LOADING

Sicurezza: aspetti legali, obblighi e responsabilità

Sicurezza: aspetti legali, obblighi e responsabilità

by federico Febbraio 14, 2019

Gli incidenti di sicurezza informatica nelle banche hanno ricadute ad ampio spettro, tecnici, organizzativi e legali, come è possibile ricavare dal combinato disposto di alcune disposizioni.
La diversa qualificazione degli incidenti di sicurezza.
La Circolare n. 285/2013 di Banca d’Italia, la Direttiva UE 2015/2366 (PSD2) e il Regolamento UE 679/2016 analizzano il fenomeno degli incidenti di sicurezza secondo diverse prospettive, tra di loro, fortemente connesse da aspetti di sicurezza, elementi organizzativi e tutele legali applicabili alle parti coinvolte, direttamente o indirettamente, nell’incidente. L’elemento differenziante sono i diversi impatti correlati al rischio individuato o da individuare.
L’integrità, la disponibilità, la riservatezza, l’autenticità e/o la continuità delle risorse ICT, dei servizi di pagamento e dei dati personali sono parte del medesimo processo valutativo finalizzato all’individuazione e alla classificazione di un incidente di sicurezza, tenuto conto delle specificità previste dalle normative di riferimento.

Certo, non è sempre facile, gestire le diverse logiche sottese ai diversi impatti e solo con l’ausilio di diverse competenze professionali è possibile rappresentare un sistema come un insieme di regole e processi che permettono all’intermediario, che opera come prestatore di servizi di pagamento e come titolare del trattamento, di definire una metodologia comune in grado di individuare i diversi impatti da analizzare e disciplinarli in conformità delle normative vigenti, con riferimento ai diversi ambiti coinvolti nell’incidente di sicurezza.
Le misure di sicurezza, le procedure organizzative e i vincoli contrattuali in caso di esternalizzazione totale o parziale di un servizio o di una risorsa ICT sono gli strumenti necessari per ridurre e/o controllare la soglia di rischio e le responsabilità che ne derivano sotto il profilo legale in caso di incidenti.
Si pensi che nel 2013, Banca d’Italia con Circolare n. 285 recante «Disposizioni di Vigilanza per le banche» definisce gli incidenti di sicurezza informatica come ogni evento che implica la violazione o l’imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet, malfunzionamenti e disservizi).
In altre parole, la gestione degli incidenti per Banca d’Italia si pone l’obiettivo di minimizzare l’impatto di eventi avversi e garantire il tempestivo ripristino del regolare funzionamento dei servizi e delle risorse ICT coinvolti. Tuttavia, è opportuno anche considerare che nel mondo bancario, la profondità degli incidenti di sicurezza potrebbe riguardare non tanto e non solo il rischio dei servizi e delle risorse ICT, ma anche specifici ambiti relativi all’operatività bancaria con riferimento ai servizi erogati nei confronti della clientela.

Gli incidenti operativi


In particolare, nel 2018, l’European Banking Autority in attuazione dell’art. 96, Direttiva UE 2015/2366 recante disposizioni relative ai «servizi di pagamento nel mercato interno» definisce gli incidenti operativi o di sicurezza come singoli eventi o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti.
Si faccia attenzione che gli eventi negativi e/o anomali sulle transazioni di pagamento interessate nonché gli impatti sugli utenti dei servizi di pagamento (come ad esempio le transazioni effettuate dagli utenti – ovvero dai clienti legati all’intermediario da un rapporto contrattuale – che potrebbero subire un’alterazione del contenuto del messaggio di pagamento oppure sulle transazioni ordinate in modo fraudolento) potrebbero corrispondere ad accessi illeciti o non autorizzati dei dati personali che riguardano gli utenti stessi e i terzi soggetti beneficiari/pagatori delle transazioni, determinando anche una violazione dei dati personali (o Data Breach) con un rischio elevato per i diritti e le libertà dei clienti persone fisiche.

I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale all’interessato (pregiudicando l’integrità, la disponibilità, la riservatezza, l’autenticità dei dati personali nonché le perdite economiche e finanziarie).
L’incidente di sicurezza non si limita ai modelli di minaccia in cui un attacco a un’organizzazione viene effettuato da una fonte esterna, ma include gli incidenti derivanti da fonti interne in violazione ai principi di sicurezza. Inoltre, tali fenomeni includono sia eventi dolosi sia eventi accidentali.

La classificazione degli incidenti di sicurezza si fonda per Banca d’Italia sulle conseguenze economiche ed organizzative che derivano dall’evento e in considerazione degli impatti sull’attività bancaria nonché sulla capacità della stessa di conformarsi alle disposizioni di vigilanza, considerata anche la necessità di rispettare i principi sull’esternalizzazione di funzioni operative importanti. Mentre per la PSD2 il parametro della gravità dell’incidente è individuato in relazione alle caratteristiche dell’incidente stesso, ovvero al soddisfacimento quantitativo e qualitativo dei criteri di valutazione di un incidente così come individuati da EBA. Diversamente per il GDPR il parametro è definito a cura del titolare, facendo riferimento alla probabilità di un rischio per i diritti e le libertà degli interessati coinvolti.

Fonte: Agenda Digitale

Social Shares

Related Articles