Se è vero che il numero di attacchi informatici è aumentato, è anche vero che ci sono a disposizione di partite IVA, negozi e piccole imprese tutta una serie di strumenti non solo per evitare attacchi hacker ma per salvaguardarsi nel caso fosse troppo tardi.
I DATI DELL’OSSERVATORIO DI CYBERSECURITY E DATA PROTECTION DEL POLIMI
132 Grandi Aziende e 503 PMI, è questo il campione analizzato dal Politecnico di Milano per capire quale è lo stato degli attacchi informatici perpetrati nei confronti delle aziende e come queste agiscono per difendersi.
Nel primo trimestre 2021 sono aumentati del 15% gli incidenti gravi causati da attacchi informatici e di pari passo sono anche aumentati gli investimenti da parte delle imprese che hanno messo la sicurezza tra le priorità e hanno coinvolto il personale per azioni virtuose e di maggiore attenzione al problema. Nonostante ciò, l’Italia è l’ultimo Paese nel G7 per investimento in Sicurezza e la maggior parte delle PMI si è adeguata solo in parte, sulla scia degli obblighi legati al GDPR.
In generale, la tendenza è quella di esternalizzare, affidandosi a partner preparati e affidabili, e chi può dedica una figura interna all’azienda specializzata in cybersecurity (presenza che nel 2021 è cresciuta del 5%).
Gli aumenti più significativi riguardano la End Point security e la Cloud security, visto il fenomeno dello smart working durante il periodo più difficile del Covid, tuttora ampiamente diffuso: con le nuove modalità di lavoro, sempre più mobili, diventa necessario assicura la copertura della sicurezza a tutti i device in qualsiasi modalità di accesso alla rete aziendale.
LE RESPONSABILITÀ DEL PERSONALE E DEL DATORE DI LAVORO: QUANDO IL DATA BREACH VIENE DALL’INTERNO
Non sempre il furto di dati (data breach) proviene dall’esterno. A volte è lo stesso dipendente che sottrae dati personali o aziendali e li consegna a qualche concorrente o a società di marketing.
Paradossalmente, non solo il datore di lavoro subisce un furto e un danno reputazionale importante, ma in alcuni casi è considerato colpevole a sua volta, per una cosiddetta “responsabilità per organizzazione”, per avere cioè attribuito una responsabilità inadeguata e mal riposta ad uno dei suoi dipendenti. In questo caso sarà lui stesso a dover denunciare la propria inadempienza al Garante della Privacy e incorrerà in una sanzione pecuniaria.
Altro discorso invece è quello per il dipendente, con conseguenze molto più gravi: innanzitutto si tratterà di un illecito disciplinare perché avrà disatteso le aspettative previste dal contratto, con la conseguente risoluzione del rapporto di lavoro. Oltre a questo, il datore di lavoro dovrà essere risarcito dal suo collaboratore sia per i danni in termini di dato emergente sia di lucro cessante.
E arriviamo per finire a reati puniti penalmente: spionaggio, accesso abusivo a dati personali, appropriazione indebita di dati informatici.
Per tutte queste ragioni, diventa fondamentale un investimento da parte dell’impresa sia in una figura fidata di responsabile della cybersecurity, sia di un attento e puntuale investimento in termini di formazione del personale, non solo su come difendersi dagli attacchi esterni ma anche dei rischi, civili e penali, nei quali incorrere il dipendente che si appropria di dati personali.
SE ANTIVIRUS, FIREWALL E PASSWORD NON BASTANO, CI PENSA L’ASSICURAZIONE
Quando non si è fatto abbastanza per proteggere la propria attività o quando ci si è imbattuti in un hacker particolarmente dotato, il danno è fatto e se l’azienda non si è procurata una buona assicurazione le spese potrebbero essere ingenti, soprattutto se il furto riguarda dati di terzi (fornitori e clienti) o quando l’attacco blocca l’attività lavorativa.
Sono ormai tante le compagnie di assicurazione che propongo coperture specifiche riguardo a danni subiti per attacchi informatici da parte di imprese e professionisti.
Alcune compagnie propongono nel pacchetto una valutazione per capire il livello di sicurezza dell’impresa e anche una diaria nel caso di interruzione del lavoro per colpa dell’attacco hacker. Altre ancora assicurano un rimborso per l’uso fraudolento di carte aziendali o sistemi contactless di smartphone o smartwatch, rimborso di spese legali nel caso di controversie legate all’e-commerce e risarcimento per eventuali danni di immagine arrecati dagli utilizzatori dei social.
