Cybercrime: ecco come si devono difendere le imprese

Cybercrime: ecco come si devono difendere le imprese

Si prevede che l’Internet of Things conterà, entro il 2020, 50 miliardi di dispositivi connessi che raccoglieranno e scambieranno dati relativi agli utenti, alle loro vite, alle loro preferenze e gusti. Un contesto che darà potenzialmente vita non solo a problematiche in materia di trattamento dei dati personali, ma anche a rischi relativi ad eventuali crimini informatici che richiederanno l’adozione di un più alto livello di cybersecurity da parte delle imprese.

L’Internet delle cose potrebbe creare nuove opportunità per gli hacker, capaci di bypassare le misure di sicurezza adottate con riferimento, ad esempio, alle wearable technologies, ai sistemi di telemedicina ma anche dei dispositivi intelligenti del nostro termostato e della nostra auto commettendo dei crimini informatici.

Il problema è stato di recente affrontato anche dal Governo con l’adozione del Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica che prevede, tra gli altri, la possibile modifica delle fattispecie relative ai reati informatici al fine di meglio adattarli all’evoluzione tecnologica che necessariamente comprende nuove tipologie di accessi non autorizzati.

In aggiunta a quanto indicato in precedenza, un possibile cybercrime che derivi dall’accesso a dati personali raccolti in una banca dati compresi, ad esempio, i dati relativi allo stato di salute raccolti tramite tecnologie indossabili, ma anche dati raccolti dai produttori di auto, di elettrodomestici o in generale dispositivi da utilizzare in casa, tecnologie relative all’e-health e alla telemedicina e dati raccolti dalle banche sui propri utenti, può dare vita a responsabilità a carico dei soggetti che agiscono quali titolari del trattamento di tali banche dati. E in tal caso, l’onere della prova circa l’adozione di ogni possibile misura volta ad evitare la perdita dei dati derivanti dal cybercrime sarà a carico proprio dei titolari del trattamento poiché la normativa italiana prevede un’inversione dell’onere della prova per le violazioni in materia di trattamento dei dati personali, creando i presupposti per una situazione che potrebbe definirsi di “probatio diabolica“.

Inoltre, qualora si verifichi la cosiddetta data breach — la violazione di misure di sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali in una banca dati — gli obblighi di notifica al Garante per il Trattamento dei dati Personali al momento rappresentano un obbligo unicamente per i fornitori di servizi di comunicazione elettronica. Tuttavia diventeranno un obbligo per qualsiasi titolare del trattamento e quindi ogni soggetto che gestisca una banca dati, a seguito dell’entrata in vigore del nuovo regolamento in materia di trattamento dei dati personali già adottato dal Parlamento europeo. E tale estensione sarà affiancata da un aumento delle sanzioni in caso di violazione della normativa sul trattamento dei dati personali fino al 5% del fatturato globale del gruppo di appartenenza del titolare del trattamento.

Questi obblighi rappresentano una preoccupazione non solo per le società europee ma anche per quelle non europee quali ad esempio le società americane che raccolgono dati personali di utenti europei in quanto il già citato regolamento europeo troverà applicazione nei confronti di chiunque tratta dati personali di utenti all’interno della Comunità europea.

X