Il caso Hacking Team è una lezione per tutte le aziende che dovranno ripensare la propria strategia di gestione del cyber rischio per evitare conseguenze negative per tutto il loro business. L’ottimo articolo di Pierluigi Paganini ha descritto in modo eccellente l’attacco informatico subito da Hacking Team. Ma le informazioni pubblicate da Wikileaks mostrano delle vulnerabilità dei sistemi informatici fino ad ora inaspettate che possono minare sia il funzionamento interno di società che portare notevoli conseguenze finanziarie e reputazionali.
Il caso Hacking Team mi ha fatto pensare al recente commento rilasciato da John Chambers di Cisco che, al World Economic Forum, ha dichiarato: “There are two types of companies: those who have been hacked, and those who don’t yet know they have been hacked.”
Quali sono le conseguenze legali di un cyber attacco?
Da un punto di vista legale ci sono tre principali conseguenze di un attacco informatico
- può comportare azioni legali da parte dei clienti come accaduto di recente con riferimento al furto di dettagli di carte di credito. E in tale contesto la particolarità della situazione italiana è che l’onere della prova in caso di data breach sarà a carico dell’azienda che ha subito l’attacco informatico piuttosto che sul cliente che dichiara di aver subito il danno, tramite la c.d. “probatio diabolica“;
- può causare l’applicazione di sanzioni e obblighi di notifica della data breach. Infatti, il nuovo regolamento privacy europeo richiederà ad ogni soggetto che tratta dati personali di notificare le data breach al Garante per il trattamento dei dati personali e alle vittime del data breach. Inoltre, lo stesso regolamento aumenterà le sanzioni per le violazioni della normativa privacy fino al 2% del fatturato globale; e
- può danneggiare la fiducia dei clienti in un’azienda e nella propria tecnologia e prodotti/servizi. Notevoli danni reputazionali possono derivare da data breach, specialmente con riferimento a tecnologie emergenti come quelle dell’Internet of Things il cui successo è spesso legato al bisogno di creare fiducia in questi dispositivi da parte dei clienti.
Data is the currency of the future
Insieme al mio studio legale DLA Piper, abbiamo di recente organizzato un Big Data Workshop con rappresentati di diversi settori che ha enfatizzato il valore dei dati dei clienti e dei big data su cui sono basati per ogni tipologia di business. Durante il workshop ho menzionato che lo scorso anno abbiamo assistito uno dei nostri principali clienti in un’acquisizione da € 2+ miliardi dove la possibilità da parte dell’acquirente (il nostro cliente) di utilizzare i dati degli utenti della target in conformità con la normativa sul trattamento dei dati personali applicabile, è stato un deal breaker in quanto era essenziale per creare delle sinergie ed economie di scala fondamentali per il successo del deal.
Il che vuol dire, ancora una volta, che il cyber rischio oggi non è rappresentato unicamente dal rischio di un attacco informatico. E’ anche costituito dal rischio di violazione della normativa privacy che, qualora contestato, può causare non solo l’applicazione delle sanzioni, azioni legali e danni reputazionali, ma anche impedire l’utilizzo dei dati raccolti in violazione della normativa applicabile.
In un mondo dove i dati costituiscono sempre più un asset delle società, l’impossibilità di utilizzarli è fonte di notevoli danni finanziari.
Si può assicurare il cyber rischio?
Abbiamo tenuto un seminario molto interessante lo scorso anno sul cyber rischio in cui erano presenti colleghi del dipartimento di diritto assicurativo, diritto penale, contenzioso e privacy (io!). Quello che abbiamo notato, segno di come le cose stiano effettivamente cambiando, è che le polizze assicurative a copertura del cyber rischio stanno diventando sempre più frequenti, ma devono tener conto delle limitazioni legali in relazione, ad esempio, alla tipologia di rischio che può essere assicurato.
In particolare, il rischio derivante da sanzioni amministrative, ivi comprese quelle emesse per le violazioni della normativa privacy, non può essere “coperto” da polizze assicurative. In sostanza, una polizza assicurativa può limitare i danni per da cyber rischio, ma non può essere l’unica soluzione.
La sicurezza non è un problema tecnico
C’è un interessante commento sull’argomento: Security is a business issue, not a technical issue. Ritengo che questa affermazione identifichi chiaramente il problema: la sicurezza, in un mondo “connesso“, non può essere considerata più un problema di competenza unicamente dei tecnici. Le violazioni delle misure di sicurezza possono derivare da fonti imprevedibili quali, ad esempio, gli smartphone dei dipendenti o il loro PC personali collegati alle reti aziendali.
Avete una strategia di gestione del cyber rischio?
Una soluzione non può essere il monitoraggio totale dei dipendenti. Il Garante ha emesso delle linee guida sull’utilizzo di Internet e delle email in cui ha previsto limitazioni molto stringenti alle attività di monitoraggio dell’utilizzo da parte dei dipendenti dei dispositivi elettronici che richiede anche in caso di controlli non sistematici di adottare una policy adeguata conforme alla normativa privacy. Progetti di legge al momento discusso potrebbero “rilassare” tali limitazioni in futuro ai sensi della normativa laburista, ma ciò rappresenta ancora un problema.
Il livello di cyber security di un’azienda sta diventando sempre più un problema legale in quanto tale livello deve essere adeguato al rischio associato ai dati trattati. E tale esigenza sarà ulteriormente enfatizzata con l’entrata in vigore del Regolamento privacy europeo. L’acquisto di misure di sicurezza affidabili non è la soluzione per i cyber risk poiché, come ci ricorda John Chambers, è sempre probabile che si verifichi un attacco informatico. E’ essenziale adottare una strategia di gestione del cyber rischio al fine, tra gli altri, di gestire i rapporti contrattuali con i propri fornitori e per determinare le misure da seguire in caso di data breach.
La privacy by design è un ulteriore supporto per limitare i rischi, ma l’intero business di un’azienda deve essere strutturato per proteggete i dati quali uno dei propri asset di maggior valore!
Facebook Comments