È trascorso un anno dall’entrata in vigore del GDPR o, come comunemente tutti diciamo, della nuova legge sulla privacy e vogliamo tornare a parlare di polizza cyber.
La sensazione, non solo nostra ma ampiamente condivisa dagli organi di informazione, è che ad un iniziale periodo di preoccupazione, sia seguito il tipico atteggiamento degli italiani verso le regole e oggi, se si accenna ad un imprenditore o ad un professionista di legge sulla privacy, nella maggioranza dei casi ci si sente dire “… ma tanto non è cambiato niente …”.
Beh, non è assolutamente vero, e a fare lo struzzo si rischia moltissimo: perchè, se la testa è sotto terra …
Ma analizziamo cosa scrive il Garante dopo aver spento la prima candelina.
“Volendo ricorrere ad una semplificazione, possiamo dire che il 25 maggio 2018 – data a partire dalla quale sono entrate in vigore le nuove norme – ha segnato uno spartiacque con riguardo alle attività complessivamente messe in atto dal Garante nel corso del 2018”.
In sostanza il Garante dice: il nostro lavoro dopo l’entrata il vigore del GDPR si è drasticamente modificato.
Vediamo come e perchè.
Chi ha voglia di documentarsi e vuole veramente capire come sia cambiato il mondo della tutela dei dati, dopo il 25 maggio 2018, può leggere una parte delle 259 pagine della relazione del Garante per la Privacy, almeno la parte che riguarda l’attività ispettiva.
Per chi non ha voglia o tempo, riportiamo una sintesi dei numeri più significativi contenuti nella relazione 2018.
Partiamo dal dato più eclatante: le sanzioni riscosse nel 2018 sono state 8.161.806 € contro i 3.776.694 € dell’esercizio 2017 … quasi triplicate. Già questo primo dato dovrebbe imporre qualche seria riflessione.
I reclami pervenuti al Garante sono stati 12.788 (una media di 35 al giorno).
Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach (per data breach si intende la violazione dei dati personali che obbliga il titolare del trattamento ad alcuni adempimenti a tutela dell’interessato).
Di questi il 96.9% (630 casi) solo nel periodo dal 25 maggio al 31 dicembre 2018, che hanno riguardato, come titolari del trattamento, soggetti pubblici (27% dei casi) e soggetti privati (73% dei casi). Le tipologie di violazione più frequenti hanno riguardato: attacchi informatici volti al furto di dati personali (quali, credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento); diffusione di virus di tipo ransomware (un tipo di virus che limita l’accesso del dispositivo, richiedendo un riscatto – ransom in Inglese – da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro); inoltre gli attacchi hanno riguardato: smarrimento o furto di dispositivi digitali o documenti cartacei, comunicazione o diffusione accidentale di dati personali.
Fermiamoci a fare qualche considerazione:
Se sei arrivato a leggere fin quì dovresti iniziare a farti qualche domanda. Ma non è finita.
In aumento anche le denunce penali inoltrate all’Autorità Giudiziaria. In un passaggio della sua relazione, il Garante scrive: “È poi considerato particolarmente grave, configurando addirittura illecito penale punito con la reclusione da sei mesi a tre anni, il comportamento di colui che, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi. Non meno grave è considerata, infine, l’intenzionale interruzione o la turbativa della regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti, punita con la reclusione sino ad un anno”.
Come dire: “tempi duri per i furbetti che cercano di nascondere l’accaduto”.
Prendendo in esame i casi di comunicazione di reato penale all’Autorità Giudiziaria, il 51.81% ha riguardato la omessa adozione di misure di sicurezza.
Tradotto: “più della metà dei destinatari di una denuncia penale non ha adottato alcuna misura di sicurezza”.
Sei ancora convinto che le problematiche del GDPR non ti riguardino?
E da un punto di vista civilistico che cosa succede?
Decisamente SI!
E non occorre scomodare la legge sulla Privacy, basta il codice civile.
Due le violazioni maggiormente contestate: omessa o inidonea informativa (32,39% del totale); violazione nel trattamento dei dati (61,95% del totale).
Prendiamo in esame il secondo caso, quello della violazione dei dati, il più consistente con il suo 62% circa delle violazioni contestate.
Cosa succede se un hacker si introduce in un sistema informatico e “ruba” le credenziali, gli indirizzi di posta, i files?
Il titolare del trattamento deve inoltrare immediata autodenuncia al Garante e informare tutte le persone i cui dati sono stati violati, e lo deve fare “tempestivamente e con mezzo idoneo a garantire il ricevimento della comunicazione” .
Fatti quattro conti: quanti indirizzi di posta elettronica hai? Poniamo che un hacker te li sottragga: moltiplica il numero degli indirizzi per il costo di una raccomandata … Quanto ti costerebbe?
A questo punto scatta un’altra serie di incombenze che, dopo l’autodenuncia al Garante, vanno dalla ricostruzione di archivi e indirizzari, fino ad arrivare al risarcimento di eventuali danni causati a terzi.
Sicuramente la prima cosa da fare è dotarsi di un buon antivirus e tenerlo aggiornato. La seconda cosa è stare molto attenti ai siti in cui si naviga: i siti pornografici, per esempio, sono il più grande veicolo di trasmissione usato dagli hacker. E poi c’è la posta elettronica: spesso (circa nel 92% dei casi) siamo proprio noi ad aprire la porta all’hacker: scaricando files di sconosciuta provenienza, ammiccanti, minacciosi, di sollecito. L’unico consiglio che ci sentiamo di dare è: leggere con molta attenzione i dati del mittente ed evitare di aprire mail dal contenuto sospetto o non sicuro.
Ma non è ancora sufficiente: perchè purtroppo l’errore è dietro l’angolo e a questo si aggiunge, per le aziende ed i professionisti, il dipendente sprovveduto che “clicca” su una mail sbagliata … e l’hacker vi entra in casa (cioè nel vostro p.c.).
Potrebbe capitare, come in effetti è gia capitato, che l’hacker usi i dati per diffondere virus o informazioni di varia natura, fino ad arrivare a ricattare minacciando la diffusione di dati personali o sanitari, informazioni, fotografie, filmati, etc.
Sia nell’uno che nell’altro caso può essere di aiuto la sottoscrizione di una polizza Cyber che indennizza i costi diretti dell’assicurato e risarcisce le richieste danni dei terzi che fossero stati danneggiati dalla nostra imprudenza o meglio sarebbe dire dal nostro atteggiamento da struzzo.