C




               C  STRUMENTI DI RILEVAMENTO E MODALITÀ DI AZIONE DEL
                   PROFESSIONISTA O DEL CONSULENTE

                   Se per certi aspetti è vero che qualsiasi organizzazione imprenditoriale, di qual-
               siasi natura, ordine e grado essa sia, avrebbe il dovere di defi nire una strategia
               aziendale preventiva, formalizzata mediante la predisposizione di vere e proprie
               "Policy antiphishing", fi nalizzate al raff orzamento dei processi della sicurezza nel
               trattamento dei propri dati - in particolare quelli aff erenti all’home banking - ai propri
               utenti e alla gestione dei rapporti economico-commerciali con la clientela e con i
               propri fornitori, che in taluni casi, può costituire tutela del proprio patrimonio se non
               dell’intero know-how aziendale, è altrettanto opportuno che queste aziende adottino
               anche delle linee guida operative in caso di necessità e urgenza. Pertanto, premes-
               so che ogni organizzazione d’impresa dovrebbe implementare tutte le disposizioni
               preventive, in modo da limitare al massimo il verifi carsi di attacchi informatici, tra i
               quali sono stati, in questo contesto, annoverati il phishing e anche gli attacchi "Man

               in the Mail", e che al tempo stesso c’è un’oggettiva diffi coltà di impedire totalmente
               (54) - in generale - l’accadimento di qualsiasi frode, ogni azienda dovrebbe, altresì,
               defi nire, almeno per larghe linee, quali siano le azioni da dover attivare al fi ne di
               limitare il successo di tali attacchi nonché di limitare i danni derivanti da questa ti-
               pologia di cyber attacchi. Una delle parole d’ordine da aver ben presente quando ci
               si trova di fronte a questi fenomeni di truff a informatico-fi nanziaria è la "tempestività
               d’intervento", che è anche quella che consente poi di aver abbastanza chiara qual è
               la strategia da dover adottare quando ci si trova esposti a tali contesti.
                   Atteso che nelle imprese e/o società di "rilevanti dimensioni" (imprese, società,
               istituti di credito in generale) i sistemi sottostanti sono generalmente più sicuri e af-
               fi dabili, in quanto le grandi organizzazioni investono molto in sicurezza informatica
               e in certifi cazioni di sicurezza (es. ISO/IEC 27001:2013 e ISO/IEC 27002:2013 (55))
               tanto a livello procedurale, di gestione interne, quanto ancor di più di comunicazione
               esterna, il problema maggiore deriva, per lo più, dalle piccole e medie imprese (le
               cd. PMI) che, talvolta, non investono e, altre volte, non hanno la capacità econo-
               mica suffi ciente per investire in quel minimo di sicurezza informatica necessaria,

               dimostrando di non avere nemmeno quella consapevolezza di ciò che è il rischio
               informatico, tanto da non dotarsi neppure di quelle minime procedure di gestione
               delle emergenze da avviare ogni qualvolta ci si trovi di fronte a tali illeciti.
                   La dura realtà è che reagendo all’incidente informatico e alla frode, spesso cor-
               rendo ai ripari soltanto in seguito al verifi carsi dell’evento, gli strumenti giuridico-pro-
               cessuali (civili e penali), introdotti a partire dalla Legge n. 48/2008 sul Cybercrime
               in poi, pur se esistenti, dimostrandosi per un certo verso sempre più affi  nati, ancora
               oggi, purtroppo, risultano piuttosto inadeguati ed ineffi  caci.
                   Basti pensare che sotto il profi lo del diritto penale, infatti, l’azione fraudolenta

                (54)  In tal senso si pensi a E. H. Spaff ord il quale disse: "l’unico sistema veramente sicuro è uno che
                    è spento, lanciato in un blocco di cemento e sigillato in una stanza di piombo con guardie armate
                    - e anche allora ho i miei dubbi".
                (55)  l’ISO (Organizzazione Internazionale per la Standardizzazione) e l’IEC (Commissione Elettrotec-
                    nica Internazionale) formano il sistema specializzato per la standardizzazione delle procedure
                    a livello mondiale. Tra i vari standard promossi dall’ISO vi sono quelli che si candidano a esse-
                    re qualifi cate quali norme tecniche di riferimento eff ettivamente discusse e riconosciute a livel-
                    lo internazionale. In particolare l’ISO/IEC 27701:2019 "Security techniques - Extension to ISO/
                    IEC 27001:2013 and ISO/IEC 27002:2013 for privacy information management - Requirements
                    and guidelines", è una norma emanata nell’agosto del 2019 che va a contestualizzare le prescri-
                    zioni concernenti la sicurezza delle informazioni contenute nelle ISO/IEC 27001:2013 e ISO/IEC
                    27002:2013 a tutto l’ambito della protezione dei dati personali.


                                                                                      53
                                                                                      53