Nel paese dove le password vengono conservate su foglietti adesivi e i dati sensibili passano per più mani di un gettone telefonico negli anni '80, non sorprende che ogni tanto si scopra qualche furbetto che gioca un po' troppo con le informazioni altrui. Negli ultimi tempi, l’Italia si è vista protagonista di una scena non proprio edificante: gente con accesso a dati riservati – investigatori, dipendenti delle forze dell’ordine, qualche hacker improvvisato – tutti a pescare nei database per vedere cosa si può trovare, e magari guadagnarci su.

L'importanza dei dati e della sicurezza aziendale

Ricordiamo, se mai ce ne fosse ancora bisogno, che i dati personali sono il bene più prezioso al mondo; valgono più dell’oro e del petrolio. La prova? Ogni giorno noi stessi, nel nostro piccolo, riceviamo attacchi a device che contengono apparentemente poche informazioni ma che, se ben usate, valgono tantissimo per chi le può usare per un banale ricatto, un furto di identità, svuotarci il conto corrente. Immaginiamo il valore di archivi pubblici o banche dati di ospedali, assicurazioni e istituti di credito.

Appofondisci > Diluvio di cyber attacchi in Italia: i malware ruba dati più diffusi

Ora, qualcuno dirà che è normale: l’uomo è umano e chiunque con un po’ di potere tende a usare i mezzi che ha per ottenere un vantaggio. Ma allora, diciamolo chiaramente: il problema non è solo tecnologico, è proprio umano. Nelle grandi organizzazioni, tra qualche bravo impiegato e una schiera di funzionari onesti, c’è sempre chi è disposto a “vendere” un’informazione o due per arrotondare la paga. E non c’è firewall che tenga.

Leggi anche questo > Aiuto! Il dipendente mi ha rubato i dati! No! È colpa tua che te li sei fatti rubare

Le belle parole sulla cultura aziendale della sicurezza? Spesso sono una decorazione in qualche brochure. Le organizzazioni dovrebbero trattare la sicurezza come una questione di principio, non come un’aggiunta per sembrare all’avanguardia. Se la cultura della sicurezza non viene realmente interiorizzata, se non si vive nella quotidianità aziendale, non c’è lettera di incarico o policy che possa salvarli dal rischio che qualcuno decida di “arrotondare” su un’informazione preziosa. È qui che entra in gioco la formazione continua e un sistema che non premi solo il raggiungimento degli obiettivi, ma anche l’etica.

Cosa ne pensi? > Il Cyber Risk per l'azienda inizia a casa dei dipendenti

E poi, non dimentichiamo i dirigenti. Dicono che il pesce puzza dalla testa, e in effetti la sicurezza dei dati dovrebbe partire da chi sta in alto. I vertici devono essere i primi a impostare un sistema di controlli seri, verifiche interne e audit periodici che non siano solo di facciata. Serve un meccanismo reale di trasparenza e responsabilità, perché senza una guida forte e un esempio solido, è facile che tutto cada nelle mani di chi pensa che le regole valgano solo per gli altri.

Approfondisci > Audit SWOT e trattamento dati: i possibili impatti del GDPR sulle analisi aziendali interne

La mancanza di sanzioni adeguate

Ma sarebbe troppo facile chiuderla con un’alzata di spalle, come se l’unica soluzione fosse accettare che il sistema sia pieno di "mele marce". La fiducia è importante, certo, ma in queste faccende vale quanto un ombrello durante un tifone. E allora? Bisognerebbe armarsi non solo di tecnologia, ma anche di regolamenti rigorosi e sanzioni vere. Altro che pacche sulle spalle e “non farlo più, eh”! Bisogna mettere in chiaro, con lettere di incarico solide come rocce e politiche aziendali dettagliate, che l’accesso ai dati non è un privilegio ma una responsabilità – e chi lo abusa dovrà affrontare conseguenze che fanno male, economicamente e professionalmente.

Leggi anche questo > Cyber risk e cybersecurity: tutto ciò che un imprenditore deve sapere - gli aspetti legali

Non sarebbe male, inoltre, rivedere il concetto di risarcimento danni: chi gioca con i dati altrui, chi si fa corrompere o chi pensa di potersela cavare come se niente fosse, dovrebbe trovarsi a pagare anche per il danno causato all’organizzazione, un risarcimento che dovrebbe servire da deterrente, oltre che a risanare le perdite.

Insomma, in un mondo perfetto, basterebbe fidarsi. Ma il mondo non è perfetto, e tra il dire e il fare c’è di mezzo un mare di burocrazia, di controlli, di persone che farebbero meglio a lavorare con la coscienza piuttosto che con le mani nel portafoglio. Sta alle organizzazioni decidere: sicurezza seria o farsa di fiducia?

Un’ ultima nota. La cronaca ci riferisce di carceri dove sono stati trovati anche cellulari in uso ai detenuti. Ergo, gli autori di reati informatici hanno modo di reiterare le loro condotte anche dove la sicurezza dovrebbe essere estrema. Figuriamoci dagli arresti domiciliari o tramite un braccialetto elettronico.