LPD – la necessità di tutelarsi contro i rischi residui
I criminali che perpetrano attacchi cyber sono sempre un passo avanti e il personale che lavora negli enti pubblici (ma anche nelle aziende private), sebbene ben formato, non è specializzato nella difesa informatica.
Essere compliant con la LPD
In precedenti articoli abbiamo visto come anche i Comuni, nel rispetto del principio di prudenza, devono essere compliant rispetto alla LPD federale, poiché diverse loro attività esulano dal “Compito sovrano” e quindi non è sufficiente essere compliant unicamente con la Legge cantonale sulla Protezione dei Dati Personali (nLPDP).
La stessa LPD e la sua Ordinanza di applicazione forniscono nel dettaglio le attività da seguire per divenire compliant. In questa sede ci limitiamo a sottolineare come sia necessario completare un registro dei trattamenti per censire e tenere sotto controllo tutte le attività riguardanti i dati personali ed eseguire un check della struttura informatica e dell’organizzazione aziendale per identificare i rischi e ovviare a essi con provvedimenti opportuni onde mitigarli, minimizzarli, ed eliminarli completamente (dove possibile), e questo con lo scopo di rendersi immuni ad attacchi informatici e ad errori umani nel trattamento dei dati.
Esiste sempre un margine di incertezza
Sorgono a questo punto almeno due domande: Siamo in grado di essere sempre e completamente immuni a questi rischi? Siamo tutelati alle conseguenze, in particolare alla mancata operatività dovute a un attacco informatico e alle eventuali sanzioni in caso di responsabilità. Ricordiamo che a livello di legge federale l’importo di una multa può arrivare anche fino a fr. 250.000)?
La risposta a queste domande è semplice: è impossibile tutelarsi completamente poiché nel tempo sia l’evoluzione della tecnologia (oggi è più facile essere soggetti di attacchi a partire dal proprio smartphone che dal proprio PC personale o da quello professionale) sia il progresso delle organizzazioni che perpetrano attacchi informatici, evolvono e bisogna continuamente aggiornarsi per essere pronti al peggio. Esistono quindi margini d’incertezza che possono essere gestiti, nella maniera più semplice, sottoscrivendo polizze assicurative specifiche con compagnie assicurative attrezzate all’uopo.
La polizza assicurativa è l’ultimo atto
È bene chiarire che noi non vogliamo far passare il messaggio sbagliato, ossia che per mettere tutto a posto è sufficiente stipulare una polizza assicurativa, ma questa diviene necessaria per coprire i rischi rimanenti: ciò significa che l’analisi dei rischi organizzativi e informatici per rendersi compliant alla legge federale LPD , e di conseguenza anche la legge cantonale nLPDP, resta comunque da fare.
Qui di seguito vi proponiamo il contributo offerto dall’esperto del settore Giuseppe Gidari di AON (giuseppe.gidari@aon.com) , per comprendere più a fondo quanto delineato sopra.
La polizza assicurativa Cyber – A monte doveri ed obblighi
Spesso si sente pronunciare questa considerazione, da parte di chi è convinto di aver risolto tutte le possibili implicazioni e conseguenze generate da un attacco cyber, al quale tutti siamo esposti come persone fisiche e soprattutto giuridiche: “ho stipulato una polizza assicurativa cyber…non ho più preoccupazioni…nel caso subissi un attacco…”
Ebbene, questo agire non è sicuramente sufficiente, in quanto un’assicurazione cyber non costituisce una “cambiale in bianco” che mette al riparo dai danni materiali e/o patrimoniali che si concretizzano con un attacco cyber.
Prima di concludere una polizza assicurativa a cosa devo prestare attenzione?
Prima di concludere una polizza assicurativa, che dovrebbe essere l’ultimo e concreto trasferimento del rischio, sussistono tutta una serie di operazioni di messa in sicurezza da realizzare, anche nel rispetto della nuova Legge sulla Protezione dei Dati, entrata in vigore lo scorso 01.09.2023 (LPD).
Di seguito alcuni esempi:
Le misure organizzative
- Stabilire un responsabile per la sicurezza informatica.
- Stabilire come vanno gestiti gli accessi diversificandone i livelli.
- Gestione delle password mediante una regolare modifica temporale e secondo degli ampi criteri di protezione (lunghezza, caratteri, numeri, simboli, altre eventuali).
- Attività di sensibilizzazione degli utenti/collaboratori rispetto al mondo degli attacchi informatici.
Le misure tecniche
- Regolare aggiornamento dei propri sistemi e programmi di cui si è dotati.
- Dotazione di antivirus, firewall e regolare aggiornamento degli stessi
- Regolari backup dei dati e adeguati salvataggi degli stessi.
- Protezione crittografica dei dati particolarmente sensibili conservati oppure trasmessi.
- Il proprio sito web deve rispettare le disposizioni di legge in vigore per la protezione dei dati.
Inoltre, e non da ultimo, si noti che la nuova Legge sulla Protezione dei Dati impone obblighi ed attenzioni importanti a carico delle Imprese, dei suoi Organi Dirigenti e dei collaboratori. Infatti, in caso di infrazioni, possono essere comminate multe fino a CHF 250’000, con uno scenario concreto che le stesse potrebbero essere accollate anche alle persone fisiche (dirigenti, responsabili, altre eventuali).
Alcune coperture assicurative da considerare
A tale riguardo, il corredo di protezione e trasferimento del rischio ad una Compagnia di Assicurazioni, oltre ad una polizza Cyber esiste la copertura RC per Organi e Dirigenti (D&O), che permette di mettere in opera un servizio di prestazioni, per esempio attraverso l’assunzione dei costi di difesa e fronte di pretese infondate.
In conclusione, i temi legati alla sicurezza informatica con accento sulla protezione dei dati, coperture cyber e/o RC Organi Dirigenti (D&O) merita sicuramente il supporto/assistenza da parte di professionisti che siano in grado di analizzare, individuare e risolvere l’esposizione mediante misure organizzative/tecniche e polizze assicurative adeguate al bisogno.
Giuseppe Gidari di AON (giuseppe.gidari@aon.com) in Ticino e i Team specializzati nel settore specifico di rischio sono volentieri a disposizione per discutere e presentare una specifica consulenza, che consentirà di analizzare l’esposizione al rischio, progettare e mettere in opera le soluzioni necessarie.
Per informazioni, contattateci direttamente allo 091 840 92 50, oppure scrivete a info@afgpartners.ch