viviamo in un contesto di grandi cambiamenti. Fra questi sono fondamentali i cambiamenti informatici connessi alla Sicurezza dei Dati e all’utilizzo dell’Intelligenza Artificiale in azienda e nel rapporto tra impresa e banca, finanza, clienti, fornitori, Pubblica Amministrazione.
Con riguardo alla sicurezza informatica, per informazione e condivisione del delicato momento che stiamo attraversando, di seguito si riporta un semplice grafico degli attacchi informatici registrati negli ultimi anni, da cui si evince l’incremento degli stessi fino a +64,9% in Italia e +11,7% a livello Mondo.
Nei fatti, le aziende si dividono in due categorie: quelle hackerate e quelle che ancora non lo sono state. Una corretta valutazione dei rischi e la realizzazione di misure di sicurezza appropriate rappresentano, dunque, gli unici strumenti a disposizione delle aziende per prevenire a monte gli attacchi e i danni, patrimoniali, operativi e reputazionali, che ne derivano.
In questo nuovo ed articolato contesto, le Autorità UE si sono schierate in prima linea per contribuire alle attività preventive delle aziende e degli operatori economici e finanziari europei, dettando normative obbligatorie e puntuali, a protezione, in primis, dei settori strategici per l’economia nazionale e comunitaria. Tra queste, il Regolamento DORA - Digital Operational Resilience ACT (Regolamento UE 2022/2554 del 16/1/2023 e successivi Regolamenti Delegati), inerente al settore finanziario, che si applica a banche, assicurazioni, società finanziarie e fornitori di servizi IT, le cui norme sono in vigore in Italia già dal 17 gennaio 2025 e gli obblighi ivi previsti saranno applicabili dal 1° gennaio 2027.
Ancor più la Direttiva NIS2 - Network and Information Security Directive 2, applicabile a n. 18 distinti settori economici, di cui n. 11 altamente critici, per oltre n. 80 tipologie di aziende: regolamenta la sicurezza delle reti e delle informazioni nell’UE. La normativa NIS2 è del 17 gennaio 2023 ed è stata recepita formalmente in Italia in data 16 ottobre 2024. Essa impone requisiti rigidi di governance, gestione dei rischi e segnalazioni degli incidenti.
E’ importante sottolineare che le nuove normative europee richiedono l’aderenza da parte di tutte le società operanti nell’Unione Europea in tempi molto ristretti. Il nostro Network professionale ha messo a punto una metodologia finalizzata ad effettuare un Risk Assessment riguardo la verifica di applicabilità e compliance alle nuove norme, che copre sia gli aspetti tecnico-informatici, sia gli aspetti organizzativi e procedurali sia, infine, quelli legali.
Da ultimo, l’Intelligenza Artificiale (AI). Si tratta di una rivoluzione, alla quale le aziende non possono rinunciare. Si tratta cioè di capire COME l’Intelligenza artificiale possa essere applicata, in tutti i suoi ambiti (Machine Learning, Deep Learning, Natural Language Processing, Computer Vision and Data Science), alle singole aziende per supportarne le strategie, per agevolare la produzione, i processi interni, i rapporti con i clienti, i fornitori, i dipendenti, gli enti terzi.
Cosa devono fare le aziende?
Le aziende devono verificare l’applicabilità delle norme e, in caso positivo, adeguarsi alle stesse in termini di sicurezza informatica e di organizzazione, effettuando il monitoraggio delle diverse categorie di rischi (come qualificati nell’EU AI Act), individuando i gap in termini di compliance e avviando subito le azioni finalizzate a ridurre al minimo i rischi individuati. In tema di Intelligenza Artificiale, si tratta di capire se essa è utilizzabile nello specifico contesto aziendale e, se sì, come, anche in rapporto alla normativa europea o nazionale, tuttora in piena evoluzione, e come tale esposta a sfide interpretative.
Il tutto senza dimenticare che le possibili vulnerabilità rispetto agli attacchi, che possono generare effetti a cascata, danneggiando non solo le organizzazioni direttamente colpite ma anche chi utilizza i loro servizi: si tratta di un effetto domino particolarmente pericoloso in cui le vulnerabilità di un singolo soggetto possono rappresentare una minaccia per l’intera rete. Nel valutare, dunque, la propria applicabilità o meno delle nuove normative, le aziende dovranno rivolgere la loro attenzione non solo e non tanto agli aspetti sanzionatori tout court per il caso di inadempimento normativo laddove obbligatorio, ma anche e soprattutto alle concrete possibilità di loro sopravvivenza sul mercato nell’ipotesi in cui venissero colpite dall’effetto domino innescato all’interno della rete in cui operano.
Il nostro Network professionale è fortemente strutturato per affiancare le aziende in tutte le sfide connesse alle “nuove esigenze di compliance” descritte in questa comunicazione, sia per ciò che riguarda gli aspetti tecnici sia per i connessi aspetti organizzativi, operativi, legali e di risk management. A tal fine, il nostro Network ha attivato collaborazioni specialistiche in ambito internazionale finalizzate allo scouting di come all’Estero gli altri Paesi europei stanno implementando le norme DORA e NIS2, così come disponiamo di collaborazioni con professionisti di elevata specializzazione localizzati negli USA, per ciò che riguarda, in particolare, l’utilizzo dell’AI oltreoceano o l’accesso ad esperienze e contatti nordamericani a beneficio del sistema Italia.
Siamo pertanto a Sua disposizione per un approfondimento dei temi trattati in questa comunicazione.
Un ambiente digitale sicuro e affidabile è indispensabile per una corretta ed equilibrata gestione del business.
Dott. Roberto Piccinini
Presidente