Cybersecurity, Industria 4.0. e Risk Assessment.

Premessa

Il ricorso alla digitalizzazione è sempre più frequente, nella vita professionale come in quella personale, portando con sé l’ovvia espansione del perimetro dello spazio cibernetico. 

Questo spiega perché la materia della cybersecurity – definita come l’insieme degli strumenti e delle competenze capaci di approntare livelli più o meno efficaci di sicurezza informatica – non possa più ritenersi un universo a sé stante, ma debba necessariamente essere gestita in interrelazione con le altre componenti della compliance aziendale, di cui il Modello 231 rappresenta certamente il principale esempio.

Inoltre, il tema della sicurezza informatica non può essere affrontato solo da punto di vista della condotta agente dell’impresa che compia atti di concorrenza sleale, ma anche dal punto di vista della prevenzione, poiché due sono i possibili fronti nei quali la materia può toccare dal vivo l’attività di impresa.

Industria 4.0 e lo spazio cibernetico. 

Prima ancora di comprendere come un’azienda possa adeguare il proprio assetto di rischio al contrasto di reati cibernetici, è essenziale comprendere cosa si intenda, nello specifico settore qui d’interesse, per “Industria 4.0”. 

L’individuazione del perimetro nozionistico di “Industria 4.0.”, infatti, permette di comprendere a fondo in quale spazio ci si debba muovere, da punto di vista della prevenzione e dal punto di vista della mitigazione del rischio. 

Il termine “Industria 4.0” è il nome della quarta rivoluzione industriale, che ha ad oggetto un processo di digitalizzazione teso verso processi di automazione sempre più stringenti. 

Tale percorso è stato certamente accelerato dal contesto pandemico e dal ricorso massivo allo smart working, che ,consentendo l’utilizzo di strumenti informatici, spesso in forma promiscua, per lo svolgimento delle normali attività lavorative comporta tutt’oggi un’espansione abnorme dello spazio cibernetico.

Si amplia quindi il raggio di esposizione alle attività degli hacker, sì, ma si estende anche l’area all’interno della quale può realizzarsi una disfunzione interna dell’attività di impresa, attraverso il principale veicolo aziendale degli incidenti informatici, ovvero il dipendente. 

L’attenzione, in questo punto, non va rivolta solo alla casistica, pur numerosa, relativa al dipendente infedele, ma anche, e per maggior rigore in termini di prevenzione, al dipendente inconsapevole, ovvero colui che non è stato adeguatamente responsabilizzato sull’utilizzo degli strumenti informatici e sui suoi possibili rischi operativi. 

Queste diverse componenti confluiscono tutte a definire l’ambito di azione di Industria 4.0, muovendosi dall’utilizzo del dato (attraverso i più essenziali strumenti di cloud o di Internet of Things), fino all’interlocuzione tra macchine e uomo, passando per l’analisi del dato (area di azione della materia relativa alla protezione dei dati personali coperta dal Regolamento Europeo GDPR).

La più recente tendenza di Industria 4.0 è rappresentata, infine, dal ritorno dal digitale al reale, attraverso la manifattura addittiva e la stampa 3D che danno la misura di come il processo di Industria 4.0 non è giù più un processo che verrà, ma è il processo nel quale siamo già completamente immersi. 

Questa premessa aiuta a comprendere come la materia della Cybersecurity sia legata a doppio filo alla logica della compliance aziendale del Modello 231, in quanto entrambe le materie condividono lo stesso principio di fondo: la mappatura dei processi di rischio. 

Incidenti informatici e Risk assessment.

Quanto detto sinora permette l’arretramento della soglia di interesse dalla contestazione di un reato informatico all’incidente informatico, ovvero la dispersione del dato che può essere impegnativa dal punto delle conseguenze per l’attività di impresa e per i soggetti terzi con i quali l’impresa stessa si misura. 

In questa logica, diviene centrale il processo di mappatura del rischio: assicurare l’azienda nell’ottica della minimizzazione del rischio di compimento di reati informatici, da un lato, e individuare i processi sensibili nell’ottica del compimento di fatti di reato, dall’altro. 

Sensibilizzare l’azienda per proteggerla da un’eventuale contestazione di reati informatici, ma ancora prima preservare l’attività di impresa e i suoi dati da un’eventuale dispersione degli stessi per mezzo di un incidente informatico. 

Diviene allora addirittura più importante approntare rimedi a questo genere di incidenti perché i dati gestiti da un’azienda rappresentano comunque il suo patrimonio: dati relativi ai dipendenti, dati relativi ai processi, dati relativi al know how aziendale, dati, insomma, capaci di caratterizzare un’azienda sul mercato rispetto ad un’altra. 

Ecco perché è interessante mettere l’accento sul recente ampliamento del catalogo dei reati informatici idonei a dar luogo a una responsabilità dell’ente: mentre, infatti, al momento della sua adozione il Modello 231 non prevedeva alcun riferimento ai reati informatici – introdotti poi solo nel 2008 con l’adesione alla Convenzione di Budapest -, la successive integrazioni originarie hanno riguardato solo la previsione della frode informatica ai danni degli enti pubblici. 

Oggi, invece, il D.lgs. 231/2001 prevede un novero abbastanza consistente di reati informatici idonei a fondare una responsabilità 231, novero che, peraltro, viene costantemente aggiornato com’è stato di recente con la previsione dei reati commessi mediante l’utilizzo di strumenti informatici. 

L’inserimento e l’attenzione ai reati informatici all’interno del Modello 231 rappresenta la ragione per la quale è necessario procedere ad un analisi del rischio, al fine di verificare se esistono zone grigie all’interno delle quali possono essere predisposte idonee misure di sicurezza. 

Tuttavia, è opinione di chi scrive che la misura di sicurezza rappresenti solo la punta dell’iceberg della misure in concreto da attuare, poiché queste devono necessariamente muoversi di pari passo con la sensibilizzazione del personale dell’impresa, con la diffusione della cultura della compliance all’interno delle dinamiche critiche dell’azienda, al fine di tutelare l’attività e il patrimonio dei dati gestiti dall’impresa. 

Consapevolezza e formazione divengono quindi un binomio inscindibile in questo ambito specifico e settoriale, per evitare di lasciare scoperte aree troppo ampie.

L’incidente informatico, nella realtà aziendale, infatti è molto frequente: non basta limitare il campo di attenzione all’ipotesi in cui una perdita di dati si sia verificata a causa dell’intenzionalità del soggetto agente, perché non tutte le condotte sono intenzionali, da questo punto di vista; ma, nell’ottica della compliance, bisogna arretrare il campo di indagine – e quindi di predisposizione di idonee misure – alle ipotesi di errore, dettato da leggerezza, insufficienza di informazioni o da mancanza di consapevolezza dei presidi e dei possibili rischi di alcuni azioni. 

Conclusioni.

Si è compreso, allora, quale sia l’importanza centrale della compliance in tema di cybersecurity e, di conseguenza, come divenga nevralgica una visione di insieme. In questa logica la materia si interseca con la mappatura dei processi per l’ambito della compliance 231: lo screening delle attività sensibili in tema di reati informatici porta a galla, inevitabilmente, anche le falle in termini di sicurezza cibernetica.

La compliance 231 diviene così un legante più ampio: il dato esperienziale dimostra che la materia della cybersecurity fornisce lo spunto per comprendere che non bisogna arrivare al reato informatico per predisporre uno strumento di tutela, ma si può prevenire e minimizzare i danni ancor prima che un danno si verifichi. 

Fondamentale è anche la formazione, necessariamente specifica e certificata e pianificata.

Solo attraverso questi strumenti è possibile superare l’idea che di informatica in azienda si occupi solo l’area IT, mettendo, invece, tutti i dipendenti nella condizione di affrontare la propria attività con consapevolezza, responsabilità e produttività.