Quando si parla di cybersecurity, la suscettibilità del fattore umano a comportarsi in modo improprio rappresenta la principale minaccia anche in un contesto altamente tecnologico. Ma perché, mi chiedo in Io so e ho le prove – 10 anni dopo (Chiarelettere), in un’era in cui la tecnologia avanza a passi da gigante è ancora così facile per l’essere umano sfuggire al controllo?
La scorsa settimana abbiamo scoperto che ognuno dei circa 260mila dipendenti bancari, dall’amministratore delegato al più recente degli assunti, può accedere liberamente alle anagrafiche senza restrizioni. Sono come un Grande Fratello invisibile e onnipresente, in grado di esplorare le nostre vite con un semplice clic. Ma come si può controllare questo fenomeno?
La verità è che non si può! O almeno non è possibile – nonostante quanto affermino i grandi manager bancari – intervenire se non a posteriori, quando il danno è già stato fatto. È il caso dell’impiegato della filiale di Bitonto di Banca Intesa, che in circa tre mesi ha effettuato quasi settemila accessi per ottenere informazioni su politici, vip, influencer e cittadini comuni, violando ciò che dovrebbe essere la privacy di tutti. Come sottolineano molti esperti di cybersecurity, nessun sistema informatico può realmente contrastare dipendenti infedeli.
Le tecnologie come la cifratura dei dati, le autenticazioni multiple e i sistemi di monitoraggio avanzati rappresentano sicuramente un deterrente importante per gli attacchi esterni. Tuttavia, quando l’elemento umano all’interno dell’organizzazione ha già accesso legittimo ai dati, nessuna misura tecnologica è in grado di proteggere le informazioni da chi, intenzionalmente o per distrazione, potrebbe manipolarle o utilizzarle in modo improprio.
Il problema non è solo legato al dipendente che ha abusato del suo accesso, forse per lucro o per una forma di ossessione compulsiva nella ricerca di informazioni. Anche un’interrogazione anagrafica fatta dal bancario per verificare se l’amica della moglie è benestante, e quindi potrebbe influenzarla a spendere di più, rappresenta una violazione della privacy.
Non si tratta, come sostiene il ministro Nordio, di una questione puramente tecnologica. Possiamo implementare tutte le misure di sicurezza possibili, ma se il dipendente ha già tutte le autorizzazioni per accedere a quei dati, l’unica soluzione sarebbe un controllo estremamente rigido e invasivo. Tuttavia, questo non solo comprometterebbe l’operatività quotidiana della banca, ma andrebbe anche contro le normative sul diritto del lavoro, che rendono difficile monitorare le attività dei dipendenti. In poche parole, se un dipendente decide di tradire la fiducia, è impossibile difendersi completamente.
In un contesto come quello bancario, dove la cultura della curiosità indiscreta è profondamente radicata, promuovere una vera cultura della sicurezza diventa una sfida complessa. L’arroganza di chi si sente onnipotente e l’abitudine a curiosare nella vita altrui rappresentano ostacoli difficili da superare. Per questo, nonostante la formazione e le politiche di sicurezza, il rischio di violazioni interne rimane elevato, rendendo la strada verso una tutela efficace dei dati ancora lunga e tortuosa.
In conclusione, è opportuno prendere atto di questa realtà e non lasciarsi ingannare dalle parole rassicuranti degli amministratori delegati delle banche. La debolezza del fattore umano e l’impossibilità di effettuare un controllo tempestivo rendono difficile garantire una protezione assoluta dei dati.