Le esigenze di sicurezza delle infrastrutture informatiche, dei sistemi e dei dati in essi contenuti devono ritenersi, da qualche anno a questa parte, priorità fondamentali della programmazione aziendale, tanto che non può più considerarsi sufficiente il solo adeguamento alla normativa di settore (nello specifico il combinato disposto del D.Lgs. 196/2003 e del D.Lgs. 231/2001), concernente esclusivamente ipotesi di condotte illecite attive di dipendenti e dirigenti e finalizzate all’esclusione della responsabilità amministrativa dell’ente nel caso di commissione di reati informatici. È necessario un cambio di mentalità, che indirizzi gli amministratori nella direzione di investimenti strutturali in funzione dell’adeguamento a livelli di sicurezza superiori alla sufficienza, quali, ad esempio, quelli garantiti dalle certificazioni di “compliance” agli standards posti da enti regolatori privati, solitamente accreditati a livello comunitario ed internazionale. Ed è necessario che, per essere efficace ed avere allo stesso tempo un corretto inquadramento legale, tale cambio di mentalità venga affrontato, in maniera sinergica, dagli amministratori, con l’intervento di tecnici informatici e professionisti legali specializzati nel campo del diritto delle nuove tecnologie.
In occasione del Mese Europeo della Sicurezza Informatica, iniziativa dell’Unione Europea in corso ad Ottobre e volta a sensibilizzare i cittadini e le imprese sui temi della cybersecurity, l’Associazione Italiana per la Sicurezza Informatica ha presentato a Verona il Rapporto Clusit 2014, un report annuale che offre un’analisi approfondita e multidisciplinare dello stato del fenomeno nel nostro Paese. Ebbene, dal raffronto dei dati raccolti risulta evidente come gli attacchi informatici su larga scala, così come gli attacchi mirati ad obiettivi finemente individuati, siano fenomeni sempre più frequenti, capaci di colpire un numero sempre crescente di aziende e di causare danni di varia natura con costi estremamente rilevanti.
L’attenzione per la sicurezza dei sistemi e dei dati aziendali, ma anche per una serie di altri beni e valori ad essi strettamente connessi (si pensi ad esempio al concetto di brand reputation, declinata nella sua accezione digitale di e-reputation) , devono oggi essere riconosciuti quali veri e propri assets meritevoli di tutela. Tutela che, almeno in via preventiva, passa necessariamente attraverso l’attuazione di politiche di gestione e di sicurezza che siano chiare ed approfondite, accompagnate ad una serie di procedure interne di analisi, controllo e investigazione che cerchino non soltanto di soddisfare gli standards minimi ed evitare sanzioni economiche ed interdittive, ma anche di anticipare il manifestarsi di attacchi provenienti non solo dall’esterno, ma anche dall’interno dell’azienda.
In generale, la normativa di settore degli ultimi anni, e quindi anche il D.Lgs. 231/2001, ha posto particolare enfasi sull’adeguatezza del solo sistema di controllo interno aziendale. L’obiettivo, fino ad oggi, è stato quello di portare gli organi societari a definire adeguati sistemi di mappatura che garantiscano il rispetto delle politiche e delle procedure aziendali da un lato ed il raggiungimento degli obiettivi prefissati dall’altro. La Legge 18.03.2008, n. 48, recante la “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, sottoscritta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno” ha da tempo aggiunto al D.Lgs. 231 /2001 l’art. 24-bis, il quale introduce alcune ipotesi di reato in materia di criminalità informatica, già disciplinate all’interno del codice penale e nelle norme speciali ad esso connesse, estendendo così la responsabilità amministrativa degli enti anche in caso di commissione di alcuni delitti informatici ed al trattamento illecito dei dati.
In realtà, proprio con riferimento agli illeciti penali afferenti il trattamento dei dati contemplati dal Codice della Privacy, si deve registrare, nel corso dell’ultimo adeguamento normativo recepito con legge di conversione n. 119/2013, l’incauta soppressione del comma 2 dell’art. 9 del D.L. 93/2013, con conseguente eliminazione della prevista responsabilità degli enti in caso di trattamento illecito ai sensi dell’art. 167 del D.Lgs. 196/2003. Del resto, lo stesso legislatore non aveva comunque preso in considerazione, in tema di responsabilità dell’ente, alcuna delle contravvenzioni previste dal Codice Privacy, prima fra tutte la mancata adozione delle misure minime di sicurezza previste dall’art. 33, parimenti punita ai sensi dell’art. 169 del predetto Codice.
Al di là dei rimpianti per una normativa di settore più stringente, le aziende che hanno adottato il modello di organizzazione gestione e controllo ai sensi del d.lgs. 231/01 devono prevenire reati quali l’accesso abusivo ad un sistema informatico, l’intercettazione di comunicazioni, il danneggiamento di informazioni, dati, programmi e sistemi, le violazioni del diritto d'autore. Tutte ipotesi di condotte trasversalmente attuabili non soltanto dai responsabili e dai dipendenti delle aree ICT, ma astrattamente addebitabili a qualsiasi esponente della compagine aziendale. Si pensi alla fattispecie più semplice e, probabilmente, più diffusa: la violazione del diritto d'autore prevista dall’art. 171-bis della Legge 633/41 e successive modifiche. In quante aziende vengono installati programmi non originali magari per consentire risparmio alle singole direzioni, senza che talvolta il manager ICT ne sia informato o abbia autorizzato una simile condotta?
La normativa sulla responsabilità amministrativa degli enti in caso di commissione di reati, tuttavia, vige dal 2001 e, sebbene la previsione, quali reati presupposti, di alcuni crimini informatici sia intervenuta solo nel 2008, molte aziende vi hanno finora aderito percependo le disposizioni normative esclusivamente come un obbligo. Poche hanno compreso il valore dei sistemi di monitoraggio non solo delle attività dei propri impiegati, ma anche delle soluzioni che garantiscano la tutela dei sistemi informatici in generale e delle altre risorse telematiche dell’azienda (si pensi, ad esempio, ai profili aziendali aperti sui social network, alle piattaforme di condivisione online di contenuti, ai metodi di pagamento telematico), soprattutto in relazione alla previsione di misure di sicurezza che siano idonee ad impedire la commissione di reati informatici.
Non parliamo esclusivamente di modelli organizzativi finalizzati ad escludere – sulla carta – la responsabilità per reati commessi nell’interesse dell’ente. Un più elevato grado di sicurezza, difatti, ha un duplice vantaggio ed è utile anche ad evitare alcune situazioni passive, in cui, al contrario, la minaccia per l’azienda è quella di essere essa stessa vittima di cybercrimes. Con la crescita esponenziale della tecnologia e la diffusione capillare delle risorse informatiche, infatti, ivi compresi gli strumenti di condivisione di dati ed informazioni quali il cloud computing ed i social network, ed anche a seguito della inevitabile e sempre più frequente interconnessione tra dispositivi aziendali e privati, nonché tra device fissi e mobili distribuiti in uso ai dipendenti, l’attenzione per la sicurezza informatica deve necessariamente essere una priorità.
Nuove e fino ad oggi sconosciute minacce incombono sugli assets aziendali: le attività di penetrazione dei sistemi informatici si intrecciano oggi con tecniche di social engineering che provano a superare le misure di sicurezza tecnologiche attraverso vecchi schemi riciclati dalle truffe “tradizionali”. Fattispecie come il c.d. cyberheist, in cui i dipendenti vengono indotti a cliccare su link malevoli cuciti su misura per loro e, di conseguenza, a veicolare inconsapevolmente l’infezione all’interno del sistema aziendale, prevedono la commistione tra inganno offline e attacco online, al fine di ottenere le informazioni custodite dagli incaricati alla sicurezza aziendale e guadagnare così l’accesso al patrimonio digitale dell’ente. Veri e propri episodi di estorsione sono portati a termine attraverso l’utilizzo di ransomwares, software di cifratura forzata dei dati che vengono iniettati nei sistemi aziendali e ne causano il blocco, fino al versamento della somma richiesta, considerata il “riscatto”, attraverso piattaforme di pagamento a distanza. Le nuove frontiere della criminalità informatica si sono spostate verso i dispositivi mobili, come smartphone e tablet, i cui sigilli devono essere scardinati attraverso l’attacco a distanza e l’utilizzo di apps infette, di cui difficilmente l’utente/dipendente si accorge fino al momento della commissione del reato. Lo stesso rapporto pubblicato nel giugno del 2014 da Clusit (Associazione Italiana per la Sicurezza Informatica) mette oggi in guardia le aziende dai rischi che potrebbero derivare dai social network, in quanto il pericolo tende ad essere spesso sottovalutato e può essere dannoso sia dal punto di vista dell’immagine dell’azienda che dal punto di vista della sicurezza nel senso classico. Sempre più frequenti sono gli episodi in cui i criminali informatici, siano essi ex dipendenti scontenti, piuttosto che estranei interessati a ledere la reputazione dell’azienda, attaccano i profili aziendali e tentano di guadagnarne il controllo.
Non sorprende, pertanto, che i casi di violazione della cybersecurity crescano ogni anno, insieme al conseguente impatto finanziario sulle aziende italiane. Tuttavia, la rilevanza di tali violazioni diventa maggiore se consideriamo le modalità di individuazione e gestione di tali eventi. Gli attacchi sono sempre più sofisticati ed è fondamentale identificare procedure che integrino la prevenzione di tali attacchi e di risposta in caso di violazioni, per minimizzarne gli impatti negativi.
In una parola, la soluzione andrebbe ricercata in una maggiore attenzione alla compliance aziendale al fine di ottenere la fiducia dei clienti e delle persone che nell’impresa lavorano, per aumentare efficienza e reddittività, eliminando o quantomeno riducendo al minimo il rischio che incidenti informatici, siano essi originati da situazioni passive, piuttosto che dall’intervento attivo di qualche dipendente, mettano a rischio i dati e quindi il corretto svolgimento dell’attività societaria. La sicurezza informatica aziendale, infatti, deve essere considerata “un processo, non un prodotto” e va analizzata ed affrontata attraverso un approccio integrato (tecnologico ed organizzativo, organico, strutturato ed interdisciplinare) ovvero mediante la strutturazione di un sistema di identificazione, analisi e valutazione dei rischi, nonché di selezione delle migliore strategie di prevenzione e gestione degli stessi. L’adozione di tale processo, più comunemente noto come Information Security Management System (ISMS), nonché, più in generale, l’adeguamento a standards certificati e internazionalmente riconosciuti quali, ad esempio, UNI CEI ISO/IEC 27001:2006 (che ha già iniziato ad essere rimpiazzato, soprattutto all’estero, dalla versione 2013, di recente approvazione), finisce per costituire un indicatore di efficienza e di solidità dell’organizzazione che sarà in grado di garantire, non soltanto sul versante prettamente informatico, l’affidabilità e la continuità dei servizi erogati, il mantenimento di appropriati livelli di confidenzialità, l’integrità e la disponibilità delle informazioni. Dalla predisposizione di un simile apparato preventivo, del resto, trarrebbero medesimo se non ulteriore beneficio gli stessi amministratori, soprattutto in caso di citazione concorsuale per il risarcimento di eventuali danni ai sensi dell’art. 2050 c.c.
Certo è che anche l’attività di adeguamento delle policies di sicurezza deve necessariamente essere affrontata attraverso una stretta collaborazione tra gli specialisti del settore ICT, che predispongano interventi tecnici all’avanguardia, ed i consulenti legali dell’azienda, che ne monitorino l’aderenza all’impianto normativo attualmente in vigore. Con l’abrogazione dell’obbligatorietà, in capo ai titolari del trattamento di dati personali e sensibili, della reazione del Documento Programmatico sulla Sicurezza, infatti, la necessità di un vaglio da parte dell’avvocato, posto che le questioni tecniche affrontate in questa sede, come visto, presentano profonde cointeressenze con il settore legale, è quanto mai auspicabile.
Le società che hanno già messo in pratica un modello organizzativo ex D.Leg. 231/2001 hanno in parte compreso l’importanza del fenomeno. Ma la forzata aderenza alle prescrizioni amministrative non è che un punto di partenza per un processo evolutivo che parta dal semplice concetto di risk assessment come tradizionalmente inteso ed estenda l’attenzione ad una organizzazione strutturata a definire efficacemente le modalità di prevenzione. Poiché, tuttavia, i rischi legati alla sicurezza informatica non verranno mai completamente eliminati e, stante la crescita dei cybercrimes, le società dovranno essere preparate e vigili nell’ambito di uno scenario in costante evoluzione. Non più un modello di sicurezza tradizionale, dunque, concentrato su prevenzione e controllo, ma un approccio basato sulla gestione del rischio che sia in grado di dare priorità agli assets di maggior valore e valuti dettagliatamente le minacce incombenti e le possibilità di previsione, contrasto ed intervento.
TAGS
RP Legal & Tax