Immobili
Veicoli
ated
ULTIME NOTIZIE ated ICT Ticino
ated ICT Ticino
1 gior
Stripe semplifica la logistica di Maersk
Il gigante della logistica globale sfrutta la tecnologia per facilitare i pagamenti internazionali
ATED ICT-TICINO
3 gior
Formati Academy festeggia i 5 anni
Luca Mauriello con la sua Formati Academy collabora con ated-ICT Ticino...
LUGANO
6 gior
Arriva Nintendo Switch Sports
Il mitico Wii Sports torna con un nuovo capitolo all’insegna del divertimento
LUGANO
1 sett
Shopify compra Deliverr per 2,1 miliardi di dollari
Si tratta della più grande acquisizione nella storia di Shopify
LUGANO
1 sett
QR Bill: una questione svizzera
La QR-Fattura diventa obbligatoria a partire da ottobre 2022.
LUGANO
1 sett
InformatiCH Sagl presenta l’LPD Day
La prima edizione dell’LPD Day è il prossimo 14 giugno al LAC di Lugano
ATED
2 sett
Claranet chiama AWS
Sono in programma alcuni appuntamenti in Ticino promossi da ated-ICT Ticino in collaborazione con Claranet.
ATED
2 sett
La Cina impedisce l’accesso all’agenzia delle Nazioni Unite WIPO per Wikimedia Svizzera e altri capitoli nazionali
ATED
2 sett
Genuine Way annuncia il primo round da 550'000 euro
Grazie all’investimento la startup potrà integrare nuove funzionalità alla piattaforma con sede anche a Lugano
ATED-ICT TICINO
2 sett
Carpanzano entra nell’Accademia Svizzera delle Scienze Tecniche
Il Professore Emanuele Carpanzano, membro di ated-ICT Ticino, nominato membro dell’Accademia svizzera delle scienze
ATED
3 sett
Miglioriamo su Wikipedia i contenuti sui Musei
In vista Giornata Internazionale dei Musei 2022 (18 maggio), circa 30 Capitoli di Wikimedia uniscono le forze
ATED
3 sett
Una soluzione, numerose possibilità. È Business POS
I moderni sistemi di cassa sono dei multitalenti
ated ICT Ticino
4 sett
Le nanotecnologie entrano nello stadio del Siviglia FC
Alcune tecnologie sanificano le superfici da virus e batteri.
ated ICT Ticino
1 mese
Gli Smilebots trionfano in USA
La squadra ticinese è arrivata 18esima nella finale a Houston della First Lego League.
ATED ICT TICINO
1 mese
Big tech e ambiente
Stripe, Alphabet, Shopify, Meta e McKinsey lanciano un Advance Market Commitment (AMC).
ATED ICT TICINO
1 mese
Nuova LPD: cosa cambia per le aziende?
L’evoluzione tecnologica ha imposto una revisione totale della legge federale sulla protezione dei dati (LPD).
ated ICT Ticino
1 mese
Elon Musk punta al 100% di Twitter
Dopo l'acquisto di oltre il 9%, il patron di Tesla ha dichiarato il suo interesse alla totale acquisizione.
CANTONE
1 mese
Best Computing: tecnologia e informatica per il Ticino
Intervista al CEO Alberto Paioni, per conoscere una delle realtà storiche, associate ated al servizio del territorio.
ated ICT Ticino
1 mese
Telelavoro, smart working o rientro in ufficio?
Le organizzazioni si stanno orientando verso formule di lavoro flessibili per i propri collaboratori.
ATED
1 mese
Digitalizzazione degli archivi cartacei per essere più green
ated-ICT Ticino in collaborazione con Tectel promuove eventi e percorsi per la gestione elettronica documentale.
ATED
1 mese
La corsa su Wikipedia russa off-line
Le restrizioni governative stimolano la necessità di accedere alla libera conoscenza.
ATED TICINO
1 mese
La cyber security scorre sui binari
Al via in Ticino il primo modulo del corso in "Cyber Security Specialist".
ATED
1 mese
Giovani e tecnologia: fra educazione e consapevolezza
La robotica educativa esprime eccellenze anche in Ticino.
ATED
1 mese
Moodle dalla scuola all’impresa
La formazione scommette su formati digitali con percorsi come Moodle2Grow adatto a tutti i tipi di organizzazioni.
ATED
1 mese
Stripe e la criptoeconomy
Due operazioni in pochi giorno nello scenario cripto vedono Stripe al centro.
ATED
20.05.2020 - 09:470

L’obbligo di comunicazione delle violazioni di sicurezza: da FINMA alla futura Legge federale sulla protezione dei dati

Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)

 

L’obbligo di comunicazione delle violazioni di sicurezza alle autorità di sorveglianza è uno strumento fondamentale sia nell’ottica del contenimento delle conseguenze avverse della violazione, sia (e soprattutto) in ottica preventiva, in quanto pone le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad affrontare seriamente la questione della sicurezza. Recentemente, FINMA ha chiarito gli obblighi degli assoggettati in tale ambito. Obblighi che nel 2021 saranno generalizzati ed estesi a tutti i soggetti che trattano dati personali nell’ambito della revisione totale della Legge federale sulla protezione dei dati (LPD). Siamo pronti a questo cambio totale di prospettiva?

L’obbligo di comunicazione secondo FINMA

L’art. 29 della Legge federale sulla vigilanza dei mercati finanziari prevede che gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio a FINMA tutti gli eventi di grande importanza ai fini della vigilanza.

Nella propria Comunicazione sulla vigilanza 05/2020 del 7 maggio 2020 (link), FINMA ha istituito espressamente, disciplinandolo nel dettaglio, un ampio obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.

A chi si applica tale obbligo? A tutte le persone che in virtù delle leggi sui mercati finanziari necessitano di un’autorizzazione, un riconoscimento, un’abilitazione o una registrazione da parte di FINMA e gli investimenti collettivi di capitale, come (ad esempio) banche, OAD, istituti finanziari, imprese di assicurazione e investimenti collettivi di capitale autorizzati, nonché i relativi gestori patrimoniali e le direzioni dei fondi.

L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT, outsourcing e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; si rinvia per i dettagli alle definizioni stabilite nell’Allegato 2).

La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.

La comunicazione deve essere implementata entro il 1° settembre 2020 (meglio se prima, secondo best effort).
 
Considerato quanto precede, il tema critico che si pone non è “come procedere” alla comunicazione quando si presenta una violazione della sicurezza, bensì quello di “essere in grado” di effettuarla nei tempi strettissimi previsti (24 – 72 ore). Per poterlo fare, occorre formalizzare senza ritardo ruoli, responsabilità, politiche e processi, nonché costituire un team multidisciplinare pronto a svolgere analisi complesse in regime d’urgenza.

In ottica futura, si raccomanda di concepire l’organizzazione preposta alla comunicazione delle violazioni cyber alla FINMA, in maniera tale da renderla “scalabile” in vista dell’entrata in vigore del futuro obbligo (generale) di comunicazione e/o informazione delle violazioni di sicurezza nell’ambito della protezione dei dati personali.

La gestione delle violazioni di sicurezza secondo la LPD

La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che trattano professionalmente informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza, rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).

Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che comporta anche solo verosimilmente un rischio grave per la personalità e i diritti fondamentali della persona interessata. La comunicazione deve essere effettuata quanto prima. In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di apprezzamento. È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono il rischio e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento». Nella comunicazione occorre menzionare almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.

L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se lo richiede l’IFPD. Essa può avvenire anche tramite una comunicazione pubblica.

Onde risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.

Onde poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di allestire un “piano” calibrato sui rischi per gli interessati composto dei seguenti elementi:

  • una squadra d’intervento dotata delle competenze necessarie tecniche e giuridiche e specialmente organizzata e formata per effettuare rapidamente le analisi e le comunicazioni richieste in caso di evento avverso;
  • un manuale operativo per la gestione dei “data breach”;
  • una policy che specifichi (in particolare) i criteri volti a identificare concretamente i rischi e a valutarne il livello di gravità, istruzioni, processi, ruoli, responsabilità e meccanismi di verifica post evento sull’operato della squadra e sull’adeguatezza dei provvedimenti tecnici e organizzativi posti a difesa dei dati personali;
  • un registro delle violazioni della sicurezza, che contempli non solo le violazioni comunicate all’IFPD o oggetto di informazione agli interessati e le misure di contenimento adottate, bensì tutte le violazioni subite dall’azienda;
  • un addendum contrattuale nell’ambito dei rapporti del titolare con i responsabili del trattamento (i.e. i soggetti autonomi cui il titolare ha delegato lo svolgimento di specifiche attività di trattamento) che determini inter alia: (i) obbligo di comunicazione al titolare delle violazioni di sicurezza, (ii) modalità e tempistiche di esecuzione, (iii) obblighi di manleva e indennizzo e pene convenzionali;
  • istruzioni operative sulle attività di trattamento, rispettivamente attività di sensibilizzazione e di training regolare sui rischi per la sicurezza, indirizzati a coloro che trattano dati personali all’interno dell’azienda.

Conclusione

Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo. La sicurezza assoluta non esiste, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme e ai livelli di diligenza applicabili al settore in cui si opera.

Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).

Occorre prepararsi ORA per affrontare crisi che per complessità e urgenza non permettono improvvisazioni.

ated
Guarda le 2 immagini
Allegati

YouTube

Facebook

Instagram

Linkedin

Twitter

TikTok


Copyright © 1997-2022 TicinOnline SA - Tutti i diritti riservati
IMPRESSUM - DISCLAIMER - SEGNALACI - COMPANY PAGES
Disposizioni sulla protezione dei dati  -   Cookie e pubblicità online  -   Diritto all'oblio


Ultimo aggiornamento: 2022-05-26 15:41:42 | 91.208.130.86