E’ sufficiente un semplice giro di informazioni in rete, ma anche l'osservazione delle più comuni e semplici attività in azienda, per comprendere come il fattore umano possa essere alla base di molti dei rischi per la sicurezza dei dati. Si dice che oltre il 95 % delle perdite di dati dipenda da un errore o un intervento umano. Altre statistiche abbassano fino al 45%. In ogni caso sono dati impressionanti su cui riflettere. Basti infatti pensare che la sicurezza informatica è affidata alle macchine, ma queste necessitano di costante supporto e monitoraggio umano, oltre a richiedere costanti aggiornamenti che vengono resi necessari anche dal continuo e rapido sviluppo degli strumenti di attacco da parte di hackers e pirati del web.

Il quotidiano utilizzo degli strumenti informatici è demandato talvolta a personale che non è stato adeguatamente istruito e neppure sottoposto a forme minimali di controllo che possano permettere un uso responsabile anche solo di un banale PC. In quante aziende il personale usa i computer per accedere alla posta personale, leggere notizie, fare acquisti on line, visitare siti non sicuri, usare i propri sistemi di messaggistica o i social. Si tratta di potenziali falle nella sicurezza che possono essere facilmente usate da ladri di dati, truffatori e non solo. Possono poi non mancare gli episodi di distrazione e gli errori da parte di chi lavora; non parliamo solo della perdita di un cellulare, un tablet o una memory stick. Il semplice click o tocco di dito su una email non controllata può dare il via al download di malware o un ransomware che può criptare tutti i dati di un sistema e esporre l’azienda al rischio di dover pagare riscatti per tornarne in possesso. Negli Stati Uniti sono ormai decine, ad esempio, le aziende e le istituzioni (anche municipalità) che hanno dovuto cedere al "malware del riscatto". 

Non mancano poi le email apparentemente normali con cui un cliente, fornitore, partner, chiede la conferma di dati o l’invio di altri: impersonare qualcun altro per convincere i dipendenti di una azienda a fornire credenziali di accesso o a eseguire transazioni finanziarie è ormai una tipologia di truffa piuttosto diffusa. Ricordiamo, a titolo esemplificativo, quella di cui fu vittima la società calcistica Lazio: un dipendente, in assoluta buonafede, eseguiva pagamenti su conti correnti di truffatori per avere creduto ad una mail in cui il fornitore indicava un iban diverso per un pagamento. Ovviamente viene da chiedersi come il truffatore sia venuto a conoscenza dell’imminente impegno economico da soddisfare.

Altra ipotesi che difficilmente viene presa in considerazione è quella in cui partner, collaboratori, dipendenti utilizzino i dati di cui sono in possesso per motivi di lavoro per creare database personali che possono essere utilizzati per forme di concorrenza illecita, essere ceduti a competitor o a aziende di marketing e profilazione. Fermi restando gli aspetti di responsabilità personale, in caso anche penale, resta il dato di fatto che per l’azienda vittima si tratta di un Data Breach di cui resta responsabile di fronte ai clienti e, peggio ancora, al Garante, che potrà emettere le sanzioni del caso. Ma anche il solo dovere di inviare a tutti gli Interessati potenzialmente danneggiati le comunicazioni del caso, è un costo spesso non da poco e, sicuramente, un rilevante danno di immagine.

Altri esempi potrebbero essere fatti. Tuttavia già da questa breve short list di ipotesi, emerge come il fattore umano sia tra quelli da tenere in considerazione alla stessa stregua della sicurezza informatica e di quella delle informative e dei contratti che la disciplina europea impone. Sono tutti esempi che rendono chiari il perchè tutto il personale debba essere coinvolto e responsabilizzato nei processi per la gestione di privacy e sicurezza, ma anche come ogni azienda debba tenere presente i rischi che possono derivare da comportamenti illeciti e di cui, in ogni caso, rimane la prima a fronteggiare possibili conseguenze.

Non solo quindi corsi di formazione, ma anche previsioni contrattuali e rigorose clausole di riservatezza con i collaboratori e, come primo elemento su cui costruire il proprio sistema, un’adeguata formazione a tutti coloro che, all’interno di un’organizzazione, vengono in possesso o comunque in contatto con i dati personali di un’azienda: iniziando infatti dal socio che lascia la compagine e cerca di portare via la clientela, fino al commercialista che perde i dati e al social media manager che viene assunto dalla concorrenza, le fonti di rischio sono sempre più. Occorre difendersi.