Privacy & Cyber risk: cosa devono fare le aziende in vista dell’entrata in vigore del GDPR

Lo Studio legale SLACC Arnaldi Caimmi&Associati, in collaborazione con Aon, ha organizzato a Milano l’incontro formativo Slacc Club dal tema “Privacy&Cyber Risk”, con l’obiettivo di spiegare alle aziende cosa cambierà nella gestione del cyber risk con l’entrata in vigore della General Data Protection Regulation (GDPR) il prossimo maggio.

Il numero crescente di attacchi informatici e la portata dei loro effetti su ogni aspetto del business, unita agli adempimenti richiesti dal regolamento europeo 679/06, hanno aumentato la consapevolezza delle aziende di dover gestire il rischio cyber in modo sempre più strutturato, integrandolo nelle politiche di risk management aziendale.

Tuttavia, la cultura della gestione sistemica del rischio cyber è ancora ad un livello molto basso in Italia, dove secondo il Global Information Security Survey 2017- 2018 di Ernst&Young solo il 12% delle imprese crede di essere in grado di rilevare un attacco informatico sofisticato, il 75% valuta il livello del proprio sistema non adeguato e non più del 30% investe per ottenere adeguati livelli di protezione da minacce di tipo cyber. Nella maggior parte dei casi, infatti, gli investimenti per la gestione di questo tipo di rischio avvengono solo dopo aver subito un attacco informatico (40% delle aziende). Inoltre, gran parte degli attacchi cyber subiti da un’azienda non vengono comunicati, cosa che non sarà più possibile con l’entrata in vigore del GDPR, pena sanzioni amministrative pecuniarie dal 2 al 4% del fatturato totale annuo.

Nel corso dell’incontro sono state illustrate le contromisure di tipo organizzativo, legale e assicurativo che le aziende dovrebbero mettere in atto per adempiere a quanto previsto dal Regolamento europeo 679/06, oltre che per garantire la continuità del business e la protezione dell’azienda e del brand.

L’avvocato Costanza Mottino, dello studio legale Bongiovanni, ha approfondito le modalità di adeguamento al Regolamento UE sulla Privacy, soffermandosi sulle principali novità apportate dalla nuova normativa e gli aspetti più complessi. Il 78% dei responsabili IT delle aziende non comprende pienamente l’impatto della nuova normativa o non ne è addirittura a conoscenza. Inoltre solo il 20% delle aziende che sono informate del GDPR è già conforme, con la maggioranza (59%) che si sta adeguando e il 21% non a norma (Fonte: Istituto IDC 2017).

“Il regolamento ha introdotto importanti novità, che andranno ad incidere sulle aziende e sulla Pubblica Amministrazione anche a livello organizzativo. Ad esempio l’introduzione di nuove figure professionali come il DPO (Data Protection Officer), consulente e punto di riferimento e garante per le questioni cyber all’interno dell’azienda; le nuove responsabilità per i titolari delle aziende e il top management; la redazione di una nuova reportistica e la disciplina su data breach, che prevede la compilazione di registri di trattamento dei dati personali di un’azienda e il loro costante aggiornamento”.

Maurizio Castellari, di SLACC Studio legale Arnaldi Caimmi&Associati, ha in particolare illustrato i modelli di prevenzione delle minacce informatiche, i principali tipi di attacchi cyber a cui le aziende sono sottoposte, oltre che i trend del rischio cyber nel corso del 2018. “Il 2017 è stato un annus horribilis per la cybersecurity, caratterizzato da vere e proprie epidemie, rappresentate da malware come WannaCry e Notpeya, in grado di diffondersi in tempi rapidissimi non solo all’interno dell’azienda ma a tutto il suo network. Le aziende dovranno quindi essere preparate a far fronte ad emergenze cyber con piani ad hoc di incident response. Il settore sanitario, i business attivi nell’Internet delle cose e le piattaforme di Data Aggregation saranno tra le più esposte a questo rischio”.

E’ stato stimato che a livello globale il costo medio sostenuto dalle aziende per una violazione di dati ammonta a ben 4 milioni di dollari, in crescita del 29% rispetto al 2013, con un tempo medio per l’identificazione e il contenimento di un malaware di 229 giorni. (Fonte:The Ponemon Institute Report (2016)).

Riccardo Aggio, Cyber&Crime Specialist di Aon, si è soffermato sull’identificazione delle principali aree di vulnerabilità in un’azienda, il loro impatto sul business e il relativo trasferimento del rischio residuo al mercato assicurativo. “Le polizze tradizionali non sono in grado di garantire una copertura adeguata per il rischio cyber. Alcune polizze cyber possono invece arrivare a coprire: la responsabilità degli amministratori e manager aziendali, l’interruzione di attività derivante da un attacco (che può impattare negativamente sulle entrate), così come le perdite subite per attacchi cosiddetti “ransomware” (in aumento) attraverso i quali gli hacker compiono di fatto un atto di estorsione, causando (o minacciando) il black-out dei sistemi di un’azienda se non viene pagata la somma di denaro richiesta. Il livello di customizzazione e taylorizzazione raggiungibile è elevatissimo e il supporto di un partner esperto come Aon è più che mai necessario”.