Cultura
Cybercrimes: la persona umana tra digital divide e cyber hygiene
Nel Mese Europeo della Sicurezza Informatica torna di grande attualità la privacy ai tempi di internet. «Un perimetro tutelabile solo attraverso la consapevolezza della persona», spiega Manlio D’Agostino, esperto di cyber security, «l'agire quotidiano umano nella dimensione digitale , a causa della inconsapevolezza, crea de facto delle situazioni che agevolano la commissione di violazioni e reati»
Con l'entrata in vigore del Regolamento Europeo n.679/2016 (GDPR) emerge una rinnovata attenzione ai profili di responsabilità derivanti dal trattamento dei dati personali, che derivano scelte organizzative del titolare, in relazione alla esposizione a rischi diretti ed indiretti della sua attività caratteristica.
La Costituzione Italiana sancisce all'articolo 3, la centralità della “persona umana” ed il suo sviluppo, che lato sensu sono peraltro richiamati nell'ambito della “privacy” sia dalla Convenzione di Strasburgo del 1981 che dalla «Carta dei diritti fondamentali dell'Unione sancisce, all'art. 8, il diritto alla protezione dei dati personali, riconoscendolo come diritto autonomo, separato da quello al rispetto della propria vita privata e familiare (art. 7)».
La “privacy” andrebbe considerata come una sorta di scudo che delimita quel perimetro entro cui è necessario garantire l'autonomia e l'espressione di libertà individuale, mentre la “protezione dei dati” è la modalità e lo strumento attraverso cui chi effettua il trattamento degli stessi, declinandone la responsabilità e la trasparenza di una forma di potere di controllo sulla sfera privata ed individuale.
Il Regolamento (UE) 2016/679 (meglio conosciuto come GDPR) nella prospettiva della tutela dei diritti degli interessati , ha ridato un nuovo significato – tra gli altri, anche – alla gestione preventiva ed organizzata delle emergenze derivanti dalle violazioni di dati personali (cosiddetto, Data Breach).
La “privacy” andrebbe considerata lo scudo che delimita il perimetro entro cui è necessario garantire l'autonomia e l'espressione di libertà individuale. La “protezione dei dati” è lo strumento con cui la si garantisce
Il “Data Breach” è una qualunque violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, compromettendo la riservatezza, l’integrità o la disponibilità di dati personali, e per effetto della quale, il titolare del trattamento dei dati personali, non è in grado di garantire il rispetto dei principi prescritti dall’art. 5 del GDPR.
Tali violazioni, infatti, possono esporre l'interessato a svariati rischi – dal furto d'identità a danni materiali, con anche conseguenti perdite finanziarie, di riservatezza dei dati personali protetti da segreto professionale – e con grave pregiudizio sulla reputazione e sulla sfera privata. Proprio in ragione di tali effetti (diretti ed indiretti), deriva la conseguente responsabilità, assunta in primis da chi effettua un trattamento, la quale non può essere relegata esclusivamente a partire dal momento in cui è verificata una violazione, ma sorge già nel momento in cui il Titolare decide e progetta di avviare il trattamento dati.
L'attenzione sul tema è talmente attuale ed evidente che il Global Privacy Enforcement Network (GPEN) – la rete internazionale nata per rafforzare la cooperazione tra le Autorità in materia di protezione dei dati personali di diversi Paesi (di cui fa parte anche il Garante italiano) – ha avviato una indagine conoscitiva “a tappeto” (denominata per l'appunto “Privacy Sweep 2019”) finalizzata ad esaminare i processi e le procedure adottati per la gestione delle violazioni dei dati personali dai titolari dei trattamenti che operano sui rispettivi territori nazionali. L'obiettivo ultimo, è la sensibilizzazione e responsabilizzazione su questa delicata tematica, che può esporre a rischio i diritti e le garanzie dei cittadini-interessati.
La maggior parte dei Data Breach è legata ad errori umani “in buona fede”, stimati in circa l’80%-90% degli incidenti (senza considerare la componente di «infedeltà»), confermando come il fattore umano sia, anche per la sicurezza (informatica e non), l’anello debole del sistema».
Non è da sottovalutare, dunque, anche una attenta analisi di quelle casistiche, ripartendole tra “errori in buona fede” ed “abusi”, che possono essere compiute da dipendenti e collaboratori autorizzati a trattare i dati.
Una casistica che può dare luogo ad un Data Breach riguarda l'infedeltà aziendale di persone che sono state debitamente autorizzate a trattare nel rispetto delle vigenti disposizioni, proprio in relazione al rapporto di lavoro.
Questa casistica riguarda in modo particolare quelle mansioni e lavori (definiti lavoratori della conoscenza) che sono caratterizzate dalla temporaneità e dalla precarietà, per cui sono stati rilevati casi di persone che deliberatamente accumulano informazioni e conoscenze (anche di natura riservata) con la volontà di utilizzarle successivamente nel successivo impiego: è una sorta di strategia che tende a tramutare la “trappola” della temporaneità in un vantaggio competitivo (E. Armano).
D'altro canto, in seno ai comportamenti in mala fede, è opportuno prendere in considerazione anche il Modello Organizzativo Gestionale e di Controllo (MOGC) che viene introdotto con l’approvazione del Decreto legislativo 8 giugno 2001 n.231 (sebbene vi siano state successivamente integrazioni e modifiche, al fine di adeguare l'ampiezza della portata applicativa) con l'obiettivo di accertare e sanzionare responsabilità amministrativa degli enti (ossia le imprese di qualsivoglia settore e natura, nda) per gli illeciti amministrativi dipendenti da reato, evitando di farla ricadere solo sulla persona (in posizione apicale e/o subordinata) che in seno all'azienda ha materialmente commesso il reato.
Sembra opportuno evidenziare che la citata “responsabilità” si aggiunge (e quindi non è alternativa) a quella penale e civile della persona fisica , che ha commesso l'illecito o il reato: questo approccio nasce dalla esigenza (fondata su precedenti esperienze, anche di natura internazionale) di evitare che il reo individuato risulti un “capro espiatorio” di condotte che, invece, appartengono piuttosto a consolidati modus operandi e politiche gestionali (formalizzate o meno) borderline o peggio ancora illecite, finalizzate a produrre profitti o trarre vantaggi diretti per “l'azienda” stessa.
Infatti, l'innovazione introdotta riguarda una nuova forma di “responsabilità gestionale attiva” che punta non tanto a creare una ulteriore sovrastruttura, bensì una razionalizzazione in itinere per prevenire la commissione di quei reati espressamente previsti, quando essi vengano commessi nell’interesse o a vantaggio della società.
La prevenzione attraverso la consapevolezza della persona
Come in tutti i modelli organizzativo-gestionali (volontari o obbligatori), i fattori tecnologici devono essere sapientemente coordinati con quelli umani. Nello specifico, il tema delle violazioni (e delle loro conseguenze) ha molteplici aspetti tecnici da tenere presente, pur sempre consapevoli che resta centrale il “fattore umano”.
Qualunque tipologia di violazione è riconducibile ad un comportamento umano
La problematica è seria e riguarda tanto la situazione attuale quanto il futuro, poiché il digital divide impatta tanto sui giovani quanto sugli adulti in termini di sottovalutazione dei rischi, richiamando una responsabilità politica che deve essere tempestivamente tradotti in atti legislativi, su vari fronti, da quello regolatorio a quello educativo.
Qualunque tipologia di violazione (che può essere propedeutico alla commissione di reato, anche ed a maggior ragione quando commesso nell'interesse dell'azienda) è riconducibile ad un comportamento umano; medesima condizione che si ritrova nelle condotte penalmente rilevanti, in coerenza con il Codice Penale nonché con i principi fondanti del D. Lgs. 231/01.
Per trovare soluzioni di prevenzione efficaci ed efficienti, è dunque fondamentale porre l'attenzione sull'organizzazione, sulla cultura tecnico-aziendale e sulla educazione alla consapevolezza e – solo di conseguenza – sul know-how.
Infatti, perché come emerge da alcuni studi e report, in generale si è carenti di una specifica “cultura” della Security Awareness: questo gap culturale si manifesta attraverso un uso improprio degli strumenti digitali (HW e SW), tanto è vero che nella “vita social” vi è sempre più l'abitudine a condividere su siti facilmente aggredibili dai cyber criminali, informazioni aziendali quali, ad esempio, gli indirizzi di posta elettronica , che si sono rivelati i primi canali attraverso cui iniziano gli attacchi e le conseguenti violazioni.
Ne consegue che sono proprio i comportamenti inconsapevoli (in buona fede) a favorire – spesso – le attività degli hacker che quotidianamente pongono in atto cyberattacks (come ad esempio, l'invio di spam, virus e malware in genere): questi possono avere delle conseguenze tanto pericolose (l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto di dati personali, il furto d’identità o di dati sensibili, la sottrazione di denaro, alla divulgazione di informazioni riservate, l’impossibilità di accedere ai dati, la perdita o la distruzione di dati personali), quanto economicamente costose, sia nel breve (costi per la Business Continuity ed il Disaster Recovery), che nel lungo termine basti pensare agli effetti reputazionali.
L'agire quotidiano umano nella dimensione digitale per rispondere a necessità personali, sebbene sia in buona fede, a causa della inconsapevolezza dei rischi a cui ci si espone, crea de facto delle situazioni che agevolano la commissione di violazioni e reati
La carenza, tanto qualitativa tanto quantitativa degli attuali programmi di Digital & Security Awareness è molto evidente: infatti, la maggior parte della “formazione” aziendale sulla sicurezza informatica è prevalentemente (se non del tutto) incentrata sugli aspetti tecnici dei device e delle diverse applicazioni tecnologiche in uso. Mentre il vero fattore di rischio non considerato riguarda i comportamenti legati alla “vita social” delle persone, che negli ultimi anni è fortemente aumentata, con l'effetto – da un lato – di condividere con molta facilità informazioni aziendali (quali, ad esempio, gli indirizzi di posta elettronica) su siti facilmente aggredibili dai cyber criminali; e dall'altro, di utilizzare le infrastrutture aziendali (ad esempio, la rete Wi-Fi) con device personali (come ad esempio, smartphone e tablet) che non hanno il medesimo livello di sicurezza di quelli aziendali.
Emerge, dunque, che come l'agire quotidiano umano nella dimensione digitale per rispondere a necessità personali, sebbene sia in buona fede, a causa della inconsapevolezza dei rischi a cui ci si espone, crea de facto delle situazioni che agevolano la commissione di violazioni e reati.
Il punto di snodo è dunque la “nuova” interrelazione tra il cittadino-digitale ed il mondo del lavoro: se nei contesti lavorativi aumenta la sensibilità e la sensibilizzazione ai temi della Digital Security, si potrebbe ottenere un duplice effetto: in modo diretto, si otterrebbe una migliore protezione degli asset informativi nelle organizzazioni in cui le persone operano (finalità aziendale), ed indirettamente si apporterebbe un contributo “sociale” in termini di formazione di base per i cittadini-digitali, nella loro sfera personale. Infatti, «la conoscenza delle minacce derivanti non solo dagli strumenti digitali e dalla rete attraverso malware, ma anche da tecniche di social engineering, che si acquisisce nell’ambito lavorativo
*Manlio d’Agostino Panebianco è docente di “Intelligence Economica e Finanziaria” al Master universitario di II livello in “Intelligence Economica” all’Università degli Studi di Roma Tor Vergata e docente del Master “Data Protection Officer e Nuovo Regolamento Privacy” in materia di “Privacy in ambito sanitario e la refertazione on line” alla 24 Ore Business School
17 centesimi al giorno sono troppi?
Poco più di un euro a settimana, un caffè al bar o forse meno. 60 euro l’anno per tutti i contenuti di VITA, gli articoli online senza pubblicità, i magazine, le newsletter, i podcast, le infografiche e i libri digitali. Ma soprattutto per aiutarci a raccontare il sociale con sempre maggiore forza e incisività.