Il Cybercrime e la sua Evoluzione

Molte imprese considerano ancora il cybercrime come un problema tecnologico: un'attaccante seduto davanti a uno schermo in un luogo imprecisato, intento a forzare sistemi, superare password, sfruttare vulnerabilità informatiche. La difesa, di conseguenza, si crede tecnologica: firewall, antivirus, sistemi di rilevamento delle intrusioni. E, negli ultimi anni, una bella informativa privacy sul sito web.

Questo scenario esiste ancora, ma è una parte sempre più marginale del problema. Il criminale digitale contemporaneo ha compreso quello che molte organizzazioni non hanno ancora assimilato: è molto più semplice sfruttare la fiducia che violare una macchina. Per questo gli attacchi stanno cambiando natura in modo radicale. Non si manifestano più soltanto attraverso sofisticate tecniche informatiche ma attraverso comportamenti, relazioni e processi aziendali: una telefonata convincente, una mail perfetta o, anche un volto familiare su uno schermo.

La Nuova Frontiera della Sicurezza

L'intelligenza artificiale sta accelerando questa trasformazione con una velocità che il sistema normativo fatica a inseguire e che molti professionisti della privacy non hanno ancora incorporato nella propria analisi del rischio. Un tempo le comunicazioni fraudolente erano riconoscibili. Errori grammaticali, traduzioni approssimative, richieste palesemente sospette. Oggi un sistema di intelligenza artificiale produce messaggi impeccabili, calibrati sul contesto aziendale, coerenti con il linguaggio del destinatario, costruiti su informazioni disponibili online; il sito dell'azienda, il profilo LinkedIn del direttore finanziario, i comunicati stampa degli ultimi sei mesi.

La frode non appare più come una minaccia esterna. Assomiglia a una normale comunicazione. E spesso lo assomiglia talmente bene che nessuno la riconosce. Lo stesso fenomeno si osserva nella clonazione vocale e nei deepfake. Non è fantascienza: sono casi documentati, accaduti in aziende strutturate, con procedure approvate e dipendenti formati. Dirigenti che hanno autorizzato bonifici dopo aver ricevuto una videochiamata dal proprio amministratore delegato che in quel momento era su un. La tecnologia riproduce fedelmente voce, volto ed espressione. L'attacco non colpisce il sistema informatico, ma processo decisionale.

Ed è questo il punto che molte organizzazioni, e molti DPO, continuano a sottovalutare. La sicurezza non riguarda più soltanto i computer, ma le decisioni. Un accesso abusivo a una casella di posta può trasformarsi in una frode finanziaria. Una credenziale sottratta può consentire il furto massivo di dati personali. Una comunicazione apparentemente legittima può generare una violazione della riservatezza o un trasferimento economico non autorizzato.

E ciascun evento produce conseguenze che raramente rimangono confinate in un unico ambito. Un incidente informatico genera responsabilità legali. Una violazione dei dati produce danni reputazionali. Un problema reputazionale incide sui rapporti commerciali e sul valore dell'impresa. Le conseguenze si propagano attraverso l'organizzazione e si fermano dove trovano una struttura di governance solida. Non dove trovano un documento ben redatto.

Eppure, molte organizzazioni continuano a rispondere a questo scenario con strumenti pensati per un mondo diverso. L'antivirus aggiornato. L'informativa privacy sul sito. Il registro dei trattamenti compilato. La formazione annuale dei dipendenti. Strumenti necessari, sia chiaro. Ma insufficienti quando l'attacco non cerca di abbattere le difese tecniche bensì di aggirarle. E talvolta cerca semplicemente di farsi scambiare per qualcuno di cui ci fidiamo.

Ma il dato più significativo non è quantitativo. È qualitativo. Gli attaccanti non cercano più soltanto vulnerabilità tecniche. Cercano il punto in cui il processo reale diverge dal processo scritto. Cercano la procedura che esiste sulla carta ma non nella pratica. Cercano la persona che ha firmato la policy senza averla letta. Cercano ciò che la compliance formale lascia scoperto.

Per i DPO questo cambia profondamente il perimetro del proprio ruolo. Non si tratta di ampliare le competenze tecniche fino a diventare esperti di cybersecurity. Si tratta di comprendere che la protezione del dato personale non può essere presidiata soltanto attraverso la verifica della conformità documentale. Occorre capire come le diverse esposizioni interagiscano tra loro.

Come un attacco che entra da un canale di comunicazione possa produrre una violazione che ricade sotto il GDPR, una responsabilità che ricade sotto la NIS2 e un danno che ricade sotto il diritto civile, simultaneamente, sullo stesso fatto. Il pericolo non proviene sempre dall'esterno. Spesso sfrutta informazioni pubbliche, relazioni consolidate, procedure conosciute e comportamenti prevedibili. Non abbatte le difese. Le aggira. E lo fa con strumenti che migliorano ogni giorno, costruiti da organizzazioni criminali che hanno budget, divisioni specializzate e obiettivi misurabili.

La vera sfida, in questo scenario, non consiste nell'essere conformi alle norme. Conformi lo siete già, o dovreste esserlo. Consiste nel comprendere se quella conformità corrisponde a una reale capacità di governare il rischio nel momento in cui si manifesta. Non sulla carta. Nella realtà operativa dell'organizzazione, alle tre di notte, quando qualcuno ha appena cliccato su un link sbagliato e nessuno sa ancora cosa fare.

Perché il rischio più pericoloso non è quello che vediamo arrivare. È quello che si nasconde negli spazi tra una procedura e l'altra.