Andrea Farina, fondatore di Itway: "I privati e la pubblica amministrazione non si proteggono a dovere"
La sicurezza dei dati è sempre più a rischio nelle imprese e nelle pubbliche amministrazioni. Ma difendersi è possibile e dovrebbe essere una scelta di base e non imposta dalle situazioni che si vengono a creare. E nel Ravennate che grado di sicurezza abbiamo? La Cmc, per esempio, ha subìto in passato due attacchi hacker e il Comune di Ravenna, come rende noto Acn, Agenzia per la cybersicurezza nazionale, ha in corso un progetto da 1,5 milioni di fondi Pnrr per mettere in sicurezza il proprio sistema informatico.
"C’è ancora molta strada da fare – spiega Andrea Farina fondatore e presidente del Consiglio di amministrazione e amministratore delegato di Itway, l’azienda ravennate specializzata in cybersicurezza, trasformazione digitale, intelligenza artificiale e data science che chiuderà il 2024 con 60 milioni di ricavi, erano stati 47 nel 2023 e dà lavoro a 152 tra addetti e collaboratori – sia per i privati ma soprattutto per i soggetti pubblici che hanno in mano dati molto sensibili sulle persone e sulle imprese".
E alcuni faentini sono stati "spiati" a lungo e a loro insaputa. Farina, come è possibile che tutto ciò accada, che i dossieraggi siano una cosa molto facile in Italia se è vero che un dipendente bancario può spiare serenamente oltre 3mila conti correnti?
"Succede perché le società private e la pubblica amministrazione non si proteggono a dovere, e la protezione è fatta di prodotti Cyber costantemente aggiornati tecnologicamente e di procedure di risk management allo stato dell’arte. L’ Europa ci sta dando una mano con il GDPR e la recente normativa NIS 2. Mi aspetterei dal Garante per la privacy una pronuncia severa per la grande banca italiana che non ha impedito a un suo dipendente di spiare i movimenti bancari di 3.572 persone con oltre 6.600 accessi abusivi: non dobbiamo dimenticare che nel caso della violazione dei dati di British Airways, nel 2018, il garante inglese ha multato la società per 183 milioni di sterline per aver subito un cyberattacco che aveva coinvolto i dati personali di centinaia di migliaia di passeggeri. Si può arrivare a sanzioni fino al 4% dei ricavi dell’anno, oltre a conseguenze anche penali per i dirigenti della società che non ottempera al rispetto della normativa".
Cosa possono fare le imprese?
"Adottare sistemi di protezione tecnologicamente avanzati e in grado di proteggere i dati dagli attacchi esterni ed interni. Non dobbiamo dimenticate che il 70% delle violazioni o cosiddette brecce di sicurezza informatica, avviene per fughe interne di dati, non per attacchi esterni. Si tratta di adottare una giusta combinazione di mezzi hardware e software unitamente a nuove metodologie di accesso ai dati riservati. Facendo, ad esempio scattare degli alert dopo un certo numero di accessi ai conti correnti, per restare in campo bancario. Dobbiamo dire che il caso Falciani non ci ha insegnato molto".
Alert che dovrebbero partire in automatico…
"Sì, se il sistema di risk management lo prevede. Evidentemente, quella banca non aveva un sistema del genere. Ma non è un problema solo delle imprese. Il caso dell’ ingegnere informatico palermitano del mese scorso entrato senza problemi nei sistemi del ministero della Giustizia lo dimostra appieno. La verità è che tutti guardano tutto quel che possono e se ne possono trarre utilità, non hanno alcuna remora".
Dopo questi ultimi fatti sta aumentando l’attenzione da parte delle imprese?
"Riceviamo molte richieste di informazioni. Sul mercato ci sono prodotti specifici di provenienza israeliana o statunitense che poi vanno applicati in base alle esigenze della singola impresa. Bisogna considerare questo non come un costo ma come un investimento e quindi una condizione essenziale per gestire correttamente l’impresa o l’ente pubblico".
Giorgio Costa