Da una recente indagine dei Lloyd’s di Londra chiamata “Facing the Cyber Risk Challenge” il cui scopo è verificare come le aziende europee stanno affrontando la sfida dei rischi informatici, tema sempre più attuale per la diffusione delle tecnologie digitali e oggi reso ancora più urgente in vista della nuova normativa europea, è emerso che il 92% delle aziende del campione (composto da circa 350 tra le maggiori aziende europee con fatturato superiore ai 250 milioni di €) ha dichiarato di aver subito una violazione della sicurezza informatica e in alcuni casi la perdita dei dati anche relativi alla clientela. Per ben il 54% delle aziende è il CEO ad avere diretta responsabilità della sicurezza informatica dell’azienda, a riprova della importanza data alla questione. Tuttavia solo il 42% del campione intervistato ritiene probabile che si possa ripetere una violazione informatica in futuro e solo il 13% delle aziende intervistate ritiene di poter avere una perdita di clientela a causa di questo, sottovalutando il potenziale impatto di un attacco informatico.
Tra le minacce interne identificate quali possibili cause di una violazione sulla sicurezza dei dati vi sono: perdita fisica di documenti o di altri strumenti non elettronici (42%), un dipendente interno che viola intenzionalmente le informazioni (42%), errore umano o rivelazioni non intenzionali (41%), perdita, furto o guasto di un’apparecchiatura (41%), mentre tra le minacce esterne identificate quali possibili cause di una violazione dei dati vi sono: attività di hackers a scopo di lucro (51%), attività di hackers per ragioni politiche (46%), attività di hackers concorrenti (41%), truffe online (39%), richieste di riscatto (37%), software per la diffusione di virus (32%).
In vista dell’applicazione del Regolamento Generale per la Protezione dei Dati (GDPR) emanato dalla UE emergono alcuni aspetti:
- la maggioranza delle aziende campione non ne è a conoscenza o ne sa poco
- la posizione ottimistica assunta in previsione di attacchi futuri
Il problema è che oggi non esiste nessuna garanzia che in futuro sia possibile prevenire le violazioni, pertanto la questione è come gestire e che misure si prendono per proteggere le informazioni e i clienti, tenuto conto che a nessuno piace avere le proprie informazioni o dati personali sbandierati in rete nella migliore delle ipotesi. Con l’entrata in vigore del GDPR, le organizzazioni che gestiscono i dati dei cittadini dell’UE saranno tenute a segnalare le violazioni entro 72 ore e si troveranno ad affrontare potenziali multe fino a 20 milioni di euro per non aver per protetto adeguatamente i dati. Nonostante le implicazioni, a oggi il 57 per cento dei dirigenti d’azienda ammette di non comprendere appieno le potenziali implicazioni del GDPR in relazione alle loro imprese (solo il 7 per cento ne ha una profonda conoscenza). Il 64 per cento degli intervistati pensa che possa essere legato a un’indagine normativa; il 58 a sanzioni pecuniarie, il 57 ritiene che potrebbe avere un impatto sul prezzo delle azioni e il 52 sulla reputazione. Soltanto il 13 per cento delle imprese ritiene che potrebbero perdere clienti in caso di violazione.