ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùil bilancio

Sicurezza informatica, il «Gdpr» fatica a decollare: sanzioni in ritardo e poche segnalazioni

In Europa, fino a dicembre del 2018, sono state segnalate oltre 59mila infrazioni informatiche che hanno causato una perdita di dati. Ma tre Paesi da soli rappresentano il 65% del totale delle violazioni

di Giancarlo Calzetta


Chi è il data protection officer e perché non è obbligatorio negli studi legali

4' di lettura

Il Gdpr, General data protection regulation, è una pietra miliare nella sicurezza a livello informatico; una regolamentazione che il mondo riconosce come all’avanguardia e che fungerà da modello per le leggi in materia di protezione dei processi di trattamento dei dati in molte altre parti del mondo. Ma come sta andando la sua applicazione in Italia e in Europa? Il 29 maggio 2018, la data che segnava l'inizio della sua reale applicazione, è ormai passata da un pezzo e da allora le autorità sono state molto molto morbide nel comminare multe ed eseguire controlli. Un report di Dla Piper sugli incidenti informatici riportati e sulle multe comminate svela uno scenario ancora molto blando.

In Europa, fino a dicembre del 2018, sono state segnalate oltre 59mila infrazioni informatiche che hanno causato una perdita di dati, ma la distribuzione geografica lascia perplessi. Al primo posto per notifiche troviamo i Paesi Bassi con 15.400, al secondo posto la Germania con 12.600 e al terzo il Regno Unito con 10.600. Questi tre Paesi, da soli, rappresentano il 65% delle violazioni totali denunciate in Europa nel 2018. Il quarto posto, occupato dall'Irlanda, ne conta un terzo rispetto al Regno Unito. L'Italia, che sta a metà classifica, solo 610. È evidente che qualcosa non torna e abbiamo chiesto a chi lavora nel settore cosa ne pensa. «L'applicazione concreta del Gdpr, almeno in Italia, dopo un anno è molto a macchia di leopardo – dice Fabrizio Croce, Area director south Europe WatchGuard Technologies – molto più presente e applicata in aziende più strutturate ma sostanzialmente abbastanza ignorata nel nostro enorme tessuto delle Pmi e anche nella Pa». Più ottimista è Andrea Muzzi, Technical Manager F-Secure, che ha visto molta attenzione al tema, ma pone l'accento su aspetti tecnici e organizzativi gravi che rallentano la reale messa in opera delle misure di sicurezza. «Dalla nostra collaborazione con le aziende – dice Muzzi – vediamo come alcune stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato».

Una lentezza che può anche esser giustificata da una carenza dal punto di vista infrastrutturale interno. «Abbiamo ancora molte sfide – continua Muzzi – soprattutto a livello tecnico: molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l'accesso ai dati. Questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento».

Ma le aziende italiane potrebbero non avere tutto questo tempo a disposizione prima che il sistema di multe inizi a ingranare. Mentre nel 2018 sono state elevate solo 91multe per infrazioni al Gdpr, di cui solo una di grande entità (50 milioni di euro) comminata a Google dall'autorità francese, lo scenario per il 2019 sembra farsi molto più movimentato. In Italia, abbiamo visto già due multe: la prima per 16.000 euro comminata a un medico che ha usato i dati dei propri pazienti per fare propaganda politica e la seconda all'Associazione Rousseau, condannata a pagare 50.000 euro per la violazione al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679. E le cose non possono che farsi più “serie”.

Come scrive l'avvocato Giulio Coraggio, partner di Dla Piper, su Wired, quello che si è visto dal 25 maggio 2019 in poi è un deciso incremento del livello di dettaglio nelle richieste indirizzate dal Garante della Privacy alle aziende. Le liste di informazioni vengono definite “infinite” e soprattutto viene specificato che poi vengono davvero controllate con lo stato di fatto dell'azienda.

La stragrande maggioranza delle aziende, puntualizza sempre Coraggio, non è preparata a questo tipo di richieste e stupisce che siano soprattutto le più grandi a soffrire, perché le direttive di Gdpr sono gestite centralmente, da Dpo che spesso non parlano italiano e non conoscono in maniera approfondita le operazioni locali.

D'altro canto, è altrettanto comprensibile che le Pmi siano in difficoltà con richieste dall'elevato grado di dettaglio perché se si pensa che la Nasa non aveva un sistema di auditing affidabile nei suoi laboratori, possiamo immaginare cosa accada nelle aziende con pochi dipendenti.

E se l'Europa sembra molto in gamba nel creare regolamenti e leggi all'avanguardia, sembra decisamente meno brava a seguirli. Una indagine interna dell'Autority europea per la privacy sull'affidabilità dei siti Internet di Parlamento europeo, Consiglio europeo e del Consiglio dell'Unione europea, Commissione europea, Corte di giustizia dell'Ue, Europol, Autorità bancaria europea (Eba), Consiglio europeo per la protezione dei dati (Edpb), della Conferenza internazionale del 2018 dei garanti della protezione dei dati e della privacy, e della Autorità garante della privacy ha evidenziato problemi in sette siti su dieci. Il garante europeo per la privacy, Giovanni Buttarelli, si dice fiducioso che tutte le falle trovate saranno risolte in tempo per la prossima ispezione.

La situazione in Italia
Da un punto di vista della privacy nei siti della Pubblica Amministrazione, la situazione è abbastanza desolante. Oltre alla testimonianza di Fabrizio Croce che abbiamo letto all'inizio dell'articolo, risulta eclatante il caso del ministero della Giustizia che sul proprio sito di vendite pubbliche rilascia in chiaro i nomi e i cognomi delle persone coinvolte nei pignoramenti. Questo, secondo la denuncia via Twitter dell'avvocato Enrico Ferraris, rende possibile accedere ai dati di migliaia di debitori con una semplice ricerca su Google. Ferraris rende anche noto che la prima segnalazione di questo problema è stata fatta al Ministero a febbraio, ma che ad oggi ancora non è cambiato nulla, neanche la deindicizzazione dei risultati dal motore di ricerca, che sarebbe stata un manovra relativamente semplice da portare a compimento.

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti
Loading...