Privacy & Cyber risk, cosa devono fare le aziende in vista dell’entrata in vigore del GDPR

Privacy - Protezione online (Immagine Jack Moreh - Freerange Stock) Imc

Privacy - Protezione online (Immagine Jack Moreh - Freerange Stock) Imc

Resoconto dell’incontro formativo organizzato dallo Studio legale SLACC Arnaldi Caimmi & Associati – in collaborazione con AON sugli aspetti organizzativi, legali e assicurativi legati alla prossima entrata in vigore della nuova normativa europea sulla protezione dei dati

Lo Studio legale SLACC Arnaldi Caimmi & Associati, in collaborazione con AON – gruppo multinazionale specializzato nella consulenza dei rischi e delle risorse umane, nell’intermediazione assicurativa e riassicurativa – ha recentemente organizzato un incontro formativo sul tema Privacy & Cyber Risk, con l’obiettivo di spiegare alle aziende cosa cambierà nella gestione del cyber risk con l’entrata in vigore, nel prossimo mese di maggio, della General Data Protection Regulation (GDPR).

Il numero crescente di attacchi informatici e la portata dei loro effetti su ogni aspetto del business, unita agli adempimenti richiesti dal nuovo regolamento europeo, spiegano in una nota gli organizzatori dell’incontro, hanno aumentato la consapevolezza delle aziende di dover gestire il rischio cyber in modo sempre più strutturato, integrandolo nelle politiche di risk management aziendale.

La cultura della gestione sistemica del rischio cyber è tuttavia ancora ad un livello molto basso in Italia, dove secondo il Global Information Security Survey 2017-2018 di EY solo il 12% delle imprese ritiene di essere in grado di rilevare un attacco informatico sofisticato, il 75% valuta il livello del proprio sistema non adeguato e non più del 30% investe per ottenere adeguati livelli di protezione da minacce di tipo cyber. Nella maggior parte dei casi, infatti, gli investimenti per la gestione di questo tipo di rischio avvengono solo dopo aver subito un attacco informatico (40% delle aziende). Gran parte degli attacchi cyber subiti da un’azienda, inoltre, non vengono comunicati, cosa che non sarà più possibile con l’entrata in vigore del GDPR, pena sanzioni amministrative pecuniarie dal 2 al 4% del fatturato totale annuo.

Nel corso dell’incontro sono state illustrate le contromisure di tipo organizzativo, legale e assicurativo che le aziende dovrebbero mettere in atto per adempiere a quanto previsto dal nuovo Regolamento europeo, oltre che per garantire la continuità del business e la protezione dell’azienda e del brand.

L’avvocato Costanza Mottino, dello studio legale Bongiovanni, ha approfondito le modalità di adeguamento al Regolamento UE sulla Privacy, soffermandosi sulle principali novità apportate dalla nuova normativa e gli aspetti più complessi. Il 78% dei responsabili IT delle aziende non comprende pienamente l’impatto della nuova normativa o non ne è addirittura a conoscenza. Secondo dati 2017 dell’Istituto IDC, inoltre, solo il 20% delle aziende che sono informate del GDPR è già conforme, con la maggioranza (59%) che si sta adeguando e il 21% non a norma.

“Il regolamento ha introdotto importanti novità, che andranno ad incidere sulle aziende e sulla Pubblica Amministrazione anche a livello organizzativo – ha spiegato l’Avv. Mottino –. Ad esempio l’introduzione di nuove figure professionali come il DPO (Data Protection Officer), consulente e punto di riferimento e garante per le questioni cyber all’interno dell’azienda; le nuove responsabilità per i titolari delle aziende e il top management; la redazione di una nuova reportistica e la disciplina su data breach, che prevede la compilazione di registri di trattamento dei dati personali di un’azienda e il loro costante aggiornamento”.

Maurizio Castellari di SLACC Studio legale Arnaldi Caimmi&Associati, ha quindi illustrato in particolare i modelli di prevenzione delle minacce informatiche, i principali tipi di attacchi cyber a cui le aziende sono sottoposte, oltre che i trend del rischio cyber nel corso del 2018. “Il 2017 è stato un annus horribilis per la cybersecurity, caratterizzato da vere e proprie epidemie, rappresentate da malware come WannaCry e Notpeya, in grado di diffondersi in tempi rapidissimi non solo all’interno dell’azienda ma a tutto il suo network – ha evidenziato Castellari –. Le aziende dovranno quindi essere preparate a far fronte ad emergenze cyber con piani ad hoc di incident response. Il settore sanitario, i business attivi nell’Internet delle cose e le piattaforme di Data Aggregation saranno tra le più esposte a questo rischio”.

Secondo dati emersi da un report 2016 del Ponemon Institute, è stato stimato che a livello globale il costo medio sostenuto dalle aziende per una violazione di dati ammonta a 4 milioni di dollari, in crescita del 29% rispetto al 2013, con un tempo medio per l’identificazione e il contenimento di un malaware di 229 giorni.

Riccardo Aggio, Cyber&Crime Specialist di AON, si è infine soffermato sull’identificazione delle principali aree di vulnerabilità in un’azienda, il loro impatto sul business e il relativo trasferimento del rischio residuo al mercato assicurativo. “Le polizze tradizionali non sono in grado di garantire una copertura adeguata per il rischio cyber – ha sottolineato Aggio –. Alcune polizze cyber possono invece arrivare a coprire: la responsabilità degli amministratori e manager aziendali, l’interruzione di attività derivante da un attacco (che può impattare negativamente sulle entrate), così come le perdite subite per attacchi cosiddetti ‘ransomware’ (in aumento) attraverso i quali gli hacker compiono di fatto un atto di estorsione, causando (o minacciando) il black-out dei sistemi di un’azienda se non viene pagata la somma di denaro richiesta. Il livello di customizzazione e taylorizzazione raggiungibile è elevatissimo e il supporto di un partner esperto come AON è più che mai necessario”.

Intermedia Channel

Related posts

Top