Il 2020 è stato un anno carico di… virus. No, non stiamo parlando di Covid, bensì di sicurezza e protezione dei dati, e lo facciamo partendo da due evidenze.
Prima evidenza: gli ultimi 12 mesi son stati caratterizzati dal ricorso, più diffuso che in passato, a forme di lavoro da remoto e da una forte spinta alla digitalizzazione. Entrambi i fenomeni hanno avuto un impatto rilevante anche sul livello di sicurezza relativo alla protezione dei dati da parte delle aziende.
Piccole e medie imprese sempre più colpite
Seconda evidenza: in parallelo si è assistito a una crescita degli attacchi informatici che hanno colpito sempre di più anche le piccole e medie imprese. Tra questi attacchi particolarmente frequenti sono state le campagne di phishing finalizzate a rubare password, dati personali e bancari, puntualmente documentate e descritte dagli esperti di cybersicurezza del CSIRT (Computer Security Incident Response Team – Italia).
Oltre a imporre l’adozione immediata di contromisure tecniche a livello informatico, questi fenomeni toccano da vicino due ambiti d’intervento che ci stanno a cuore: il Regolamento sulla Protezione dei Dati (ovvero il GDPR 679) e il Modello 231.
Due strumenti per difendersi dai reati informatici
Il GDPR 679 disciplina il trattamento e la protezione dei dati delle persone fisiche da parte delle aziende.
Il Modello 231 è un Sistema volontario di gestione e controllo aziendale che, tramite l’adozione di opportune procedure, protegge l’impresa dalla responsabilità diretta (e dalle relative sanzioni) nel caso di alcune tipologie di reati compiuti da propri dipendenti a vantaggio dell’azienda stessa. Tra questi anche i reati informatici. Tanto per fare un esempio: l’utilizzo delle password dei lavoratori per accedere alla loro posta o attuare qualsiasi forma di controllo sulla loro attività e produttività, rientra a pieno titolo tra i reati per cui si può sanzionare un’azienda
GDPR 679 e Modello 231: il punto di contatto
GDPR 679 e Modello 231 condividono una caratteristica fondamentale. Entrambi si basano non tanto sul rispetto di un insieme di norme statiche, bensì sull’adozione di un pacchetto di procedure che devono essere commisurate alla singola realtà aziendale e ai rischi che la caratterizzano.
A un’evoluzione dei rischi, come quella cui abbiamo assistito, deve corrispondere un adeguamento delle procedure.
Tre aspetti sui quali riflettere
Ogni azienda dovrebbe dunque provare a rispondere a queste tre domande:
- Siete sicuri che le vostre procedure di protezione dei dati siano coerenti con il contesto attuale?
- Se avevate già adottato un Sistema di gestione e controllo conforme al Modello 231, l’avete aggiornato alla luce dei nuovi potenziali rischi per quanto riguarda i reati informatici?
- Avete pensato all’adozione ex novo del Modello 231, come forma ulteriore di tutela per la vostra azienda?
Se alle prime due domande avete risposto no e alla terza sì, probabilmente avete bisogno di una consulenza sul tema. Contattateci subito!