I Cyber-Attacks alla luce del nuovo GDPR

Mentre nei paragrafi precedenti vi è stato modo di chiarire come i Cyber-Attacks siano ormai paragonabili a delle vere e proprie catastrofi naturali (considerando il numero di aziende impattate quindi la messa a repentaglio della continuazione del business nonché la potenziale rilevante perdita di clienti), in questo paragrafo si è scelto di approfondire il rapporto innescatosi ormai tra i cyber-attacks e il rischio di perdita della reputazione aziendale. In particolare, per questo scopo è necessario andare approfondire uno dei più rilevanti aggiornamenti normativi degli ultimi anni, ovvero l’introduzione del nuovo regolamento europeo di General Data Protection Regulation (GDPR), avvenuta a partire dallo scorso 25 maggio 2018.60

La normativa GDPR ha il compito di andare a riformare tutte le leggi europee previste in materia di trattamento dei dati, tenendo come caposaldo il diritto della persona di poter essere sempre nel pieno controllo delle informazioni che la riguardano. In particolare, il nuovo regolamento GDPR, va a unificare e armonizzare tutte le precedenti leggi in materia (sia comunitarie che non), compresa la vecchia Direttiva 95/46/EC sulla protezione dei dati e il codice per la protezione dei dati personali nonché il d.lgs. n.196/2003 il quale viene abrogato soltanto nelle parti in contrapposizione al presente regolamento.

Composto da 99 articoli, ha imposto all’interno dell’unione europea regole molto più severe a tutte le persone, società o organizzazioni che gestiscono qualsiasi tipo di dato personale (ovvero dalle informazioni sui propri dipendenti alla profilazione dei clienti per conto terzi). Nello specifico, “si applica al "trattamento interamente o parzialmente automatizzato di

dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi".61

Tra le importanti novità inserite, vi sono:

• il “diritto all’oblio”, ovvero il diritto degli utenti di poter richiedere la rimozione completa dei propri dati;

60_{http://www.ilsole24ore.com/art/mondo/2018-05-02/privacy-che-cos-e-gdpr-e-perche-ci-riguarda-}

125716.shtml?uuid=AEYGnchE&refresh_ce=1

96

• la “portabilità dei dati”, ovvero il diritto degli utenti di poter trasferire i propri dati da una piattaforma ad un’altra (liberandoli da qualsiasi vincolo verso un determinato account);

• l’obbligo di notifica in caso di “data breach”;

Proprio con riferimento a quest’ultimo punto, il regolamento prevede all’articolo 33 che le aziende debbano dare notifica alle autorità in caso di una eventuale violazione dei dati subita. In particolare, la notifica deve avvenire entro 72 ore dal momento della venuta a conoscenza (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche). In caso di violazione del nuovo regolamento è da considerare, oltre al danno reputazionale dovuto alla grande perdita di immagine che l’azienda potrebbe trovarsi costretta a subire, il danno economico causato dalle sanzioni esemplari introdotte, quali:

• Multe fino a 10 milioni di euro per i singoli (per le imprese fino al 2% del fatturato se superiore) previste in caso di trasgressioni più leggere come ad esempio una carenza nell’adozione delle misure atte a garantire un buon standard di sicurezza; • Multe fino a 20 milioni di euro per i singoli (per le imprese fino al 4% del fatturato

se superiore) in caso di violazione dei principi fondamentali quali ad esempio la negazione del diritto all’oblio.

Il nuovo GDPR impone quindi alle aziende la sfida di implementare tecnologie di ultima generazione al fine di proteggere i dati esattamente in maniera proporzionale al rischio sempre crescente che si trovano a correre.

97

Conclusioni

Questo elaborato di tesi ha unito in sequenza i concetti teorici di base del modello di Enterprise Risk Management appresi durante il percorso universitario, i principali framework per la gestione dei rischi alla luce dei recenti aggiornamenti nonché il rapporto tra questi e le maggiori prassi applicative. Le riflessioni effettuate a partire da bias presenti tra la teoria e la pratica sono state inoltre calate nel contesto internazionale, grazie ad un focus reso possibile dall’utilizzo dei dati delle più recenti survey in materia.

Al termine di questo percorso evolutivo risulta chiaro come la letteratura sia ormai matura nel definire i concetti chiave, la tassonomia di base e le figure responsabili dell’impostazione di un sistema di gestione dei rischi. A conferma di ciò, vi sono i recenti aggiornamenti apportati ai due principali framework proposti dalle organizzazioni più autorevoli in materia (COSO e ISO) i quali, nonostante siano stati emanati rispettivamente a tredici e nove anni di distanza dalla prima edizione, non si sono tanto preoccupati di fornire passi in avanti dal punto di vista della teoria di base quanto di cercare di trasmettere una rinnovata prospettiva di osservazione. Infatti, nonostante sia chiaro il percorso teorico che evidenzia il passaggio da un Risk Management tradizionale, caratterizzato da un approccio sporadico e passivo, verso la trasformazione in Enterprise Risk Management, quindi in una gestione correlata dei rischi focalizzata al perseguimento della creazione di valore, rimane il gap con la realtà aziendale. In particolare, numerose organizzazioni rimangono ancorate ad una impostazione strettamente finanziaria della funzione quindi con una visione “a silos” dei rischi limitata in senso economico-finanziario.

La nuova sfida dell’“ERM 2.0”, ovvero quella di permettere alle aziende di anticipare il più possibile i rischi, è stata lanciata e l’arma vincente non potrà che essere l’allontanamento dalla visione classica di funzione. Soltanto estendendo l’ERM all’organizzazione nella sua interezza, ampliando il dialogo alle istanze dei molteplici stakeholder dell’azienda attraverso la ricerca dell’instaurazione di una cultura del rischio il più possibile allineata ai valori previsti nella mission e nella vision aziendale, sarà possibile raggiungere un approccio che sia

98

integrato con il processo strategico-decisionale e opportunamente declinato in cultura, capacità e procedure.

Le fasi di identificazione e valutazione degli eventi rischiosi permangono saldamente al centro anche della nuova prospettiva di osservazione, continuando a rappresentare il cuore vero e proprio di un processo di analisi e gestione dei rischi.

Risulta ormai chiaro come il carattere variegato e l’ampiezza delle questioni trattate dall’ERM richieda un approccio multidisciplinare, ovvero un continuo scambio di informazioni tra i Risk Manager e i singoli business. Il ruolo del Risk Manager ha terminato il suo percorso evolutivo ed è oggi una figura specializzata con un atteggiamento proattivo dalle competenze sempre più ampie il quale tuttavia, non potendo essere “omnisciente” dovrà cercare di trarre le informazioni e le relative conclusioni mediante l’applicazione di tecniche specifiche che stimolino l’apertura al confronto e orientino in maniera efficace la discussione, non perdendo di vista il perimetro rappresentato dagli obiettivi strategici (non è inusuale trovare all’interno delle job description per le posizioni da Risk Manager “Essere in grado di porre le domande giuste anche non avendo una piena padronanza dell’argomento”). Questo processo nella realtà operativa risulta spesso complicarsi a causa di barriere legate ad una poca trasparenza delle informazioni, conflitti di interesse (tra rischi/incentivi legati agli obiettivi) o da una insufficiente disponibilità al dialogo da parte del management di linea il quale vede la propria operatività come prevalente rispetto ad ogni altra tipologia di attività di supporto. Prendendo spunto da una conversazione avvenuta con un manager nel bel mezzo di un’intervista di risk assessment, la domanda che fu posta è la seguente: “Siamo disposti a spostare la nostra ottica di breve termine, quindi ad accettare una piccola perdita di efficienza oggi dedicando parte del nostro tempo in questa attività per raggiungere risultati ancora migliori nel futuro?”

La risposta in questo caso non può che essere la diffusione della precedentemente discussa “cultura del rischio”. Il risk manager, anche se ricordiamo non essere l’owner dei rischi, potrebbe in prima battuta offrirsi di supportare il management non solo nella mera individuazione e valutazione ma anche impegnandosi nella risoluzione delle problematiche specifiche, mostrando apertura e instaurando, con un approccio di tipo bottom-up, il clima di fiducia fondamentale per le successive interazioni.

In secondo luogo, la cultura del rischio potrebbe essere divulgata con l’approccio opposto di tipo top-down quindi andando ad assegnare dall’alto, nello specifico, incentivi legati ad

99

obiettivi in termini di gestione dei rischi (e.g. la creazione di un piano di risk assessment sui singoli obiettivi specifici, la creazione di una serie di indicatori da affiancare ai classici indicatori di performance ma che possano dare un’idea del verificarsi del rischio “Key Risk Indicators” etc.) o, più in generale, ricercando il “commitment” del Board e del senior management verso il proseguimento dell’attività tramite l’istituzione di una adeguata “Governance dei rischi”.

La letteratura si sta uniformando nel definire la struttura ideale di “Governance dei Rischi” come quella caratterizzata dall’istituzione della figura del Chief Risk Officer (almeno al livello C della struttura) e di un apposito Risk Management Committee in grado di portare all’attenzione del Board e quindi successivamente ai principali Stakeholders dell’azienda un reporting di tipo risk-informed. Tuttavia, un programma di ERM risulterà decisivo se coadiuvato da una Governance che, oltre all’aspetto “formale”, unisca un aspetto più “sostanziale” con riferimento quindi alle singole expertise delle figure componenti il Board o i relativi comitati dei rischi. È naturale infatti che l’oversight effettuata da parte del Board o da parte del Risk Management Committe risulterà direttamente proporzionale al numero di membri aventi esperienze pregresse o una generale exepertise in materia di Enterprise Risk Management.

L’analisi delle survey (Extended Enterprise Risk Management Study e Risk in Review Study) è stata effettuata al fine di rispondere in parte a queste riflessioni. L’obiettivo in particolare, è stato quello di indagare il grado di maturità raggiunto dall’ERM dalle principali aziende internazionali appartenenti ai più disparati settori economici e aree geografiche in base al posizionamento delle principali figure aventi responsabilità relative ai rischi. Nonostante a livello formale il risultato sembra essere incoraggiante con otto aziende su dieci che sembrano aver portato l’ERM al livello C della struttura, quindi o direttamente nelle mani del Board o nelle mani del senior management (CEO, CFO, CRO) a diretto riporto del Board stesso, è di nuovo dal punto di vista sostanziale che la strada da percorrere è ancora lunga. A differenza di quanto appare negli organigrammi il coinvolgimento reale del Board (e di conseguenza quello di tutte le figure deputate alla gestione dei rischi) risulta essere ancora basso e i rischi sembrano entrarvi nelle agende soltanto sporadicamente come principale argomento di discussione, con conseguenti riflessi negativi sulla diffusione della tanto desiderata cultura risk-based.

100

I risultati del Global Risk Forum e dell’Allianz Risk Barometer mostrano una crescente instabilità del contesto economico-politico-sociale caratterizzato inoltre da continue catastrofi naturali e disruption tecnologiche; la complessità delle nuove sfide che le aziende si devono preparare ad affrontare obbligherà le organizzazioni, a prescindere dalla grandezza, dal settore economico e dalla propria struttura, alla visione e all’adozione di un sistema di Enterprise Risk Management che, soltanto se spinto oltre la forma e la mera compliance, sia in grado di rappresentare il principale driver per la continua creazione di valore.

101

Bibliografia

ANRA; Protiviti. (2016). Da Insurance Risk Manager a Chief Risk Officer: un percorso di evoluzione

nella gestione dei rischi.

Barbone, S., Castiello, M. R., & Alborino, P. (2014). Igiene e cultura medico-sanitaria. Milano: Franco Lucisano Editore.

Bertini, U. (1987). Introduzione allo studio dei rischi nell'economia aziendale. Pisa: Giuffrè.

Chapman, R. J. (2006). Simple tools and technique for enterprise risk management. Chippenham, Wiltshire: John Wiley & Sons.

Del Pozzo, A. (2009). Controllo finanziario e rischio di default. Milano: FrancoAngeli.

Deloitte. (2014). Risk Committee. Resource Guide.

Donna, G. (1999). La creazione di valore. Roma: Carocci.

D'Onza, G., & Rigolini, A. (2016). Rischio e sistema di azienda. Dispensa ad uso degli studenti del

corso di risk management.

Ferrero, G. (1968). Istituzioni di economia d'azienda. Milano: Giuffrè.

Forestieri, G. (1996). Risk Management - Strumenti e politiche per la gestione dei rischi puri

dell'impresa. EGEA.

Gallagher, R. B. (1956). Risk Management: A new phase of Cost Control. Harvard Business Review, 75-86.

Hampton, J. J. (2009). Fundamentals of Enterprise Risk Management: How Top Companies Assess

Risk, Manage Exposure, and Seiza Opportunity. Stati Uniti: Amacom Books.

Hedges, R., & Mehr, R. (1963). Risk Management and the Business Enterprise. Homewood: Richard D. Irwin.

Kahneman, D., & Tversky, A. (1979, March). Prospect Theory:An Analysis of Decision under Risk.

Econometrica, 47(2), 263-291.

Keynes, J. M. (1921). Treatise on Probability. London: MacMillan.

Kimmel, B. W., & Anderson, G. E. (2010, December). ERM Myths & Truths. Financial Executive, 1, 48-50.

Knight, F. H. (1921). Risk, Uncertainty and Profit. Boston: Houghton Mifflin Co.

Lam, J. (2003). Enterprise Risk Management. From Incentives to Controls. Hoboken, New Jersey: John Wiley & Sons.

102

Pellicelli, A. C. (2004). La gestione dei rischi nelle imprese. Torino: Giappicchelli.

Prandi, P. (2010). Il risk management-teoria e pratica nel rispetto della normativa. Milano: FrancoAngeli.

Protiviti. (2013). Effective Positioning of the Risk Management Organization.

Protiviti. (2013). Guide to Business Conitnuity Management.

Protiviti. (2016, Giugno). Updated COSO ERM Framework: What’s New? The Bulletin, 6(2).

PwC. (2016). ERM and Business Continuity Management: together at last. RIMS Annual Conference.

Selleri, L. (2006). L'impresa e il rischio. Introduzione all'Enterprise Risk Management. Milano: I.S.U Università Cattolica.

Steven, G., & Paul, H. (2009). Introduction to Boolean Algebras. Undergraduate Texts in

Mathematics. Springer.

Von Neumann, J., & Morgenstern, O. (1944). Theory of Games and Economic Behavior. Princeton: Princeton Economic Press.

103

Sitografia

Bonomi F. a cura di, Vocabolario Etimologico della Lingua Italiana,

http://www.etimo.it/?term=rischio&find=Cerca

Chesley D., The top changes to the COSO ERM Framework you need to know now,

http://pwc.blogs.com/resilience/2017/09/the-top-changes-to-the-coso-erm-framework-you-need- to-know-now.html

COSO, https://www.coso.org/Pages/aboutus.aspx

Enciclopedia Treccani, http://www.treccani.it/enciclopedia/rand-corporation_%28Dizionario-di- Economia-e-Finanza%29/

IBM, 2017. IBM X-Force Threat Intelligence Index 2017, White Paper

https://securityintelligence.com/

Il Sole 24 Ore, http://www.ilsole24ore.com/art/mondo/2018-05-02/privacy-che-cos-e-gdpr-e- perche-ci-riguarda-125716.shtml?uuid=AEYGnchE&refresh_ce=1

ISO, https://www.iso.org/the-iso-story.html

J.P. Morgan, Risk Metrics, https://www.msci.com/documents/10199/5915b101-4206-4ba0-aee2- 3449d5c7e95a

PwC, Setting-up the audit committee, https://www.pwc.com.au/assurance/assets/audit- committee-guide/ac-guide-dec11-ch-1.pdf

TechRepublic, https://www.techrepublic.com/article/notpetya-ransomware-outbreak-cost-merck- more-than-300m-per-quarter/

World Economic Forum, https://www.weforum.org/