Nella sua Relazione annuale 2024 il Garante per la protezione dei dati personali (GPDP) ha registrato un totale di 2.204 notifiche di violazione dei dati personali (data breach) da parte di soggetti pubblici e privati, con un aumento dell’8% rispetto al 2023. Di queste, 498 hanno riguardato il settore pubblico – in particolare Comuni, istituti scolastici e strutture sanitarie – mentre 1.706 sono state segnalate da soggetti privati, come PMI, professionisti e grandi società nei settori telecomunicazioni, energia, servizi e bancario (fonte Rödl & Partner). Con una media di circa sei violazioni al giorno, la domanda non è più se si verrà attaccati, ma quando.
Per questo motivo, oltre a soluzioni per limitare l’accesso alle reti aziendali, è fondamentale implementare misure che riducano l’impatto delle intrusioni. Tra queste, la crittografia, che rende i dati sensibili illeggibili per chi non è autorizzato, è oggi una difesa imprescindibile.
Cybercriminali in cerca di dati
Secondo il piano ispettivo del Garante per il primo semestre 2024, le violazioni dovute a intrusioni informatiche (hackeraggio, ransomware, malware) sono aumentate del 53% rispetto all’anno precedente. In molti casi, i criminali informatici ottengono accessi non autorizzati rubando credenziali, sfruttando vulnerabilità note o infiltrandosi nelle connessioni tra aziende e partner.
Un caso emblematico è quello di Postel S.p.A., sanzionata dal Garante con 900.000 euro dopo un attacco ransomware che ha colpito circa 25.000 interessati – dipendenti, ex dipendenti, candidati e rappresentanti d’impresa – a causa di una vulnerabilità conosciuta ma non corretta. Questo episodio evidenzia come una gestione superficiale della sicurezza e l’assenza di crittografia adeguata possano tradursi in gravi danni economici e reputazionali.
Crittografia: una misura di protezione necessaria
La crittografia serve a rendere i dati illeggibili, consentendo la lettura solo a chi dispone della chiave di decrittazione. Affinché sia realmente efficace, deve essere implementata end-to-end, ossia dal punto di origine fino alla piattaforma di archiviazione o di condivisione esterna, per esempio nel cloud.
Molte aziende delegano questa attività ai provider o alle piattaforme cloud, che spesso gestiscono la cifratura lato server (“at-rest encryption”). Tuttavia, affidare la gestione delle chiavi di cifratura a terze parti significa rinunciare al pieno controllo sulle informazioni più sensibili, specialmente durante i trasferimenti. È quindi cruciale che le chiavi di decifratura rimangano sotto il controllo diretto dell’organizzazione, così da mantenere trasparenza e tracciabilità degli accessi ai dati.
Il Garante definisce “dati sensibili” – o meglio, “categorie particolari di dati personali” – quelli che rivelano l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, nonché i dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona. Trattandosi di dati soggetti a tutela rafforzata, è essenziale che non siano mai accessibili in chiaro sui server di archiviazione o a fornitori esterni.
Sicurezza senza rinunciare alla praticità
Spesso la cybersecurity – e in particolare la crittografia – viene però sacrificata in nome della semplicità d’uso. Eppure, non lasceremmo mai la porta di casa aperta per comodità: lo stesso principio vale per la protezione dei dati aziendali. Oggi, grazie a soluzioni end-to-end intuitive e interoperabili, è possibile garantire una protezione avanzata senza compromettere la produttività. La crittografia rappresenta inoltre il primo passo verso una sicurezza di lungo periodo, fondamentale in vista della prossima rivoluzione tecnologica legata ai computer quantistici.
Computazione quantistica: il futuro di attacchi e protezione
La computazione quantistica è ancora agli inizi, ma è destinata a rivoluzionare il mondo della crittografia. Il BSI (Bundesamt für Sicherheit in der Informationstechnik), pendant tedesco della nostra ACN avverte già del rischio di attacchi “harvest now, decrypt later”: i cybercriminali rubano oggi dati cifrati per decifrarli in futuro, quando i computer quantistici renderanno possibile ciò che oggi è tecnicamente irrealizzabile.
Per questo motivo, le organizzazioni che ancora esitano dovrebbero adottare da subito sistemi di crittografia end-to-end e prepararsi alla crittografia post-quantistica. Quando le tecnologie quantistiche diventeranno diffuse, sarà troppo tardi per proteggersi. Il momento di rafforzare la sicurezza dei dati è adesso.
