Cerca e trova immobili
Segnalaci

ATEDL’obbligo di comunicazione delle violazioni di sicurezza: da FINMA alla futura Legge federale sulla protezione dei dati

20.05.20 - 09:47
Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)
ated
L’obbligo di comunicazione delle violazioni di sicurezza: da FINMA alla futura Legge federale sulla protezione dei dati
NEWSBLOG
Rubriche argomentali a pagamento curate da aziende e inserzionisti esterni
Contributo dell’avv. Gianni Cattaneo, Studio legale CBM (www.cbm-lex.ch)

 

L’obbligo di comunicazione delle violazioni di sicurezza alle autorità di sorveglianza è uno strumento fondamentale sia nell’ottica del contenimento delle conseguenze avverse della violazione, sia (e soprattutto) in ottica preventiva, in quanto pone le aziende davanti alla prospettiva di un grave danno d’immagine, obbligandole ad affrontare seriamente la questione della sicurezza. Recentemente, FINMA ha chiarito gli obblighi degli assoggettati in tale ambito. Obblighi che nel 2021 saranno generalizzati ed estesi a tutti i soggetti che trattano dati personali nell’ambito della revisione totale della Legge federale sulla protezione dei dati (LPD). Siamo pronti a questo cambio totale di prospettiva?

L’obbligo di comunicazione secondo FINMA

L’art. 29 della Legge federale sulla vigilanza dei mercati finanziari prevede che gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio a FINMA tutti gli eventi di grande importanza ai fini della vigilanza.

Nella propria Comunicazione sulla vigilanza 05/2020 del 7 maggio 2020 (link), FINMA ha istituito espressamente, disciplinandolo nel dettaglio, un ampio obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.

A chi si applica tale obbligo? A tutte le persone che in virtù delle leggi sui mercati finanziari necessitano di un’autorizzazione, un riconoscimento, un’abilitazione o una registrazione da parte di FINMA e gli investimenti collettivi di capitale, come (ad esempio) banche, OAD, istituti finanziari, imprese di assicurazione e investimenti collettivi di capitale autorizzati, nonché i relativi gestori patrimoniali e le direzioni dei fondi.

L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT, outsourcing e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; si rinvia per i dettagli alle definizioni stabilite nell’Allegato 2).

La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.

La comunicazione deve essere implementata entro il 1° settembre 2020 (meglio se prima, secondo best effort).
 
Considerato quanto precede, il tema critico che si pone non è “come procedere” alla comunicazione quando si presenta una violazione della sicurezza, bensì quello di “essere in grado” di effettuarla nei tempi strettissimi previsti (24 – 72 ore). Per poterlo fare, occorre formalizzare senza ritardo ruoli, responsabilità, politiche e processi, nonché costituire un team multidisciplinare pronto a svolgere analisi complesse in regime d’urgenza.

In ottica futura, si raccomanda di concepire l’organizzazione preposta alla comunicazione delle violazioni cyber alla FINMA, in maniera tale da renderla “scalabile” in vista dell’entrata in vigore del futuro obbligo (generale) di comunicazione e/o informazione delle violazioni di sicurezza nell’ambito della protezione dei dati personali.

La gestione delle violazioni di sicurezza secondo la LPD

La futura LPD imporrà a tutte le persone (fisiche e giuridiche) attive nel settore privato che trattano professionalmente informazioni riguardanti persone fisiche, indipendentemente dalla loro grandezza e dal settore di attività, un obbligo ampio di comunicazione all’Incaricato federale della protezione dei dati (IFPD) delle violazioni della sicurezza, rispettivamente un obbligo di informazione al beneficio delle persone interessate (i.e. le persone i cui dati personali sono stati violati).

Secondo l’attuale stato della revisione totale della LPD (maggio 2020), la comunicazione all’IFPD deve avvenire in presenza di una violazione della sicurezza che comporta anche solo verosimilmente un rischio grave per la personalità e i diritti fondamentali della persona interessata. La comunicazione deve essere effettuata quanto prima. In linea di massima, secondo il Consiglio federale, occorre «agire rapidamente, ma la disposizione lascia un certo margine di apprezzamento. È determinante, tra le altre cose, la probabilità del rischio di ledere la persona interessata: quanto più elevati sono il rischio e il numero delle persone interessate, tanto più rapidamente dovrà reagire il titolare del trattamento». Nella comunicazione occorre menzionare almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste per rimediarvi.

L’obbligo di informare la persona interessata è dato ogniqualvolta l’informazione sia necessaria per proteggere la medesima oppure se lo richiede l’IFPD. Essa può avvenire anche tramite una comunicazione pubblica.

Onde risolvere il conflitto tra l’obbligo di comunicazione e il diritto di non contribuire alla propria incriminazione, la futura LPD prevede che la comunicazione possa essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di comunicazione soltanto con il suo consenso.

Onde poter dimostrare che l’organizzazione è in grado di gestire le violazioni della sicurezza, rispettivamente che le violazioni effettivamente subite sono state gestite conformemente alla legge, si raccomanda di allestire un “piano” calibrato sui rischi per gli interessati composto dei seguenti elementi:

    • una squadra d’intervento dotata delle competenze necessarie tecniche e giuridiche e specialmente organizzata e formata per effettuare rapidamente le analisi e le comunicazioni richieste in caso di evento avverso;
    • un manuale operativo per la gestione dei “data breach”;
    • una policy che specifichi (in particolare) i criteri volti a identificare concretamente i rischi e a valutarne il livello di gravità, istruzioni, processi, ruoli, responsabilità e meccanismi di verifica post evento sull’operato della squadra e sull’adeguatezza dei provvedimenti tecnici e organizzativi posti a difesa dei dati personali;
    • un registro delle violazioni della sicurezza, che contempli non solo le violazioni comunicate all’IFPD o oggetto di informazione agli interessati e le misure di contenimento adottate, bensì tutte le violazioni subite dall’azienda;
    • un addendum contrattuale nell’ambito dei rapporti del titolare con i responsabili del trattamento (i.e. i soggetti autonomi cui il titolare ha delegato lo svolgimento di specifiche attività di trattamento) che determini inter alia: (i) obbligo di comunicazione al titolare delle violazioni di sicurezza, (ii) modalità e tempistiche di esecuzione, (iii) obblighi di manleva e indennizzo e pene convenzionali;
    • istruzioni operative sulle attività di trattamento, rispettivamente attività di sensibilizzazione e di training regolare sui rischi per la sicurezza, indirizzati a coloro che trattano dati personali all’interno dell’azienda.

Conclusione

Subire una violazione di sicurezza fa parte del rischio imprenditoriale e in un mondo digitalizzato si tratta solo di una questione di tempo. La sicurezza assoluta non esiste, così come non esiste alcuna responsabilità in caso di violazione se i sistemi sono protetti conformemente alle norme e ai livelli di diligenza applicabili al settore in cui si opera.

Diversamente, la violazione degli obblighi legali di tutela tempestiva degli interessati imputabile a negligenza, impreparazione oppure inadeguatezza dell’organizzazione è un peccato imperdonabile, fonte di piena responsabilità per le imprese e, personalmente, per i loro organi (amministratori e direttori).

Occorre prepararsi ORA per affrontare crisi che per complessità e urgenza non permettono improvvisazioni.

Questo articolo è stato realizzato da ated - Associazione Ticinese Evoluzione Digitale, non fa parte del contenuto redazionale.
finmasicurezzaviolazione
ALLEGATI
Documento PDF
POTREBBE INTERESSARTI ANCHE
LIVE
SVIZZERA
3 anni

Legge sulle dogane: «E la protezione dei dati?»

LIVE
SVIZZERA
4 anni

La comunicazione va garantita anche in situazioni di crisi

LIVE
ICT ATED
3 anni

SwissCovid: un’arma contro il Coronavirus

LIVE
ATED
3 anni

Come adeguarsi alla nuova legge sulla privacy

ULTIME NOTIZIE ATED
LIVE
ATED
10 ore

Sempre più digitali i pagamenti delle auto a noleggio

LIVE
ATED
3 gior

Il mercato dell’arte frena

LIVE
ATED
1 sett

I mattoncini Lego sempre più digitali e sostenibili

LIVE
ATED
1 sett

Outsourcing intelligente e su misura

LIVE
ATED
2 sett

Food e digitale qual è la ricetta vincente?

LIVE
LUGANO
2 sett

ated Digital Eat, quando l’esperienza gastronomica diventa immersiva

LIVE
ATED
3 sett

Leadership tra Intelligenza Emotiva e AI

LIVE
ATED
3 sett

Anche l’AI scenderà in gara alle Olimpiadi

LIVE
ATED
1 mese

Nuovo assetto per ated

LIVE
ATED
1 mese

Lezioni aperte in Ingegneria alla SUPSI