Il d.lgs. 23/2023, entrato in vigore da luglio 2023, ha comportato l’obbligo per gran parte delle PMI di dotarsi di procedure per la segnalazione di illeciti e, soprattutto, di un canale di segnalazione dedicato. La predisposizione di detti canali, stando agli esiti della rilevazione di monitoraggio svolta dall’ANAC, il 60% degli enti privati ha fatto affidamento ad una piattaforma informatica. È evidente che di conseguenza il mutamento di contesto tanto interno (riassetto organizzativo e introduzione di una soluzione dedicata) quanto esterno (obblighi normativi) può avere un impatto rilevante sulla gestione del rischio informatico da parte dell’organizzazione.
Tutto ciò comporta di conseguenza l’esigenza di svolgere, all’interno della valutazione d’impatto privacy richiesta dall’art. 13 comma 6 d.lgs. 23/2023, un’accorta analisi per l’individuazione delle misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato ai rischi specifici. Questa attività comporta prima di tutto l’individuazione di tutte quelle minacce che possono impiegare come vettore d’attacco la segnalazione attraverso il canale, oltre che ovviamente tutti i presidi rivolti a preservare confidenzialità, integrità e disponibilità dei dati nell’intero processo di gestione delle segnalazioni.
Le principali vulnerabilità dei canali di whistleblowing
Una delle vulnerabilità più significative, peraltro rilevate dall’ANAC stessa, ha riguardato infatti la mancata attivazione dell’autenticazione multifattoriale la quale non è più da intendersi come facoltativa bensì una misura di sicurezza che oramai risponde allo stato dell’arte.
Un’ulteriore vulnerabilità che rischia di rimanere irrisolta se non debitamente affrontata è garantire l’apertura in sicurezza degli allegati da parte del soggetto gestore, il quale è tenuto per legge a fornire “diligente seguito alle segnalazioni ricevute”. Ciò significa che verrà particolarmente attenzionato da cybercriminali che intendano veicolare attraverso il canale di segnalazione dei contenuti malevoli quali trojan o malware, anche mediante attacchi Man-in-the-middle o BEC, mirando a colpire così l’organizzazione attraverso quello che potrebbe essere un punto d’ingresso non presidiato. O per meglio dire: non direttamente controllabile dall’organizzazione.
I rischi in caso di vulnerabilità irrisolte del canale whistleblowing
In caso di buon esito dell’attacco, ciò significa la compromissione di tutti i documenti detenuti dal gestore (che potrebbero anche non essere limitati a quelli dell’organizzazione qualora il gestore sia un soggetto esterno) e, nella peggiore delle ipotesi, anche alla rete interna (più probabile nell’ipotesi di soggetto interno). Compromissione che solitamente si realizza tramite il blocco dei sistemi un ransomware e una double extortion con esfiltrazione dei dati.
Una corretta formazione ed istruzione del soggetto gestore diventa pertanto una misura di sicurezza organizzativa fondamentale, così come è indispensabile che lo stesso vada a gestire gli allegati in sandbox. E tale istruzione va riscontrata o nella designazione interna o altrimenti nell’accordo di protezione dati redatto ai sensi dell’art. 28 GDPR, a seconda dei casi.
È bene infine ricordare che qualora l’organizzazione manchi nel fornire istruzioni o dotazioni atte a prevenire questo tipo di rischi, sarà tenuta a rispondere in caso di attacchi veicolati attraverso il canale di whistleblowing. Anche nel caso in cui si avvalga di soggetti esterni a cui ha esternalizzato tale attività, in quanto la responsabilità della gestione della sicurezza è e rimane comunque in capo all’organizzazione quale titolare del trattamento ai sensi dell’art. 32 GDPR.
