Sono ormai molteplici gli studi e i report che ribadiscono, purtroppo, una triste verità: GDPR o meno, in Italia manca ancora la cultura della protezione dei dati personali: non solo quelli del cliente da parte dell'azienda, ma, prima di tutto dei nostri dati personali, che talvolta concediamo con eccessiva facilità e/o con scarsa consapevolezza. Un esempio su tutti: quanti di noi sono davvero consapevoli di cosa accade quando, sottoscrivendo un contratto per un servizio, clicchiamo su "prosegui" o "accetto"?

"Quando sottoscriviamo un servizio" spiega Alessandro Papini, Presidente di Accademia Italiana Privacy "dobbiamo accettare un contratto o, quantomeno, delle condizioni d'uso. In questi casi la quasi totalità di noi utenti clicca "Avanti" o "Accetto" senza leggere e, sopratutto, senza sapere quali condizioni stia sottoscrivendo. Possiamo dire cioè che sono moltissimi gli utenti che, per scarsa attenzione e consapevolezza, mentono apertamente affermando con un click di aver letto, compreso e accettato le condizioni d'uso, l'informativa sui cookie e sul trattamento dati. Probabilmente, dovessimo firmare un contratto cartaceo, staremmo molto più attenti. Questo semplice esempio spiega perfettamente quanto vi sia scarsa attenzione agli aspetti connessi alla sicurezza dei nostri dati e del nostro stesso computer o smartphone. "

Quindi noi utenti pecchiamo di scarsa consapevolezza, alla quale consegue scarsa attenzione nella concessione dell'uso dei nostri dati?

"Assolutamente si. Ricordo che la più comune e diffusa tecnica di attacco per il furto dei dati, il phishing, non si basa su complessi cyber attacchi, ma sull'uso di email, sms, messagi istantanei falsi: una fattura, il documento di trasporto di un pacco in arrivo, una pagamento arretrato, un video che riguarderebbe la vittima...
Il phishing si basa sulla truffa: serve a convincere utenti poco consapevoli e disattenti a cedere i propri dati senza che neppure si rendano conto di essere vittime del furto di dati sensibili e personali. I dati ci dicono che la maggior parte delle aziende subisce data breach a causa di questo tipo di truffa informatica: formare al meglio il proprio personale per evitare/eludere questo tipo di attacco è fondamentale (e induce il personale a prestare maggiore attenzione anche nella vita privata), assieme all'adozione di strumenti e risorse adeguatamente preparate e aggiornate. Certo, sono costi, ma un data breach può costare molto molto più caro".

Le aziende hanno la consapevolezza di essere i bersagli privilegiati del cyber crime?

"Le aziende e strutture di altro tipo, come enti o organizzazioni, sono i principali destinatari di attacchi informatici per diversi motivi: colpire un'azienda permette ad un cyber criminale di entrare in possesso dei dati di molteplici utenti con un solo accesso al sistema, ma gli garantisce anche maggiori possibilità di ottenere un riscatto più alto di quanto potrebbe permettersi di esborsare un utente finale, ad esempio in caso di attacco ransomware. " continua Papini "Il dilagare poi delle criptovalute ha fatto il resto del lavoro: garantendo totale anonimato ha reso molto appetibile l'attacco ad aziende ed enti, spesso disposte a pagare pur di tornare in possesso dei propri dati, incapaci di fare fronte all'attacco. Se guardiamo cosa sta succedendo negli Stati Uniti proprio in questi mesi ne abbiamo una prova inconfutabile: solo tra Luglio e Agosto sono state quasi un centinaio le città, gli enti e le organizzazioni attaccate con ransomware... e moltissime hanno ceduto al ricatto pagando il riscatto agli attaccanti. Insomma il panorama del cyber crime si evolve e mira ai dati personali, il nuovo oro dell'età del Web: ma in Italia restiamo ancora indietro nonostante eventi come quelli appena citati proiettino fuori dal teorico e rendano reale e tangibile un nuovo e più alto livello di rischio.

Anche in questo caso, concentrando l'attenzione sull'investimento di risorse, competenze e attenzione che le aziende/enti operano per la tutela dei dati dei clienti/utenti, il panorama è fosco: gli analisti e gli esperti avvertono che la tecnologia degli hacker è sempre almeno un passo avanti di quella di aziende che, anche per ovvi limiti di budget e per l’impossibilità obiettiva di poter prevedere tutte le possibili forme di attacco, sono sempre più esposte e deboli. Si deve tenere presente che, sempre più spesso, le tecniche di attacco sono diversificate e si cerca sempre di colpire la vittima a più livelli. Le falle più spesso registrate sono quelle che derivano da errori nei sistemi, a volte sconosciute anche allo sviluppatore"

Dato questo scenario di difficoltà per le aziende, il GDPR le deresponsabilizza in caso di attacco con conseguente accesso illegittimo a dati personali?

"Assolutamente no. Il GDPR non fa sconti a nessuno: ogni virus che viene introdotto in un computer e ogni attacco non fermato in tempo, costituisce un data breach ai sensi del GDPR e, come tale, deve essere segnalato al titolare e al responsabile del trattamento nonché, laddove nominato, al DPO e, non ultimo, al Garante. Quest’ultimo, verosimilmente, avvierà un’istruttoria per verificare il livello di adeguamento al GDPR (comprese le misure tecniche messe in atto a protezione dei dati - N.d.r) e potrà anche emettere sanzioni o altri provvedimenti che si sostanzieranno in costi per chi è già stato vittima dell’attacco. Questo nonostante sia da considerarsi anche come spesso sia impossibile risalire agli autori di truffe e attacchi informatici che, oltretutto, quasi sempre non si trovano sul territorio italiano. Ciò si traduce nell’impossibilità di poter ottenere da loro un risarcimento danni che, in ogni caso, giungerebbe al termine di un lungo e oltremodo oneroso iter processuale. E sempre che i cybercriminali siano solvibili. Ipotesi della quale si dubita profondamente".

L'avvento del GDPR ha portato cambiamenti in Italia?

"Ciò che viene registrato è, almeno in Italia, un aumento delle imprese che si occupano di sicurezza e anti-hacker. Probabilmente si tratta dell’effetto GDPR che ha indotto anche aziende che si occupavano di altri tipi di sicurezza ad allargare la loro offerta, ma viene da chiedersi quante di queste aziende offrano servizi sicuri e, in ogni caso, sappiano attivare le corrette procedure in caso di data breach".