Non proteggere i dati è reato

Non proteggere i dati è reato: piovono multe del
Garante Privacy alle aziende
Martedì 14 Aprile 2015 00:00
Corriere della Privacy
Nel solo secondo semestre 2014 il Garante Privacy ha fatto sanzioni ad aziende pubbliche e
private che hanno fruttato all’erario circa 5 milioni di euro, frutto di 385 ispezioni condotte in
team con il Nucleo speciale Privacy. Oltre alle sanzioni già verbalizzate, altre 577 sanzioni
amministrative sono fase di definizione, mentre sono state fatte 39 segnalazioni all’autorità
giudiziaria, che qualora vadano in giudicato potrebbero tramutarsi in pene detentive fino a
un massimo di due anni di carcere, come previsto dall’articolo 169 del DLgs
196/2003 che recita testualmente “Chiunque, essendovi tenuto, omette di
adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a 2
anni o con l’ammenda da 10.000 a 50.000 euro”.
A fronte del vertiginoso incremento dei casi di furto di dati o di danni all’integrità degli stessi perpetrati con i più svariati
malware, il Garante della Privacy sta battendo a tappeto le aziende che detengono informazioni sensibili,
per verificare che i sistemi informativi in uso siano in grado di sostenere qualsiasi tipo di evento di cybercrime. Le aziende che non proteggono in maniera adeguata i dati sensibili dei propri collaboratori e dei propri clienti da
attacchi informatici rischiano di passare dei seri guai: oltre al costo vivo del ripristino dei sistemi, parliamo di multe
salatissime, e addirittura del rischio di arresto, laddove basterebbero davvero pochi ma importanti accorgimenti per
tutelarsi.
“Sono ormai numerosi gli studi commissionati da noti brand della sicurezza informatica e divulgati dai più diversi istituti
di ricerca statunitensi in merito al costo del cyber-crime”, afferma Giulio Vada, Country Manager di G DATA Italia,
“eppure, nonostante il chiasso con cui tali informazioni vengono distribuite sia quasi al limite del terrorismo psicologico,
le aziende non mostrano preoccupazioni né rispetto al danno reputazionale associato al furto di dati, né rispetto al danno
economico cagionato da un’eventuale indisponibilità dei sistemi a fronte di un cyber-attacco, né, men che meno, rispetto
alle misure del Garante”.
In effetti, le cifre astronomiche menzionate negli studi (il più recente cita 875 milioni di dollari di perdite dovute agli
attacchi, e spese di ripristino dei sistemi per un valore di quasi nove miliardi, solo in Italia) risultano quanto mai
ingiustificate, se rapportate all’effettiva spesa in cui un’azienda incorre per l’acquisto di una soluzione integrata antimalware prodotta in Europa e quindi conforme alle normative europee sulla salvaguardia dell’integrità dei dati e sulla
privacy.
Il furto di informazioni business (ad esempio dettagli sui clienti tra cui dati di contatto, linea di credito, termini di
pagamento, numero degli ordini effettuati, articoli acquistati e dettagli sulle abitudini d’acquisto) rappresenta una delle
attività più lucrative per il cybercrime, poiché immediatamente monetizzabile. Una protezione efficace degli asset
aziendali inizia proprio con l’implementazione di sistemi di protezione dei server che ospitano i sistemi di gestione di tali
dati e le relative interfacce, tra cui server Web che ospitano piattaforme e-commerce o strumenti di pagamento on-line.
Lo stesso vale per i terminali deputati all’inserimento e all’elaborazione dei dati nei gestionali, oltre che autorizzati ad
accedervi. Tra questi in primis smartphone e portatili, che – spesso di proprietà del dipendente – non sono conformi alle
politiche di sicurezza aziendali e, privi di qualsivoglia protezione, possono veicolare malware e aprire back door nella rete
aziendale una volta connessi ad essa; malware in grado di trasmettere dati e informazioni riservate all’esterno in modo
del tutto impercettibile, o di assoggettare intere reti a botnet del calibro di Ramnit.
Domandandosi perché le aziende oggi corrono anche solo il rischio di subire sanzioni o danni economici per attacchi
veicolati da malware, quando la soluzione è alla portata di chiunque, risulta evidente che, per quanto facilmente fruibile,
la sicurezza è spiacevolmente percepita come costo reale – seppur talvolta irrisorio – mentre il rischio è solo potenziale.
“Il ‘toto-probabilità’ è una risposta decisamente inadeguata al panorama delle attuali minacce informatiche” sottolinea
Vada. “I primi operatori che dovrebbero sensibilizzare le aziende a proteggere efficacemente i dati di cui sono in
possesso, sono proprio i rivenditori dei software che gestiscono dati e/o informazioni sensibili”.
Integrando nella propria offerta soluzioni per la sicurezza IT, chi propone e installa piattaforme ERP non solo tutela i
propri clienti, ma avrebbe anche modo di diversificare il proprio portafoglio, attivandosi in un ambito dell’information
technology, quello della sicurezza IT, che, vista la creatività degli hacker, non conosce crisi.
Fonte: BitMat
Il Parlamento UE approva in via definitiva il
nuovo pacchetto protezione dati
Venerdì 15 Aprile 2016 06:09
Fonte : Corriere della Privacy http://www.corriereprivacy.it
L’assemblea plenaria del Parlamento Europeo ha adottato questa mattina in
seconda lettura i testi del Regolamento europeo in materia di protezione
dei dati personali e della Direttiva che regola i trattamenti di dati personali
nei settori di prevenzione, contrasto e repressione dei crimini. Con questo
passaggio si conclude un iter legislativo durato oltre 4 anni.
Il nuovo “pacchetto protezione dati” garantirà maggiori opportunità e
tutele per cittadini e imprese, adeguando una normativa europea che risale
ormai agli anni 90, cioè ad un’epoca in cui molte delle nuove tecnologie attuali non esistevano e
Internet era ancora ai suoi albori”.
In particolare, il nuovo Regolamento introdurrà una legislazione in materia di protezione dati
uniforme e valida in tutta Europa, affrontando temi innovativi - come il diritto all’oblio e alla
portabilità dei dati - e stabilendo anche criteri che da una parte responsabilizzano maggiormente
imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli
semplificazioni e sgravi dagli adempimenti per chi rispetta le regole.
La Direttiva, secondo elemento fondamentale del pacchetto, stabilisce, per la prima volta, norme
comuni per il trattamento dei dati a fini giudiziari e di polizia all'interno di tutti gli Stati membri.
Obiettivo della Direttiva è quello di innalzare le garanzie per la privacy dei cittadini quanto
interviene un trattamento dati per motivi giudiziari e di polizia, ma anche facilitare notevolmente lo
scambio e l’uso delle informazioni utili per il contrasto a fenomeni come criminalità e terrorismo.
Dopo che, la prossima settimana, il Consiglio Ue avrà preso atto formalmente dell’approvazione del
pacchetto da parte del Parlamento, si avrà la pubblicazione dei testi nella Gazzetta Ufficiale
dell’Unione Europea (GUUE), verosimilmente entro la fine di giugno. Il Regolamento entrerà in
vigore 20 giorni dopo la pubblicazione nella GUUE e, dopo due anni, le sue disposizioni saranno
direttamente applicabili in tutta l’Unione europea. Gli Stati membri avranno due anni per recepire
le disposizioni della direttiva nel diritto nazionale con apposite norme.
“L’approvazione del Regolamento e della Direttiva rappresentano per l’Unione un traguardo
importante, atteso da tempo” – ha commentato Antonello Soro, Presidente dell’Autorità Garante
per la protezione dei dati personali. “Ma si pongono anche come una sfida sia per le Autorità
Garanti sia per imprese, soggetti pubblici, liberi professionisti chiamati ad un ruolo di grande
rilievo e responsabilità nel garantire un sempre più elevato grado di tutela delle persone che
vivono e operano nell’Unione. Un percorso verso una più ampia tutela, soprattutto nel mondo
digitale - ha concluso Soro - che si apre già da subito e che vedrà l’Autorità italiana impegnata in
un dialogo costante con tutti gli attori in campo e con le altre Autorità Garanti europee”.
Fonte: Garante Privacy