Dati aziendali a rischio: scarsa consapevolezza e mancanza di policy di riferimento le cause principali

Lo studio del neonato Osservatorio Anfov deve far riflettere molto attentamente: la perdita di dati riguarda il 54% delle aziende italiane. Ma probabilmente il dato numerico deve essere interpretato in difetto.

L’interesse di un’azienda a denunciare pubblicamente una fuga di dati è ridotto all’osso e la reticenza regna sovrana. E´ giunto il momento che gli imprenditori si rendano conto che un dato personale è prima di tutto un’informazione, ed un’informazione è capace di caratterizzare il rendimento dell’impresa in termini di produttività e redditività. Un quid pluris che non può essere acquistato.

Ci si può impossessare delle materie prime migliori, del macchinario più efficiente o dello stratega più competente, ma non si entra in possesso di un’informazione così facilmente: per il know-how serve tempo ed in un mercato sempre più frenetico, dove l’ottimizzazione è fondamentale, il tempo è denaro. L’informazione è dunque un capitale da proteggere a tutti gli effetti.

Serve allora un’analisi, anche critica e soprattutto preventiva, di quanto è stato fatto in azienda per tutelare un bene tanto prezioso. Un esame che tenga di conto delle procedure in essere e dell’innovazione tecnologica implementata per tutelare le informazioni possedute. Valutazione preventiva, certo. Perché una volta avvenuto “il danno”, la domanda “che cosa avrei potuto fare?” è ormai tardiva.

Basti pensare ai reati informatici. Condotte di soggetti esterni, ma anche e soprattutto di subalterni che talvolta utilizzano lo strumento informatico addirittura con intento doloso. Un addetto all’ufficio commerciale non più in organico, ad esempio, che avesse ancora attive le proprie credenziali di accesso ai sistemi, anche in VPN, potrebbe infatti facilmente integrare l’illecito di accesso abusivo ex 615-ter cp, accedendo alla banca dati dei prospect. L’interesse è evidente. È bene ricordare poi, che tale fattispecie risulta integrata non solo dal soggetto che superi le misure di sicurezza a presidio di una banca dati, ma anche da chi compia operazioni ontologicamente inconciliabili con quelle a lui permesse da parte datoriale. È quindi precipuo onere del Titolare attivarsi con delle policy ad hoc che contemplino, tra gli altri aspetti, una corretta procedura di definizione dei profili di autorizzazione e di una puntuale disattivazione e monitoraggio delle credenziali di autenticazione attribuite (e dismesse!) ai diversi soggetti. Anche perché volente o nolente la privacy è tutt’oggi norma di riferimento per la prevenzione di un reato informatico. Delle nomine strutturate che contemplino una specifica ripartizione di compiti e ruoli, come del resto una corretta applicazione del Provvedimento in materia di Amministratore di Sistema, potrebbero essere viste non solo secondo un’ottica di adempimento a quanto normativamente imposto dalla 196, quanto piuttosto di opportunità di pianificazione e riassetto, transitando da un’applicazione statica della normativa ad un effettivo beneficio organizzativo e di sicurezza. Probabilmente l’intento del legislatore di agosto, con l’introduzione nel decreto sulla responsabilità degli enti dei delitti privacy, dovrebbe essere visto anche in questo senso.

Consideriamo ora il fenomeno del BYOD (Bring Your Own Device) . L’utilizzo dei dispositivi personali degli utenti è una soluzione sempre più diffusa in azienda, e parimenti rischiosa laddove resti non disciplinata. Magari il datore non è nemmeno a conoscenza che il suo dipendente scarichi la posta aziendale sul telefonino di ultima generazione. Un Regolamento Informatico interno ben strutturato avrebbe la forza di tipizzare e governare le modalità di impiego di tali congegni, contemperando le esigenze dell’imprenditore con la natura privatista del devices.

Non ultimo il cloud. Quanti sono i contratti realmente sicuri? I cloud provider dovrebbero farsi promotori dell’inflazionato strumento, ma molte volte con degli accordi capestri e difficilmente negoziabili espongono i propri clienti (ergo anche i diritti dell’interessato) a notevoli problematiche qualora si debbano definire in giudizio le responsabilità nella partita. Il negozio dovrebbe già chiarire sia tecnicamente che giuridicamente le relative incombenze, onde poi stabilire un inquadramento dei ruoli privacy. Un problema ricorrente sono i sub-fornitori del cloud provider che si trovano a trattare dati del cliente. Ma in base a quale rapporto intercorrente o nomina sussistente? Può il fornitore nominarli responsabili per dei dati di cui non è titolare? Del resto egli è solo un responsabile, ed un responsabile ex art. 29 del Codice può essere nominato solo dal titolare. Ed ancora: chi adempie agli obblighi in materia di amministratore di sistema in un contratto cloud? La prevenzione anche in questo caso si rivela il miglior strumento di difesa. Pensare e scegliere un fornitore che assicuri tutta una serie di aspetti, indubbiamente tecnici, ma anche legali, perché la sicurezza informatica tout-court è un’utopia.

E’ allora indispensabile una buona dose di lungimiranza, così da scegliere accuratamente il fornitore opportuno e ritagliare un contratto per cui quest’ultimo si assuma le responsabilità che gli spettano. Magari gli imprenditori saranno aiutati (o costretti) dal prossimo Regolamento Europeo in materia di privacy a fare della sicurezza un punto fermo della propria organizzazione.

Nel frattempo però c’è da chiedersi che cosa farebbe la Società Alfa, leader nel mercato, se rientrasse in quel 54%. O magari ci è già ricompresa, e nessuno lo sa. E non si saprà mai.