Sicurezza informatica: sempre più importante anche dei fornitori

01 Settembre 2021

Non è solo l’estate del Green pass, ma anche quella della sicurezza informatica. Dopo l’attacco hacker che ha bucato la sicurezza informatica della Regione Lazio, è toccata anche a TIM, che ha inviato una mail ai propri clienti comunicandogli di essere stata vittima di un attacco alla propria sicurezza informatica.

Nella comunicazione, TIM ha informato i clienti di aver riscontrato attività anomale di terzi ignoti che potrebbero mettere a rischio la riservatezza delle credenziali di accesso a MyTIM, l’app utilizzata dai clienti principalmente per effettuare ricariche e sottoscrivere ulteriori servizi TIM.

In osservanza del GDPR, TIM rende altresì noto di aver effettuato una notifica formale al Garante privacy, visto che la violazione della sicurezza informatica del colosso delle telecomunicazioni integra quasi sicuramente tutte le condizioni previste dalla normativa che fanno scattare l’obbligo di notifica, non solo a favore dell’Autorità bensì anche verso i clienti-interessati.

L’attacco alla sicurezza informatica di TIM non è rilevante solo ai fini dell’applicazione della disciplina data breach del GDPR, visto che l’operatore in questione rientra sicuramente nel Perimetro di sicurezza nazionale cibernetica istituito dal Decreto Legge n.105 del 2019.

L’inserimento nel Perimetro, che include tutti i soggetti pubblici e privati la cui violazione di sicurezza informatica rischierebbe di compromettere il regolare esercizio di “funzioni essenziali dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”, impone infatti a chi vi fa parte una serie di obblighi, fra i quali vi è quello di notifica degli incidenti che impattano sulla sicurezza informatica delle reti, dei sistemi informativi e dei sistemi informatici al CSIRT (Computer Security Incident Response Team - Italia), istituito presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri.

Se l’attacco in questione alla sicurezza informatica dell’operatore ha generato anche una notifica al CSIRT, ovviamente non è dato saperlo.

Ciò che è noto però, restando nel Perimetro, è che agosto 2021 è stato il mese in cui è avvenuta la pubblicazione del decreto che, ai fini di tale normativa, individua le categorie di beni, sistemi e servizi ICT destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica per le quali l’operatore rientrante nel Perimetro che intenda ottenerne la fornitura, dovrà prima obbligatoriamente comunicarlo al CVCN (Centro di valutazione e certificazione nazionale).

La sicurezza informatica inizia quindi a rappresentare sempre di più un asset strategico di importanza fondamentale anche per lo Stato, e non è più solo questione del singolo operatore. Non è scoperta di ieri, d’altronde, che gli attacchi alla sicurezza informatica crescono e che rappresentano il nuovo terreno fertile per le attività criminose.

In tutto questo scenario, il vero punto dolente è che la violazione della sicurezza informatica di un grande operatore dipende spesso da attacchi mirati ai fornitori. È la stessa ENISA che lo ha ricordato in uno studio pubblicato sul finire del luglio 2021.

In oltre la metà degli attacchi di sicurezza informatica, gli hacker si concentrano sul bypassare le misure di sicurezza informatica del fornitore piuttosto che quelle dell’operatore a cui mirano. Il perché è intuitivo: molto più probabile che le misure di sicurezza informatica del fornitore siano di un livello estremamente più basso rispetto a quelle del grande operatore che si vuole colpire!

I fornitori possono quindi rappresentare una fonte di grande pericolo alla sicurezza informatica dell’outsourcer e dei dati da esso trattati. E questo, lo si noti, vale tanto per le grandi che per le piccole imprese!

Errando, si potrebbe pensare che le misure di sicurezza informatica scelte dal fornitore a cui ci siamo affidati non siano affare nostro, che ne risponderà lui se verranno bucate ma per il GDPR è proprio il contrario!

Secondo l’impostazione seguita dal Regolamento, infatti, il titolare del trattamento resta sanzionabile nei casi in cui si sia affidato ad un responsabile del trattamento le cui misure di sicurezza non si siano rilevate adeguate a protezione dei dati degli interessati (spesso i clienti del titolare). Se dovessimo riassumere il concetto: “hai scelto un fornitore senza valutarne le misure di sicurezza o accettando misure di sicurezza informatica insufficienti? Sei colpevole!”

Dunque, bisogna sviluppare l’abitudine di fare attenzione anche alle misure di sicurezza informatica dei fornitori a cui ci affidiamo. Solo con questa presa di coscienza collettiva che il legislatore europeo e nazionale sta cercando di mettere in piedi negli ultimi anni, si riuscirà ad innalzare il livello generale della sicurezza informatica, a protezione dei dati e delle informazioni commerciali nonché a danno delle attività criminose degli hacker in giro per il mondo.

Sicurezza informatica: sempre più importante anche dei fornitori

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

L’estorsione informatica

Cyber attacchi: stress test sulle banche da parte della BCE

La figura dell’hacker e del cracker

Cybercrime – Modifiche legislative progettate – Austria

Due diligence: cybersecurity e clausole di garanzia

Gli obblighi del titolare del trattamento nell’assicurare il diritto d’accesso agli interessati

AG Opinion on Case C-252/21: The Interplay between Data Protection Law and Competition Law

Condominio e videosorveglianza: non basta un semplice cartello per rendere un’adeguata informativa

Imprese: consigli per la gestione della Posta Elettronica Certificata

Altri articoli dell'autore

Articoli più letti su questo argomento