Quantcast

IDEE & BUSINESS

Cybersecurity e protezione
dei dati: costo od opportunità?

Dotarsi di un modello di privacy aziendale significa accrescere il valore societario e aumentare la propria brand reputation, come ci spiega l’avv. Savino Menna di StartUp Legal, divisione specializzata dello studio legale LA&P

Marco Scotti
Cybersecurity e protezione dei dati: costo od opportunità?

Il proverbiale inganno del fissare il dito e non la luna può essere applicato a molti campi. Uno di questi è sicuramente il tema della cybersecurity e della protezione dei dati. Sono ancora pochi in Italia, infatti, gli imprenditori che hanno implementato un sistema di gestione privacy, spinti unicamente, però, dalla necessità di non incorrere in sanzioni. Il che è sicuramente un dettaglio da non trascurare, ma questa tematica può, e dovrebbe, essere letta in un’altra ottica, ossia come opportunità per creare valore aggiunto per la propria azienda. Una corretta gestione dei dati, infatti, consente maggiori sinergie, di conoscere meglio le esigenze dei propri clienti. E, soprattutto, di aver più affidabilità nel mercato, espandendo le potenzialità di business.

«Nel mio lavoro – spiega ad Economy l’avvocato Savino Menna (nella foto) di StartUp Legal, divisione specializzata in startup dello studio legale LA&P – trovo che sia fondamentale raccontare in maniera un po’ diversa il tema della protezione dei dati e della cybersecurity. Attualmente gli imprenditori lo vedono come un mero costo, mentre, in realtà, offre molteplici vantaggi che, purtroppo, sembrano sempre “nascosti” e poco conosciuti a molti, soprattutto in ottica di “return on investment”. Il problema a monte è che non si riesce a stabilire un risultato tangibile nell’immediato, complice anche la diversa concezione delle variabili da considerare, non legate semplicemente a logiche di costo: conseguentemente risulta ancora difficile riuscire a far comprendere, soprattutto in termini di revenue nel medio-lungo periodo, che cosa significhi un investimento di questo tipo». In effetti, la lettura che viene fatta su sicurezza e privacy è ancora piuttosto miope, soprattutto da parte delle Pmi che però rappresentano la stragrande maggioranza delle imprese del nostro Paese. Fondamentale è partire da un assunto: l’introduzione, nel 2018, del regolamento UE/679/2016 (il noto “GDPR”) che disciplina a livello europeo le esigenze di tutela in materia di protezione dei dati non è l’ennesima vessazione di un’Europa matrigna contro le imprese italiane, ma anzi un tentativo di rendere più armonica la normativa all’interno dell’Unione. Non solo: con l’entrata in vigore di questo dispositivo , il corretto trattamento dei dati oggi apre a prospettive innovative anche in ottica di “data monetization”. Perché è vero che i dati sono immateriali e astratti, ma fanno ormai parte del quotidiano di ciascuno di noi.

Le violazioni al GDPR non comportano solo sanzioni, ma anche il risarcimento dei danni in caso di data breach

«In molti – prosegue Menna – vedranno le implementazione privacy solo come l’ennesimo balzello normativo, ma è bene ricordare che non ci sono soltanto le sanzioni. Ci sono le possibili richieste di risarcimento da parte degli interessati in caso di “data breach”. Ci sono aspetti negativi in termini reputazionali e di brand identity. Per non parlare dei costi professionali e tecnici relativi. Tutte problematiche che influiscono in maniera estremamente negativa nei confronti del business. Quello che non si comprende, infatti, è che a fronte di un investimento iniziale mediamente contenuto per la creazione di un MOP, non adeguarsi compiutamente può comportare seri rischi. Inoltre, essere “a posto” dal punto di vista della privacy e della gestione dei dati significa poter accedere a bandi, essere più appetibili per investitori, fidelizzare la clientela, creare nuove sinergie di mercato. E, soprattutto nel caso di una start-up, aumentare il suo valore di acquisto nelle operazioni straordinarie».

L’analisi del rischio è un tema di enorme importanza, dunque, tanto che con ogni probabilità sarà al centro delle prossime ricerche Clusit (associazione italiana di sicurezza informatica cui concorrono tutti i principali player del settore e del cui gruppo di lavoro fa parte anche lo studio legale LA&P) che si concentreranno sugli impatti della corretta gestione dei dati all’interno delle realtà aziendali. Si tratta di uno studio approfondito rivolto a tutte le imprese, indipendentemente dalla dimensione, con particolare focus alla creazione di strumenti utili agli imprenditori per fronteggiare la genericità del GDPR. Non tutte le piccole e piccolissime aziende, infatti, riescono a districarsi per ritenersi compliant. Il che si traduce in un problema non indifferente da parte dell’imprenditore che continua a vedere tale provvedimento come un fardello e i professionisti a cui rivolgersi più come degli azzeccagarbugli che non come delle persone in grado di risolvere diversi problemi. E invece, complice anche la pandemia, la digitalizzazione “forzata” che è stata messa in atto ha esposto moltissime aziende a nuovi rischi. Tra l’altro, alcuni professionisti non propriamente titolati si sono “reinventati” esperti nella tutela dei dati, vedendo l’avvento del Gdpr come un’occasione per aumentare il proprio fatturato. Ma il nodo rimangono loro, le aziende: e alcune hanno preferito – in modo quasi scaramantico – trincerarsi dietro il “tanto non capiterà mai a me” ed evitare di svolgere gli adempimenti necessari. Ma, come già detto, si rischia grosso.

Ecco, se una lezione l’abbiamo imparata in questi tre anni di Gdpr è che bisogna affidarsi a chi le cose le sa fare. Più del 50% degli attacchi andati a segno durante l’ultimo anno ha sfruttato le risorse umane: significa che uno dei principali veicoli di minacce per l’azienda non è rappresentato solo da sofisticati attacchi hacker, ma da dipendenti che, a causa di qualche piccola leggerezza e scarsa formazione, hanno portato “il nemico in casa”. Dunque un servizio professionale come si deve comprende un’analisi del rischio a monte, ma anche un processo di mantenimento e revisione periodica della conformità aziendale. Senza dimenticare che una figura come il Dpo, il data protection officer, è stata istituita anche per coadiuvare l’azione delle imprese nel rispetto del Gdpr.

“Il responsabile della protezione dei dati - chiosa Menna - è previsto come obbligatorio nelle casistiche indicate dal Regolamento, ma è facoltà di ogni realtà societaria nominarlo. Nella nostra esperienza, comprendendo anche le logiche di costo che, ahimè, ad oggi ancora appannano le opportunità correlate a privacy e sicurezza del patrimonio informativo aziendale, abbiamo strutturato delle modalità di assistenza “tailor made”, soprattutto a supporto delle realtà più piccole, quali startup e microimprese. Ciò anche nell’ottica di incrementare la sensibilizzazione sulle tematiche, contemperando il bilanciamento di costi/benefici che grava sull’imprenditore”.

Tornando al discorso iniziale relativo alla convenienza di un sistema di protezione dei dati efficace, va dunque tenuto in conto che nel ritorno su un investimento di questo tipo ci sono tante variabili che devono necessariamente essere prese in considerazione. Per questo si parla di Rosi/Ropi applicando la medesima formula del Roi ma con qualche complicazione in più. Se per il Roi, infatti, è più immediato comprendere la relazione ed il risultato derivante dalla formula “ricavo operativo/investimento”, in privacy e cybersecurity ci sono altri aspetti che devono essere considerati. «Oltre alle variabili - conclude Menna - è proprio l’approccio ad essere differente; è un calcolo probabilistico risk based. Non esiste la formula più corretta, ma ci sono tante informazioni che devono essere tenute in conto. Come, ad esempio, in maniera positiva, che il trattamento corretto dei dati personali consente di creare un database efficiente, ben strutturato e potenziale foriero di nuovo business».

Lascia il tuo commento

Condividi le tue opinioni su Economy

Caratteri rimanenti: 400