ated
ULTIME NOTIZIE ated ICT Ticino
ATED
1 gior
Quando la tecnologia è a supporto del sociale
Un esempio su tutti: durante il lockdown. Ma si può andare oltre all'emergenza, a spiegarlo un seminario web
ATED
3 gior
Identità culturali a confronto
È in lavorazione un cortometraggio realizzato da due allievi luganesi per riflettere sulle differenze culturali
LUGANO
6 gior
A Visionary Day 2020 con Supsi
All’evento di ated, SUPSI analizza impatti e ricadute delle tecnologie digitali su una molteplicità di settori.
ATED
1 sett
Come difendersi dalle frodi e truffe online
Nessuno è al sicuro, nemmeno i colossi dell'hi-tech come Twitter. Un seminario web per capire come difendersi
ATED
1 sett
Digital Entertainment: un’evoluzione che segna la convergenza tra musica, gioco e film
Negli ultimi 30 anni grazie al progresso tecnologico è cambiato il modo di fruire contenuti.
ICT ATED
1 sett
Security Lab è al Visionary Day
L’appuntamento organizzato da ated-ICT Ticino vede Security Lab fra le aziende in prima fila con contenuti e webinar
ATED
2 sett
Quelle competenze digitali che possono fare la differenza
Ce ne sono diverse e nell'attuale scenario lavorativo sono fondamentali, ai Visionary Day un webinar per conoscerle
ICT ATED
2 sett
Cybersecurity: aziende più preparate, ma rischi sempre alti
Ibm rilascia il “Cyber resilient organization report”
CANTONE
3 sett
Arrivano i Voxxed Days Ticino Workshops e Devoxx4kids2020
L’appuntamento si terrà tra lunedì 28 settembre e giovedì 8 ottobre
ICT ATED
3 sett
Le influencer fanno squadra
Nascono i primi sindacati di categoria in USA e UK
ICT ATED
3 sett
SwissCovid: un’arma contro il Coronavirus
Per controllare i nuovi focolai sono fondamentali le applicazioni di tracciamento dei contatti tramite i cellulari.
ICT ATED
3 sett
La pirateria digitale attacca i VIP
Una maxi truffa digitale ha colpito gli account di personaggi famosi e di aziende note
ATED
4 sett
La trasformazione digitale è di scena al Visionary Day
Visionary Day ritorna per il secondo anno e anima l’Autunno digitale svizzero
ATED
4 sett
La lettura oggi si ascolta
La nuova frontiera è negli audiolibri e nei podcast con cui fruiamo i contenuti
LUGANO
1 mese
A tutto Moodle
Everest Academy Lugano e ated-ICT Ticino promuovono un corso per imparare a usare la piattaforma Moodle
BELLINZONA
1 mese
Ecco i marchi più importanti al mondo
L'innovazione e la creatività sono fattori chiave per la crescita
ATED
1 mese
Instagram Shopping: ecco cosa cambia
Grazie agli ultimi aggiornamenti, vendere su Instagram diventa molto più pratico e veloce
ATED ITC TICINO
1 mese
Autunno Digitale 2020 si accende con Visionary Day
Digital Transformation, formazione, scambio di conoscenze tra imprese, professionisti e appassionati del mondo digitale
ATED ICT TICINO
1 mese
Segway addio: esce di produzione dopo 19 anni
Doveva rivoluzionare la mobilità personale, ma è stato un flop.
MONDO
1 mese
Al via un fondo da due miliardi per l'energia pulita
Il fondo investirà in società che sviluppano prodotti e tecnologie per la protezione del pianeta
ATED
1 mese
Novità in casa WhatsApp
Il numero massimo di persone per chiamate vocali e videochiamate di WhatsApp raddoppia, passando da 4 a 8
ATED
1 mese
Come gestire al meglio il lavoro da remoto
In questo periodo di covid-19 abbiamo sperimentato il telelavoro con tutti i suoi pregi e le sue peculiarità
ARTICOLO SPONSOR
1 mese
Una piattaforma al servizio delle PMI svizzere
Si chiama Now Together e si propone come una vetrina online per presentate attività e annunci
ITALIA
1 mese
Alexa sale anche in auto
I clienti possono aggiungere tutte le potenzialità di Alexa alla propria auto
ICT ATED TICINO
1 mese
La tecnologia e le competenze da formare
ated-ICT Ticino invita le aziende del territorio a offrire opportunità di apprendistato
ATED
20.05.2020 - 09:470

L’obbligo di comunicazione delle violazioni di sicurezza: da FINMA alla futura Legge federale sulla protezione dei dati

Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)

 

L’obbligo di comunicazione delle violazioni di sicurezza alle autorità di sorveglianza è uno strumento fondamentale sia nell’ottica del contenimento delle conseguenze avverse della violazione, sia (e soprattutto) in ottica preventiva, in quanto pone le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad affrontare seriamente la questione della sicurezza. Recentemente, FINMA ha chiarito gli obblighi degli assoggettati in tale ambito. Obblighi che nel 2021 saranno generalizzati ed estesi a tutti i soggetti che trattano dati personali nell’ambito della revisione totale della Legge federale sulla protezione dei dati (LPD). Siamo pronti a questo cambio totale di prospettiva?

L’obbligo di comunicazione secondo FINMA

L’art. 29 della Legge federale sulla vigilanza dei mercati finanziari prevede che gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio a FINMA tutti gli eventi di grande importanza ai fini della vigilanza.

Nella propria Comunicazione sulla vigilanza 05/2020 del 7 maggio 2020 (link), FINMA ha istituito espressamente, disciplinandolo nel dettaglio, un ampio obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.

A chi si applica tale obbligo? A tutte le persone che in virtù delle leggi sui mercati finanziari necessitano di un’autorizzazione, un riconoscimento, un’abilitazione o una registrazione da parte di FINMA e gli investimenti collettivi di capitale, come (ad esempio) banche, OAD, istituti finanziari, imprese di assicurazione e investimenti collettivi di capitale autorizzati, nonché i relativi gestori patrimoniali e le direzioni dei fondi.

L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT, outsourcing e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; si rinvia per i dettagli alle definizioni stabilite nell’Allegato 2).

La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.

La comunicazione deve essere implementata entro il 1° settembre 2020 (meglio se prima, secondo best effort).
 
Considerato quanto precede, il tema critico che si pone non è “come procedere” alla comunicazione quando si presenta una violazione della sicurezza, bensì quello di “essere in grado” di effettuarla nei tempi strettissimi previsti (24 – 72 ore). Per poterlo fare, occorre formalizzare senza ritardo ruoli, responsabilità, politiche e processi, nonché costituire un team multidisciplinare pronto a svolgere analisi complesse in regime d’urgenza.

In ottica futura, si raccomanda di concepire l’organizzazione preposta alla comunicazione delle violazioni cyber alla FINMA, in maniera tale da renderla “scalabile” in vista dell’entrata in vigore del futuro obbligo (generale) di comunicazione e/o informazione delle violazioni di sicurezza nell’ambito della protezione dei dati personali.

La gestione delle violazioni di sicurezza secondo la LPD

La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che trattano professionalmente informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza, rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).

Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che comporta anche solo verosimilmente un rischio grave per la personalità e i diritti fondamentali della persona interessata. La comunicazione deve essere effettuata quanto prima. In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di apprezzamento. È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono il rischio e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento». Nella comunicazione occorre menzionare almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.

L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se lo richiede l’IFPD. Essa può avvenire anche tramite una comunicazione pubblica.

Onde risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.

Onde poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di allestire un “piano” calibrato sui rischi per gli interessati composto dei seguenti elementi:

  • una squadra d’intervento dotata delle competenze necessarie tecniche e giuridiche e specialmente organizzata e formata per effettuare rapidamente le analisi e le comunicazioni richieste in caso di evento avverso;
  • un manuale operativo per la gestione dei “data breach”;
  • una policy che specifichi (in particolare) i criteri volti a identificare concretamente i rischi e a valutarne il livello di gravità, istruzioni, processi, ruoli, responsabilità e meccanismi di verifica post evento sull’operato della squadra e sull’adeguatezza dei provvedimenti tecnici e organizzativi posti a difesa dei dati personali;
  • un registro delle violazioni della sicurezza, che contempli non solo le violazioni comunicate all’IFPD o oggetto di informazione agli interessati e le misure di contenimento adottate, bensì tutte le violazioni subite dall’azienda;
  • un addendum contrattuale nell’ambito dei rapporti del titolare con i responsabili del trattamento (i.e. i soggetti autonomi cui il titolare ha delegato lo svolgimento di specifiche attività di trattamento) che determini inter alia: (i) obbligo di comunicazione al titolare delle violazioni di sicurezza, (ii) modalità e tempistiche di esecuzione, (iii) obblighi di manleva e indennizzo e pene convenzionali;
  • istruzioni operative sulle attività di trattamento, rispettivamente attività di sensibilizzazione e di training regolare sui rischi per la sicurezza, indirizzati a coloro che trattano dati personali all’interno dell’azienda.

Conclusione

Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo. La sicurezza assoluta non esiste, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme e ai livelli di diligenza applicabili al settore in cui si opera.

Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).

Occorre prepararsi ORA per affrontare crisi che per complessità e urgenza non permettono improvvisazioni.

ated
Guarda le 2 immagini
Allegati

YouTube

Facebook

Instagram

Linkedin

Twitter


Copyright © 1997-2020 TicinOnline SA - Tutti i diritti riservati
IMPRESSUM - DISCLAIMER - SEGNALACI - COMPANY PAGES
Disposizioni sulla protezione dei dati  -   Cookie e pubblicità online  -   Diritto all'oblio


Ultimo aggiornamento: 2020-08-13 16:12:42 | 91.208.130.87