Leggi l’articolo originale su IlSole24Ore
di Stefano Elli
Le norme esistono ciò che ancora manca è la sensibilizzazione su un tema delicato
Che si tratti di accessi abusivi alle banche dati effettuati da appartenenti alle forze dell’ordine, oppure da impiegati bancari afflitti da sindromi ossessivo-compulsive, sempre di accessi abusivi si tratta. E il tema potrebbe essere allargato ad altri campi e settori. Per esempio alla vasta sfera della sanità pubblica e privata, non a caso target primario degli hacker (o cracker) specializzati in cyber-estorsioni.
Di certo esiste un’evidenza empirica vistosa: la “forzatura” delle banche dati e il trafugamento delle informazioni ivi contenute per i fini più svariati sembra diventata una prassi sin troppo comune. E questo a dispetto di tutte le norme nazionali e comunitarie messe in campo per contrastarla.
La legge 90 del 28 giugno 2024
Subito dopo lo scoppio del caso Pasquale Striano, il tenente della Gdf accusato dai pm perugini di avere effettuato impropri accessi alle banche dati della Dna, il sottosegretario di Stato Alfredo Mantovano, il 13 marzo scorso era intervenuto alle Commissioni riunite Affari Costituzionali-Giustizia della Camera dei Deputati annunciando un disegno di legge volto a inasprire le pene sugli accessi abusivi alle banche dati. Il Ddl è stato poi effettivamente recepito nella legge 90 del 28 giugno 2024 entrata in vigore il 17 luglio scorso. In particolare l’articolo 16 che, tra l’altro, ha modificato l’articolo 615 ter del Codice penale raddoppiando le pene detentive previste sia nei casi di accesso abusivo semplice, sia nei casi in cui gli accessi illeciti siano stati commessi da pubblici ufficiali.
Il regolamento Gdpr
Il fronte penale non è l’unico baluardo che dovrebbe mettere al riparo i cittadini dai “data breach”. Il 25 maggio 2018 è entrato in vigore il regolamento Ue 2016/ 679 meglio noto come Gdpr. Con esplicito riferimento all’ipotesi di violazione o accesso abusivo alle banche dati il Gdpr all’articolo 55 dispone l’obbligo nei confronti dei titolari del trattamento dei dati personali di notificare ogni violazione all’Authority sulla privacy, nello specifico quando si verifichi un furto di un database o quando un ransomware o qualunque altro soggetto trafughi un insieme di dati personali custoditi all’interno degli archivi informatizzati di un’azienda o di un’altra persona giuridica.
La tempistica
In questo caso la tempistica della notifica alle autorità assume un valore fondamentale: Il Gdpr, infatti, impone al titolare del trattamento di notificare le violazioni riscontrate senza ritardi ingiustificati e, se possibile, entro le 72 ore dal momento della conoscenza del fatto. Ovvio che in considerazione di ciò il titolare dei dati si debba dotare di meccanismi di segnalazione per poter rilevare tempestivamente tali violazioni ed eventualmente per trovare delle soluzioni adeguate per porre rimedio alla “fuga di notizie”.
Lacune difensive
Ed è proprio qui che il sistema mostra pericolose lacune “difensive”. Spiega Roberto De Vita, avvocato penalista esperto di crimine digitale e cibernetico: «Mentre nel tempo è cresciuta e sta crescendo la capacità di difesa (tecnica e comportamentale) dagli attacchi esterni al perimetro della organizzazione, questo non è altrettanto vero rispetto al rischio di compromissioni e di dispersioni informative originanti dall’interno, da un dipendente o da un collaboratore che abbia privilegi di accesso e li devii per attività illegittime e anche illecite. Sono numerosi i casi che dimostrano la debolezza degli alert preventivi e della tempestività della scoperta, oltre che una scarsa propensione alla condivisione immediata con le autorità di vigilanza e l’autorità giudiziaria».
Lesioni reputazionali
«A frenare – prosegue De Vita – a volte è il timore della lesione reputazionale, altre il timore di potenziali sanzioni derivanti da disfunzioni organizzative e gestionali. Ma il dato macroscopico – rincara la dose De Vita – riguarda la strutturale mancanza di monitoraggio capillare automatizzato degli accessi alle banche dati, che attraverso algoritmi riesca a costruire indici di rischio comportamentale che consentano poi di orientare selettivamente il controllo su specifici accessi e su specifiche condotte di dipendenti. Tale mancanza – conclude De Vita – non dipende da particolari complessità tecniche, ma da una colpevole sottovalutazione del rischio, da una idea “proprietaria” dei dati raccolti e da una presunzione di insindacabilità del loro utilizzo interno».
