Privacy e sicurezza dei dati online: alcuni consigli degli esperti informatici

308

data privacy day

Il 28 gennaio di ogni anno si celebra il Data Privacy Day, ovvero la Giornata europea della protezione dei dati personali istituita dal Consiglio d’Europa allo scopo di sensibilizzare gli utenti sull’importanza di proteggere i propri dati online

L’implementazione di smart working e didattica a distanza ha ingigantito la mole di dati personali in circolazione online, aumentando così le minacce e i tentativi di frode sempre più difficili da individuare e che colpiscono aziende e utenti privati. Secondo Check Point Research infatti gli attacchi informatici nelle prime due settimane di maggio 2020 sono aumentati del 30% e la maggior parte sono avvenuti via email, con una media di 192mila attacchi alla settimana. Inoltre il Data Breach Investigations Report 2020 conferma che ad oggi oltre l’80% delle violazioni della sicurezza è causato e reso possibile dal furto di credenziali: ne è un esempio il phishing che, secondo il Rapporto Clusit della Polizia Postale, complice la pandemia a livello mondiale è cresciuto del 600%.

Attraverso il Business Email Compromise, invece, il denaro viene trasferito dai conti correnti delle vittime verso quelli dei criminali: un attacco che, secondo l’Internet Crime Report dell’FBI, avrebbe portato nei solo Stati Uniti a perdite per 1,7 miliardi di dollari: nota anche come “CEO Fraud”, secondo il rapporto pubblicato su Info Security Magazine, nel mondo sono circa 400 le aziende colpite ogni giorno. L’unica soluzione per difendersi dalle minacce online, oltre a seguire determinate accortezze, è investire in sicurezza. Un recente studio di Markets and Markets ha dimostrato che, se nel 2016 il mercato della protezione dei dati è stato valutato 49,7 miliardi di dollari, nel 2022 si stima possa raggiungere i 120 miliardi, con una crescita del 241%. Per sensibilizzare e promuovere l’importanza della privacy e della protezione dei dati, il Consiglio d’Europa ha istituito la Giornata europea della protezione dei dati personali che si celebra ogni anno il 28 gennaio, mentre per tutelarne la sicurezza, l’Unione Europea il 28 maggio 2018 ha emanato il GDPR, il Regolamento Generale sulla Protezione dei Dati.

Da un punto di vista corporate, sono numerose le applicazioni che regolano la protezione e la sicurezza dei dati e il loro trasferimento fra un sistema e l’altro. Stefano Musso, CEO di Primeur, multinazionale italiana protagonista del crescente settore della Data Integration, spiega come sia necessario dotarsi di strumenti informatici in grado di garantire la compliance alla normativa: “Sappiamo bene quanto sia complesso per le aziende implementare il Regolamento Generale sulla Protezione dei Dati nelle loro realtà. Ormai quasi quotidianamente leggiamo di multe e sanzione, perché la norma è complessa e con molte sfaccettature. Gli strumenti tecnologici sono fondamentali in questo contesto, poiché devono permettere una gestione efficace, rapida e completa di tutti i requisiti. Molto spesso si usano tools adattati alla norma, nati per fare altro, con il rischio di sottovalutare la profondità della normativa e fermarsi a una compliance di facciata. È invece necessario dotarsi di una soluzione che abbia, per esempio, strumenti automatici e integrati di Data Discovery, cioè di ricerca automatica dei dati personali in tutte le fonti (database, Excel, Word, email), di mappatura e di mascheratura dei dati. Soluzioni quindi pensate, progettate e ingegnerizzate per la GDPR, come Primeur Data Privacy, nato per la readiness e la compliance della normativa che permette di tenere costantemente sotto controllo i dati personali gestiti, trattati e archiviati da un’organizzazione. Solo così si possono evitare sanzioni e multe”.

Proprio investendo in sicurezza informatica, in seguito ai recenti adempimenti del Regolamento, molte aziende hanno adottato la figura del Data Protection Officer, ovvero colui che garantisce la conformità ai requisiti di Data Security attraverso un sistema di verifiche periodiche: in Italia, i DPO formalmente incaricati sono circa 60mila, trend in crescita confermato dalle associazioni di categoria come Federprivacy e AssoDOP.

Nonostante questo, secondo una recente ricerca condotta dallo studio legale internazionale DLA Piper, nel 2020 l’ammontare delle sanzioni legate al rispetto del GDPR ha raggiunto i 158,5 milioni di euro, con una crescita del 39% in confronto ai 20 mesi precedenti l’applicazione della normativa. Il Garante per la protezione dei dati personali italiano è in cima alla classifica delle sanzioni comminate, con un valore superiore ai 69,3 milioni di euro, mentre Germania e Francia seguono al secondo e terzo posto, con sanzioni rispettivamente di 69,1 milioni e 54,4 milioni di euro. In poche parole, il GDPR regola il diritto di informazione attraverso cui è possibile sapere quali dati, dove, come, quando e perché vengono raccolti e per quanto tempo vengono conservati; il diritto di accesso garantisce ad ogni cittadino UE la possibilità di chiedere ed accedere a informazioni sui dati che lo riguardano; il diritto di cancellazione, di correzione e il diritto di opposizione al trattamento, nel caso i dati vengano utilizzati per scopi a cui non si ha dato consenso.

Ma quali sono le azioni che gli utenti possono adottare per difendere i propri dati online? Il prof. Sergio Moriani, docente in Discipline ICT presso l’Università degli Studi di Milano-Bicocca spiega che “In primo luogo non si devono mai aprire link e allegati provenienti apparentemente da mail di banche, poste e altri fornitori di servizi o da indirizzi sconosciuti che richiedono dati personali e credenziali. Per proteggere i dati da minacce come i malware è bene installare software antivirus capaci di accertare la presenza di infezioni e porvi rimedio, e firewall, software che analizzano il traffico dati da e verso internet, segnalando prontamente eventuali anomalie: ricordarsi di aggiornare antivirus, firewall, sistema operativo, browser e plug-in per mantenere alta la protezione. Quando si naviga, diffidare dai siti di commercio elettronico che non adottano il protocollo https, il quale indica l’adozione del protocollo di sicurezza che crittografa i dati”.

Il prof. Michele Ferrazzano, docente in Computer Forensics presso l’Università degli Studi di Milano, aggiunge che: “È fondamentale utilizzare password complesse e non riconducibili ai propri dati personali e, soprattutto, cambiarle con frequenza, almeno una volta ogni tre mesi per i servizi critici. Attenzione a non utilizzare la stessa password per due portali diversi, poiché la violazione di uno può consentire l’accesso all’altro. Prestare attenzione quando si clicca su «acconsento» in seguito ad accesso ai siti web, registrazioni o inserimento di dati, in quanto si potrebbe autorizzare il trattamento per finalità di marketing indesiderate. Inoltre, per non diventare complici dei malintenzionati, è fondamentale evitare di diffondere i propri dati sensibili in rete: astenersi, quindi, dall’utilizzare la propria data di nascita come password e a pubblicare la foto della patente appena conseguita sui social network senza oscurare i propri dati personali”.

In merito alla navigazione online, il prof. Simone Bonavita, docente in Trattamento dei Dati Sensibili presso l’Università degli Studi di Milano, suggerisce di “Utilizzare un browser o un programma che segnali una password compromessa e procedere al repentino aggiornamento. Selezionare con attenzione i cookie di profilazione e attivare la funzione «do not track» del browser: ricorda sempre che se il servizio è gratis, il prodotto sei tu. Inoltre, quando ci s’iscrive a una newsletter, inserendo nello spazio riservato al vostro nome anche il nome della società a cui fa riferimento il servizio, si può sapere chi ha venduto i vostri dati”.

Un chiaro messaggio di come l’attenzione verso la sicurezza dei propri dati sia un elemento fondamentale per gli utenti, arriva dalla recente vicenda che ha come protagonista Whatsapp, l’app di messaggistica istantanea utilizzata da oltre 2 miliardi di persone, che dal 7 gennaio ha iniziato a mandare un messaggio automatico ai propri utenti obbligandoli ad accettare i nuovi termini di utilizzo del servizio e l’informativa sulla privacy, la quale avrebbe dovuto entrare in vigore l’8 febbraio. Il risultato? Nonostante le rassicurazioni dell’azienda, milioni di persone hanno iniziato a “migrare” verso software che della sicurezza hanno fatto il loro punto di forza, come ad esempio Signal che, dal 5 al 12 gennaio, ha già raggiunto 17,8 milioni di download: Whatsapp è stata costretta, così, a posticipare l’entrata in vigore delle nuove policy di tre mesi.

5 consigli degli esperti alle aziende per proteggere i dati gestiti:

  1. NOMINARE UN DATA PROTECTION OFFICER In Italia i DPO formalmente incaricati sono circa 6mila: devono possedere competenze trasversali, legali e di organizzazione aziendale, poiché la normativa influisce sull’intera struttura organizzativa.
  2. PROMUOVERE UNA CULTURA AZIENDALE DI ATTENZIONE AL DATO PERSONALE, tutte le aziende oggi dispongono di moltissimi dati personali di dipendenti e di clienti, è necessario sensibilizzare ad un uso corretto di queste informazioni attraverso workshop e policy precise e condivise.
  3. ADOTTARE STRUMENTI E SOLUZIONI EFFICACI Dotare il DPO di strumenti organizzativi e tecnologici necessari a garantire l’efficacia del suo operato: non giocare al risparmio di risorse, poiché le sanzioni in caso di inadempienza sono davvero sostanziose.
  4. PERSONALIZZARE IN BASE ALLE PROPRIE ESIGENZE Implementare una soluzione tecnologica che sia versatile e in grado di adattarsi alla realtà aziendale specifica: la GDPR cambia in base all’organizzazione, perciò non esiste una soluzione uguale per tutti.
  5. LA TECNOLOGIA È IL VOSTRO PARTNER… VERSUS CRIME Per una gestione efficace e rapida della GDPR, la tecnologia dev’essere intuitiva e di facile implementazione: la norma è di per sé già molto complessa, se la tecnologia non aiuta a semplificare non porta risultati.

5 consigli degli esperti dedicati agli utenti per tutelare la propria privacy in rete:

  1. NON APRITE QUELLA MAIL Non aprire mai link e allegati nelle mail provenienti apparentemente da banche, poste e indirizzi sconosciuti in cui vengono richieste credenziali e dati personali.
  2. PROTEGGI IL COMPUTER CON L’ANTIVIRUS Software antivirus e firewall aiutano a identificare le minacce e a proteggersi: ricordarsi di aggiornarli insieme al sistema operativo e al browser per mantenere alta la protezione.
  3. PASSWORD COMPLESSE E AGGIORNATE IS THE ANSWER Utilizzare password complesse, non riconducibili ai propri dati, cambiandole con frequenza e non utilizzando la stessa per portali diversi.
  4. SÍ AI SOCIAL, MA ATTENZIONE AI DATI Per non diventare complici dei malintenzionati, evitare di diffondere informazioni personali sui social network, come ad esempio foto dei propri documenti di riconoscimento.
  5. SE IL SERVIZIO È GRATIS, IL PRODOTTO SEI TU Prestare attenzione ai cookie di profilazione e quando si clicca “acconsento”, in quanto si potrebbe autorizzare il trattamento dei dati per finalità di marketing indesiderate.