Il Forum Nazionale dei Data Protection Officer e Responsabili della Conservazione si è svolto in modalità online. Nella sessione mattutina, introdotta dal direttore di Anorc, Alessandro Selam e moderata dal presidente di Anorc Professioni,

Andrea Lisi, ha offerto la possibilità agli oltre 2700 iscritti alla piattaforma DIG.eat di assistere in diretta ad un confronto su esperienze concrete nel campo della prevenzione e della gestione dei data breach. Durante il Forum si è voluto evidenziare come la sfida di oggi, in vista del futuro, sia assicurare un adeguato livello di protezione contro le minacce informatiche che possono vedere coinvolte amministrazioni pubbliche e aziende. Anorc si occupa di queste tematiche in modo trasversale da ormai più di 15 anni 'abbiamo rapporti con la Presidenza del Consiglio dei Ministri, interlocuzioni costanti con Agid con il Garante, con le università per cercare di stimolare conoscenza e consapevolezza che è il primo modo per prevenire e gestire i data breach' come ha precisato Lisi. "La disseminazione di una nuova cultura della privacy e dell'attenzione nei confronti dei dati personali, e dei dati in generale, fa parte del nostro nuovo modo di vivere e di essere - ha detto Agostino Ghiglia, componente del Garante per la protezione dei dati personali - perché viviamo in una società sempre più digitale e non possiamo prescindere dalla protezione dei nostri gemelli digitali personali. In quanto persone che vivono una vita sociale, telematica e metafisica, dobbiamo anche avere un'attenzione particolare al fatto che le nuove tecnologie hanno comportato rispetto alle nostre attività, siano esse pubbliche o imprenditoriali, dei nuovi rischi. Rischi che debbono essere affrontati con una rinnovata attenzione". Ghiglia ha voluto evidenziare come "Gli attacchi sono continui e al Garante continuano ad arrivare segnalazioni. Noi siamo anche coscienti però che sono solo una parte del problema, perché, molto spesso, c'è la tendenza invece di fare coming out a nascondere la polvere sotto il tappeto: questa è la cosa peggiore che si possa fare!". "Quella di proteggersi ed essere protetti non è certo un'esigenza nuova: è soltanto cambiata la forma" ha sottolineato il Colonnello Marco Menegazzo, Comandante del Gruppo Privacy nell'ambito del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche. Un nucleo 'nato dalla fusione di due precedenti che esistevano, il nucleo privacy e il nucleo frodi tecnologiche avvenuta nel luglio 2018, a seguito dell'entrata in vigore del Gdpr ha sottolineato Menegazzo- Gli alti comandi hanno deciso di unire i due nuclei perchè la tutela delle persone fisiche passa nel mondo digitale. La digitalizzazione ha in sè dei rischi e il data breach non è altro che una frode, una truffa, un reato informatico. Da una parte, abbiamo la data protection e dall'altra parte la cybersecurity: due anime dobbiamo imparare a far convivere. Siamo una forza di polizia e ci occupiamo di questi temi perchè la protezione dei dati vuol dire proteggere le persone. Tanto è vero che nelll'art. 1 del Gdpr si relaziona la protezione delle persone fisiche al trattamento dei dati. Nel mondo reale le forze dell'ordine tutelano le persone fisiche nel mondo digitale le persone vanno protette, e così sarà anche nel metaverso. Se l'avatar corrisponde alla persona, va protetto anche l'avatar'. "Avremo sempre a che fare con i data breach: mi fa sorridere chi sostiene che l'intelligenza artificiale ci aiuterà a sgominare tutti gli hacker di questo mondo. È come la tartaruga e Achille: un inseguimento che è destinato a non finire mai" ha esordito Raffaele Barberio Fondatore e Editor in Chief di Key4biz, è presidente di Privacy Italia e direttore dell'International Cybersecurity Observatory "io vorrei inserire un elemento nuovo. Il Data breach serve ad impossessarsi dei dati degli altri, per diverse ragioni, è un genere di attacco così differenziato che ci da l'idea di essere potentissimo. Il punto è che i dati vengono sottratti anche in altri modi, come nel caso delle big tech: in realtà siamo noi a consegnare i nostri dati e non è vero che possiamo farne a meno. Le amministrazioni ignorano dove sono i dati dei cittadini" La figura del Dpo ha seguito questa evoluzione, come ha voluto ribadire Corrado Giustozzi, Senior Cyber Security Strategist "se la legge mi impone di dotarmi di una figura di consulente, di advisor è chiaro che nominare mio nonno che ha 80 anni e che tanto non andrà mai in galera è sbagliato. Nello stesso modo in cui è sbagliato dipigersi la finta cintura di sicurezza sulla camicia o falsificare il green pass. Il Dpo è un alleato, devo avere il suo consiglio, nominare un incompetente è stupido. Dobbiamo investire di più in pianificazione perché il Covid, ad esempio, ha dimostrato come un evento inaspettato possa mettere in crisi anche organizzazioni più complesse con una pianificazione migliore". E' quello che è successo "con fenomeni nuovi tipo il ransomware". La tecnologia può essere d'aiuto, ma non può essere vista come l'unica soluzione. "La tecnologia è come un autobus che ci avvicina alla destinazione; destinazioni e obiettivi definiti dall'Agenda digitale italiana- ha spiegato Massimiliano Pucciarelli, Presidente del Comitato Direzione Tecnica gara Consip SPC Cloud lotto1 Community Cloud della PA presso l'Agenzia per l'Italia Digitale- Uno di questi obiettivi 'è ridurre i costi di gestione dell'informatica pubblica e uno degli strumenti più rapidi per farlo è razionalizzare i data center. Una delle soluzioni tecnologiche individuate per conseguire questo obiettivo è anche la migrazione cloud, ma così come scelgo un autobus ovviamente poi da quell'autobus devo essere in grado di scendere quando giungo a destinazione. Ovviamente in quei casi possiamo scoprire se l'autobus ha una porta di uscita, se la porta non c'è ci troviamo dentro il caso classico del lock in tecnologico, oppure possiamo scoprire che l'autista non ci fa scendere dove vogliamo e in quel caso abbiamo un non meno temibile lock in sul fornitore. Considero il cloud come una soluzione tecnologica utile per conseguire questi obiettivi". In fondo le statistiche mostrano come molto spesso l'anello debole della catena sia proprio l'elemento umano. "Ci sono dei report di sicurezza informatica nazionali e internazionali che ci danno delle indicazioni importanti, per esempio il report di Verizon del 2021 proprio sui data breach ha messo in evidenza ad esempio come l'85% delle violazioni è stato determinato dall'errore umano- ha ricordato Isabella Corradini, psicologa sociale e criminologa, Presidente di Themis-nell'esempio applicato alla cybersecurity andiamo dall'aprire allegati malevoli passando nel cadere nelle mail di phishing così come inviare mail aziendali a destinatari errati. Questi errori si compiono sia per aspetti legati alla persona, ma anche per fattori organizzativi. Pensiamo allo smart working che ha richiesto delle esigenze anche organizzative da questo punto di vista. Io parlo sempre dell'importanza di diffondere questa cultura della cybersecurity, ma vengo anche dal mondo della safety, dal discorso a 360 gradi della cultura della sicurezza che si basa specificatamente sul fattore umano. I rapporti ci dicono che uno dei problemi è il fattore umano, ma anche una mancanza di consapevolezza dei rischi e delle vulnerabilità organizzative e non solo tecnologiche. Questo significa che dobbiamo spostare il focus dalle soluzioni tecnologiche, che restano fondamentali, allo sviluppo di una cultura della cybersecurity". La sessione pomeridiana, moderata dalla vicepresidente di AnrocProfessioni, Sarah Ungaro e dal Segretario generale di Anroc, Luigi Foglia, è stata riservata al confronto fra Responsabili della Conservazione, Data protection officer, Responsabili della gestione documentale e Responsabili della Transizione Digitale, preceduto dagli interventi di Raffaella Vai - Dpo dell'Agenzia per l'Italia Digitale (AgID) e Mario Valentini - Dpo del Ministero delle politiche agricole alimentari e forestali. "In ogni sistema di conservazione i documenti trattati- ha spiegato l'avvocato Luigi Foglia- conterranno nella maggior parte dei casi anche dati personali. E fin dalle regole del 2013 è sempre stato richiesto un confronto continuo e diretto proprio fra responsabili della conservazione, responsabili della gestione documentale e il responsabile del corretto trattamento dei dati personali". In questa evoluzione anche il ruolo del Dpo si è modificato "soprattutto nella gestione del data breach- ha ricordato la Vicepresidente Anorc Sarah Ungaro- Se inizialmente il ruolo del Dpo come delle altre figure di responsabilità veniva inquadrato in modo formale, nel tempo è stato sempre più percepito come un ruolo avente una importanza sostanziale, non più come una casellina da riempire per essere compliance".