Intervista all’Avv. Marcella Coccanari sul magazine La Freccia.

Avvocato Coccanari, è notizia recente l’emanazione della Legge italiana sulla cybersecurity. Di cosa si tratta?

È stata pubblicata sulla G.U. n. 272 del 20 novembre 2019 la legge 18 novembre 2019, n. 133 che ha convertito il decreto-legge n. 105 del 2019 recante disposizioni urgenti in materia di sicurezza nazionale cibernetica.

La normativa mira a garantire un alto livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici sia delle amministrazioni pubbliche, che di tutti gli enti ed operatori nazionali, anche privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica. Sono previste misure, anche sanzionatorie, volte a garantire i necessari standard di sicurezza nella rete.

Questo della sicurezza nella rete è un argomento molto attuale e dibattuto.

Effettivamente quando si parla di cybersecurity si parla di un panorama di questioni e problematiche molto vaste, che coinvolgono diversi aspetti della “vita” su internet, sia dei singoli individui che, a maggior ragione, delle aziende.

Ci faccia qualche esempio.

Certamente l’argomento che interessa di più gli utenti è la tutela dei propri dati e delle proprie banche dati. Ogni azienda ha ormai un database di nominativi, tra clienti e fornitori, e moltissime operazioni della vita quotidiana, dagli acquisti a proprio nome, ai social, alle transazioni commerciali, anche transnazionali, viaggiano in rete.

Secondo una ricerca condotta da Forbes, ogni giorno vengono prodotti circa 2,5 quintilioni di byte di dati. Effettivamente, ogni nostra attività in rete si trasforma in dati. Si producono dati ogni volta che inviamo un’e-mail, facciamo una ricerca su internet, usiamo un’app oppure avviamo un download online, utilizziamo una carta di credito, o leggiamo un QR Code di un cartellone pubblicitario, o finanche quando la nostra immagine è catturata in un’area videosorvegliata.

Stiamo parlando dei Big Data?

Esattamente. La maggior parte di questi dati finisce in grandi banche dati, che, incrociate tra di loro, vengono analizzate prevalentemente per la profilazione commerciale ai fini di campagne marketing più efficaci e personalizzate.

Nel 2017 il Parlamento europeo si è espresso con una risoluzione in cui ha equiparato la “grande massa di dati”, ovvero i big data, al trattamento automatizzato di una grande quantità di dati provenienti da fonti diverse (sistemi operativi, social network, motori di ricerca, posta elettronica, sistemi di sensori). Nel concetto di trattamento si includono tutte le attività di raccolta, analisi e conservazione. Ai Big data sono applicabili i principi in materia di data protection, previsti dal Reg. UE 2016/679 (GDPR), il cui art. 91 prevede proprio l’applicazione delle disposizioni del GDPR anche ai trattamenti su larga scala.

In Italia, la tutela è prevista dalla nostra Legge sia sotto il profilo penale che dal Codice della proprietà industriale. Quest’ultimo, all’art. 98, e la direttiva UE 943/2016, prevede che tutte le informazioni aziendali, il know-how e le informazioni commerciali di un’azienda (liste clienti, dati contrattuali, preferenze merceologiche) rientrano tra le informazioni tutelabili come segreti.

L’apparente inesauribilità dei dati, e delle criticità conseguenti, ha indotto l’Autorità Garante delle Comunicazioni e l’Autorità Garante della Concorrenza e del Mercato, ad occuparsi di questa problematica. Con il provvedimento del 2 luglio 2019 è stata annunciata la fine dell’indagine conoscitiva ed interdisciplinare avviata nel maggio 2017 e l’arrivo di linee guida e raccomandazioni circa la policy nei big data.

Molto interessante. E cosa altro può succedere se qualcuno si insinua nel sistema di una azienda?

Una delle ipotesi più gravi si ha quando un’azienda viene sottoposta ad un attacco ransomware. Si tratta di un programma informatico, gergalmente definito virus, che impedisce l’accesso ai dati del proprio sistema e chiede il versamento di una somma che definiremmo un riscatto per renderli nuovamente utilizzabili.

È recentissimo (novembre 2019) il caso della compagnia petrolifera di stato messicana Pemex nei cui server si è inserito un hacker. I sistemi sono rimasti bloccati per ore, mentre l’hacker richiedeva il pagamento, entro 48 ore, di un riscatto di 565 bitcoin per un valore di circa 5 milioni di dollari.

La società e il governo hanno deciso di non pagare il riscatto e, ad oggi, la Pemex ha ammesso che, per ripulire i suoi sistemi, sono stati spesi oltre 70 milioni di dollari.

Purtroppo questi casi sono sempre più frequenti (nell’ultimo anno sono aumentati del 365%), e anche le Amministrazioni pubbliche non ne sono immuni: nel 2018, la città di Atlanta subì un attacco di questo genere, rimanendo bloccata per giorni. Naturalmente l’amministrazione decise di non pagare il riscatto di circa 22.000 dollari ma, da allora, la città ha dovuto spendere circa 17 milioni di dollari per ripristinare i dati e proteggersi per il futuro.

Effettivamente, anche le piccole e medie aziende sono oggi chiamate a tutelarsi, con adeguati strumenti, anche legali, per non incorrere in responsabilità verso terzi.

Avvocato Coccanari, è quindi così pericoloso operare in rete?

Con le adeguate tutele, la rete è e sarà sempre di più il futuro delle operazioni commerciali. Le aziende hanno moltissime opportunità di raggiungere nuova clientela e di aprire nuovi mercati. Il segreto, come sempre, è conoscere la legge, i propri diritti e le tutele.