Le violazioni di dati hanno un impatto molto grande sulle imprese, soprattutto sulle PMI, ma prevenirle è possibile.
Secondo il Garante per la protezione dei dati personali, una violazione di dati è “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nella nostra società basata su dati a algoritmi, ma soprattutto nella nostra economia, i dati personali sono diventati un bene preziosissimo, che qualcuno chiama addirittura il nuovo petrolio. L’utente finale ha certamente la responsabilità principale di proteggere le proprie informazioni e comunicarle solo nei casi necessari e a soggetti affidabili, ma Internet ha cambiato radicalmente le cose e ormai è necessario inserire i propri dati per accedere alla maggior parte dei servizi online, dalle app alle reti sociali.
Per questo motivo, l’Unione Europea ha reagito con la pubblicazione del famoso GDPR, il Regolamento sulla protezione dei dati personali, e ha fatto capire esplicitamente che le aziende che non rispetteranno le norme andranno in contro a multe molto salate. Uno dei casi più seri contemplati dal regolamento è appunto la violazione dei dati, indipendentemente dalle conseguenze ultime di ciascun caso specifico.
Non importa che i dati siano stati rivenduti o alterati, l’organizzazione che non ha saputo proteggere i dati dei propri utenti o clienti dovrà pagare multe fino a 10 milioni di euro o pari al 2% del proprio fatturato annuale. Tuttavia, questa cifra non risponde alla domanda a cui dedichiamo questo post: quanto costa una violazione di dati?
Il costo reale di un data breach va ben oltre l’importo dell’eventuale sanzione e include costi monetari come l’allocazione di risorse umane e tecnologiche per porre rimedio alla violazione, l’impatto sulla reputazione e, indirettamente, sulle vendite e molti altri fattori che vedremo tra poco, mentre cercheremo di valutare in termini non solo economici il vero impatto di una violazione di dati sui vari soggetti coinvolti.
Costo medio delle violazioni di dati
Secondo un rapporto sulla violazione dei dati sponsorizzato da IBM Security e redatto dal Ponemon Institute, ogni violazione di dati costa in media all’azienda interessata 3,86 milioni di dollari a livello mondiale e 2,90 milioni di euro in Italia. In base ai dati dell’ultimo anno, questo equivale a un costo di circa il 5% del fatturato annuo per le PMI. Già, perché quando pensiamo alle violazioni di dati personali, ci vengono subito in mente le grandi corporation, ma in proporzione sono le piccole e medie imprese a pagarne le conseguenze più care.
Il rapporto è molto dettagliato e presenta molte cifre interessanti, di cui qui ci limitiamo a riportare quelle precedenti e un altro dato: in media ci vogliono 280 giorni per individuare e risolvere una violazione di dati e dopo 200 giorni, il costo medio della violazione aumenta di 1 milione di dollari.
Detto in altri termini, il tempo è un fattore importantissimo, e le aziende che non sono dotate di strategie e strumenti efficaci per il contenimento delle violazioni di dati vanno incontro a costi molto più alti, per cui la prevenzione non è solo una prescrizione degli autori del GDPR, ma anche un fattore finanziario cruciale.
Qual è il costo reale di una violazione?
I rapporti come quello appena citato sono utilissimi per prendere coscienza di un fenomeno e valutarne le proporzioni, ma nel caso di una violazione di dati non è facile stimarne il costo effettivo. Ecco i fattori indiretti più importanti:
- Impatto sulla reputazione. Una violazione di dati incide pesantemente e in modo molto negativo sull’immagine dell’azienda, facendo diminuire la fiducia dei clienti esistenti e riducendo le possibilità di conversioni future, che ovviamente si traducono in percentuali negative sulle vendite annuali.
- Tempo ed energie. Quando avviene una violazione di dati, l’azienda è costretta a focalizzarsi sul problema per risolverlo e si tratta di un grande investimento di tempo, energie e attenzione che, altrimenti, avrebbero potuto essere impiegati altrove.
- Possibili denunce degli utenti finali. Oltre alle sanzioni imposte dallo Stato, l’azienda potrebbe dover far fronte alle cause intentate dagli utenti finali i cui dati personali sono stati violati.
- Recupero dei record e ricostituzione del database. Qual è la soluzione a una fuga di dati? Non si può semplicemente chiedere scusa agli interessati e promettere che non succederà mai più. Che misure dovrà prendere l’azienda per recuperare i dati persi e la fiducia dei consumatori?
Insomma, una violazione dei dati è un fenomeno complesso, che tocca tutte le aree operative dell’azienda coinvolta e con conseguenze negative a medio e lungo termine. Per tutti questi motivi, bisogna puntare tutto sulla responsabilizzazione e sulla prevenzione.
Misure preventive contro le violazioni di dati
Ora che abbiamo compreso la complessità del costo effettivo di una violazione di dati per un’organizzazione, vogliamo suggerire alcuni concetti che secondo noi non devono mancare nella strategia preventiva delle aziende:
- Innanzitutto, è necessario creare una cultura aziendale sensibile alla privacy e offrire corsi di formazione a tutti i dipendenti, nonché risorse informative anche agli altri stakeholder, tra cui gli utenti finali.
- Poi, è importante concretizzare questa cultura di impresa e creare un team per la protezione dei dati personali, assegnando incarichi e responsabilità; nell’azienda, tutti devono sapere cosa devono fare e come farlo in caso di violazione dei dati.
- Una delle prime responsabilità del team, ad esempio, sarà la creazione di una strategia di data governance per i dati personali e di politiche interne per la gestione della privacy.
Lavoro da remoto e violazioni di dati
Il team per la protezione dei dati personali avrà molte mansioni da svolgere con regolarità; tra queste vogliamo evidenziarne una che nell’immediato futuro è destinata a diventare sempre più cruciale: il monitoraggio e l’analisi del lavoro da remoto.
L’aumento del lavoro agile e da remoto dovuto alla pandemia di COVID-19 causa nuovi problemi di cybersicurezza alle aziende, per cui i dati personali che raccolgono sono ancora più in pericolo. A questo proposito, e per concludere, ricordiamo che, sempre secondo il rapporto del Ponemon Institute, la maggior parte delle violazioni di dati è causata da furto e compromissione delle credenziali di accesso.
Per uno smart working sicuro sono necessarie formazione e abitudini sicure, come l’utilizzo di un antivirus personale efficace, altrimenti i sistemi aziendali continueranno a essere a rischio e a pagarne, alla fine, saranno gli utenti che hanno condiviso i propri dati.
Buona navigazione e buona protezione dei dati!