Negli Stati Uniti le società saranno multate se non soddisferanno gli standard di sicurezza informatica. O almeno potrebbe accadere, come ha determinato un recente pronunciamento in Corte d'Appello, secondo cui la Federal Trade Commission ha il potere di forzare le aziende a gestire la sicurezza informatica come si deve.
Si tratta di una svolta importante e di una prima volta storica, perché mai prima d'ora un'autorità nazionale aveva avuto un potere simile. Similmente a quanto accade, per esempio, con le automobili, la FTC potrà stabilire dei parametri di sicurezza informatica e obbligare le aziende a rispettarli.
Succede qualcosa di simile, in Europa, con la conservazione dei dati e la privacy; in Italia è appunto il Garante per la privacy a occuparsi della questione, mentre la Federal Trade Commission è l'autorità che regola le attività commerciali in generale, qualcosa di simile alla nostra AGCM ma con maggior potere.
Bisognerà comunque vedere in che modo tale potere sarà esercitato. In ogni caso, il pronunciamento del giudice "riafferma che la FTC ha l'autorità di ritenere le aziende responsabili nel proteggere i dati dei consumatori", ha commentato la presidente della stessa FTC, Edith Ramirez.
In concreto, la Corte di Appello si è pronunciata riguardo al caso che vedeva la FTC contro una società (Wyndham Worldwide Corporation), che nel 2008 e nel 2009 aveva subito diversi attacchi informatici, vedendosi sottratti i dati dei propri utenti. Tra le colpe di Wyndham, la registrazione dei dati come semplice testo (non crittografato), il mancato controllo sulla solidità delle password nei software di amministrazione, la mancanza di firewall che controllassero la rete aziendale, il mancato controllo sull'accesso di terzi alla rete stessa e altre cose.
Veri e propri "crimini" dal punto di vista della sicurezza informatica, e azioni che in futuro la FTC potrà sanzionare più o meno pesantemente. Si tratta di un cambiamento importante anche per il resto del mondo ovviamente, considerato quante aziende statunitensi operino a livello mondiale. Vedi per esempio il recente e clamoroso attacco al sito di adulteri Ashley Madison (attivo anche in Italia).
Detto questo, si tratta solo di un piccolo passo, di una goccia nel mare. A eccezione delle aziende che operano nel settore IT (e nemmeno tutte), in generale infatti la sicurezza informatica è gestita ancora molto male, e milioni di consumatori sono esposti a rischi anche gravi in tutto il mondo.
Purtroppo molte società vedono la questione come una seccatura che sarebbe meglio ignorare, e domina naturalmente l'orientamento al costo: se esiste una falla, si valuta quanto costerebbe correggerla, a confronto di quanto costerebbe semplicemente fare finta di nulla - pur sapendo che potrebbero esserci delle vittime. In altre parole, si fa quello che costa meno, tra proteggere i consumatori oppure lasciarli esposti al pericolo (qualcuno ricorderà il film Fight Club di David Fincher).
Un esempio? Recentemente diverse società del settore automobilistico, con Volkswagen come capofila, hanno impedito con mezzi legali che fosse diffusa l'esistenza di un problema con il sistema di accesso keyless. Le società hanno trattato i ricercatori alla stregua di criminali, quando invece avrebbero dovuto ringraziarli - e affrontare i costi del richiamo di decine di migliaia di veicoli. Una cosa simile è accaduta a Chrysler, che è intervenuta richiamando le Jeep Cherokee negli Stati Uniti solo quando l'attacco via Internet - con l'auto lanciata a 100 Km/h - è finito sulla prima pagina dei giornali di tutto il mondo.
Chiunque può essere il bersaglio di un eventuale attacco; che sia un terrorista o un imbecille, qualcuno potrebbe trovare il modo di collegarsi a tutte le auto vulnerabili in una certa zona e farle impazzire, che a bordo ci siano bersagli strategici o persone qualsiasi.
E se siamo tutti più sensibili quando si parla di auto, non significa che la questione sia trascurabile in altri ambiti. Per questo è importante che a un'autorità come la FTC sia riconosciuto il potere d'intervenire se una certa società non fa abbastanza per contrastare i pericoli del crimine informatico. Una novità che, speriamo, sia la prima di una lunga lista.