La sicurezza dati in Germania: una recente indagine

di  Claudia  Cantisani, Assegnista di ricerca in Diritto penale

 

 

 

1. Introduzione

 

Secondo un recente studio della International Data Corporation (IDC), intitolato “Cybersecurity in Deutschland 2022”, oltre il 40% delle società tedesche ha registrato un aumento degli attacchi informatici nell’arco dell’ultimo anno e il 51% prevede un ulteriore incremento in futuro.

 

Questo è solo uno dei molti indicatori emersi dalla ricerca del settembre 2022, basata su interviste ad un campione di poco più di duecento responsabili della Security (Security-Verantwortliche) di imprese con più di 100 dipendenti operanti in tutti i settori.

 

Una corposa percentuale delle imprese coinvolte nel sondaggio ha dichiarato di voler adottare o aggiornare strumenti difensivi per far fronte alla minaccia cyber, percepita come attuale ed estremamente allarmante.

 

Come già dimostrato da alcuni progetti di lavoro dedicati al tema – ad esempio il gruppo di lavoro sulla protezione dei dati e compliance Arbeitskreis Datenschutz und Compliance avviato dal Deutsches Institut für Compliance (DICO) – la tutela della sicurezza dei dati si rivela sempre più importante nell’elaborazione delle strategie di compliance aziendale delle imprese tedesche (per un nostro precedente approfondimento sul tema, vedi anche link).

 

Si tratta di un’attività che riguarda tanto la gestione dei dati sensibili riferibili a persone fisiche quanto il bacino di “informazioni” aziendali attinenti a know-how, valutazioni di rischio e strategie d’impresa. A fronte di tale complessità, la frequenza degli attacchi ai sistemi di sicurezza informatica sembra denotare una preoccupante mancanza di risorse e di adeguate strategie. La rapidità del progresso tecnologico e la moltiplicazione dei potenziali strumenti di attacco alla sicurezza e all’integrità dei dati richiedono infatti un costante adeguamento operativo, con un impatto considerevole in termini di spesa.

 

Quali sfide, dunque, nel gestire la cd. Datensicherheit?

 

 

2. L’attuale quadro normativo sul tema

 

Il testo di legge più recente in materia, entrato in vigore nella primavera del 2021, è la seconda legge per l’incremento della sicurezza dei sistemi informatici “Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0): si tratta del secondo intervento legislativo in tema di IT-Sicherheit (sicurezza informatica) diretto a rafforzare la disciplina introdotta con il primo e originario IT-Sicherheitsgesetz del 2015, a sua volta complementare ad un testo di legge di qualche anno precedente, relativo all’Ufficio federale per la sicurezza informatica, denominato „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“(BSI-Gesetz).

 

Dalla combinazione di queste leggi nasce un quadro normativo diretto alla corretta gestione dei sistemi informatici. Se entrambe le IT-Sicherheitsgesetze prevedono un ambito di applicazione generale, la riforma del 2021 ha introdotto una disciplina specificamente rivolta ad imprese di grandi dimensioni operanti in settori di pubblico interesse.

 

La sicurezza informatica (Informationssicherheit o Cybersicherheit) è di competenza del Bundesamt für Sicherheit in der Informationstechnik (BSI), l’Ufficio federale per la sicurezza informatica che, più nello specifico, si occupa di: a) test e certificazione dei prodotti e servizi IT; b) informazione e sensibilizzazione sul tema della sicurezza dati; c) sviluppo di standards di sicurezza uniformi e vincolanti; d) segnalazione di lacune di sicurezza nei prodotti e servizi IT.

 

Il lavoro del BSI fornisce indicazioni di estrema utilità per la gestione della IT-Sicherheit. Esso provvede, ad esempio, alla pubblicazione annuale di un compendio (IT-Grundschutz-Kompendium) che contiene l’elencazione dei “punti fondamentali” sul tema (cd. IT-Grundschutz-Bausteine).

 

Premessi questi minimi riferimenti nei quali inquadrare le questioni relative alle strategie di Security aziendale nelle imprese tedesche, vediamo i risultati dello studio IDC.

 

 

3. I risultati dello studio IDC

 

L’indagine IDC ha dimostrato che una buona percentuale delle aziende intervistate percepisce come urgente la necessità di intervenire sui sistemi di sicurezza con cospicui investimenti per il suo sviluppo. Di cosa si parla esattamente?

 

  • Anzitutto, poco più del 30% delle società ha dichiarato di ritenere prioritario investire sui sistemi di Security-Cloud e incrementare i sistemi di archiviazione virtuale;

 

  • più della metà degli intervistati ha rilevato che è più sicuro esternalizzare la gestione dei dati per implementare la Datensicherheit, quando ciò possa rivelarsi conveniente (ridurre la complessità del sistema Security aziendale, anche alleviando il carico di mansioni affidate al personale addetto e circoscrivere il Security-Know-How). Tra le strategie parallele o alternative, si elencano inoltre il ricorso alle consulenze o ai Security Implementation Services, di supporto ai sistemi Security interni all’azienda;

 

  • una cospicua percentuale degli intervistati dichiara di voler stipulare contratti di assicurazione per i danni derivanti da attacchi ai propri sistemi di sicurezza, investendo così nelle cd. Cyberversicherungen. Questa strategia, però, viene criticata nello studio condotto per la sua scarsa efficienza: il problema più ostico, infatti, non è indennizzare le perdite nell’immediato, bensì costruire sistemi capaci di resistere sul lungo periodo;

 

  • Sempre più diffusa è l’esigenza di valorizzare la Security-Leadership e la Security-Kultur nel lessico aziendale. Lo studio dimostra che mediamente più del 50% delle imprese tedesche potrebbe compiere maggiori sforzi per rendere gli organi dirigenziali più sensibili al tema. Il coinvolgimento della dirigenza rappresenta il primo passo verso la cd. „Digital Sovereignty“, che trova espressione nell’autonomia e nell’autodeterminazione digitali attraverso IT-Competences locali;

 

Sembra che, in estrema sintesi, i profili problematici siano due: semplificazione e competenze. Per comprendere quali fattori rendono complessa la gestione della Datensicherheit occorre un approfondimento terminologico.

 

 

4. La sicurezza dati e la protezione dati

 

Da più contributi dedicati al tema, compreso lo studio in esame, si evince che la Datensicherheit non deve essere intesa come uno stato di cose, bensì nei termini di un risultato da raggiungere attraverso un processo di strategie e un dispiegamento di misure di prevenzione e sicurezza (Sicherheitsmaßnahmen) diverse secondo il settore di riferimento. Benché priva di una definizione dai chiari confini, la Datensicherheit (sicurezza dei dati) non andrebbe poi di regola confusa con il Datenschutz (protezione dati).

 

Il Datenschutz è posto a tutela dei dati personali (personenbezogenen Daten) nonché della informationellen Selbstbestimmung (autodeterminazione informativa): si protegge il dato in quanto può fungere da coefficiente di riferibilità all’individuo che ne è titolare.

 

La materia è regolata in Germania dal Datenschutz-Grundverordnung (DSGVO) che dal maggio 2018 ha recepito i contenuti del Regolamento (EU) 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali. La disciplina introduce importanti principi che regolano il loro utilizzo da parte delle imprese: oltre al consenso del titolare al loro trattamento, la normativa fa appello alla cd. Zweckbindung (vincolo di destinazione), per la quale l’uso dei dati non può discostarsi dalla funzione a cui il loro rilascio è preordinato, e alla Datenminimierung, consistente nella riduzione dei dati di cui le imprese possono disporre, da valutare in proporzione alle effettive necessità di utilizzo. Inoltre, la DSGVO contiene la distinzione tra Datenschutz durch Technik (data protection by design) e durch datenschutzfreundliche Voreinstellungen (data protection by default): con la prima la protezione del dato personale viene assicurata sul piano tecnico fin dall’inizio del processo che coinvolge il suo trattamento (ad es. attraverso forme di pseudonimia automatica); con la seconda, invece, i nuovi programmi o accounts vengono preimpostati (Voreinstellung) in modo che l’utente dia automaticamente priorità all’opzione più favorevole alla protezione dei dati.

 

Diversamente dal Datenschutz, ove l’aspetto personalistico è prioritario, la Datensicherheit si concentra per lo più sul contenuto del dato e difficilmente si identifica in una nozione unitaria.

 

Tali differenze si riverberano anche sulle strategie di tutela: sebbene i due sistemi siano strettamente interrelati – ad opinione di molte imprese, infatti, la protezione dati non potrebbe realizzarsi senza una corretta implementazione della Datensicherheit – non è detto che gli strumenti per la loro attuazione siano sempre compatibili.

 

Esistono ipotesi in cui il mezzo eletto per garantire la sicurezza del dato viene a collidere con la sua protezione nel senso richiesto dal Datenschutz (si pensi alla memorizzazione su un sistema cloud, efficace contro potenziali perdite, ma problematico quanto a garanzie di protezione: per il trasferimento dei dati nello spazio virtuale occorrerebbe l’autorizzazione del titolare, nonché un ulteriore assetto di regole che abiliti i gestori della piattaforma al trattamento dei dati personali ivi registrati).

 

Alla luce di quanto detto sinora, possiamo dunque chiarire in cosa consista la Datensicherheit.

 

 

5. La Datensicherheit: un sistema di funzioni

 

Posto che la sicurezza dati è sguarnita di una definizione statica e unitaria, i suoi confini dipendono dal concreto attuarsi degli scopi a cui è preordinata la strategia di tutela nei diversi settori di riferimento.

 

Anzitutto, come specificato in approfondimenti dedicati al tema su siti specializzati (ex multis, vedi link), la sicurezza deve investire i “dati” e non le “informazioni”: i primi sono elementi ai quali non può essere attribuito un univoco significato; le seconde invece possono raggiungere una certa definitezza, in quanto risultano dalla combinazione di più dati. Ne deriva che garantire la sicurezza dei “dati” può essere in concreto più difficile.

 

Quanto agli obiettivi della Datensicherheit, come indicato nei testi di legge innanzi richiamati, i principali sono compendiabili in:

 

riservatezza (Vertraulichkeit), da tutelare garantendo che solo alcune persone autorizzate vengano a conoscenza dei dati;

 

disponibilità/accessibilità (Verfügbarkeit), da tutelare adottando sistemi aziendali (informatici, per es.) che permettano il costante e agile accesso ai dati;

 

integrità (Integrität) che consiste nell’assicurare l’originarietà del dato, preservandolo da ogni alterazione;

 

autenticità (Authentizität), posta a garanzia dell’affidabilità del dato.

 

Ciò significa che per il buon funzionamento della Security aziendale l’impresa deve premunirsi di adeguati strumenti contro i pericoli di perdita (Verlust), falsificazione (Verfälschung), danneggiamento (Beschädigung), cancellazione (Löschung).

 

Benché il modus operandi e il contenuto delle misure che danno attuazione alla sicurezza dati dipendano dallo specifico ambito di applicazione, queste possono essere suddivise in due categorie secondo che si tratti di mezzi di tipo tecnico e organizzativo: tra i primi, due esempi comuni sono le passwords e i firewalls. I secondi invece possono identificarsi in: strategie di sensibilizzazione dei dipendenti nell’utilizzo dei dati, di cui sono espressione le attività di informazione e formazione del personale d’impresa; vaglio su coerenza ed effettività degli strumenti di sicurezza in relazione ai “luoghi” di implementazione; accessibilità delle misure al personale autorizzato a trattare i dati; partecipazione degli organi dirigenziali alla predisposizione delle misure e loro intervento nel renderle effettive.

 

Inoltre, anche se le misure hanno molteplici contenuti, la loro efficacia può essere valutata in relazione a certe attività standard: l’archiviazione e la valutazione dei dati (suscettibili di includere, peraltro, altre operazioni collaterali come la catalogazione, il monitoraggio, l’aggiornamento e il trasferimento).

 

 

6. Conclusioni sullo stato dell’arte in Germania e prospettive imminenti

 

Tutto quanto illustrato conferma che le vere sfide per le imprese operanti nell’attuale scenario internazionale sembrano essere l’effettività delle strategie e la cultura aziendale in tema di sicurezza.

 

La prima risponde al bisogno di tradurre la Datensicherheit in strumenti concreti diretti a ridurre la Security-Komplexität attraverso il reclutamento e la formazione di esperti qualificati, nonché attraverso il ricorso ai sistemi di Security Automation e Intelligence. La varietà dei mezzi adottabili, destinati a mutare in relazione alla particolarità degli scopi, richiede che gli addetti alla Datensicherheit siano dotati di competenze specifiche e di una capacità di valutazione strategica superiore alla media.

 

La seconda denuncia il bisogno di un più serio sforzo per la responsabilizzazione degli organi apicali: il punto di partenza, nonché il più duro ostacolo.