fbpx
Skip links

Whistleblowing: ATTENZIONE ALLA SICUREZZA INFORMATICA!

L’ANAC rileva criticità applicative nella procedura di attivazione di un canale di whistleblowing interno a molte PMI verificate a campione.

Approfondimento a cura di Stefano Gazzella – DPO di DITEDI

Il 17 dicembre 2023 era il termine ultimo per molte PMI per dotarsi di una procedura per la segnalazione di illeciti e l’attivazione di un canale di whistleblowing interno in forza degli obblighi stabiliti dal d.lgs. 23/2023.

In seguito al tempo trascorso da tale deadline, l’ANAC ha svolto un’attività di monitoraggio a campione rilevando alcune criticità applicative. Alcune di queste sono relative alla sicurezza informatica, dal momento che il 60% degli enti privati hanno optato per soluzioni cloud dedicate alla gestione delle segnalazioni.

Tutto ciò comporta la necessità di svolgere un riesame del rischio informatico e della postura cyber dell’organizzazione, avendo contezza sia delle nuove minacce che dello stato dell’arte.

Lo strumento che può rispondere a tale esigenza può essere lo svolgimento di una valutazione d’impatto privacy richiesta come obbligatoria dall’art. 13 comma 6 d.lgs. 23/2023, la quale prevede l’individuazione e valutazione dei rischi specifici e la conseguente analisi delle misure tecniche e organizzative di sicurezza adeguate in relazione all’intero processo.

L’attivazione dell’autenticazione a due fattori in questo ambito (così come in molti altri) è una misura che risponde all’applicazione degli standard di sicurezza, in quanto la gestione di accessi con le sole credenziali non è più valutabile come sicuro, soprattutto in considerazione della sensibilità delle informazioni che riguardano il processo di whistleblowing. La stessa ANAC ha segnalato questa vulnerabilità all’interno del proprio report.

Per quanto riguarda l’identificazione dei rischi specifici, invece, è utile ragionare sul fatto che i cybercriminali ben potrebbero impiegare come vettore d’attacco una segnalazione tramite il canale di whistleblowing. Avvalendosi, a seconda dei casi, anche di tecniche di impersonificazione per avvalersi dell’apparente affidabilità di un mittente noto ed inviare così allegati malevoli. Dal momento che il canale e il gestore non sono (anzi: non possono essere) pienamente sotto il controllo dell’organizzazione, si dovrà ragionare fornendo dotazioni ed istruzioni per l’apertura in sandbox degli allegati. E questo va fatto tanto nell’ipotesi che il gestore sia interno che esterno, dal momento che ogni responsabilità per la gestione della sicurezza ai sensi dell’art. 32 GDPR resta in capo all’organizzazione anche nel caso di esternalizzazione del servizio.