PERCHE’ IL GDPR E’ IL MIGLIOR STRUMENTO DI DIFESA CONTRO IL COSTANTE AUMENTO DEL CRIMINE INFORMATICO.
I crimini informatici sono in costante aumento.
E' una affermazione che non necessità di nessuno sforzo di immaginazione: è una realtà sotto gli occhi di tutti!
E lo sono perchè le occasioni di fare profitti illeciti si stanno moltiplicando. Dopo tutto qualsiasi pescatore preferisce mari molto popolosi e pescosi per gettare le proprie reti oppure il ladro o il borseggiatore preferisce luoghi molto affollati dove troverà molte occasioni di sottrarre portafogli e borsette.
Ovvio quindi che, più quel mare diventa popolato e pescoso, più la piazza diventa frequentata e più i malintenzionati rivolgeranno la loro attenzione ad un contesto dove si presentano le occasioni migliori e sempre più numerose, dove si trovano i portafogli migliori. addirittura vere casseforti.
Questi portafogli e borsette sono gli archivi e le banche dati delle aziende. E le monete contenute sono i dati personali di milioni, miliardi, di utenti che possono essere usati per scopi leciti o anche illeciti.
Alcuni utilizzi? Profilazione, dati venduti per marketing selvaggio, hackeraggio, sono solo alcuni dei modi in cui vengono utilizzati i dati rubati.
Prestare attenzione alla protezione dei dati e rispettare le prescrizioni del gdpr, lungi dall’essere un un costo o un inutile dispendio di attività, diventa per le aziende una potente arma di difesa e uno strumento protezione nella prevenzione dei rischi.
Non bisogna però credere ladri e borseggiatori siano attratti solo dai bottini più consistenti. I criminali sono attratti dai bottini facili più che dai più remunerativi. Ecco allora che anche i piccoli bottini, ma facili, diventano molto attraenti.
In questo contesto i criminali informatici possono fare affidamento su un fattore che gioca decisamente a loro favore: disattenzione e le distrazioni dell’utente medio di internet che, troppo spesso, non si rende conto delle conseguenze di un click, magari fatto con un dito mentre cammina in strada, parla con gli amici o beve un caffè. I pirati informatici sono consapevoli della poca alfabetizzazione degli utenti che spesso non sanno riconoscere una mail di phishing da una originale, e di come sfruttare a loro favore questi limiti nei comportamenti umani mediante, ad esempio, attività di social engineering (sfruttare il comportamento umano e le sue debolezze per meglio poter accedere ai loro terminali digitali).
Ecco allora che i dati posseduti da un commercialista o un avvocato, oppure i dati di accesso ai conti correnti, numeri di carte di credito, codici di pagamenti on line, codici di accesso a caselle di posta o VPN aziendali (v. il caso Colonial Pipeline) diventano facili bottini da aggredire.
Ecco allora che le aziende sono gli obiettivi privilegiati degli attacchi informatici. Sono obiettivi ideali perché facili e perché è difficile proteggersi da tutti gli attacchi che sfruttano il fattore umano. Questi attacchi, specialmente in questo momento di pandemia, sono aumentati in modo esponenziale a causa dei maggiori rischi determinati dal ricorso massiccio al telelavoro: computer usati sia per scopi personali che per lavoro, connessioni private ad internet non protette, sistemi informatici che non erano stati previsti per un utilizzo da remoto, e sicuramente molti altri fattori ancora che non fanno altro che aumentare i rischi e facilitare il lavoro dei criminali.
Oltre a tutto questo, non solo a causa della pandemia ma per un trend ben consolidato, i dati che passano attraverso i sistemi digitali aziendali, email, sistemi di collaborazione e condivisione, stanno aumentando in modo esponenziale. Le azioni da compiere sui dati anch’esse aumentano con la stessa progressione e la conseguenza è che aumenta di pari passo la possibilità di commettere errori.
Tutto questo detto emerge con ancora più chiarezza che aziende e professionisti non possono non prestare sempre maggiore attenzione alla sicurezza ed alla protezione dei dati e rispettare le prescrizioni del GDPR.
In questo contesto il Regolamento diventa quindi una potente arma di difesa, la più potente, come prevenzione contro i sempre maggiori rischi che dobbiamo affrontare nei trattamenti dei dati che possediamo.
Minimizzare i dati in proprio possesso, dotarsi di strumenti di protezione evoluti ed adeguati, prevedere programmi di formazione per tutto il personale che tratta dati o che, in generale, utilizza strumenti informatici, definire delle politiche di gestione dei dati, per esempio limitando l’accesso agli stessi solo a chi ne ha l’autorizzazione, definire delle policy in caso di violazione (Data Breach), le modalità di raccolta del consenso e la corretta conservazione, diventano regole ed attività indispensabili.
In molti considerano ancora il GDPR come un costo o un inutile speco di risorse, invece, per chi le aziende che lo hanno adottato in modo corretto, si è rivelato uno strumento di difesa estremamente efficace.