In un mondo sempre più connesso digitalmente le minacce alla sicurezza informatica hanno un impatto molto rilevante sull’economia globale.
Gli sconvolgimenti portati dalla pandemia hanno interessato diversi ambiti e i lockdown imposti dai governi in molte aree geografiche hanno accelerato il ricorso al digitale.
Durante l’emergenza Covid-19 le vendite on-line hanno raggiunto i 4,8 trilioni di dollari, in aumento del 22% rispetto al periodo pre-pandemico.
L’Organizzazione Internazionale del Lavoro ha rilevato un aumento significativo nell’utilizzo dello smart working rispetto ai 260 milioni di lavoratori agili del 2019.
Alla base della digitalizzazione del lavoro e dei servizi, ci sono le tecnologie, tra cui quella del 5G, che a livello globale continuano ad attrarre investimenti significativi.
Dall’altro lato, però, la sempre maggiore interazione con i sistemi informatici che utilizziamo in maniera sempre più costante ha:
- aumentato il livello di vulnerabilità agli attacchi cyber e alle frodi on-line;
- innescato l’incremento delle minacce da parte dei criminali informatici.
Si stima che i costi correlati siano 10 trilioni di dollari all’anno dal 2021, cifra raddoppiata rispetto al 2015, e che gli attacchi informatici siano quintuplicati dallo scoppio della pandemia.
Il settore della sanità, seguito da quello delle energie e dal settore finanziario, è quello con i costi maggiori per ogni furto: nel biennio 2020-2021 il costo medio è stato di 7,3 milioni di dollari. Le violazioni sono state causate nel 52% dei casi da attacchi informatici, nel 25% da anomalia dei sistemi, e nel 23% da errori umani. Il costo medio annuale per un furto di dati e di 3,86 milioni di dollari. 150$ è il costo medio stimato per ogni informazione personale (PII – personally identifiable information), che rappresenta il tipo di informazione rubata più di frequente.
In questo contesto, che allarma sia le istituzioni pubbliche che le aziende private, predisporre strategie di salvaguardia dei sistemi informatici e di protezione dei dati digitali diventa fondamentale.
E questo vale sia per i dati personali sia per i dati non personali.
È vero che la protezione delle sole informazioni riguardanti persone fisiche è un obbligo previsto dal Reg. UE 679/2016 (GDPR) che impone l’applicazione di misure di sicurezza adeguate per scongiurare il verificarsi di violazioni di dati da dover eventualmente notificare al Garante Privacy o comunicare agli interessati. Ma anche i dati non personali, oltre a quelli personali, rappresentano un asset aziendale e proteggerli:
- favorisce la continuità del business e ostacola l’interruzione dei servizi e il blocco, a volte anche definitivo, delle attività;
- contribuisce a difendere la reputation dell’organizzazione, la cui immagine viene intaccata nel momento in cui subisce un attacco.
Per questo motivo, per rendere efficace la digitalizzazione, non è più possibile separare il concetto di tecnologia da quello di cybersecurity.
A rendersene conto è anche il legislatore, dato l’incremento di norme, volte a migliorare gli standard di sicurezza informatica, che negli ultimi anni si sono susseguite sia a livello europeo che nazionale.
Basti pensare alla Direttiva europea NIS 1148/2016, recepita in Italia dal Decreto NIS del 2018 e che verrà sostituita dalla Direttiva NIS II, la cui proposta è stata pubblicata il 4 novembre dello scorso anno. La Direttiva NIS:
- impone agli Stati membri di adottare strategia di cybersecurity lasciandoli liberi di sceglierne le modalità di attuazione;
- si applica agli OSE (Operatori di Servizi Essenziali) nei settori sanitario, bancario e dei trasporti e agli FSD (Fornitori di Servizi Digitali) in ambito e-commerce, cloud e motori di ricerca online.
Sulla scia della Direttiva NIS è stato emanato nel 2019 il Regolamento europeo denominato Cybersecurity ACT, volto a:
- creare un framework armonizzato per la certificazione della sicurezza informativa dei prodotti e dei servizi digitali;
- rafforzare il ruolo dell’ENISA (Agenzia dell’UE per la sicurezza delle reti e dell’informazione).
A livello nazionale, il 20 novembre 2019 è stato convertito in legge il Decreto che istituisce il Perimetro di sicurezza nazionale cibernetica, che introduce obblighi rivolti a soggetti pubblici e privati da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Infine, il Decreto-legge del 14 giugno 2021 ha istituito la Agenzia per la cybersicurezza nazionale, con personalità giuridica di diritto pubblico, dotata di autonomia regolamentare, patrimoniale, organizzativa, contabile e finanziaria, a tutela degli interessi nazionali nel campo della cybersecurity e di tutela della sicurezza nazionale nello spazio cibernetico.
Nell’attuale scenario, in cui si stima che entro il 2026 quasi 26% del PIL mondiale potrebbe dipendere dall’economia digitale, un focus sulla sicurezza, resilienza e affidabilità dei sistemi che le organizzazioni utilizzano è al centro delle sfide per il futuro ed è un fondamentale motore di crescita non solo per i Paesi sviluppati ma anche per quelli emergenti.
Dott. Alessio Grazia, Avv. Maria Livia Rizzo