Da inizio aprile scorso ha preso il via un nuovo strumento di informazione e sensibilizzazione sui temi della data protection: attraverso un podcast al mese il Garante privacy perfeziona la sua attività comunicazione e di approfondimento per accrescere la consapevolezza di cittadini, imprese e istituzioni e far comprendere a pieno il valore dei dati personali e l’importanza della loro tutela. L’urgenza di creare una nuova “cultura della privacy” si pone anche in vista delle numerose minacce informatiche che stanno sempre con maggior frequenza ed impatto prendendo di mira singoli cittadini ed organizzazioni aziendali. (Sole 24 Ore)
Occorre che si maturi una nuova consapevolezza sui rischi legati al trattamento di dati personali necessaria per capire come reagire di fronte ad eventuali minacce che arrivano dal web e, in generale, dalle strumentazioni tecnologiche
Inoltre, dal punto di vista della strategia aziendale, è bene sottolineare come la nuova impostazione delle attività di organizzazioni ed imprese deve essere privacy oriented, in primis perché naturalmente l’adeguamento alla normativa in materia di protezione dei dati rappresenta un adempimento obbligatorio, ma anche perché la corretta gestione del dato costituisce ormai un “elemento competitivo” che i titolari del trattamento devono saper valorizzare come nuova condizione di business.
Sul tema dell’awareness (termine inglese che, letteralmente, significa “consapevolezza”), ormai da anni il Garante per la protezione dei dati personali, esercitando pienamente il compito ad esso attribuito dall’articolo 57 del GDPR, promuove la conoscenza e favorisce la comprensione del pubblico (cittadini ed organizzazioni) riguardo ai rischi, alle norme in ambito privacy, alle garanzie e ai diritti in relazione al trattamento. Oltre ai penetranti poteri di indagine e poteri correttivi – che si esplicano nell’irrogazione innanzitutto di ammonimenti e di sanzioni amministrative pecuniarie – il GDPR prevede, infatti, importanti compiti in capo alle Autorità di controllo europee chiamate ad esercitare una continua attività di sensibilizzazione sulle tematiche della data protection.
In questi anni, il Garante privacy italiano ci ha abituati a questa sua importante attività di innalzamento dell’awareness che si è esplicata non solo attraverso la predisposizione di infografiche e vademecum, ma anche attraverso l’organizzazione di eventi, convegni e di campagne istituzionali e la realizzazione video, diffusi sia tramite il sito istituzionale dell’Autorità stessa, sia tramite i canali televisivi sottoforma di veri e propri spot pubblicitari.
Come anticipato, da aprile 2025 è online “A proposito di privacy”, il podcast del Garante per la protezione dei dati personali, ideato per aiutare cittadini, imprese e istituzioni a comprendere il valore dei dati personali e l’importanza della loro tutela. In ogni puntata un tema diverso: dalla cybersecurity all’intelligenza artificiale, dall’oblio oncologico ai diritti dei minori online.
Un modo nuovo di rimanere informati sulle attività del Garante anche per i non addetti ai lavori. La scelta di utilizzare il podcast rientra, infatti, nella volontà del Garante di ampliare la platea del proprio pubblico attraverso uno strumento di comunicazione in grado di raggiungere, con un linguaggio semplice e chiaro, tutti coloro che sono interessati alle tematiche della privacy e alla tutela dei diritti nel mondo digitale.
Al centro del primo episodio, le più frequenti violazioni informatiche, la permeabilità dei sistemi di sicurezza delle banche dati che ha favorito nei mesi scorsi numerosi accessi illeciti. La puntata è anche l’occasione per ricordare le indicazioni fornite dal Garante privacy a imprese e pubbliche amministrazioni per assicurare la protezione dei dati personali trattati.
In particolare, il Garante sottolinea come l’Italia sia caratterizzata da una scarsa cultura in ambito data protection e da sistemi inadeguati dal punto di vista della sicurezza informatica. Esso evidenzia come dall’ultimo Rapporto Clusit nel primo semestre 2024 l’Italia risulta uno dei Paesi al mondo più attaccati dai cybercriminali, con il 7,6 per cento del totale degli incidenti ed una crescita del 12,7 per cento rispetto al semestre precedente.
Anche i dati registrati dall’Autorità di controllo stessa vanno in questa direzione. Infatti, aumentano i casi di notifica di violazione di dati personali: dal 1° gennaio al 31 dicembre 2024 sono stati comunicati all’Autorità 2.204 data breach da parte di soggetti pubblici e privati, con un incremento dell’8,3% rispetto al 2023.
Sul versante dalla Pa, in strutture sanitarie, Comuni ed istituzioni scolastiche, mentre in ambito privato, le violazioni più numerose hanno caratterizzato il settore delle telecomunicazioni, il settore energetico, il settore bancario, quello dei servizi ma anche PMI e professionisti.
Il Garante privacy valorizza il fatto che questo incremento delle notifiche di violazioni di dati personali e di banche dati non rappresenta un “insuccesso” per la normativa privacy, anzi l’Autorità di controllo la legge in termini positivi: i nuovi obblighi di notifica contribuiscono a monitorare e a tenere sotto controllo le violazioni in vista di un miglioramento delle misure di sicurezza.
La digitalizzazione crescente della società, insieme ad indiscussi vantaggi, implica un aumento delle azioni di malintenzionati che diffondono software malevoli – soprattutto attraverso ransomware e tecniche di phishing – per varie finalità illecite.
Il ransomware è un programma informatico dannoso che “infetta” un dispositivo digitale (PC, tablet, smartphone, smart TV) bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) attraverso la cifratura delle informazioni. Il soggetto che subisce l’attacco è successivamente informato della possibilità di ottenere il codice di decrittazione per “liberare” i contenuti non più accessibili attraverso il pagamento di un riscatto (in inglese, “ransom”).
Questo tipo di attacchi avvengono soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che apparentemente sembrano provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti) e contengano allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), naturalmente collegati a software malevoli.
Un’altra attività malevola negli ultimi anni sempre più diffusa è quella del phishing, tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username e password, codici di accesso (come il pin del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito – con l’intento di compiere operazioni fraudolente.
Gli attacchi informatici che si perpetuano attraverso il phishing hanno in comune con il ransomware il fatto che il rischio deriva dall’azione di una terza parte non autorizzata e malintenzionata, tuttavia le due tipologie di attacco hanno finalità diverse. Come abbiamo visto, il software dannoso del ransomware cifra i dati personali dell’utente, a cui successivamente l’aggressore chiede un riscatto in cambio del codice di decrittazione, mentre con il phishing l’utente viene spinto a porre in essere determinate attività affinché l’hacker possa copiare (in termini tecnici, “esfiltrare”) i suoi dati per utilizzarli a scopo fraudolento e a suo danno. I dati “rubati”, infatti, possono poi essere utilizzati per fare acquisti a spese del soggetto che subisce l’attacco utilizzando per esempio la sua carta di credito, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.
