Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Leggi di sicurezza informatica: guida ragionata a vecchie e nuove regole

Conoscere le leggi di sicurezza informatica è importante per completare il percorso di raggiungimento e mantenimento della conformità normativa in tema di protezione delle informazioni e dei dati personali, anche alla luce del GDPR. Ecco una breve guida per districarsi tra leggi nazionali e regolamenti europei

4 giorni fa
M

Bruno Marafini

EIT Digital Master Student (Cyber security) - UNITN


È importante che gli imprenditori conoscano bene le leggi di sicurezza informatica soprattutto in un momento storico in cui, a differenza del passato, l’utilizzo di Internet è presente in molte attività aziendali.

Alcune imprese operano interamente online, ma anche tutte le altre in qualche modo ricorrono ad Internet nei vari cicli produttivi, che si tratti di operazioni di marketing o semplicemente della gestione di un registro clienti.

Se i leader aziendali non tengono conto delle leggi di sicurezza informatica relative alle loro attività produttive, potrebbero essere sottoposti a pesanti ammende. Senza dire che anche il raggiungimento e il mantenimento della conformità normativa sono attività che potrebbero comportare costi elevati.

Pensiamo, ad esempio, a quanto può essere oneroso, per un’azienda, l’adeguamento al Regolamento europeo per la protezione dati 679/2016 (GDPR) e l’adozione delle misure tecniche ed organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso.

Senza dire che il GDPR ha notevole impatto anche sulle aziende con sede fuori dall’Unione Europea ma che comunque trattano dati personali di cittadini europei; con importanti risvolti anche per ciò che concerne la conoscenza delle leggi di sicurezza informatica.

La consapevolezza, dunque, è il primo passo per evitare problemi di qualunque genere.

Nel seguito dell’articolo analizzeremo le leggi e i regolamenti che impattano sull’ambito della sicurezza informatica e che è quindi necessario conoscere.

Leggi di sicurezza informatica: definiamo le attività criminale

Iniziamo, intanto, a definire le principali attività cyber criminali indicando per ciascuna di esse il relativo riferimento normativo.

Hacking

  • Accesso abusivo ad un sistema informatico o telematico (Articolo 615 ter del codice penale). Questo reato richiede che una persona ottenga l’accesso ad un sistema informativo protetto contro il consenso esplicito o implicito della persona avente diritto di escludere terzi dall’ottenimento di tale accesso. La pena è la reclusione fino a 3 anni.
  • Frode digitale (Articolo 640 ter del codice penale). Questo reato si configura quando chi – consapevolmente e con l’intento di frodare – manomette uno o più dispositivi digitali, in violazione di legge, utilizzando informazioni, dati o software al fine di ottenere un guadagno economico o danneggiare qualcun altro. La pena è la reclusione da sei mesi a tre anni.
  • Falsa identità (Articolo 494 del codice penale). L’articolo in questione è applicabile alle identità reale, nonché alle identità digitali; il reato in questione è perpetrato quando qualcuno falsamente e volontariamente si sostituisce a qualcun altro. La pena è la reclusione fino ad un anno.
  • Detenzione e diffusione abusiva di password (Articolo 635 bis del codice penale). Si verifica quando qualcuno intenzionalmente danneggia, distrugge, cancella o disabilita qualsiasi tipo di informazione digitale, dati o software di proprietà di qualcun altro. La pena è la reclusione da sei mesi a tre anni.

Attacchi DOS

  • Danneggiamento di informazioni, dati o software (Articolo 635 bis del codice penale). Il reato si configura quando qualcuno intenzionalmente danneggia, distrugge, cancella o disabilita qualsiasi tipo di informazione digitale, dati o software di proprietà di qualcun altro. La pena è la reclusione da sei mesi a tre anni.

Phishing

  • Frode digitale (Articolo 640 del codice penale): come già descritto sopra.
  • Falsa identità (Articolo 494 del codice penale): come già descritto sopra.

Compromissione di sistemi IT con malware (ransomware, spyware, worm, trojan e virus)

  • Accesso abusivo ad un sistema informatico o telematico (Articolo 615 ter del codice penale): come già descritto sopra.
  • Danneggiamento di informazioni, dati o software (Articolo 635-bis del codice penale): come già descritto sopra.

Possesso o uso di hardware, software o altri strumenti utilizzati per commettere il crimine informatico (ad esempio, strumenti di hacking)

  • Detenzione e diffusione abusiva di password ai sistemi digitali (Articolo 615 quarto del codice penale): come già descritto sopra.

Qualsiasi altra attività che incide negativamente o minaccia la sicurezza, la riservatezza, l’integrità e la disponibilità di qualsiasi sistema IT, infrastrutture, reti di comunicazione, dispositivi o dati

  • Intercettazioni illegali e distruzione delle comunicazioni (Articolo 616 del codice penale). Il reato è commesso quando una persona apre, ruba o distrugge la corrispondenza, comprese le e-mail, non indirizzate a lui o lei. La pena è la reclusione fino a un anno.
  • Intercettazioni illegali, distorsione, falsificazione e distruzione delle comunicazioni (Dall’articolo 617 bis a 617 sexies del codice penale). Questi diversi reati, puniti da diversi articoli del codice penale, sono commessi quando una persona apre, ruba o distrugge la corrispondenza altrui, comprese le e-mail, anche con software, malware o qualsiasi tipo di strumento digitale avente uno di questi scopi. La pena è della reclusione da sei mesi/un anno a quattro anni.
  • Divulgazione illecita di e-mail (Articolo 618 del codice penale). Tale ipotesi di reato si configura nel caso in cui un soggetto intenzionalmente divulghi, o cerchi di divulgare, a qualsiasi altro soggetto, il contenuto di qualsiasi comunicazione via cavo, verbale o elettronica, sapendo o avendo motivo di sapere che l’informazione è stata ottenuta mediante intercettazione via cavo, verbale o elettronica in violazione della presente disposizione. La pena è la reclusione fino a sei mesi.

Leggi di sicurezza informatica: cosa cambia con il GDPR

Il Regolamento generale per la protezione dei dati è entrato in vigore il 25 maggio 2018 e il suo arrivo ha cambiato, tra le altre cose, anche il modo in cui su Internet vengono raccolte e gestire le informazioni private degli utenti.

Con questa riforma, i cittadini dell’UE hanno finalmente un maggiore controllo sulla sicurezza dei loro dati personali e i siti web saranno tenuti a seguire rigorosi adeguamenti di conformità per garantire la protezione di questi dati.

Che cosa significa questo per il futuro della sicurezza informatica e in che modo l’economia digitale ne risentirà nel suo complesso? Anche se il sito Web non ha un’affiliazione diretta con il Regno Unito o con l’UE, è comunque importante essere consapevoli di cosa comporta la conformità al GDPR e creare in anticipo una strategia di elaborazione dei dati.

Solo perché ci si trova al di fuori dei “confini” di applicazione del GDPR, infatti, non significa che non si hanno connessioni europee attraverso fornitori, clienti o stakeholder.

Ecco dunque cosa occorre sapere su come il GDPR cambierà il panorama della sicurezza informatica e quali misure possono essere adottate per prepararsi.

Come cambia la gestione dei dati personali

Con dato personale ci si era riferiti, finora, a tutte quelle informazioni che vengono utilizzate per rivelare l’identità di una persona online, ma con il GDPR la definizione di dati personali si espanderà ulteriormente.

Oltre alle informazioni di base composte da nome, numero di telefono e indirizzo e-mail, potranno essere prese in considerazione anche informazioni quali codice postale, patente di guida, passaporto, carta di credito, conto corrente bancario, indirizzo IP, luogo di lavoro, appartenenza sindacale, fattori sociali, genetica e biometria.

Prima di raccogliere questi dati, un sito Web deve ottenere il consenso esplicito della persona, chiarire come saranno utilizzate le informazioni e rispettare il diritto di ogni individuo di ritirare il proprio consenso in qualsiasi momento: a quel punto i dati memorizzati devono essere cancellati completamente.

La raccolta e la conservazione dei dati sarà più restrittiva

La piena esecutività del GDPR ha di fatto aumentato le aspettative in merito ad una maggiore riservatezza dei propri dati personali. Questo, per chi gestisce un sito Web, ha comportato l’adozione di misure di sicurezza più restrittive e l’adozione di nuove pratiche per la gestione dei dati personali. Ciò significa essere molto specifici su ciò che si qualifica come consenso.

Supponendo che chiunque visiti il sito Web abbia concesso l’accesso alle proprie informazioni personali, bisogna ora tenere in conto che per scopi di marketing questa opzione non è più sufficiente: è necessario ottenere l’autorizzazione per i propri dati attraverso azioni positive e un linguaggio inequivocabile che viene visibilmente indicato sul sito Web stesso

Inoltre, il trattamento dei dati deve essere sistematicamente monitorato e una violazione pubblica di questo materiale sensibile deve essere segnalata entro 72 ore dalla violazione della sicurezza.

Le tecnologie firewall standard non sono più sufficienti

In questo mondo iperconnesso, quasi ogni tipo di attrezzatura da ufficio, dai computer e stampanti alle unità HVAC (Ventilation and Air Conditioning, ovvero “riscaldamento, ventilazione e condizionamento dell’aria), dai sistemi di allarme ai dispositivi mobili, è ora abilitato per l’accesso a Internet. In questo modo si amplifica la possibilità di compromettere anche le reti più sicure, per cui, in risposta a ciò, le misure preventive devono diventare più sofisticate.

La protezione firewall è vantaggiosa, ma questo software da solo non è più adeguato. Un approccio multistrato alla sicurezza informatica è più efficace. Occorre quindi scegliere tecnologie che crittografano i dati non strutturati, automatizzano tutte le elaborazioni manuali, condensano l’archiviazione in un unico luogo e rafforzano la sicurezza del trasferimento dei file.

Garantire la massima sicurezza ai dispositivi endpoint

Poiché i dispositivi connessi a Internet possono aumentare il rischio di sfruttamento dei dati personali, tutti gli endpoint di accesso alla rete devono avere un’unica dashboard (una versione del pannello di controllo più evoluta) consolidata.

Questo semplifica la gestione dei dati tra i vari endpoint, migliora la visibilità dell’intera rete in modo che i team IT interni possano supervisionare e proteggere il flusso di dati.

Infine, consente un maggiore controllo su chi può spostarsi attraverso un endpoint per ridurre al minimo le minacce di accesso remoto e ottimizza il tempo di rilevamento e risposta per le attività sospette.

I rischi per la sicurezza devono essere valutati e segnalati

La perdita di dati (data breach) può verificarsi in qualsiasi fase della supply chain, per cui è importante eseguire controlli di routine su tutti gli aspetti di gestione dei dati personali, incluso il traffico del sito Web, l’interazione con i social media, i thread di posta elettronica e altre forme di coinvolgimento online.

In questo modo sarà possibile identificare le aree più vulnerabili a una violazione della sicurezza, in modo da poter adottare le giuste misure per ridurre la probabilità di furto di dati.

Una valutazione approfondita dei rischi valuta anche l’efficienza del software di accesso alla rete per mitigare la diffusione di virus, malware e altri fattori esterni che contribuiscono alla perdita o al furto di dati. Quanto più si è informati sui rischi, tanto meglio si è in grado di evitarli.

Strategie di elaborazione dati robuste

Nell’ambito del GDPR, la protezione dei dati è suddivisa in due livelli distinti: il titolare del trattamento e il responsabile del trattamento. Un imprenditore o un manager che ottiene le informazioni personali dai clienti e decide poi come vengono utilizzati i dati è il titolare del trattamento, mentre i dipendenti ch eseguono le direttive del titolare sono i responsabili del trattamento. Al fine di prevenire qualsiasi uso improprio dei dati, sono necessari protocolli robusti per controllare e garantire questo particolare equilibrio nell’accesso ai dati.

Per questo motivo, sempre più aziende stanno assumendo i responsabili della protezione dei dati (DPO, Data Protection Officer) come punto di contatto principale per tutte le attività di elaborazione dati. Oltre ad aiutare il titolare del trattamento nel raggiungimento del principio di accountability prescritto dal GDPR, il DPO può istruire tutti i membri del team sulla conformità GDPR e assicurarsi che tali parametri siano seguiti su tutta la linea.

Conclusioni

Da quanto visto finora, è evidente come la conoscenza delle leggi di sicurezza informatica è importante per completare il percorso di raggiungimento e mantenimento della conformità normativa in tema di protezione delle informazioni e dei dati personali.

Proprio nell’ambito della data protection, il rispetto delle norme sulla privacy dei dati è il fattore principale per conquistare la fiducia dei consumatori – o per compensare una perdita di fiducia, come nel caso del recente scandalo Cambridge Analytica di Facebook. Il GDPR, infatti, richiede che l’uso dei dati personali dipenda da un consenso preciso e inequivocabile, a rischio di enormi multe per inadempienza.

Così, andando avanti, Facebook e altre aziende saranno soggette a un rigido protocollo per evitare situazioni come Cambridge Analytica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5