Data protection

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Premessa

Nel tempo l’approccio alla cybersicurezza, nel senso di individuarne i criteri per la sua valutazione, prendeva in considerazione tre fattori: la riservatezza, l’integrità e la disponibilità dei dati.

In riferimento alla riservatezza ed all’integrità dei dati il GDPR, all’art. 5.1, lett. f) dispone che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non  autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

Tale concetto è presente anche nel Considerando (39) ove si legge che “i dati personali dovrebbero essere trattati in modo da garantire un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento”.

Il terzo criterio, quello della “disponibilità” viene richiamato all’art. 32 del GDPR ove si dispone che “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: (omissis) b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; (omissis).

L’autenticità. (definizione)

Il Glossario dei termini e degli acronimi di cui all’Allegato 1 al documento “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici”, definisce il concetto di autenticità come la caratteristica in virtù della quale un oggetto deve considerarsi come corrispondente a ciò che era nel momento originario della sua produzione. Pertanto un oggetto è autentico se nel contempo è integro e completo, non avendo subito nel corso del tempo o dello spazio alcuna modifica non autorizzata. L’autenticità è valutata sulla base di precise evidenze.

Il concetto viene richiamato anche in fase di definizione dei seguenti termini:

  •  “Conservazione”, da intendere come l’insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizzativo adottato, garantendo nel tempo le caratteristiche di autenticità, integrità, leggibilità, reperibilità dei documenti
  • “Integrità”, da intendere come la caratteristica di un documento informatico o di un’aggregazione documentale in virtù della quale risulta che essi non hanno subito nel tempo e nello spazio alcuna alterazione non autorizzata. La caratteristica dell’integrità, insieme a quella della completezza, concorre a determinare la caratteristica dell’autenticità.

L’autenticità quale ulteriore requisito per rafforzare il livello di sicurezza delle reti e dei sistemi informativi a fronte di attacchi di ingegneria sociale.

La necessità di dovere rafforzare il livello di sicurezza delle reti e dei sistemi informativi all’interno della UE è avvenuto facendo ricorso ad un framework di cybersicurezza europeo tale da armonizzare un ampio panel di norme, a partire da quelle in materia di protezione dei dati personali (Regolamento UE 2016/679) a quelle sulla adozione di un sistema europeo comune di certificazione della cybersecurity basato sui Common Criteria (Regolamento UE 2024/2847, Cyber Resilience Act (CRA); alla governance europea dei dati (Regolamento UE 2018/1724;  a mercati equi e contendibili nel settore digitale (Regolamento UE 2023/2854); all’ENISA (Regolamento UE 2019/881); alle regole armonizzate sull’intelligenza artificiale (Regolamento UE 2024/1689).

Negli ultimi anni ci si è accorti di come i criteri di riservatezza, integrità e disponibilità, da soli, non sono in grado di supportare un’analisi dei rischi per la sicurezza dei dati, in particolar modo quando i dati vengono trattati in ambito digitale.

Di conseguenza è stato introdotto un quarto criterio, quello di “autenticità”, rinvenibile anche nelle Linee guida AgiD in materia di formazione, gestione e conservazione dei documenti informatici, (maggio 2021) – [che come precisato dal Consiglio di Stato – nell’ambito del parere reso sullo schema di decreto legislativo del correttivo al CAD, n. 2122/2017 del 10.10.2017 – le Linee Guida adottate da AGID, ai sensi dell’art. 71 del CAD, hanno carattere vincolante e assumono valenza erga omnes.], che al par. 4.1 Sistemi di conservazione dispone quanto segue: “Nella Pubblica Amministrazione, il sistema di gestione informatica dei documenti trasferisce al sistema di conservazione, ai sensi dell’art. 44, comma 1-bis, del CAD41,:  a) i fascicoli informatici chiusi e le serie informatiche chiuse, trasferendoli dall’archivio corrente o dall’archivio di deposito;  b) i fascicoli informatici e le serie non ancora chiuse trasferendo i documenti in essi contenuti sulla base di specifiche esigenze dell’ente, con particolare attenzione per i rischi di obsolescenza tecnologica. Il sistema di conservazione assicura, dalla presa in carico fino all’eventuale scarto, la conservazione dei seguenti oggetti digitali in esso conservati, tramite l’adozione di regole, procedure e tecnologie, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità (omissis)”.

Inoltre, al par. 4.3 Modelli organizzativi della conservazione stabilisce che: “Al fine di garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti, i fornitori di servizi di conservazione  devono possedere requisiti di elevato livello in termini di qualità e sicurezza in aderenza allo standard  ISO/IEC 27001 (Information security management systems – Requirements) del sistema di gestione della sicurezza delle informazioni nel dominio logico, fisico e organizzativo nel quale viene realizzato il processo di conservazione e ISO 14721 OAIS (Open Archival Information System – Sistema informativo aperto per l’archiviazione), e alle raccomandazioni ETSI TS 101 533-1 v. 1.2.1, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni.”

Successivamente la Direttiva NIS 2, prende in considerazione il criterio dell’autenticità attraverso il Considerando (79), che recita:

Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, le misure di gestione dei rischi di cibersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000. A tale riguardo, i soggetti essenziali e importanti dovrebbero altresì, nell’ambito delle loro misure di gestione dei rischi di cibersicurezza, affrontare la questione della sicurezza delle risorse umane e disporre di strategie adeguate di controllo dell’accesso. Tali misure dovrebbero essere coerenti con la direttiva (UE) 2022/2557. Il ricorso alla autenticità permette alle organizzazioni di contrastare quelle minacce informatiche che si propagano attraverso attacchi di ingegneria sociale, che agiscono sull’anello della catena più debole rappresentato dal fattore umano. Poiché l’autenticità è finalizzata a garantire che un soggetto sia esattamente chi dichiara di essere e che una informazione sia reale, verificabile e fidata; garantire la sua presenza permettere di contrastare efficacemente gli attacchi di ingegneria sociale.

L’art. 21 della Direttiva NIS 2 in materia di Misure di gestione dei rischi di cibersicurezza,  sancisce che le misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete devono essere applicate seguendo un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono una serie di elementi che per quanto di stretto interesse in questa sede sono speculari al concetto di autenticità come:

g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;

h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;

i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;

j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Il fattore dell’autenticità come nuovo elemento per una revisione della procedura finalizzata all’analisi dei rischi

Il regolamento UE 2024/2690 fornisce importanti prescrizioni in materia di analisi dei rischi legati alla salvaguardia dei sistemi informativi e di rete. Il considerando (9) stabilisce che A norma  dell’articolo 21, paragrafo 2, lettera a), della direttiva (UE) 2022/2555, oltre alle politiche di analisi dei rischi, i soggetti essenziali e importanti dovrebbero disporre di politiche di sicurezza dei sistemi informativi. A tal fine, i soggetti pertinenti dovrebbero stabilire una politica di sicurezza dei sistemi informativi e di rete nonché politiche specifiche per tematica, quali le politiche sul controllo dell’accesso, che dovrebbero essere coerenti con la politica di sicurezza dei sistemi informativi e di rete. Quest’ultima politica dovrebbe essere il documento di livello più elevato che definisce l’approccio generale dei soggetti pertinenti alla sicurezza dei sistemi informativi e di rete e dovrebbe essere approvata dagli organi di gestione dei soggetti pertinenti. Le politiche specifiche per tematica dovrebbero essere approvate da un livello di dirigenza adeguato. Tale politica dovrebbe inoltre stabilire indicatori e misure volti a monitorare la sua attuazione nonché lo stato corrente del livello di maturità della sicurezza delle reti e dei sistemi informativi dei soggetti pertinenti, in particolare al fine di agevolare la sorveglianza dell’attuazione delle misure di gestione dei rischi di cibersicurezza attraverso gli organi di gestione. Il Considerando (13) prevede che  quando conducono un’analisi dell’impatto sulle attività aziendali (business impact analysis), i soggetti pertinenti sono incoraggiati a effettuare un’analisi completa che stabilisca, a seconda dei casi, i tempi di inattività massimi tollerabili e gli obiettivi in termini di tempi di ripristino, punto di ripristino e fornitura di servizi. Considerando (24) I soggetti pertinenti dovrebbero gestire e proteggere le risorse di valore attraverso una sana gestione, che dovrebbe fungere anche da base per l’analisi dei rischi e la gestione della continuità operativa. I soggetti pertinenti dovrebbero gestire tanto le risorse materiali quanto quelle immateriali e creare un inventario delle risorse, associarle a un livello di classificazione definito, gestirle e monitorarle e adottare misure volte a proteggerle durante tutto il loro ciclo di vita

Considerando (25) La gestione delle risorse dovrebbe contemplarne la classificazione in base al tipo, alla sensibilità, al livello di rischio e ai requisiti di sicurezza, nonché comportare l’applicazione di misure e controlli adeguati per garantirne la disponibilità, l’integrità, la riservatezza e l’autenticità. Classificando le risorse in base al livello di rischio, i soggetti pertinenti dovrebbero poter applicare misure e controlli di sicurezza adeguati volti a proteggere le risorse quali la crittografia, il controllo dell’accesso, compreso il controllo dell’accesso perimetrale, fisico e logico, i backup, la registrazione e il monitoraggio, la conservazione e lo smaltimento. Nell’effettuare un’analisi dell’impatto sulle attività aziendali, i soggetti pertinenti possono stabilire il livello di classificazione sulla base delle conseguenze che subirebbero nel caso di una perturbazione delle risorse. Tutti i dipendenti dei soggetti che gestiscono le risorse dovrebbero avere familiarità con le politiche e le istruzioni in materia di gestione delle risorse

Tipi di attacco di ingegneria sociale

Di seguto si riportano alcuni esempi di tipologie di attacco di ingneria sociale:

  • Baiting. Come suggerisce il nome, il baiting implica un’esca fisica a cui la vittima deve abboccare affinché l’attacco abbia successo. …
  • Pretexting. Il pretexting è l’uso di una storia, o pretesto, inventata per conquistare la fiducia di una vittima e indurla o manipolarla a condividere informazioni sensibili, scaricare malware, inviare denaro ai criminali o danneggiare in altro modo se stessa o l’organizzazione per cui lavorano.
  • Spear phishing. Lo spear phishing è una truffa tramite cui i cybercriminali spingono le vittime a rivelare informazioni sensibili, come le credenziali di accesso. In alcuni casi, i truffatori riescono ad ottenere l’accesso ai dati tramite link o allegati malevoli, che, una volta aperti, installano malware nel computer della vittima.
  • Vishing e smishing. . Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali – specie di natura bancaria o legati alle carte di credito – e sottrarre poi somme di denaro più o meno ingenti… Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito).
  • Attacco man in the middle (spesso abbreviato in MITM, MIM, MIM attack o MITMA, in italiano “uomo nel mezzo”) è una terminologia impiegata nella crittografia e nella sicurezza informatica per indicare un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro

In riferimento a suddetti attacchi il rischio di perdere l’autenticità del dato e/o dell’informazione possono derivare da alcune delle seguenti vulnerabilità, desunti dalla Direttiva (UE) 2022/2555, all’art. 21, “Misure di gestione dei rischi di cibersicurezza” che, al par. 1, dispone, a carico degli Stati membri, di prevedere che i soggetti  essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

(par. 2) suddette misure  sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:

e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;

h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;

i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;

j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Relativamente alle sopra riportate vulnerabilità. Il Considerando (20)  richiama l’importanza del ricorso a pratiche di igiene informatica di base e all’erogazione di pacchetti formativi in materia di cibersicurezza.

Tra le pratiche di igiene informatica di base possono figurare:

  •  principi zero trust,
  • aggiornamenti del software,
  • configurazione dei dispositivi,
  • segmentazione della rete,
  • gestione delle identità e degli accessi o sensibilizzazione degli utenti,
  • organizzazione di attività di formazione per il personale e sensibilizzazione in merito alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale

Le pratiche di igiene informatica costituiscono parte di diversi requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento.

Tra le pratiche di igiene informatica di base per gli utenti, i soggetti pertinenti dovrebbero prendere in considerazione le seguenti:

  • una politica «clear desk» (scrivania pulita) e «clear screen» (schermo pulito),
  • l’uso di mezzi di autenticazione a più fattori e di altro tipo,
  • pratiche sicure per l’uso della posta elettronica e della navigazione sul web,
  • la protezione dal phishing e dall’ingegneria sociale,
  •  pratiche sicure di lavoro a distanza.

Per garantire l’autenticità di un dato  si può fare ricorso ad una serie di strumenti desunti dalla normativa e dagli Standard sopra richiamati, quali: firme digitali, timestamp,s blockchian, crittografia, ecc.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

il governo dellAI
fatturazione elettronica

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

sperimentazioni cliniche
Le sperimentazioni cliniche e il ruolo rivestito dalle parti in relazione al trattamento dei dati personali.
3 Luglio 2024
buste paga
la trasmissione indiscriminata delle buste paga. sanzione irrogata dal garante spagnolo.
21 Febbraio 2025
settore sanitario
La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025
30 Maggio 2025

Start typing and press Enter to search