Si stanno ormai spegnendo gli echi dell’ultima terribile minaccia informatica che un paio di settimane fa ha fatto parlare di sé il mondo intero. Sto parlando, ovviamente, di Wannacry (conosciuto anche come WannaCrypt, WCry o WanaCrypt0r), malware composto da due diversi componenti: un ransomware dal comportamento classico che cifra i file e chiede un riscatto in Bitcoin e un ben più problematico payload, progettato per diffondere l’infezione sfruttando una grave vulnerabilità nel componente Server Message Block (SMB) dei sistemi Windows.
L’infezione è iniziata venerdì 12 maggio e, in un giorno, si stima, siano stati infettati più di 230.000 sistemi in oltre 150 paesi (Wikipedia). Tra le più importanti aziende colpite si possono citare il Servizio Sanitario Nazionale Inglese e quello Scozzese, la FedEx, Deutsche Bahn (azienda ferroviaria Tedesca), Renault, e molte altre.
Tralasciando l’approfondimento tecnico sul funzionamento di questa nuova minaccia che non è l’oggetto di questo post, una domanda mi sorge spontanea: il nuovo Regolamento Europeo sulla Protezione dei dati personali 2016/679 (GDPR) potrà evitare il ripetersi di queste minacce o, quantomeno, potrà limitarne la diffusione?
A ben vedere Wannacry ha sfruttato una vulnerabilità già nota, per la quale Microsoft aveva rilasciato una patch di sicurezza il 14 marzo 2017 (MS17-010), ben 2 mesi prima dell’infezione. E per di più sembra (sebbene non sia ancora una certezza) che il malware, che si presenta sotto forma di file .pdf allegato ad un’e-mail, abbia bisogno dell’intervento attivo dell’utente (che quindi apra il file in questione) per potersi attivare. Con il nuovo GDPR tutte le aziende colpite (per lo meno quelle europee) dovranno comunicare tempestivamente al Garante (entro 72 ore), e in alcuni casi anche agli interessati, le violazioni da cui possano derivare rischi per i diritti e le libertà degli interessati. Tale notificazione, tra le altre, dovrà contenere anche indicazioni sulla natura della violazione dei dati personali, le probabili conseguenze e le misure adottate per porre rimedio alla violazione.
Tutti i Titolari del trattamento dovranno, in qualsiasi caso, documentare le violazioni di dati personali subite (anche se non notificate all’autorità di controllo e non comunicate agli interessati), nonché le relative circostanze, conseguenze e i provvedimenti adottati. I Titolari saranno, poi, tenuti a fornire tale documentazione in caso di richiesta del Garante o in caso di accertamenti. In un caso come quello di Wannacry spiegare al Garante (o anche agli interessati) che l’azienda è stata colpita perché i sistemi non erano aggiornati e perché un membro del personale ha agito con leggerezza aprendo un file allegato ad un’email, oltre a un danno d’immagine sicuramente rilevante, potrebbe implicare conseguenze molto più serie di quelle causate dal malware stesso!
La nuova normativa, infatti, oltre a contemplare un notevole inasprimento delle sanzioni (fino a un massimo di 20.000.000 di euro o al 4% del fatturato mondiale annuo), prevede anche un cambio di paradigma (almeno a livello italiano) nella logica della protezione dei dati personali. Si passa dall’obbligo di applicazione (almeno) delle misure minime di sicurezza contenute nell’allegato B al D.Lgs. 196/03, a un più generale obbligo di responsabilizzazione del Titolare (c.d. accountability) ossia, citando l’art. 24 del GDPR: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
I Titolari dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta, come detto, di una grande novità per la protezione dei dati poiché viene affidato ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, sempre nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Non basterà più, quindi, dimostrare di aver implementato tutte le misure minime e qualche misure idonea di sicurezza, ma, in ossequio al principio di accountability, si dovrà garantire e dimostrare anche di aver applicato al trattamento i principi di “protezione dei dati fin dalla progettazione” e di “protezione per impostazione predefinita” (c.d. Privacy by design e Privacy by default) ossia la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire a monte, prima, cioè, di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva e un impegno applicativo che dovranno portare a una serie di attività specifiche e dimostrabili, adottando anche misure organizzative quali, ad esempio, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti. In aggiunta a questi obblighi i Titolari e i Responsabili dovranno analizzare, attraverso un apposito processo di valutazione (il c.d. Data Protection Impact Assessment – DPIA), il rischio di impatti negativi sulle libertà e i diritti degli interessati dei trattamenti posti in essere. Queste valutazioni andranno eseguite tenendo in considerazione i rischi noti o evidenziabili, le misure tecniche e organizzative che si ritiene di dover adottare per mitigare tali rischi.
Purtroppo, però, alcuni studi dimostrano che ad oggi solamente il 22% delle aziende europee comprende l’impatto della nuova normativa e un numero ancora inferiore ha già attivato piani per raggiungere la conformità. Alla luce di queste considerazioni, quindi no, non penso che il GDPR eviterà nuove infezioni planetarie. Penso però, che una rinnovata attenzione alle tematiche di sicurezza dei dati, una responsabilizzazione dei Titolari, una giusta e continua formazione delle persone possano favorire una cultura di protezione distribuita che renda, quanto meno più complicata, la diffusione di questi fenomeni.
