Negli ultimi anni il cybercrime ha ricoperto un ruolo sempre maggiore tra i rischi che i Governi devono tenere in considerazione per la tutela di cittadini e imprese. Tra queste, le piccole e medie imprese subiscono il maggior numero di attacchi a causa delle loro protezioni deboli e insufficienti e all’aumento degli investimenti in cybersecurity da parte delle grandi imprese. Inoltre, attacchi simultanei a migliaia di piccole imprese vengono spesso utilizzati come veicolo per colpire imprese più grandi e meglio difese.
Il cybercrime è uno dei temi di maggior interesse degli ultimi anni ed è considerato una delle minacce più serie a livello mondiale. La digitalizzazione di ogni aspetto della vita quotidiana privata e lavorativa e la dimensione crescente del numero di informazioni scambiate nel web e conservate nei sistemi pone tutte le economie di fronte ad una concreta minaccia. Tanto più che i diversi Paesi utilizzano la stessa infrastruttura di base, gli stessi software, hardware e standard, con miliardi di dispositivi connessi. I rischi legati al cybercrime sono considerati, secondo il Global Risk Report 2018 del World Economic Forum, tra i più rilevanti, sia in termini di impatto che di probabilità di verificarsi.
Secondo l’ultimo report IBM X-Force Threat Intelligence Index, nel 2017 sono stati registrati 2,9 miliardi di record violati. Tra le tipologie di attacchi i ransomware, come WannaCry, NotPetya e Bad Rabbit, sono stati quelli con il maggiore impatto, mentre gli attacchi di tipo ‘Injection’ hanno rappresentato il principale vettore di attacco. I settori che hanno registrato il maggior numero di incidenti sono stati i servizi finanziari, l’ICT, la manifattura e il commercio al dettaglio.
Nonostante le tendenze evidenziate, non appare sufficientemente consolidata la consapevolezza del rischio attuale e soprattutto prospettico in un contesto in continua evoluzione. Secondo quanto evidenziato dalla Commissione europea nello Special Eurobarometer 464a, sono ancora molte le imprese e i consumatori che si dichiarano non a conoscenza della rischiosità derivante dagli attacchi informatici, siano questi furti di identità, frodi bancarie o, più semplicemente, interruzioni di funzionalità dei servizi online a causa di attacchi DDoS.
L’Unione europea, prima degli altri è intervenuta sul tema, sia con il GDPR (General Data Protection Regulation) – Regolamento UE 679/2016 sia con il Network and Information Security (Nis) sulla sicurezza delle reti e dei sistemi informativi nell’Unione e il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE 910/2014 sull’identità digitale che ha l’obiettivo di fornire una base normativa a livello europeo per i servizi fiduciari e i mezzi di identificazione elettronica degli Stati membri.
Peraltro è in via d’approvazione un Regolamento europeo che prevede schemi unificati di certificazione, perché prodotti da ENISA, l’agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, per prodotti e servizi che garantiscano la cybersecurity. È previsto che tali riconoscimenti siano rilasciati da organismi di certificazione accreditati.
La compliance alle diverse norme, dalla NIS al GDPR, serve a rendere la cybersecurity un elemento di base da tenere presente in ogni aspetto della digitalizzazione e, nelle intenzioni della Commissione europea, aiuterà a sviluppare una coscienza collettiva sulla cybersecurity. Questo dovrà avvenire attraverso lo sviluppo di tre elementi: tecnologie, processi aziendali e competenze/comportamenti delle persone.
Nel dettaglio, il GDPR nasce per garantire certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali e riguarda un amplissimo ventaglio di aziende pubbliche e private. Una delle principali novità introdotte è il principio di accountability in base al quale il titolare del trattamento dati non solo deve rispettare una serie di principi ma anche essere in grado di dimostrare che le valutazioni svolte alla base delle scelte poi operate siano state fatte in base a tali principi. Tra gli adempimenti di più ampio impatto introdotti dal GDPR, c’è l’obbligo di nominare il responsabile della protezione dei dati personali, Data Protection Officer (DPO), la cui competenza potrà essere certificata sotto accreditamento, su base volontaria. Il DPO quale supervisore indipendente, dovrà essere incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. Le regole introdotte dal Regolamento sono più chiare in materia di informativa e consenso, introducendo un concetto chiave per l’imparzialità e l’oggettività: la certificazione accreditata della protezione dei dati personali, di sigilli e marchi, con l’obiettivo di attestare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Accredia, già da diverso tempo attiva in ambito privacy, accredita gli Organismi per il rilascio delle certificazioni conformi alla norma ISO/IEC 27001 – sistemi di gestione per la sicurezza delle informazioni. I dati riportati in figura 1 dimostrano come le aziende considerino la certificazione accreditata un utile strumento per presidiare la sicurezza delle informazioni aziendali. A maggio 2018 erano 1.363 le aziende in possesso di tale certificazione, in aumento del 67% rispetto a soli due anni prima.