A cura di Daniele Nicita, Consulting Systems Engineer FireEye
Il GDPR è una tigre senza artigli. Le organizzazioni saranno multate solo se, in caso di violazione o perdita dei dati, non informeranno le rispettive autorità competenti entro il termine prescritto per legge. È possibile che sia necessario diverso tempo prima che un’azienda rilevi una problematica di sicurezza, tuttavia essa agisce in modo conforme a quanto previsto dal GDPR se segnala l’incidente entro il tempo previsto, che è fissato in 72 ore, dal momento della rilevazione. Molti dati possono essere stati rubati o danneggiati in tutto questo tempo. È anche difficile verificare esattamente da quando un incidente è stato effettivamente rilevato e se un’azienda colpita non lo abbia semplicemente tenuto nascosto per un dato periodo di tempo. Tuttavia, non sarà imposta nessuna sanzione se un’organizzazione non ha adottato misure di protezione dei dati o le ha adottate in maniera inadeguata.
Anche se il GDPR è un buon primo passo, non può e non deve essere l’ultimo. Questo perchè non si spinge abbastanza lontano. Il legislatore deve approvare ulteriori leggi che sanzionino anche l’adozione di misure di sicurezza inadeguate. Punire solamente i comportamenti scorretti nella segnalazione di una violazione dei dati è paragonabile a punire un rapinatore di banca non per la rapina in sè, ma per eccesso di velocità durante la fuga.
In aggiunta, il GDPR offre ai cyber criminali nuovi vettori di attacco che traggono vantaggio dall’incertezza di molti dipendenti e aziende, soprattutto in vista dell’implementazione finale. Diverse campagne di phishing che sfruttano questa necessità di chiarezza possono già essere osservate e sicuramente continueranno ad aumentare nel prossimo futuro.
Siamo anche curiosi di vedere come l’Unione Europea tratterà gli stati membri che tenteranno di indebolire il GDPR. Questo si vedrà in primo luogo dall’esperienza dell’Austria. In questo caso, la legislazione nazionale ha indebolito il regolamento a tal punto che, anche in caso di violazione del GDPR, molte aziende saranno soggette a sanzioni minime o addirittura nulle.
Che senso ha un regolamento a livello comunitario che possa essere così modificato dai singoli stati senza conseguenze? Non è certamente nell’interesse di nessuno che si formino enclavi dove i cyber criminali possano trovare un rifugio sicuro potendo aggirare legalmente le direttive della Unione Europea.
