Fabio Di Resta, Avvocato – docente Universitario protezione dati e cybersecurity – presidente EPCE – DPO e titolare dello Studio legale Di Resta Lawyers: “Ritengo che ci sia certamente molto lavoro da fare, ma gli investimenti europei legati al Next Generation EU saranno senza precedenti, questi saranno certamente un propulsore del processo di digitalizzazione della pubblica amministrazione e del settore sanitario”.
Lo scorso aprile il Governo ha trasmesso al Parlamento il testo aggiornato del PNRR, il Piano Nazionale di Ripresa e Resilienza. Dei 6,11 miliardi di euro destinati alla digitalizzazione della Pubblica Amministrazione, 620 milioni saranno destinati ad importanti misure di rafforzamento delle difese cyber. Ma basteranno per proteggere settori come la sanità e la pubblica dagli attacchi informatici? Ne abbiamo parlato con Fabio Di Resta, Avvocato – docente Universitario protezione dati e cybersecurity – presidente EPCE – DPO e titolare dello Studio legale Di Resta Lawyers.
Cybersecurity Italia. Avvocato, alla luce dei 620 milioni di euro previsti nel PNRR e destinati proprio al settore della cybersecurity, ritiene che le aree della sanità e della pubblica amministrazione siano pronte per essere protette dai criminali informatici?
Fabio Di Resta. Ritengo che ci sia certamente molto lavoro da fare, ma gli investimenti europei legati al Next Generation EU saranno senza precedenti, questi saranno certamente un propulsore del processo di digitalizzazione della pubblica amministrazione e del settore sanitario. D’altro canto, l’utilizzo diffuso di servizi digitali comporta certamene rischi inerenti alla protezione dei dati personali e connessi all’usurpazione dell’identità digitale con pericoli che vanno dalle rilevazioni di segreti di Stato (Caso Leonardo SpA), ai rischi di interruzione di un processo produttivo o dell’erogazione del servizio, i recenti casi diffusi di ransomware che hanno colpito l’economia americana, mi riferisco al caso Colonial Pipeline con conseguente interruzione del servizio di distribuzione dei carburanti sul territorio americano, analoga situazione si è verificata anche in Irlanda dove il servizio sanitario nazionale è stato attaccato, da quanto reso noto dalla BBC in alcuni casi vi è stata una riduzione dell’80% degli appuntamenti dei pazienti, l’attacco ha reso inoltre inutilizzabili macchinari medici nell’ambito della radiologia ma soprattutto sembrerebbe abbia criptato i dati personali e particolari dei pazienti e pertanto rendendo impossibile l’accesso agli stessi.
In quest’ultimo caso per decriptare i dati sono stati chiesti circa 14 milioni di euro (circa 20 milioni di dollari), ma come è noto l’eventuale pagamento del riscatto non assicura l’accesso ai dati, la minaccia come sempre è quella di rendere pubblici i dati particolari sul dark web. Infine, non si può non ricordare anche i rischi di furti di identità per i cittadini, purtroppo anche connessi sia al recente incidente che ha riguardato il concorso pubblico per avvocati, un incidente di sicurezza molto grave che riguarda il nostro Ministero della Giustizia, ma anche al caso tutto italiano dei 7.5 milioni di dati relativi alle persone vaccinate e proveniente dal sistema sanitario reso noto pochi giorni fa. In tutti questi casi sopra richiamati, il tema principale è di applicare preventivamente il principio della c.d. data protection by design imposta dal Reg. UE 2016/679 (c.d. GDPR ), ma anche le misure imposte dal quadro normativo in materia di sicurezza cibernetica applicabile ai servizi essenziali dello Stato, infatti, l’adozione di misure di sicurezza preventive ed efficaci può mitigare in modo considerevole i rischi di accessi non autorizzati e le relative esfiltrazioni di dati.
Cybersecurity Italia. Le imprese guardano con grande attenzione al Next Generation EU che porterà forte innovazione tecnologica nella sanità, come nella PA. Quali sono secondo lei le principali criticità?
Fabio Di Resta. La digitalizzazione nel settore sanitario può portare molta efficienza, come specificatamente indicato nel PNRR, tale processo coinvolgerà necessariamente la telemedicina, la domotica, il teleconsulto, il telemonitoraggio, la telerefertazione, ma anche la realizzazione effettiva del Fascicolo Sanitario Elettronico (FSE) interoperabile in tutta Italia. In tale contesto, lo studio legale Di Resta Lawyers ha un ruolo attivo sia offrendo lo specifico servizio di Responsabile della protezione dati (RPD/DPO) che progetti formativi universitari volti a formare specialistici sulla protezione dei dati e sulla cybersecurity. La nostra esperienza mostra l’esigenza urgente di investire seriamente e formare effettivamente dei Responsabili della protezione dei dati (RPD/DPO) che devono avere non solo esperienza sul campo e conoscenza approfondita della protezione dei dati e di sicurezza informatica, ma anche capacità relazionali, di lavorare in team e soprattutto di gestire situazioni complesse e critiche con l’Autorità di controllo coinvolte.
Cybersecurity Italia. Il suo studio legale ha una vasta esperienza di consulenza e di assistenza giudiziale per organizzazioni medie e complesse, che sono rimaste vittime di incidenti di sicurezza, attacchi informatici e frodi telematiche che mirano a sottrarre denaro ed informazioni segrete alle imprese, quali sono le criticità e i rimedi che lei propone?
Fabio Di Resta. Con la pandemia c’è stato un disastro che ha messo a dura prova ognuno di noi, purtroppo una situazione emergenziale sfruttata anche da parte dei criminali informatici, le statistiche mostrano che in tale periodo vi è stata una crescita esponenziale dei crimini informatici e anche delle frodi telematiche bancarie, dai ransomware, alle truffe del CEO (Chief Executive Officer), che sfruttano le criticità dei reparti amministrativi e tesorerie di imprese, alle SIM SWAP FRAUD. L’esperienza maturata dal nostro studio legale nell’arco di oltre 15 anni, sia per l’assistenza giudiziale che per la consulenza legale specialistiche, mostra che le imprese devono investire di più e meglio nel contrasto e nella prevenzione dei fenomeni di criminalità informatica, così come la prevenzione e la gestione degli incidenti di sicurezza (c.d. data breach). Anche in questo contesto è necessario rivolgersi a consulenti specializzati e una formazione mirata anche tramite role playing e simulazioni per trasferire competenze a figure chiave nella prevenzione delle frodi e nella gestione degli incidenti di sicurezza. Non meno importante appare infine porre maggiore attenzione agli audit e alle verifiche di effettività sul livello di protezione dati e sulla cybersecurity raggiunti, attività che necessitano l’applicazione di risk assessment e vulnerability assessment, prove di ripristino dei dati, è per questo lo studio legale Di Resta lawyers ha decisione più di recente di attivare anche un IT Department a supporto dei servizi legali.
Cybersecurity Italia. Con la pubblicazione sulla Gazzetta ufficiale n. 140 del 14 giugno 2021 del decreto-legge n. 82 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” si dà al via ad una nuova era per la sicurezza informatica nel nostro Paese. Come vede la nascita della nuova Agenzia?
Fabio Di Resta. Con il decreto-legge in effetti il Governo vuole dare una nuova architettura sulla cybersicurezza in Italia, l’istituzione dell’Agenzia per la cybersicurezza nazionale (ACN) è importante per diversi ordini di ragioni: maggiore coerenza normativa, maggiore coesione tra i diversi apparati dello Stato, alla stessa vengono attribuiti rilevanti funzioni prima attribuite al Ministero dell’economia e della Finanza e al Dipartimento informazioni per la sicurezza (DIS). L’Agenzia si inserisce in un’impalcatura che gli consentirà di avere un ruolo importante anche nella strategia generale e nelle scelte del Governo, infatti, è stato previsto anche un Comitato interministeriale presso la Presidenza del Consiglio. Infine, si può accogliere con approvazione questa iniziativa, occorrerà purtroppo del tempo per rendere efficace questa architettura, confidando che le scelte sui ruoli chiave di questi organismi ricadano sulla competenza e sulle specialità, ci vorranno comunque diversi anni per colmare il gap anche con gli altri Paesi europei, anche perché le risorse umane e le competenze in materia di cybersicurezza in Italia sono davvero poche rispetto alle esigenze del nostro Paese.
Cybersecurity Italia. Le nuove norme che impatto avranno per le piccole e medie imprese?
Fabio Di Resta. Purtroppo, l’impressione è che nonostante l’entrata in vigore del GDPR (Reg. UE 2016/679) che ha avuto una forte risonanza mediatica, nella PMI la cultura della protezione dei dati e soprattutto della cybersicurezza intesa in senso lato, sconti ancora un forte gap culturale, nonostante il lavoro assiduo da parte delle autorità preposte, in primis il Garante per la protezione dei dati, qui la situazione a mio avviso è che serve un maggiore sforzo di sensibilizzazione anche da parte di diverse istituzioni, in questo contesto la nuova Autorità potrebbe avere un ruolo importante. Purtroppo, l’aumento esponenziale delle vittime di ransomware e malware in genere durante la pandemia mostra come sia necessario investire di più e meglio in cybersicurezza anche nelle PMI, ma dati i limiti budget nelle imprese di più piccole dimensioni, si dovrebbero a mio avviso prevedere incentivi fiscali sia per implementare efficaci misure di sicurezza sia per la formazione delle competenze digitali e di cybersicurezza.