Esistono per le aziende alti rischi legati alla mancanza di protezione informatica dei ‘dati non sensibili’, sottoinsieme dei dati personali che, se trattati da un’organizzazione, richiedono comunque opportune misure di protezione dei dati per garantirne la sicurezza, onde tutelarsi da forme più insidiose di attacco, furti d’identità e phishing.
Infatti, non sono solo i dati sensibili a imporre requisiti elevati di protezione, secondo quanto previsto dal GDPR, che dà una precisa definizione di ‘dati sensibili’ (chiamati anche dati particolari): i ‘dati sensibili’ sono un sottoinsieme dei ‘dati personali’ che concorre a identificare direttamente un certo individuo. Per definizione del GDPR, dunque, i dati personali sensibili includono informazioni relative alla origine razziale ed etnica di una persona, le sue credenze religiose, le opinioni politiche, lo stato di salute, la vita sessuale e l’orientamento sessuale, così come pure i dati genetici e biometrici. Secondo il GDPR, i dati sensibili si riferiscono dunque a informazioni particolarmente delicate sotto il profilo dei diritti e delle libertà fondamentali, e il cui trattamento inadeguato potrebbe dare origine a rischi significativi per questi diritti e per le libertà di base. Ovvero, sono dati la cui diffusione e condivisione illecita, a seguito di un data breach, può avere un impatto grave per l’interessato.
Si tratta quindi di attributi afferenti l’intimità di una determinata persona che, se trattati, devono essere oggetto di una particolare tutela e necessitano di adeguate misure di protezione informatica.
L’insieme più ampio dei ‘dati personali’, di cui i dati sensibili sono solo una parte, consta invece delle informazioni che identificano o rendono identificabile una persona fisica, in modo diretto (dati anagrafici come nome, cognome) e indiretto, ad esempio numero di identificazione, codice fiscale, indirizzo IP, numero di targa, e che possono comprendere anche ad esempio indirizzo e dati di contatto come numero di telefono e indirizzi e-mail.
Un’errata interpretazione delle responsabilità che discendono dal GDPR tende in molte organizzazioni a ritenere che debbano essere oggetto di misure adeguate di sicurezza informatica solo i ‘dati sensibili’. Mentre il GDPR si applica in vero a tutti i dati personali nella loro totalità, imponendo un’opportuna postura di sicurezza anche per quei dati personali che non hanno natura sensibile per definizione, ma che pure vengono trattati, come ad esempio i dati di contatto o quelle informazioni che possono ‘identificare direttamente o indirettamente una persona fisica’, distinguendola all’interno di un gruppo o di un contesto di riferimento.
Trattare solo dati personali non sensibili non esonera pertanto le aziende dall’obbligo di ottemperare ai principi del GDPR, e quindi notificare e comunicare eventuali data breach, gestire gli aspetti di sicurezza e protezione di questi dati e istruire/nominare chi è autorizzato ad accedervi. Non gestire la sicurezza di questa parte di informazioni comporta quindi avere una postura di cybersecurity incompleta, e di conseguenza e nel migliore dei casi incorrere in una non conformità. Con il rischio ancora più grande di aprire una vulnerabilità dovuta a una lacunosa gestione dei rischi, sia per non consapevolezza sia per decisione consapevole di non inserirli nel novero dei dati da proteggere.
Sottovalutare i rischi legati ai dati non sensibili, o addirittura decidere di non occuparsene, è quindi un errore che può rivelarsi un pericoloso cavallo di troia per le aziende. In tal senso, la dicitura ‘non sensibile’ non deve assolutamente essere accostata a ‘da non proteggere’, e occorre che le organizzazioni siano coscienti dei rischi connessi a ogni genere di dato personale, onde non sottostimare l’importanza della protezione anche dei dati non sensibili.
La violazione di un semplice dato identificativo (non sensibile) può infatti portare a conseguenze importanti: la maggior parte degli attacchi phishing utilizza dati di contatto, e hanno ancora più possibilità di successo se l’attaccante ha ad esempio a disposizione informazioni sulle abitudini di consumo o sulle preferenze della vittima. Il furto di questi dati personali non sensibili espone la persona, e l’organizzazione, a un rischio aumentato di subire furti d’identità e frodi informatiche.
I cybercriminali possono accedere a queste informazioni mediante attività di OSINT, acronimo per Open source intelligence – ovvero la quantità di conoscenza e di informazioni che risultano di pubblico dominio e libero accesso da fonti pubbliche come social network, blog, mass media – così come dalla disponibilità di database violati. I criminali informatici possono in particolare utilizzare la OSINT per identificare obiettivi potenziali e sfruttare i punti deboli nelle reti aziendali, dove vulnerabilità nelle architetture di rete o del sito web vengono isolate con facilità proprio mediante tecniche di intelligence open source. Questa permette quindi non solo di sferrare attacchi tecnici, ma grazie alla ricerca di informazioni e dati non correttamente protetti gli attaccanti possono avviare sofisticate campagne di social engineering, sfruttando quindi tecniche ancora più insidiose e convincenti di spear-phishing, vishing, smishing e altro ancora.
Sicurezza e violazioni sono pertanto un capitolo assolutamente rilevante nella protezione di tutti i dati personali, sensibili e non. Se la sicurezza del trattamento dei dati è un obbligo previsto da GDPR, a monte esiste però anche un tema di sostenibilità nell’utilizzo dei dati personali: non informare in maniera chiara e completa gli interessati, raccogliere e trattare dati senza una logica, non cancellare i dati non più utili, violando il principio del limite alla conservazione, sono tutti comportamenti che portano a creare database che si sottraggono al controllo consapevole da parte dell’interessato. Con il risultato che le aziende accumulano una quantità di dati che non creano valore, che non costituiscono pertanto un asset che queste sentono di dover proteggere, ma che offrono una facile risorsa che permane in rete a disposizione dei threat actor per mettere a segno tecniche fraudolente e mirate di attacco informatico.
Oltre alla protezione dei dati personali, sensibili o meno, le aziende devono prestare un’attenzione crescente anche alla tutela dei dati riservati aziendali, come strategie commerciali, informazioni finanziarie, progetti di ricerca, know-how tecnico e qualsiasi informazione interna non destinata alla divulgazione. La compromissione o il furto di tali dati può infatti comportare conseguenze gravissime per il business: perdita di vantaggio competitivo, danni economici diretti, violazioni contrattuali, nonché un deterioramento dell’immagine e della fiducia del mercato nei confronti dell’organizzazione. Implementare solide misure di sicurezza informatica, formare adeguatamente il personale e applicare politiche rigorose di gestione degli accessi e di controllo dei flussi informativi sono quindi azioni indispensabili per proteggere il patrimonio informativo e garantire la continuità operativa dell’impresa.
Tale protezione non è soltanto auspicata, ma è oggi espressamente richiesta dalla recente Direttiva NIS2, che impone alle organizzazioni di adottare misure tecniche e organizzative adeguate per garantire un elevato livello di sicurezza delle reti e dei sistemi informativi, rafforzando così la resilienza complessiva del tessuto economico italiano ed europeo.