NEWS

Protezione dati e zero-day: l'adeguatezza delle misure di sicurezza non è più una fotografia, ma un impegno continuo

L'accelerazione degli attacchi informatici che si sta verificando ad opera di sistemi AI driven impone ai Data Protection Officer un cambio di passo. L’adeguatezza delle misure di sicurezza per la protezione dei dati non è più una fotografia: ogni giorno che passa diventa sempre più un processo in rapida e continua evoluzione.

I tempi si sono accorciati, drasticamente - Per anni il ciclo di risposta alle minacce informatiche ha seguito una logica prevedibile:

1) veniva scoperta una falla in un sistema
2) il produttore ne veniva informato
3) Il produttore rilasciava una correzione
4) le organizzazioni la applicavano.

Un processo certamente lento ma che era governabile, e spesso le imprese avevano settimane per reagire.

Quel tempo non esiste più - L'intelligenza artificiale generativa ha trasformato in modo strutturale la velocità con cui le vulnerabilità vengono scoperte e, soprattutto, trasformate in armi.

Per comprendere la portata del cambiamento, è utile distinguere due momenti distinti:

- la scoperta di una vulnerabilità
- la sua weaponization — ovvero la trasformazione di quella falla in uno strumento di attacco concreto e operativo.

In passato, tra questi due momenti intercorrevano giorni, settimane, a volte mesi. Oggi, a causa delle potenzialità dirompenti dell’AI possono intercorrere solo poche ore.

Una vulnerabilità "zero-day" è una falla in un sistema informatico che non è ancora nota al produttore, e che quindi non ha ancora una correzione disponibile.

Il nome deriva da un dato brutale: i difensori hanno avuto “zero giorni” per prepararsi. Nel momento in cui viene scoperta, spesso prima dai criminali che dai produttori stessi, può essere immediatamente sfruttata.

L'AI consente oggi di identificare queste falle analizzando automaticamente enormi quantità di codice, costruendo exploit funzionanti in tempi che fino a pochi mesi fa erano impensabili.

Quello che richiedeva settimane di lavoro a un team specializzato, oggi può avvenire in poche ore, a volte anche in pochi minuti.  Per un DPO questo nuovo scenario è di fatto sconvolgente e cambia radicalmente l’approccio operativo del proprio ruolo.


Il GDPR era già pronto, i DPO lo sono? - L'articolo 32 del Regolamento europeo sulla protezione dei dati non prescrive misure specifiche, ma misure adeguate al rischio, tenendo conto dello stato dell'arte. È una formulazione volutamente elastica, costruita per adattarsi all'evoluzione tecnologica.

Ma questa elasticità porta con sé una conseguenza che spesso viene sottovalutata: l'adeguatezza non è una condizione che si acquisisce una volta e si conserva nel tempo, è un giudizio che va rinnovato continuamente.

Il ciclo tradizionale per cui la misura di sicurezza veniva adottata, documentata e periodicamente revisionata, era coerente con un contesto in cui le minacce evolvevano lentamente.

Oggi quel ciclo è strutturalmente in ritardo rispetto alla velocità degli attacchi.

Se una vulnerabilità critica emerge questa mattina e può essere sfruttata nel pomeriggio, la revisione semestrale della valutazione d’impatto (DPIA) non è una garanzia di conformità: è una finzione di conformità.

Il titolare del trattamento — e il DPO che lo affianca — non possono più invocare la misura adeguata al momento della sua adozione come scudo sufficiente.

L'art. 5, comma 2 del GDPR afferma il principio di accountability: il titolare è responsabile del rispetto dei principi del Regolamento e deve essere in grado di dimostrarlo.

Questa responsabilità è dinamica, non statica: cambia il contesto, cambia l'obbligo. E il contesto, nella fase storica che stiamo attraversando, cambia ogni giorno.

La domanda che un DPO deve saper porre non è più soltanto "abbiamo le misure previste dal piano?", ma "le misure che abbiamo adottato sono ancora adeguate oggi, rispetto alle minacce di oggi?"

(Nella foto: Michele Caccialupi, Consulente informatico)

Sei strategie per un DPO all'altezza del rischio attuale - Per un DPO, ridefinire l’approccio operativo non significa trasformarsi in esperti di cybersecurity. Significa integrare la dimensione della minaccia reale e attuale in ogni strumento che il GDPR già mette a disposizione. Ecco come.

1. Trasformare la DPIA da documento a processo vivo - La DPIA non può più essere un documento redatto una volta e aggiornato alla bisogna. Va integrata con un meccanismo di monitoraggio continuo delle condizioni di rischio. Questo significa stabilire delle soglie: se cambia il profilo di minaccia di un sistema che tratta dati personali o se emerge una vulnerabilità critica nelle tecnologie utilizzate, la DPIA deve essere riaperta e rivalutata — anche fuori dai cicli programmati. Il DPO deve essere parte attiva in questo processo, non informato a posteriori.

2. Riscrivere i contratti con i fornitori (art. 28) in chiave dinamica - I Data Processing Agreement oggi fissano spesso misure di sicurezza statiche (sempre che abbiano delle clausole non-standard applicate alle misure di sicurezza). In uno scenario in cui i fornitori tecnologici sono tra i principali vettori di attacco, questo non è più sufficiente. I contratti ex art. 28 del GDPR dovrebbero prevedere clausole che obblighino il responsabile del trattamento a notificare tempestivamente le vulnerabilità critiche nei propri sistemi, a documentare i tempi di applicazione delle patch e a fornire evidenza delle misure di mitigazione adottate nell'intervallo. Il DPO deve poter valutare in qualsiasi momento se un fornitore continua a rappresentare un responsabile del trattamento adeguato e avere gli strumenti contrattuali per farlo.

3. Costruire un canale formale e ricorrente con il CISO - Il DPO non è (e non deve essere) un tecnico di sicurezza informatica. Ma deve comprendere la superficie di attacco dei trattamenti che supervisiona. Questo richiede un raccordo strutturato con il responsabile della sicurezza IT, non limitato alle emergenze. Un incontro periodico in cui il CISO porta al DPO una lettura aggiornata del rischio cyber sui sistemi che trattano dati personali è uno strumento di governance elementare, purtroppo ancora troppo raro. Senza questo raccordo, il DPO rischia di operare in una dimensione di conformità teorica che non corrisponde alla realtà operativa.

4. Includere il DPO nel processo di vulnerability disclosure interna - Quando il team IT o un fornitore identifica una vulnerabilità che riguarda sistemi che trattano dati personali, il DPO deve esserne informato prima che si decida come e quando applicare la patch — non dopo l'evento. Questo non è un requisito tecnico, è un requisito di governance dei dati. La decisione di posticipare una correzione per ragioni operative, ad esempio, ha implicazioni dirette sull'esposizione dei dati e, in caso di violazione nel periodo di attesa, sulla valutazione della condotta del titolare da parte dell'autorità di controllo. Il DPO deve poter contribuire a quella valutazione nel momento in cui si forma, non quando ormai è troppo tardi.

5. Trasformare il registro dei trattamenti in una mappa del rischio reale - Il registro dei trattamenti ex art. 30 è spesso ridotto a un adempimento documentale. Collegato alla mappa dei sistemi e delle loro vulnerabilità note, diventa invece uno strumento di lettura del rischio concreto:

- quali trattamenti coinvolgono dati sensibili o su larga scala?
- su quali sistemi operano?
- questi sistemi hanno vulnerabilità aperte?
- con quali tempi stimati di risoluzione?

Rispondere a queste domande permette al DPO di orientare le scelte del titolare verso i punti di maggiore esposizione e di documentare un processo decisionale razionale e difendibile, che è esattamente ciò che l'accountability richiede.

6. Cambiare il linguaggio con cui si parla al titolare - Il DPO ha anche un compito di traduzione. Il titolare del trattamento comprende il rischio legale e reputazionale meglio di quello tecnico. Portare al consiglio di amministrazione o alla direzione un aggiornamento del tipo "abbiamo una vulnerabilità aperta sul sistema X" è meno efficace (e meno corretto) di "i dati personali di una parte significativa dei nostri utenti sono in questo momento potenzialmente esposti, con un intervallo di risoluzione stimato di N giorni e le seguenti implicazioni sull'obbligo di notifica al Garante in caso di violazione". Questo cambio di linguaggio non è retorica: è il modo in cui il titolare può esercitare consapevolmente la propria accountability.

L'adeguatezza non è una fotografia. È un impegno continuo - Il GDPR è un regolamento tecnologicamente neutro per scelta: non prescrive strumenti, prescrive principi. Tra questi, il principio di adeguatezza è oggi il più sfidante, perché il contesto rispetto al quale si misura cambia alla velocità degli attaccanti, non alla velocità delle organizzazioni.

Il DPO che si limita a verificare che le misure adottate in passato siano ancora documentate non svolge più il proprio ruolo in modo pieno. Quello che il Regolamento chiede — e che le autorità di controllo europee valutano sempre più attentamente — è la dimostrazione di un processo di valutazione continua, reattiva, proporzionata al rischio reale e attuale.

Note sull'Autore

Michele Caccialupi Michele Caccialupi

Consulente informatico, responsabile R&S presso Tuscany Cloud, Socio Membro di Federprivacy. Web: www.michelecaccialupi.com

Prev Una sentenza della Corte Suprema degli Stati Uniti fa scricchiolare i trasferimenti di dati personali UE-USA
Next Quando la privacy smette di essere una questione di compliance e diventa materia di interesse per gli investitori

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy