***
Partiamo da due questioni di trend generali: negli ultimi anni, l’ambiente digitale è diventato complessivamente più o meno sicuro? E le aziende e il pubblico hanno imparato a considerare la sicurezza digitale -talvolta percepita come di serie B- importante tanto quanto quella “analogica”? L’Avvocato Alessandro Pistochini, founder dello Studio Crippa Pistochini, non ha dubbi: “L’ambiente digitale oggi appare più sicuro perché il tema è maggiormente in evidenza a tutti i livelli, ma si tratta di un’apparenza che inganna”. Il punto è molto semplice: “le strategie di attacco informatico si evolvono molto più rapidamente di quelle di difesa”. Un pensiero in linea con quello di Giulia Pastorella, Cybersecurity and Data Policy Lead per HP, che spiega: “L’attenzione di aziende e istituzioni è maggiore”, ma questo si verifica soprattutto perché “la questione non è più ‘se’ si verrà attaccati, ma ‘quando’. Purtroppo resta il problema che troppo spesso si pensa in termini di difesa cibernetica, e non di resilienza cibernetica. È necessario pensare a come riprendersi dagli attacchi e non solo a cercare di evitarli”. Secondo Pastorella, la percezione del rischio cyber come qualcosa di reale è in aumento, ma ancora vaga. La vera svolta, per l’Head of Southern Europe di Kroll Marianna Vintiadis avverrà anche quando gli interlocutori delle aziende (clienti, consumatori) diventeranno più esigenti: “in Italia, il consumatore non basa le proprie scelte sulla protezione dei dati. Non sorprende quindi che le aziende possano trascurare le minacce cyber, considerandole una questione di serie B e puramente tecnica, quando invece si tratta di un problema di board e di rischio di impresa”. Simone Fraschini, Of Counsel dello Studio Crippa Pistochini, offre una pillola interessante che riguarda direttamente l’ambiente legale: “un dato dice che solo il 25% degli studi legali negli Stati Uniti userebbe l’encryption, un software per criptare i dati dei propri documenti. Questo fa riflettere, perché la sicurezza informatica non dovrebbe essere argomento per esperti”.
Al di là della cultura di aziende e clienti, il tema del cyber crime e della cyber security passa naturalmente anche dalla normativa. Quella attuale è efficace? Una breve panoramica la offre Fraschini: “se consideriamo le fonti internazionali, esiste certamente un importante corpo normativo volto a combattere la cyber-criminalità e a costruire un sistema di diritto penale dell’informatica al passo con i tempi”. Un esempio è la Convenzione Cybercrime del Consiglio d’Europa, che l’Italia ha ratificato con la legge n. 48/2008. Il concetto chiave, per Fraschini, è infatti la collaborazione internazionale: “Dato il carattere cross-border del cybercrime, l’armonizzazione delle legislazioni dei diversi Stati” -e in particolare i 47 del Consiglio d’Europa- “è il terreno dove la partita si svolge. Occorre uno sforzo continuo: le differenze ancora esistenti nel diritto degli Stati Membri possono ostacolare la lotta contro pericolose forme di criminalità”. Franco Ghiringelli, Presidente di Tecnimont Spa, completa il discorso su una scala regolamentare più “micro”, ma ugualmente importante: “I migliori strumenti da mettere in campo passano da un approccio integrato tra sistema di governance -a partire dal codice etico e dal Modello 231- sistema procedurale e sistemi informativi”. Ma mette in guardia: “procedure, modelli, compliance da soli non bastano. Ricordiamoci che la maggior parte degli attacchi fanno leva sul ‘fattore umano’: vengono sfruttati i punti di debolezza nella psicologia e nei comportamenti delle persone, e per questo diventano fondamentali formazione e sensibilizzazione di dipendenti, collaboratori, fornitori”.
In concreto: quali esempi paradigmatici di best practice e malpractice in caso di attacco informatico? Cristian Battistello, Associate Managing Director per Kroll, parte dalle basi: “Per quanto possa sembrare banale, è bene ricordare che la regola numero 1 è non farsi prendere dal panico, il che potrebbe portare a cancellare o danneggiare dei dati informatici che potrebbero essere utilissimi per le investigazioni”. È d’accordo Alessandro Pistochini: “Non bisogna fare mai l’errore di correre a denunciare il fatto in modo frammentario e senza la raccolta interna di dati (informatici anzitutto) perché questi possono concretamente aiutare l’individuazione dell’autore dell’attacco. Il numero di notizie di reato oggi è tale che è quasi ingestibile da parte della Polizia Giudiziaria (Polizia Postale) e dal Pool Reati Informatici della Procura di Milano. Occorre quindi aiutare l’Autorità Inquirente a velocizzare i propri adempimenti operativi”. Battistello ribadisce che l’importanza dell’informazione durante e dopo l’attacco è fondamentale: “tutti i dipendenti dell’azienda devono essere al corrente della situazione, e sapere quali azioni intraprendere”.
Infine, un breve sguardo al futuro. In un campo in continua evoluzione come quella del cyber crime e della cyber security, qual è la “next big thing” che ci dobbiamo aspettare? “Proprio perché l’evoluzione è così rapida, la next big thing è già qui”, dice Vintiadis. “Si tratta degli attacchi a livello cibernetico che riguardano le operazioni militari e terroristiche”. E conclude con un caveat: “La generale impreparazione, sia a livello aziendale che a livello della popolazione, su tali fenomeni e i rischi ad essi collegati rende l’Italia terreno fertile per questo genere di attacchi”.
Queste e altre tematiche verranno ulteriormente approfondite nel corso dell’evento del 26 settembre. Posti ancora disponibili.
Per il programma completo e il form di iscrizione clicca qui: https://www.4clegal.com/eventi/milano-cyber-crime-cyber-security-strumenti-disposizione-aziende-prevenire-gestire-attacchi