza adeguato al rischio”, così come recita l'articolo 32 del Regolamento e, in caso contrario, potrebbe ripresentarsi lo spettro delle sanzioni.

La sicurezza delle informazioni, per anni considerata una “sine cura”, si conquista le luci della ribalta, non fosse altro perché dimostrare l'idoneità dei propri controlli in materia richiede un processo strutturato e un percorso logico difendibile anche in un'aula di tribunale. Parte integrante di questo sistema di gestione dovrà essere la capacità di scoprire tempestivamente il verificarsi di un data breach. Se l'indisponibilità dei dati è immediatamente riconoscibile - basta pensare ai recenti attacchi WannaCry e NotPetya - la perdita di confidenzialità dei dati è molto più subdola e difficile da rilevare in quanto non produce effetti istantanei e “la condanna è nei numeri”. I sistemi informatici di una realtà come Unicredit contano centinaia di migliaia di dispositivi, usati da altrettanti utenti e connessi a migliaia di altri sistemi di clienti, fornitori e partner. Questo genera una mole enorme di informazioni sull'utilizzo, che dovrebbe essere costantemente analizzata per rilevare eventuali anomalie.

Vero che esistono sistemi automatizzati tali da garantire un certo grado di controllo, ma alla fine soltanto l'uomo è in grado di fare le opportune correlazioni tra le mille segnalazioni e capire se veramente è accaduto qualcosa. Purtroppo il tempo e la persone sono risorse “finite” e questo spiega il cronico ritardo con cui le violazioni alla riservatezza vengono scoperte e la ragione per cui la stessa banca parla di una prima intrusione avvenuta nell'autunno 2016. Aggiungiamo che l'infiltrazione potrebbe arrivare da “sistemi amici”, quindi la sicurezza compromessa potrebbe essere quella di un fornitore trasformato in un involontario “cavallo di Troia”. In definitiva, il vero tema non è il tempo in cui si riesce a individuare la violazione, ma riuscire a scoprire di esserne stati vittima.
Alessandro Curioni è presidente di D.Gi. Accademy

© Riproduzione riservata