EurActive.it

Home > News > Ue: Cybercrime, notifiche rapide per fronteggiare gli attacchi

di Tancredi Cerne - ItaliaOggi

Facebook Twitter Linkedin
Ue: Cybercrime, notifiche rapide per fronteggiare gli attacchi

07/08/2017 09:50

Due nuovi provvedimenti dell'Unione europea puntano a potenziare sicurezza e sistema di risposta

L'Europa scende in campo contro i crimini informatici. Dopo aver assistito impotente al blocco di migliaia di computer di aziende, banche e istituzioni finanziarie, attraverso i malware iniettati in rete da hacker senza nome, Bruxelles ha deciso di emanare una serie di contromisure per tutelare i consumatori del Vecchio continente. Nell'unico modo finora possibile, ovvero attraverso la mappatura e la segnalazione costante degli attacchi informatici che andranno a ledere i dati personali degli utenti.A dare un ordine, per primo, alla materia sarà il regolamento europeo sulla privacy (n. 679/2016) che dal mese di maggio del prossimo anno imporrà la notifica delle violazioni dei computer (e del furto dei dati dei clienti) al garante per la privacy oltre che ai titolari stessi dei dati violati.

Le prescrizioni di legge, contenute agli artt. 33 e 34, stabiliscono che in caso di violazione dei dati personali, il titolare del trattamento dovrà notificare la violazione all'autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza. A meno che la violazione non presenti un rischio per i diritti e le libertà delle persone.

Informazioni e risposta immediate. «La notifica dovrà descrivere la natura della violazione dei dati personali compresi le categorie e il numero approssimativo di interessati», si legge nel documento del Parlamento Ue.

Dovranno inoltre essere descritte «le probabili conseguenze della violazione dei dati personali e le misure adottate o proposte dal titolare del trattamento per porre rimedio alla violazione.

La norma prevede inoltre la comunicazione immediata del data breach anche al diretto interessato. «Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo descrivendo con un linguaggio semplice e chiaro la natura della violazione e le misure adottate». Tutto questo, con l'unica eccezione di furto di dati cifrati per cui non viene richiesto all'istituto di credito l'immediata comunicazione al titolare.

Una bella rivoluzione rispetto a quanto previsto oggi dalla legge. Basti pensare che il furto di 400 mila dati di clienti Unicredit reso noto nei giorni scorsi sarebbe avvenuto infatti in due fasi. La più recente tra i mesi di giugno e luglio scorso ma il primo attacco risalirebbe addirittura a quasi un anno fa, tra settembre e ottobre del 2016.

Obiettivo sicurezza. Le novità non finiscono qui. Sempre a maggio del prossimo anno entrerà infatti in vigore una seconda arma messa a punto da Bruxelles per contrastare il cybercrime: la direttiva europea 2016/1148 sulla sicurezza delle reti e dei sistemi informativi degli operatori di servizi essenziali.

Gli stati membri dovranno assicurare che gli operatori di servizi essenziali adottino misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità dei servizi, si legge all'art. 14 secondo cui gli operatori dovranno notificare «senza indebito ritardo» all'autorità competente (in Italia non ancora definita) o al Csirt (Computer security incident response team) gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati.

Per determinare la rilevanza dell'impatto di un incidente, in particolare, si terrà conto dei seguenti parametri: il numero di utenti interessati, la durata dell'incidente e la diffusione geografica. E se l'attacco informativo dovesse generare un impatto rilevante sulla continuità dei servizi essenziali di un altro stato membro, allora l'autorità competente dovrà informare dell'incidente i propri omologhi d'oltrefrontiera.

Già dal 2011, tuttavia, il garante della privacy aveva provveduto a emettere un provvedimento (n. 192 del 12 maggio) che andava a regolare il tema della responsabilità delle banche nella gestione dei dati personali.

In particolare, veniva imposto agli istituti di credito un controllo costante sull'integrità delle informazioni critiche gestite dalla banca per conto del proprio cliente e, in caso di incidente, le informazioni derivanti dall'attività di controllo dovevano essere comunicate «alle persone e agli organi legittimati a adottare decisioni e a esprimere la volontà della banca, e messe a disposizione del garante, in caso di specifica richiesta. Non solo.

Il provvedimento stabilisce anche che le banche debbano comunicare all'interessato, senza ritardo, le operazioni di trattamento illecito effettuate sui suoi dati personali per consentirgli di minimizzare i rischi.

Per accrescere l'impegno del settore bancario nel contrasto del fenomeno dei crimini informatici, in inoltre, le banche italiane si sono fatte promotrici di collaborazioni intersettoriali, come il CertFin, Cert finanziario italiano (Computer emergency response team), operativo dal 1° gennaio 2017, con l'obiettivo di accrescere la capacità di risposta alle minacce informatiche legate allo sviluppo delle nuove tecnologie e dell'economia digitale.

Aperto a tutti gli operatori del settore bancario e finanziario nazionale, il CertFin è presieduto da un comitato strategico di indirizzo Banca d'Italia-Abi. Ogni anno le banche italiane spendono oltre 250 milioni di euro per la sicurezza informatica e sono sempre più impegnate per contrastare questo fenomeno criminale anche attraverso iniziative di formazione del personale, campagne di sensibilizzazione dei clienti e una continua azione di monitoraggio, volta a individuare e bloccare le operazioni anomale e potenzialmente fraudolente, hanno spiegato dall'Abi.

Grazie a questo lavoro, secondo le rilevazioni dell'Associazione bancaria italiana, il 95% delle operazioni fraudolente viene bloccato e i clienti vittime di frode sono solo lo 0,002% del totale di quelli che operano su home banking, pari a uno su 50 mila.

Ma la sicurezza informatica passa anche attraverso la collaborazione dei clienti. Per operare online in modo comodo e sicuro è importante seguire alcune semplici regole, hanno sottolineato dall'Abi. Ignorare qualunque richiesta di dati relativi a carte di pagamento e conto online; connettersi al sito della banca scrivendo direttamente l'indirizzo nella barra di navigazione, ignorando eventuali link ricevuti via mail ed sms; verificare sempre l'autenticità della connessione con la banca; controllare regolarmente i movimenti del proprio conto per assicurarsi che le transazioni riportate siano quelle effettuate; diffidare di qualsiasi messaggio, anche se apparentemente autentico, ricevuto tramite e-mail, sms, social network, che inviti a scaricare documenti o programmi; installare e mantenere sempre aggiornato il sistema operativo e l'antivirus; fare attenzione a eventuali peggioramenti delle prestazioni generali (rallentamenti, apertura di finestre non richieste) del proprio servizio di home banking o del proprio pc, che possono indicare infezioni sospette.





EurActiv Network
Milano Finanza Interattivo © Milano Finanza 2017 Partita IVA 08931350154