Un data breach è quell’azione da parte dei criminali del web che comporta la sottrazione, la duplicazione oppure il furto di dati sensibili e confidenziali aziendali ma anche personali.

Chi dovrebbe fare particolarmente attenzione a questo tipo di incidenti? Tutti noi.

D’altronde, chi non ha mai comprato qualcosa su Amazon o, nel caso di un’azienda, ha inviato un’email di PEC ad un cliente?

La mole di dati trattati ogni giorno sul web sta aumentando in maniera esponenziale, grazie all’utilizzo sempre più diffuso di internet da parte degli utenti per acquistare beni e servizi, prenotare visite e appuntamenti e registrarsi ad eventi: una ricerca condotta dal gruppo di ricerca IDC, stima che entro il 2025 il numero di dati generati e scambiati nel mondo arriverà fino a 163 zettabyte (corrispondenti a 163 triliardi di byte), contro gli “appena” 16,3 zettabyte prodotti attualmente l’anno.

Per chi possiede un’impresa e tratta ogni giorno dati propri, dei propri dipendenti e di altre aziende collaboratrici deve stare molto attento a non subire una violazione dei dati, le conseguenze possono essere molto serie.

Andiamo a vederle insieme.

La legislazione europea in tema di data breach

Con l’entrata in vigore della GDPR, la legge è diventata ancora più rigorosa: secondo la legislazione europea, infatti, se una violazione dei dati non viene affrontata nel modo più adeguato e tempestivo può provocare dei seri danni fisici, materiali o immateriali alle persone coinvolte, tra cui la perdita del controllo dei dati che li riguardano oppure la limitazione dei loro diritti, ma anche la sottrazione di risorse finanziarie e la riduzione della propria reputazione aziendale.

Il legislatore riporta inoltre che il titolare del trattamento dei dati in azienda deve comunicare in modo tempestivo all’interessato l’avvenuto furto oppure, nel caso di una fuga di massa dei dati, diffondere una comunicazione pubblica che possa raggiungere tutte le vittime.

Le conseguenze per le aziende

Il 93% degli attacchi durano meno di un minuto ma le aziende ci mettono anche diverse settimane prima di scoprirlo: nel mentre, il data breach, se i dati non sono ben protetti, può portare a delle conseguenze preoccupanti.

Perdita di ricavi

Piuttosto comune è la riduzione degli affari per l’azienda con una conseguente perdita significativa di ricavi.

Ciò è dovuto al rallentamento delle operazioni più comuni che portano necessariamente ad una diminuzione del lavoro svolto solitamente a regime.

Danni alla reputazione del brand

I danni non sono solamente ridotti al breve termine, ma si possono ripercuotere anche nei guadagni nel lungo: chi rimane vittima del data breach a fatica riporrà ancora la sua fiducia sul brand in questione, diffondendo poi la sua opinione ai propri colleghi e amici.

Una buona reputazione aziendale, una volta persa, diventa difficilmente recuperabile.

Perdita di proprietà intellettuale

La perdita di guadagno e di reputazione sono già piuttosto gravi, ma non è detto che gli hacker si limitino a questo: il target di un attacco non è solamente il dato privato di un cliente o di un collaboratore, ma anche informazioni riservate aziendali, quali strategie, progetti, idee di design ecc.

Le aziende più soggette alla sottrazione di proprietà intellettuale sono le imprese di costruzioni e manifatturiere, ma nemmeno le piccole imprese sono al sicuro: quest’ultime, infatti, sottovalutano il rischio perché credono di non essere un obiettivo nel mirino, quando invece il 60% degli attacchi sono rivolti proprio a loro.

Costi nascosti

I costi evidenti dovuti alla perdita di ricavo sono solo una parte del tutto: tra le spese da annoverare ci sono le sanzioni amministrative più o meno consistenti da pagare, la responsabilità legale nei confronti degli interessati e la possibilità che gli hacker non si limitino solamente ad azioni malevole contro gli utenti violati, ma anche nei confronti dei loro contatti.

La sottrazione dei dati agli avvocati di Roma: un caso di data breach

Il 7 maggio 2019, il collettivo informatico Lulzsec Ita insieme all’aiuto di Anonymous è penetrato nella casella email di oltre 30mila avvocati dell’Ordine romano diffondendone i dati, tra cui anche quelli del sindaco Virginia Raggi.

I dati rubati comprendevano l’elenco delle utenze e delle password per accedere alla PEC di ogni avvocato, documenti di lavoro sensibili e curricula con foto, nomi, cognomi e indirizzi in chiaro.

L’informazione e la prevenzione possono ridurre il rischio

Anche Sun Tzu lo diceva, “se conosci il nemico, la tua vittoria è sicura”: informarsi sui pericoli e sulla modalità con cui un criminale della rete può avvicinarsi a te e alla tua azienda è il metodo più efficace per valutare il rischio che si corre, per organizzare l’azienda in modo da poter rispondere alla minaccia e per investire sulle giuste infrastrutture e sulle giuste risorse.