In questo post analizzo alcune delle principali novit\u00e0 in materia.<\/p>\n
E\u2019 opportuno fare una premessa.<\/p>\n
Con l\u2019aumento dei dati personali raccolti e conservati in server spesso collegati fra loro in rete, crescono i rischi di attacchi informatici e di diffusione di virus di vario tipo.<\/p>\n
E\u2019\u00a0interessante anche notare quali sono le reali motivazioni che stanno alla base di questi attacchi informatici.<\/p>\n
Generalmente sono suddivisibili in 4 macro categorie:<\/p>\n
a) Attivit\u00e0 criminali comuni (furti, truffe, ecc.) finalizzate a guadagni economici immediati<\/p>\n
b) Hacktivisti con obbiettivi sociali e politici<\/p>\n
c) Spionaggio per lo pi\u00f9 di tipo industriale e finalizzato a sottrarre informazioni confidenziali<\/p>\n
d) Warfare: battaglie informatiche tra Stati.<\/p>\n
La percentuale di reati informatici commessi per scopi sociali e politici da cosiddetti Hacktivisti\u201d si \u00e8 drasticamente ridotta tra il 2012 e il 2016, passando dal 39% del totale dei reati informatici riscontrati nel 2012, all\u201911,3% nel 2016, lasciando invece spazio ai crimini tradizionali che sono passati da un 51% del 2012 al 80,3% del 2016 (fonte Hackmageddon<\/a>).<\/p>\n La Warfare, da circa il 7% del 2012 \u00e8 arrivata all\u201911,3%, ma il dato \u00e8 del settembre 2016 e potrebbe non tenere in considerazione le recenti novit\u00e0 in tema di Warfare tra Stati Uniti e Russia.<\/p>\n Nel settembre 2016 gli attacchi sono stati veicolati principalmente (40,8% del totale) tramite sistemi non identificati. \u00a0Al secondo posto (15,5% del totale) tramite manomissione di account internet, mentre per l\u201911,3% tramite attacchi DDoS (Distributed Denial of Service) ovvero quegli attacchi consistenti nell\u2019inondare un sito target tramite traffico o invio di informazioni massivo, tale da comportare il blocco del sito target. RDP Vulnerability (vulnerabilit\u00e0 del sistema di accesso da remoto al desktop), SEO Positioning e Malicious JavaScript sono invece tra i mezzi meno utilizzati anche nel mese di settembre (cos\u00ec come nel resto del 2016).<\/p>\n Naturalmente i principali target colpiti nel mese di settembre 2016, appartengono alla categoria delle grandi industrie (26,8% del totale) e per l\u201911,3% le organizzazioni internazionali. Per la stessa percentuale (11,3%) i Governi, mentre i singoli individui (dato questo che conferma l\u2019inquietante trend), stanno al quarto posto anche nel mese di settembre con l\u20198,5% del totale.<\/p>\n Interessante notare come, a dispetto di tutte le critiche rivolte ai rischi di sicurezza di Bitcoin, i Bitcoin Exchange sono tra gli ultimi soggetti ad essere sottoposti ad attacco con percentuali inferiori allo 0,2% del totale nel mese di settembre 2016. Probabilmente anche per la limitata diffusione di Bitcoin.<\/p>\n La NIS Directive<\/strong><\/p>\n La Direttiva NIS (Network and Information Security)<\/a> \u00e8 stata adottata dal parlamento Europeo il 6 luglio 2016.<\/p>\n La direttiva stabilisce un pacchetto<\/a>\u00a0comune\u00a0di \u201cregole a livello di Ue sulla sicurezza informatica. L\u2019obiettivo della direttiva \u00e8 quello di raggiungere un elevato livello comune di sicurezza dei sistemi delle reti e dei sistemi di informazione all\u2019interno dell\u2019Ue, mediante: migliorate capacit\u00e0 di sicurezza informatica a livello nazionale; aumentata cooperazione a livello Ue; gestione dei rischi e obbligo di riportare gli incidenti per gli operatori di servizi essenziali e\u00a0fornitori di servizi digitali\u201d, come motori di ricerca, servizi cloud.<\/p>\n Una volta che la Direttiva sar\u00e0 implementata in tutti gli Stati Membri, determiner\u00e0 l\u2019obbligo, per una serie di aziende operanti nel settore dei servizi cosiddetti \u201cessenziali\u201d (ad es. banche, energia, salute, trasporti), cos\u00ec come nel settore dei servizi digitali (ad es. cloud computing), di adottare standard minimi di sicurezza e di reportistica immediata di attacchi o falle informatiche.<\/p>\n Gli Stati Membri sono tenuti ad implementare la citata Direttiva entro il maggio 2018, creando una autorit\u00e0 ad hoc (NIS Authority) e un team che si occuper\u00e0 esclusivamente della gestione dei report di attacchi o falle informatiche. Gli Stati hanno l\u2019obbligo di identificare, entro il novembre 2018, quelli che saranno i cosiddetti \u201cservizi essenziali\u201d ai fini degli obblighi di adozione degli standard di sicurezza e degli obblighi di reportistica.<\/p>\n Il nuovo Regolamento sul trattamento dei dati personali.<\/strong><\/p>\n Come noto il Regolamento Europeo (UE) 2016\/679 (\u201cRegolamento\u201d)<\/a> concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati \u00e8 entrato in vigore il 24 maggio 2016 e diventer\u00e0 direttamente applicabile in tutti gli stati membri a partire dal 25 maggio 2018.<\/span><\/p>\n La riforma avr\u00e0 certamente un rilevante impatto nella vita delle aziende e delle pubbliche amministrazioni ed enti pubblici ma anche delle cosiddette Startup Innovative, ovvero quelle societ\u00e0 \u00a0che, create sulla base del D.L 179\/2012 (qui la Guida completa<\/a>), rappresentano un motore di imprenditorialit\u00e0 e innovazione anche sociale nel nostro paese. E naturalmente la riforma avr\u00e0 un rilevante impatto, in positivo, per la vita dei cittadini e dei consumatori.<\/span><\/p>\n Per citare quanto gi\u00e0 detto nel sito del Garante Privacy, il Regolamento introduce regole pi\u00f9 chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l\u2019esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell\u2019Ue e per i casi di violazione dei dati personali (data breach).<\/p>\n L\u2019informativa diventa sempre di pi\u00f9 uno strumento di trasparenza riguardo al trattamento dei dati personali e all\u2019esercizio dei diritti. Per facilitare la comprensione dei contenuti, nell\u2019informativa si potr\u00e0 fare ricorso anche a icone, identiche in tutta l\u2019Unione europea. Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell\u2019Ue e con quali garanzie; cosi come dovranno sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.<\/p>\n Il consenso dell\u2019interessato al trattamento dei dati personali dovr\u00e0 essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un\u2019apposita casella in un sito web). Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche \u00abesplicito\u00bb. Viene esclusa ogni forma di consenso tacito (il silenzio, cio\u00e8, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni gi\u00e0 selezionate. Il consenso potr\u00e0 essere revocato in ogni momento. I trattamenti effettuati fino a quel momento dal titolare sulla base del consenso rimarranno comunque legittimi. I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potest\u00e0 genitoriale per trattare i dati personali dei minori di 16 anni.<\/p>\n Le decisioni che producono effetti giuridici (come, la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione). Faranno eccezione i casi in cui l\u2019interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure questo tipo di trattamento risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di legge. In ogni caso, sono previste garanzie per gli interessati, come il diritto di opporsi alla decisione adottata sulla base di un trattamento automatizzato o il diritto di ottenere anche l\u2019intervento umano rispetto alla decisione stessa. Se il trattamento \u00e8 finalizzato ad attivit\u00e0 di marketing diretto, l\u2019interessato ha sempre il diritto di opporsi alla profilazione.<\/p>\n Grazie all\u2019introduzione del cosiddetto \u00abdiritto all\u2019oblio\u00bb, gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso; se i dati non sono pi\u00f9 necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l\u2019interessato si oppone legittimamente al loro trattamento. A questo diritto si accompagna l\u2019obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile. Il diritto all\u2019oblio potr\u00e0 essere limitato solo in alcuni casi specifici: per esempio, per garantire l\u2019esercizio della libert\u00e0 di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale (ad esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalit\u00e0 statistiche o scientifiche.<\/p>\n Il Regolamento introduce il diritto alla \u00abportabilit\u00e0\u00bb dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Ad esempio, si potr\u00e0 cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno per\u00f2 alcune eccezioni che non consentono l\u2019esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.<\/p>\n Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell\u2019Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione pi\u00f9 stringenti. Come avviene gi\u00e0 oggi, in mancanza di un riconoscimento di adeguatezza da parte della Commissione europea, i titolari potranno utilizzare per il trasferimento specifiche garanzie contrattuali, per le quali il Regolamento prevede norme dettagliate e vincolanti. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell\u2019interessato, oppure qualora ricorrano particolari condizioni (ad esempio, quando il trasferimento \u00e8 indispensabile per rispettare specifici obblighi contrattuali, per importanti motivi di interesse pubblico, per esercitare o difendere un diritto in sede giudiziaria, ecc.). Il trasferimento o la comunicazione di dati personali di un cittadino dell\u2019Ue ad autorit\u00e0 giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.<\/p>\n Il titolare del trattamento dovr\u00e0 comunicare eventuali violazioni dei dati personali (data breach) all\u2019Autorit\u00e0 nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libert\u00e0 delle persone, il titolare dovr\u00e0 informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. Il titolare del trattamento potr\u00e0 decidere di non informare gli interessati se riterr\u00e0 che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identit\u00e0, danno di immagine, ecc.); oppure se dimostrer\u00e0 di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell\u2019eventualit\u00e0 in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte \u00e8 elevato). In questo ultimo caso, \u00e8 comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti pi\u00f9 interessati possibile (ad esempio, tramite un\u2019inserzione su un quotidiano o una comunicazione sul sito web del titolare). L\u2019Autorit\u00e0 di protezione dei dati potr\u00e0 comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.<\/p>\n Imprese ed enti avranno pi\u00f9 responsabilit\u00e0, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni, anche elevate.<\/p>\n Il Regolamento \u00e8 direttamente applicabile e vincolante in tutti gli Stati membri dell\u2019Unione europea e non richiede una legge di recepimento nazionale. Inoltre, si applica integralmente alle imprese situate fuori dall\u2019Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell\u2019Unione europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell\u2019Ue. Fra le principali novit\u00e0 del Regolamento c\u2019\u00e8 il cosiddetto \u00absportello unico\u00bb (one stop shop), che semplificher\u00e0 la gestione dei trattamenti e garantir\u00e0 un approccio uniforme. Salvo casi specifici, le imprese stabilite in pi\u00f9 Stati membri o che offrono prodotti e servizi in vari Paesi dell\u2019Ue, per risolvere possibili problematiche sull\u2019applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cio\u00e8 all\u2019Autorit\u00e0 di protezione dei dati del Paese dove si trova il loro stabilimento principale.<\/p>\n Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l\u2019adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali pu\u00f2 comportare per i diritti e le libert\u00e0 degli interessati. Il principio-chiave \u00e8 \u00abprivacy by design\u00bb, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, \u00e8 previsto l\u2019obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l\u2019Autorit\u00e0 di protezione dei dati in caso di dubbi. Viene inoltre introdotta la figura del \u00abResponsabile della protezione dei dati\u00bb (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. In compenso, scompaiono alcuni oneri amministrativi come l\u2019obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell\u2019Autorit\u00e0 i trattamenti considerati \u00aba rischio\u00bb.<\/p>\n Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all\u2019approvazione dell\u2019Autorit\u00e0 nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell\u2019approvazione da parte della Commissione il codice di condotta avr\u00e0 applicazione nell\u2019intera Ue). Il titolare potr\u00e0 far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potr\u00e0 essere rilasciata da un soggetto abilitato oppure dall\u2019Autorit\u00e0 di protezione dei dati. L\u2019adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l\u2019Autorit\u00e0 dovr\u00e0 tenere conto, per esempio, nell\u2019applicare eventuali sanzioni o nell\u2019analizzare la correttezza di una valutazione di impatto effettuata dal titolare.<\/p>\n In che modo la Brexit impatter\u00e0 sulle nuove normative in materia di Data Protection e Cybersecurity?<\/strong><\/p>\n Qualora il Regno Unito rimanga parte dello\u00a0Spazio Economico Europeo<\/a>, \u00e8 presumibile che il Paese recepisca integralmente sia il GDPR che la Direttiva NIS. Anche nel caso in cui il Regno Unito decida di non far pi\u00f9 parte dello Spazio Economico Europeo, dovr\u00e0 comunque adottare norme analoghe al GDPR tali da garantire un trattamento dei dati personali adeguato rispetto alle disposizioni del citato Regolamento, al fine di poter continuare a poter ricevere dati personali dall\u2019UE. banalmente ci\u00f2 significa che se il Regno Unito non adotta normative analoghe al GDPR (in caso di Brexit e di uscita dallo Spazio Economico Europeo), tutte le societ\u00e0 aventi sede nel Regno Unito non potranno pi\u00f9 ricevere i dati personali di utenti dell\u2019UE a meno che non si giunga ad un accordo tra UE e Regno Unito analogo\u00a0al Privacy Shield<\/a>\u00a0chiuso tra l\u2019UE e gli USA.<\/p>\n Quali effetti avr\u00e0 l\u2019entrata in vigore della bozza di legge sulla Cyberescurity in Cina (CSL), sul trasferimento dei dati al di fuori del Paese?<\/strong><\/p>\n La bozza di legge cinese sulla Cybersecurity (China Cybersecurity Law o CSL)<\/a> prevede che gli operatori e gestori di cosiddette \u201cstrutture informatiche critiche<\/em>\u201c, archivino informazioni personali e dati concernenti transazioni \u201crilevanti\u201d,\u00a0<\/em>generati e raccolti in Cina. Qualora, per legittime motivazioni professionali e aziendali, tali dati devono essere comunicati a soggetti posti al di fuori del territorio c Disposizioni amministrative in Cina relative a servizi forniti tramite applicazioni per dispositivi mobili.<\/strong><\/p>\n In Cina sono entrate in vigore recentemente (1 Agosto 2016) delle disposizioni amministrative relative a servizi forniti tramite applicazioni per dispositivi mobili (cosiddette \u201cMobile Provisions\u201d). Le Mobile Provisions regolano i software installati (o pre-installati) su dispositivi mobili per fornire servizi informativi agli utenti e sono applicabili sia per i provider delle applicazioni per dispositivi mobili, sia per gli stores di applicazioni mobili nei quali tali applicazioni sono caricate (in sostanza saranno tenuti a osservare le Mobile Provisions non solo le singole societ\u00e0 o soggetti che gestiscono tali applicazioni ma anche gli Store di Apple e Google dai quali tali applicazioni sono scaricabili). I provider di tali applicazioni dovranno avere sei obblighi fondamentali se operano in Cina, ivi incluso l\u2019obbligo di identificare ogni utente, di notificare all\u2019amministrazione competente l\u2019identit\u00e0 dell\u2019utente che viola le leggi applicabili in Cina e di tenere traccia di ogni log di ciascun utente per almeno 60 giorni.<\/p>\n Una legislazione evidentemente inadatta a consentire un libero sviluppo delle applicazioni per dispositivi mobili e finalizzata, a parere di chi scrive, ad un controllo sempre pi\u00f9 capillare del territorio sulle spalle delle societ\u00e0 che gestiscono tali applicazioni, le quali dovranno certamente porre in atto una serie di costosi interventi al fine di andare incontro agli (assurdi) obblighi imposti dalle Mobile Provisions.<\/p>\n <\/p>\n<\/div>\n <\/p>","protected":false},"excerpt":{"rendered":" Le multinazionali (incluse le Startup che possono essere considerate delle vere e proprie multinazionali \u201ctascabili\u201d) si trovano di fronte ad un sempre maggior numero di normative in ambito cybersecurity e privacy, spesso divergenti fra loro, complicate e con adempimenti sostanzialmente differenti a seconda del paese nel quale si va ad operare. In questo post analizzo\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":51,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[358,359],"class_list":["post-2255","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-direttiva-nis","tag-nis-autority"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/51"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2255"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2255\/revisions"}],"predecessor-version":[{"id":2261,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2255\/revisions\/2261"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"september-2016-stats-featured\"](\"http:\/\/studiolegalesimbula.com\/wp-content\/uploads\/2016\/11\/September-2016-Stats-Featured-300x155.png\")
<\/a><\/p>\n![\"chinas-new-proposed-cyber-laws-spark-concerns-among-international-businesses\"](\"http:\/\/studiolegalesimbula.com\/wp-content\/uploads\/2016\/11\/chinas-new-proposed-cyber-laws-spark-concerns-among-international-businesses-300x196.jpg\")
<\/a>inese, gli operatori di tali dati dovranno ottenere una \u201cvalutazione sulla sicurezza<\/em>\u201d formulata congiuntamente dalla Amministrazione Nazionale Cinese sul Cyberspazio e dal Consiglio Statale. In realt\u00e0 la bozza \u00e8 estremamente fumosa poich\u00e8 non da una definizione di cosa siano le \u201cstrutture informatiche critiche<\/em>\u201d n\u00e8 da una definizione di\u201dvalutazione sulla sicurezza<\/em>\u201d il che potrebbe lasciar pensare che il Governo cinese si voglia ritagliare un importante potere discrezionale sul punto. Non \u00e8 quindi una bella notizia per gli operatori che hanno una sede legale in Cina o che operano sul territorio cinese.<\/p>\n