Cybercrime: nel 2016 danni ad aziende per 9 miliardi

commenta  |  pdf

Ciascuno di noi è conosciuto quasi esclusivamente attraverso i dati che lo riguardano, detenuti in banche dati, pubbliche e private, nelle quali l’identità è frammentata. Di qui l’importanza di garantire l’esattezza, l’aggiornamento, la pertinenza dei dati trattati in modo da scongiurare distorsioni di tratti importanti dell’identità individuale, sfuggendo alla tentazione di delegare tutto alla tecnologia. Abbiamo, infatti, dichiarato illegittima l’ipotizzata costituzione di una banca dati per la misurazione del “rating reputazionale”. In quel caso una questione complessa come la reputazione, sarebbe stata ridotta a mero calcolo svolto da un software, in base a dati reperiti in rete o caricati dagli stessi interessati dietro la pressione delle conseguenze negative. Al di là del fatto che affidare ad un algoritmo la recensione di una persona al pari di un prodotto commerciale, aprirebbe una deriva davvero pericolosa, tale sistema avrebbe presentato un rischio elevato di attribuire agli interessati profili deformati della loro reale identità, con danni irreparabili per la dignità e la vita sociale e lavorativa degli stessi.

In questi anni la sottrazione di dati personali nel web, a scopo di frode, ha registrato una crescita smisurata: spesso per realizzare, attraverso il furto di identità, ulteriori crimini. E’ il caso di un’importante operazione di riciclaggio nel settore del money transfer, rispetto alla quale abbiamo irrogato una sanzione di 11 milioni di euro.

Significativo il provvedimento con cui si sono accertate gravi criticità, da parte di un grande operatore telefonico, nell’integrità e qualità delle proprie banche dati (perfino quella sul traffico telefonico a disposizione dell’autorità giudiziaria), che hanno determinato l’assegnazione indebita di utenze a un numero consistente di clienti ignari.

Per un altro operatore, un attacco informatico effettuato sfruttando una vulnerabilità dei sistemi, ha consentito l’accesso, con successiva copia, alle credenziali di autenticazione di oltre 5.000 clienti, utilizzate per accedere all’area riservata delle proprie utenze. La sola acquisizione delle credenziali di accesso è da considerare, già di per sé, fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che vi sia un loro effettivo utilizzo, giacché spesso gli utenti adoperano le stesse credenziali per accedere a diversi servizi web.

Abbiamo prescritto all’Agenzia delle Entrate un incremento dei livelli di sicurezza rispetto all’Anagrafe tributaria. Rispetto alla dichiarazione dei redditi precompilata, abbiamo garantito maggiore sicurezza nell’accesso degli intermediari e nella trasmissione delle informazioni, assicurando la non eccedenza dei dati raccolti e definendo i tempi di conservazione.

Riguardo alla riscossione del canone Rai abbiamo richiesto l’utilizzo di dati esatti, e non solamente presuntivi, per identificare i soggetti ai quali può essere addebitato in bolletta e individuato modalità semplici per informare gli utenti.

E’ in corso la verifica dell’attuazione dello SPID. Un’attenzione particolare anche alle banche dati nel settore della sanità, il cui valore economico è enorme. Uno straordinario impegno al tavolo di lavoro sul Fascicolo sanitario elettronico.

Nelle scorse settimane l’attacco informatico ha ingenerato allarme in tutto il mondo. Non sarà purtroppo l’ultimo. Nella dimensione digitale si svolgono, sempre di più, le relazioni ostili tra gli stati e dentro gli stati.

Secondo stime recenti, nello scorso anno le infrastrutture critiche sarebbero state oggetto del 15% di attacchi in più rispetto al precedente e sarebbero cresciuti del 117% quelli riconducibili ad attività di cyberwarfare, volte a utilizzare canali telematici per esercitare pressione su scelte geopoliticamente rilevanti.

Nel 2016 gli attacchi informatici avrebbero causato alle imprese italiane danni per 9 miliardi di Euro ma meno del 20% delle aziende farebbe investimenti adeguati per la protezione del proprio patrimonio informativo. Il settore pubblico non risulta essere molto più efficiente. Per questo la sicurezza dei dati deve rappresentare un fattore abilitante, da perseguire fin dalla progettazione dei sistemi e delle infrastrutture.

La resilienza informatica nel contrasto delle minacce cibernetiche deve rappresentare ciò che la resilienza della democrazia rappresenta nel contrasto del terrorismo. E per garantire davvero la cybersecurity è necessario evitare il rischio della parcellizzazione dei centri di responsabilità, con una centralizzazione di competenze.

Ciò vale tanto per i big data di cui si alimenta la pubblica amministrazione, quanto per la “signal intelligence” e l’attività d’indagine, che rischia di allontanarsi da quel principio di proporzionalità tra privacy ed esigenze investigative ribadito più volte dalla Corte di giustizia. Nei pareri sui decreti attuativi della riforma della disciplina dei trattamenti per fini di polizia, in ragione delle minori garanzie accordate all’interessato, abbiamo richiesto di circoscrivere i relativi trattamenti, escludendovi quelli svolti per finalità amministrative, nonché, di limitare i tempi di conservazione a quanto strettamente necessario per le finalità investigative, soprattutto rispetto ai dati di persone nei cui confronti non siano emersi indizi significativi. Analogamente, sono state previste maggiori garanzie relativamente alla banca nazionale del DNA, per la cancellazione dei dati riferibili a soggetti assolti, in linea con la direttiva 680/2016.

Rispetto alla cronaca giudiziaria si è registrata, anche quest’anno, la diffusione di atti d’indagine in violazione del relativo regime di pubblicità e spesso anche del principio di essenzialità dell’infor-mazione. Mai come in quest’ambito occorre un impegno comune. Giustizia e informazione si caratterizzano principalmente, infatti, per la loro indipendenza e, quindi, per la responsabilità nell’esercizio delle rispettive funzioni. Responsabilità tanto più necessaria rispetto al potenziale distorsivo del processo mediatico, in cui logica dell’audience e populismo penale rischiano di rendere la presunzione di colpevolezza il vero criterio di giudizio. Tale esercizio di responsabilità sarà certo favorito dalla proficua circolarità instaurata tra giurisdizione, Csm e Garante, al fine di coniugare esigenze di giustizia e privacy. In particolare, riguardo alle intercettazioni, su cui diverse Procure e Csm hanno adottato provvedimenti volti a limitare la trascrizione di contenuti irrilevanti ai fini delle indagini o terzi estranei. Molte delle indicazioni contenute in tali provvedimenti e conformi alle raccomandazioni da noi espresse, sono state trasfuse in criteri di delega nella riforma penale all’esame del Parlamento. E va certamente regolamentato l’utilizzo dei captatori a fini intercettativi (i cosiddetti trojan horse), definendo con rigore il perimetro delle garanzie. E’ peraltro indispensabile selezionare i fornitori di servizi di intercettazione in base alle garanzie di sicurezza del trattamento offerte. L’esternalizzazione di diverse operazioni investigative rende, infatti, assai più permeabile la filiera su cui si snoda l’attività captativa, meritevole per ciò di una tutela rafforzata, come dimostrano anche alcune istruttorie aperte dal Garante. Significativa, in tal senso, la sanzione irrogata ad un consulente tecnico dell’autorità giudiziaria che aveva illegittimamente conservato un archivio di dati, costituito inizialmente per fini di giustizia, illegittimamente messo a disposizione di numerosi soggetti, compresi alcuni giornalisti. Solo l’adozione di adeguate misure di sicurezza, da parte di ciascun soggetto coinvolto in ogni fase dell’indagine, può contribuire a minimizzare i rischi inevitabilmente connessi alla frammentazione dei centri di responsabilità, derivanti dal coinvolgimento di soggetti diversi nella catena delle attività investigative. Per quanto concerne la disciplina della pubblicazione telematica dei provvedimenti giurisdizionali, pur non essendosi approvata la relativa riforma, si sono tuttavia registrate sul punto significative innovazioni, anche nel solco della positiva interlocuzione realizzata dal Garante con gli organi competenti.

Vuoi commentare questo articolo? Usa questo spazio.

Usa questo spazio solo per i commenti. Per le richieste di assistenza invece vai qui.

xAvvertenza

* Campi obbligatori

I commenti esprimono il punto di vista e le opinioni del proprio autore e non quelle dei membri dello staff di consumatori.it e dei moderatori eccetto i commenti inseriti degli stessi. L'utente concorda di non inviare messaggi abusivi, osceni, diffamatori, di odio, minatori, sessuali o che possano in altro modo violare qualunque legge applicabile. Inserendo messaggi di questo tipo l'utente verrà immediatamente e permanentemente escluso. L'utente concorda che i moderatori di consumatori.it hanno il diritto di rimuovere, modificare, o chiudere argomenti qualora si ritenga necessario. La Redazione di consumatori.it invita ad un uso costruttivo dei commenti.

*

Unione Nazionale Consumatori è membro di TUTTOCONSUMATORI CONSUMERS INTERNATIONAL CONSUMERS' FORUM

Unione Nazionale Consumatori è membro di:
TUTTOCONSUMATORI
CONSUMERS INTERNATIONAL
CONSUMERS' FORUM

© 2017 Unione Nazionale Consumatori
© 2017 Unione Nazionale Consumatori