DPO e OdV insieme per prevenire reati informatici e data breach: come creare un cyber shield
2024-1-22 22:46:37 Author: www.cybersecurity360.it(查看原文) 阅读量:44 收藏

DATA PROTECTION

Le fattispecie dei reati informatici contemplate nel perimetro del D.lgs. 231/2001 sono, in massima parte, descrittive sia di illeciti penali che di potenziali data breach e, pertanto, trovano un terreno che accomuna DPO ed ODV. Dunque, l’insieme di questi reati costituisce un’area davvero congeniale a realizzare la c.d. “compliance integrata”. Ecco perché

Pubblicato il 22 Gen 2024

In un precedente articolo sono stati esplorati i confini dei rispettivi compiti di DPO e OdV, arrivando a riconoscere delle aree di sovrapposizione, che, se ben sfruttate, possono potenziare la compliance e la governance aziendale, attraverso la realizzazione del paradigma della “compliance integrata”.

Questo schema trova un contesto particolarmente agevolante nell’insieme delle fattispecie dei reati informatici indicati nell’art. 24 bis del D.lgs. 231/2001, poiché le stesse sono, in massima parte, essenzialmente e contestualmente descrittive sia di illeciti penali che di data breach.

Come armonizzare i controlli eseguiti dal DPO e dall’OdV per la compliance integrata in azienda

Responsabilità di DPO e OdV nella prevenzione di reati informatici e data breach

È noto che il DPO svolge funzioni di advisor e di auditor anche al fine di evitare data breach, garantendo un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati[1].

Stai proteggendo i tuoi dati nel modo giusto?

Datacenter Infrastructure Management

L’ODV è, invece, incaricato di vigilare per fronteggiare l’intero spettro dei reati “231” che possono essere commessi da persone fisiche interne all’organizzazione (un soggetto apicale o a questi subordinato) nell’interesse o a vantaggio dell’organizzazione stessa, compresi quelli di natura informatica.

A ben vedere, i compiti di DPO e ODV si intrecciano, in modo affatto evidente, quando si tratta di prevenire reati informatici che possono simultaneamente, anche se non necessariamente, configurarsi come data breach.

Si tratta comunque di un intreccio caleidoscopico. Infatti, l’OdV analizza le casistiche senza alcun limite né riserva sulla tipologia di informazioni oggetto della sua attività di controllo. Il DPO, invece, è interessato ai soli aspetti che intaccano riservatezza, integrità, disponibilità dei dati personali. Anche se, per completezza, va precisato che al DPO dovrebbe interessare altresì una vulnerabilità su dati non personali che parallelamente potrebbe comportare una criticità anche sui dati personali ancora in nuce.

I rispettivi moduli operativi del DPO e dell’OdV

È necessario tener presente che, mentre l’OdV è impegnato a eseguire attività di vigilanza per prevenire la commissione di un delitto informatico (e più in generale di tutti i delitti nel perimetro del D.lgs. 231/2001) – commesso da un soggetto interno apicale o a questi subordinato, nell’interesse o a vantaggio dell’organizzazione – il DPO assiste il proprio titolare nel valutare tutte le fonti di rischio che possono essere originate da:

  1. persone malintenzionate – agenti che operano in modo volontario;
  2. persone non malintenzionate – agenti che operano in modo involontario;
  3. infrastrutture tecnologiche;
  4. la natura.

L’ambito di operatività dell’OdV

L’OdV è chiamato a vigilare sul funzionamento e l’osservanza del Modello di Organizzazione, Gestione e Controllo (indicato con l’acronimo MOGC) adottato dall’organizzazione per beneficiare dell’esimente di responsabilità amministrativa ai sensi del D.lgs. 231/2001, nel il caso in cui, nonostante tale adempimento, venga commesso un reato presupposto da parte di un soggetto interno (apicale o subordinato).

In tale quadro, lo stesso OdV, in relazione ai reati informatici “231”, in particolare, potrebbe utilmente:

  1. esaminare l’organigramma e il mansionario, verificando innanzitutto se sia stato rispettato il principio di separazione di ruoli e funzioni (segregation of duties);
  2. individuare le macroaree aziendali (che peraltro dovrebbero già essere indicate nel MOGC) e le attività sensibili cioè le attività astrattamente esposte al rischio di commissione di un reato informatico “231”;
  3. esaminare le procedure afferenti al perimetro e gli altri documenti collegati, quali ad esempio il Modello Organizzativo Privacy (MOP)[2];
  4. considerare i risultati di precedenti attività di controllo e/o informazioni provenienti dai flussi che possono aver messo in luce potenziali criticità e lo stato di presa in carico delle misure correttive;
  5. verificare in concreto la conoscenza del MOGC da parte delle persone chiamate ad applicarlo.

Ancora, in concreto, ad esempio, l’OdV, in relazione alle attività sensibili indicate nel MOGC e alle funzioni aziendali coinvolte, potrebbe/dovrebbe verificare l’esistenza e l’adeguatezza di tutte le misure tecniche ed organizzative funzionali ad evitare condotte criminose, come ad esempio:

  1. la sicurezza fisica dei locali, delle apparecchiature delle infrastrutture e degli archivi;
  2. la gestione degli asset nel corso di tutto il loro ciclo di vita;
  3. il sistema di classificazione ed etichettatura dei dati personali;
  4. i protocolli per la gestione della sicurezza logica (il rilascio, la gestione di credenziali e la cancellazione secondo l’insieme di protocolli AAA – Authentication, Authorization, Accounting, antivirus ecc.);
  5. la gestione dei sistemi e le azioni poste in atto per far fronte alle vulnerabilità tecniche;
  6. le procedure che regolamentano il ciclo di vita del collaboratore (non necessariamente dipendente) all’interno dell’organizzazione compresa la formazione;
  7. la dismissione sicura o riutilizzo delle apparecchiature e dei supporti che contengono dati;
  8. i protocolli per lo sviluppo sicuro degli applicativi anche in ottica di limitazione degli accessi ai dati.

L’ambito di operatività del DPO

L’attività di consulenza, controllo e sorveglianza del DPO, invece, si concentra sulle misure tecniche ed organizzative che l’impresa, quale titolare del trattamento, deve mettere in atto per garantire ed essere in grado di dimostrare che i processi aziendali si sviluppano in modo conforme ai principi della Data Protection.

In particolare, il DPO assiste il proprio titolare nella gestione dei rischi che sono suscettibili di cagionare un danno fisico, materiale o immateriale.

Una casistica di tali danni si trova nei Considerando 75 e 85 del GDPR. Alcuni di questi sono prodromici o corrispondenti agli eventi dannosi o pericolosi di alcune fattispecie di reato informatico previste dall’art. 24 bis del D.lgs. 231/2001.

Così, ad esempio, il furto (di credenziali) o usurpazione d’identità (indicato sia nel Considerando 75 che nel Considerando 85 del GDPR) è prodromico alla commissione del reato di “Accesso abusivo a un sistema informatico o telematico”[3].

E ancora, “qualsiasi altro danno economico o sociale significativo” (anche questo riportato nei citati Considerando 75 e 85 del GDPR) trova corrispondenza nella gamma di eventi dannosi da cui dipende l’esistenza dei reati informatici “231” che prevedono il danneggiamento di informazioni, di dati e di programmi informatici.

Come la ISO/IEC 27001:2022 e altre norme possono venire in aiuto

Dato che una gran parte delle misure per prevenire la commissione di reati informatici “231” sono di carattere organizzativo e tecnico, l’OdV e il DPO dovrebbero, in prima battuta, considerare i controlli (i.e. le specifiche misure di mitigazione dei rischi) contenute nella ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection – Information security management systems – Requirements” e le altre norme/linee guida della famiglia ISO/IEC 27000.

Tali strumenti infatti contengono una serie di controlli, supportati da linee guida, che sono applicabili a qualunque contesto e non richiedono necessariamente che l’organizzazione sia certificata da un ente terzo. L’apparato di informazioni reso disponibile da tali strumenti certamente può facilitare le attività di vigilanza, fornendo, nel contempo, elementi utili a rendere più efficienti i sistemi, facendo leva su un apparato riconosciuto a livello internazionale.

Per tale attività non va trascurato, laddove il contesto lo richiedesse, anche il ricorso ai controlli forniti da altri standard certificabili di recentissima pubblicazione, come la ISO/IEC 42001:2023 “Information technology – Artificial intelligence – Management system”. Ad esempio, il controllo A7.5 “Data provenance” dello standard richiede che sia tracciata la provenienza dei dati utilizzati dai sistemi di AI che comprenda elementi come la creazione, l’aggiornamento, la trascrizione, la validazione, ecc. Se tali dati sono stati acquisiti tramite un accesso abusivo a sistemi (ad esempio di terzi) si potrebbe configurare il reato di “Accesso abusivo ad un sistema informatico o telematico”.

Il necessario ricorso a esperti ICT

Quindi, come si è appena evidenziato, i reati informatici richiedono il presidio di misure anche di carattere tecnico che di norma sono di competenza di esperti e che richiedono continui aggiornamenti. Raramente DPO e OdV possiedono tali specifiche conoscenze per poter eseguire controlli in modo efficace, soprattutto in presenza di una controparte esperta (di norma il responsabile interno della macroarea ICT ed il CISO). Pertanto, in questi casi, anche ricorrendo al budget a loro disposizione, è opportuno che il DPO e l’OdV valutino l’opportunità di ricorrere a soggetti qualificati in grado di affiancarli nel corso degli audit/interviste.

Vale la pena evidenziare che se le misure organizzative e tecniche sono un naturale ambito di indagine per il DPO, lo sono anche per l’OdV.

Infatti, non è corretto immaginare che l’OdV sia interessato solo alla verifica delle misure di carattere organizzativo. La mancata o la negligente applicazione di misure di carattere tecnico, infatti, può comportare un vantaggio per l’organizzazione, ad esempio nel risparmio di costi che configura una condizione a rischio.

Proprio in relazione all’argomento che si sta trattando, ad esempio, verificare che siano state messe in atto efficaci misure per prevenire il reato di “Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche[4]” richiede notevoli competenze di carattere tecnico.

I reati informatici “231” costituiscono essenzialmente anche un data breach

Analizzando tutte le fattispecie di reato indicate nell’art. 24 bis del D.Lgs. 231/2001 è agevole indurre come la maggior parte di queste fattispecie trovi corrispondenza nel modello del data breach sotto forma di perdita di riservatezza, di integrità e/o di disponibilità delle informazioni personali.

Infatti, la maggior parte degli illeciti penali riportati nella tassonomia fissata nel citato articolo risulta essere comunque anche una “violazione di sicurezza che comporta […] in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”[5].

Prevenire questi reati è quindi un obiettivo strategico condiviso tra OdV e DPO, da realizzare in un ambito operativo, all’interno del quale un approccio integrato alla compliance normativa è certamente funzionale a definire una strategia chiave per garantire la sicurezza dei dati insieme ad un’adeguata ed etica gestione aziendale.

Quando un reato informatico può configurarsi come data breach

Resta da chiarire infine il nesso tra i reati informatici ed il data breach.

Nel precisare innanzitutto che non sempre e non necessariamente un reato informatico configura un data breach, vediamo di seguito alcuni casi concreti in cui un reato informatico “231” può configurarsi anche come un data breach.

Ad esempio, è difficile, ma non impossibile, configurare uno scenario nel quale venga perpetrato il reato di “Frode informatica del certificatore di firma elettronica[6]” che possa anche minare i diritti e le libertà dell’interessato. Infatti, tale reato (c.d. proprio[7]) si configura quando un soggetto che fornisce il servizio di certificazione di firma elettronica, violi gli obblighi previsti per il rilascio di un certificato qualificato come ad esempio una smart card che conserva il certificato qualificato di firma.

Ancora, il compimento del reato “Danneggiamento di informazioni, dati e programmi informatici[8]” configura un evento che mina la sicurezza delle informazioni. Quindi, laddove dette informazioni fossero di natura personale, il citato illecito penale assumerebbe anche una rilevanza privacy costituendo, nel contempo, una “violazione dei dati personali” che comporta l’obbligo, per l’organizzazione, di porre in essere gli adempimenti previsti dall’art. 33 del GDPR.

Conclusioni

In conclusione, con questo articolo si è voluto porre in evidenza la convergenza delle responsabilità del DPO e dell’OdV nella prevenzione dei reati informatici “231” e dei potenziali data breach che potrebbe/dovrebbe opportunamente indurre a pianificare e ad eseguire una sorveglianza/vigilanza congiunta.

Tale attività richiede, ovviamente, la comprensione approfondita di ogni singola fattispecie, di interesse comune, contemplata dall’art. 24 bis del D.lgs. 231/2001.

Attraverso questo processo analitico condiviso, il DPO e l’OdV possono delineare una mappa dettagliata delle potenziali vulnerabilità presenti in azienda, rendendo evidenti i rischi e favorendo l’implementazione di misure preventive mirate.

Resta quindi ancora da dedicare un’attenzione analitica alle diverse tipologie di reati informatici “231”, di comune interesse operativo del DPO e dell’OdV, poiché la comprensione approfondita di queste fattispecie rappresenta un presupposto indispensabile per la formulazione e l’implementazione di efficaci misure preventive in azienda.

Un’altra tappa del nostro viaggio nei rapporti tra DPO e OdV ci aspetta.

 

NOTE

  1. Vds. art. 32 GDPR

  2. Il Modello Organizzativo Privacy di M. Perego, S. Persi e C. Ponti, Giuffrè Francis Lefebvre 2020

  3. Art. 615 ter c.p.

  4. Art. 617 quater c.p..

  5. Questa è la definizione di violazione dei dati personali fissata nell’art. 4 (12) del GDPR.

  6. Art. 640 quinquies c.p.

  7. Ovvero che può essere commesso solo da parte di un soggetto che riveste una particolare qualifica soggettiva e nel caso specifico quanti prestano servizi di certificazione di firma elettronica qualificata.

  8. Art. 635 bis c.p.

Come comunicare al CEO la necessità di investire (di più) in sicurezza

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/dpo-e-odv-insieme-per-prevenire-reati-informatici-e-data-breach-come-creare-un-cyber-shield/
如有侵权请联系:admin#unsafe.sh