La leva della formazione in ambito Cybersecurity
La leva della formazione in ambito Cybersecurity e la guida alle agevolazioni 4.0 per le imprese
A cura dell’ Avv. Mauro Alovisio[1] e dell’avv. Rudy Caltagirone[2] e Centro Studi di Informatica Giuridica di Ivrea Torino
Secondo il “Defending the Expanding Attack Surface” del 2022 a cura dell’azienda di sicurezza informatica Trend Micro, l’Italia è il paese in Europa più colpito dai ransomware nel primo semestre 2022.
Il ransomware come indicato nella sezione informativa del sito dell’Autorità Garante per la protezione dei dati personali è un “programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.[3]
Gli attacchi informatici causano alle nostre imprese gravi interruzioni delle attività, dei servizi e della produzione, comportano ingenti spese per ripristinare i servizi , determinano gravi danni reputazionali e perdite di clienti e di fatturato ed espongono le stesse organizzazioni a sanzioni privacy (in primis in materia di violazione di dati o data breach[4]), ispezioni del Garante per la protezione dei dati e della Guardia di Finanza e a richieste di risarcimenti di danni.
Secondo il rapporto del National Cyber Security Alliance degli Stati Uniti il 60 percento delle piccole imprese che hanno subito un attacco informatico falliscono nei sei mesi successivi.
Secondo il recente rapporto Censis del maggio 2022 ad oggetto: “Il valore della cybersecurity”. Perché serve la sicurezza informatica per la rivoluzione digitale”[5] il 19,5% degli occupati ha sperimentato attacchi informatici con danni agli account social o al sito web della propria azienda, il 14,7% attacchi che hanno causato la perdita di dati e informazioni.
In ogni cyberattacco è determinante il fattore umano: un dipendente, stagista, collaboratore o consulente che è caduto vittima di social engineering, phishing, spear phishing, spoofing e ransomware.
L’anello più debole della nostra sicurezza è costituito dalle persone! Troppe aziende sottovalutano il ruolo ed il valore della formazione. Occorre ricordare ai nostri imprenditori come le prime e migliori difese siano costituiti dagli utenti stessi.
Secondo il rapporto del Censis solo il 39,7% degli occupati ha ricevuto una formazione specifica sulla cybersecurity .
La mancanza di informazione e formazione su prevenzione e sicurezza informatica rende le persone altamente vulnerabili alle minacce.
Tra gli occupati che non hanno mai ricevuto formazione sulla sicurezza informatica risulta alta la quota di chi si dichiara pronto a ricevere una formazione specifica: infatti, ben il 65,9% dei lavoratori vorrebbe partecipare ad attività formative che gli consentano di capire come evitare di diventare vittima ed eventualmente complice involontario degli attaccanti.
La cybersicurezza è un problema culturale prima che tecnico[6].
La prima tecnologia di difesa, sono le persone.
La formazione all’autotutela è fondamentale per evitare che le persone cadano anche nelle trappole più semplici ed evidenti.
Il recente Indice di Digitalizzazione dell’Economia e della Società (DESI apporto europeo della Commissione europea)[7] che individua l’Italia al 18º posto fra i 27 Stati membri dell’UE come sviluppo di servizi digitali evidenzia come oltre la metà dei cittadini italiani non disponga di competenze digitali di base.
In Italia, secondo il sopra citato rapporto del Censis, solo un dipendente su 4 sa cosa sia la cybersecurity[8].
La formazione in azienda in materia di sicurezza informatica non solo è utile, richiesta dagli utenti e importante per lo sviluppo digitale del paese ma è anche obbligatoria ai sensi dell’art. 29 del GDPR che prevede, infatti che “il responsabile del trattamento (data processor), o chiunque agisca sotto la sua autorità o sotto quella del titolare (data controller), che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.
Secondo l’art. 39 comma I lett. b) GDPR Reg. EU n. 679/2016, l’Azienda Titolare del trattamento e il DPO, se designato, devono “sorvegliare … la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” e con riguardo al personale “chiunque … abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso”.
La formazione costituisce pertanto una prima misura organizzativa finalizzata a rendere consapevoli i dipendenti dei rischi e a prevenire criticità sui trattamenti dei dati, e come tale è oggetto anche di specifiche verifiche ispettive a cura del Garante e della Guardia di Finanza. Nelle ispezioni viene richiesto di esibire il piano formativo, i programmi dei corsi, il test di apprendimento finale e gli esiti dei test. In caso di mancata erogazione della formazione scattano pesanti sanzioni amministrative pecuniarie.
La formazione diventa così una leva per alimentare un circolo virtuoso di consapevolezza e comprensione dei rischi informatici nell’utilizzo dei device (come evitare le trappole) ed è finalizzata a promuovere l’adozione di comportamenti adeguati e virtuosi in azienda.
Se la cybersecurity è sempre più strategica e se le défaillances nelle modalità di protezione generano costi economici e sociali eccezionali per le aziende, i dati indicano come sia ancora lunga la strada che dovrà percorrere il sistema delle imprese italiano.
Sulla strada verso la consapevolezza le imprese hanno tuttavia una straordinaria opportunità, l’introduzione nel 2022 dell’agevolazione fiscale del Credito d’Imposta Formazione 4.0[9], credito d’imposta utilizzabile mediante compensazione, che premia chi investe nella formazione dei dipendenti e che consente di scaricare il credito d’imposta. Il credito è previsto da specifico decreto attuativo firmato dal Ministero dello sviluppo economico.
La misura è, finalizzata a sostenere le imprese nel processo di trasformazione tecnologica e digitale creando o consolidando le competenze nelle tecnologie abilitanti necessarie a realizzare il paradigma 4.0 ed è cumulabile con il PNRR.
Si tratta, pertanto, di una misura di estremo interesse che promuove lo sviluppo delle competenze dei lavoratori nelle nuove tecnologie applicate ai processi produttivi e ai singoli modelli di business aziendali.
L’agevolazione può essere richiesta da tutte le imprese che effettuano spese in attività di formazione nelle competenze 4.0 indipendentemente dalla natura giuridica, dal settore economico di appartenenza, dalla dimensione, dal regime contabile e dal sistema di determinazione del reddito ai fini fiscali.
Le imprese che possono usufruire del credito d’imposta sono quelle che formano il personale nelle competenze relative a temi specifici in materia di cybsersicurezza!
La formazione non deve essere solo teorica ma deve essere un percorso dinamico di addestramento “on the job”, un abito sartoriale costruito su misura sulle esigenze della produzione per la prevenzione e deflazione degli attacchi informatici (es. non solo computer ma anche blocco dei macchinari per la produzione).
Il termine per le imprese per beneficiare delle agevolazioni fiscali in materia di cybersecurity sopra citate è 31 dicembre 2022: si tratta di un’occasione unica nella storia del nostro paese.
La cybersecurity, come indicato nel rapporto Censis, va considerata come un investimento sociale, al pari delle spese pubbliche o private per altri settori strategici, perché le défaillances sul fronte della sicurezza informatica generano tremende conseguenze socio-economiche (ad esempio: l’attacco cyber al Gestore Sevizi Energetici (GSE) e all’azienda sanitaria Città di Torino)
[1] Mauro Alovisio, avvocato presso Università degli Studi di Torino, professore del Master in alto apprendistato in materia di cybersecurity dell’Università degli Studi di Torino, Presidente del Centro Studi di Informatica Giuridica di Ivrea Torino, http://www.csigivreatorino.it/ autore di pubblicazioni in materia di GDPR, controllo sui lavorator, videosorveglianza.
Il presente contributo ha carattere personale e non impegnativa per l’ente di appartenenza in quanto le considerazioni sono frutto esclusivo del pensiero dell’autore
[2] Rudy Caltagirone, avvocato e Compliance Advisor. Consulente privacy con esperienza di difesa da sanzioni dell’Autorità Garante. Responsabile della protezione dei dati personali (DPO) per multinazionali e Formatore/docente presso Enti accreditati e Master Universitari. Managing partner di società advisory. Socio del Centro Studi di Informatica Giuridica di Ivrea Torino.
[3] Per approfondimenti: Garante per la protezione dei dati personali https://www.garanteprivacy.it/temi/cybersecurity/ransomware
[4] Per approfondimenti Centro Studi di Informatica Giuridica di Ivrea Torino: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_el?page=2
Mauro Alovisio, Formulario in “Privacy e Data Protection, ” a cura di Giulio Coraggio, Ipsoa, 2022
[5] Per approfondimenti: Censis, https://www.censis.it/sicurezza-e-cittadinanza/1%C2%B0-rapporto-censis-deepcyber-il-valore-della-cybersecurity
[6] Per approfondimenti: Isabella Corradini , Cybersecurity, digital forensics e data protection , Themis, 2021; Sbaraglia, Cyber security, Kit di sopravvivenza, Goware, 2022
[7] Per approfondimenti: Commissione Europea: https://digital-strategy.ec.europa.eu/en/policies/desi
[8] Per «cibersicurezza»: si intende ai sensi dell’art. 2 del REGOLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche;
[9]Per approfondimenti: https://www.mise.gov.it/index.php/it/incentivi/credito-d-imposta-formazione-4-