Attenti al click, prevenire e gestire il furto dei dati bancari.
I consigli di Anorc e Azienda Banca
Come prevenire un data breach, come agire nel caso si cada vittime di una violazione di dati, in che modo si può ridurre l’errore umano, sono solo alcuni dei temi toccati durante il webinar proposto da ANORC e Azienda Banca dal titolo ‘Tutto quello che avreste sempre voluto sapere sul data breach bancario’ andato in onda sulla piattaforma DIGEAT PLUS.
Un’ora di approfondimento rivolto a tutti coloro che quotidianamente operano a contatto con i dati. Moderatore dell’evento Alberto Grisoni, direttore di Azienda Banca, che ha sottolineato come, dall’inizio della pandemia, “la crescita del numero degli attacchi sia salita in modo esponenziale”, così come sono cresciute di “dimensione e importanza gli obiettivi di questi attacchi informatici”.
Relatori dell’evento l’avvocato Andrea Lisi, Presidente di ANORC Professioni ed esperto di Diritto dell’Informatica, e l’avv. Massimiliano Lovati, Presidente di ANORC e Responsabile Consulenza Legale presso il Banco Bpm.
Ma cos’è un data breach? “È una violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati- ha spiegato Lisi- Ricordo che mentre tutti i data breach sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente data breach”.
Ma come può avvenire un data breach? L’esempio più classico è tramite l’utilizzo di un ransomware, un tipo di software malevolo che limita l’accesso al dispositivo che infetta. Un altro esempio è “il furto dello smartphone o di un pc“, come “l’invio di un documento o di un messaggio whatsapp o via mail a un destinatario sbagliato” oppure “il furto delle password o l’utilizzo di password troppo semplici”, ma, ha sottolineato Lisi, anche una “gestione non corretta dei documenti cartacei può determinare un data breach”.
Ovviamente la tecnologia è uno strumento utile per prevenire una violazione dei dati, ma in quanto strumento si deve saper utilizzare. Ecco perché la completa automazione di alcuni processi bancari non si realizza solo attraverso l’impiego di documenti informatici, archivi digitali e biometria, ma deve necessariamente basarsi su una diffusa cultura digitale.
Lisi ha ricordato come anche semplici accortezze ‘analogiche’ possano fare la differenza. “È inutile che tutti i dipendenti di un istituto bancario sviluppino seminari complessi su tutto il GDPR, è molto più utile avere nozioni di sicurezza informatica, ma anche di buone prassi per poter governare in maniera corretta” ad esempio “le password o distruggere i vecchi documenti cartacei e, a maggior ragione, quelli digitali”.
Anche Lovati ha ricordato come esempio fra le buone pratiche degli istituti di credito l’impossibilità “da ormai due anni di usare chiavette usb per scaricarsi dei documenti e lavorarli a casa”.
Obiettivo principale è limitare l’errore umano che spesso è l’anello debole negli apparati di sicurezza informatica. Anche in ambito bancario numeri ci dicono che il data breach, il più delle volte, non viola l’infrastruttura dell’istituto, ma sono attacchi di social engineering al cliente. Nessuno però è invulnerabile e così può capitare di essere vittima di un data breach. Lisi ha voluto ribadire l’importanza di avere un protocollo ben definito, con una configurazione chiara dei ruoli e delle procedure in modo da essere reattivi nelle prime 72 ore dall’avvenimento, il tempo necessario per fare tutte le valutazioni e decidere la prima mossa. Stella polare delle procedure per la gestione di un data breach in particolare è il GDPR, il Regolamento dell’Unione europea generale sulla protezione dei dati personali.
“Al GDPR, che è perfettibile, vanno riconosciuti quattro meriti. Il primo è che ci ha fatto passare dalla forma alla sostanza- ha dichiarato Massimiliano Lovati- facendoci ragionare su ciò che realmente serviva per proteggere il dato, il secondo è che ha introdotto il concetto di privacy by design by default, il terzo è l’obbligo, stabilito formalmente a chi fa un trattamento di dati, di informativa e di comunicazione in caso di data breach. Il quarto è, molto più ampio, perché ci ha costretto a ragionare veramente sul tema, infatti la gestione del data breach è solo una delle fasi del processo di governance dei dati”. Infine, Lovati ha sottolineato: “Un gruppo bancario articolato tratta dati, per l’esecuzione degli incarichi dati dalla propria clientela, che possono dire molto sui comportamenti e le abitudini degli individui”.
La registrazione dell’evento è disponibile gratuitamente al seguente link, previa registrazione: