Il GDPR è una tigre senza artigli. Le organizzazioni saranno multate solo se, in caso diviolazione o perdita dei dati, non informeranno le rispettive autorità competentientro il termineprescritto per legge. È possibile che sia necessario diverso tempo prima che un'azienda rilevi una problematica di sicurezza, tuttavia essa agisce in modo conforme a quanto previsto dal GDPR se segnala l'incidente entro il tempo previsto, che è fissato in72 ore, dal momento della rilevazione.
Molti dati possono essere stati rubati o danneggiati in tutto questo tempo.
È anche difficile verificare esattamente da quando un incidente è stato effettivamente rilevato e se un'azienda colpita non lo abbia semplicemente tenuto nascosto per un dato periodo di tempo.
Tuttavia, non sarà impostanessuna sanzionese un'organizzazione non ha adottato misure di protezione dei dati o le ha adottate in maniera inadeguata. Anche se il GDPR è un buon primo passo, non può e non deve essere l'ultimo.
Questo perchè non si spinge abbastanza lontano. Il legislatore deve approvare ulteriori leggi che sanzionino anche l'adozione di misure di sicurezza inadeguate. Punire solamente i comportamenti scorretti nella segnalazione di una violazione dei dati è paragonabile a punire un rapinatore di banca non per la Daniele Nicita,Consulting Systems Engineer di FireEyerapina in sè, ma per eccesso di velocità durante la fuga. In aggiunta,il GDPR offre ai cyber criminali nuovi vettori di attaccoche traggono vantaggio dall'incertezza di molti dipendenti e aziende, soprattutto in vista dell'implementazione finale.
Diversecampagne di phishingche sfruttano questa necessità di chiarezzapossono già essere osservatee sicuramente continueranno ad aumentare nel prossimo futuro. Siamo anche curiosi di vedere come l'Unione Europea tratterà gli stati membri che tenteranno di indebolire il GDPR. Questo si vedrà in primo luogo dall'esperienza dell'Austria. In questo caso, la legislazione nazionale ha indebolito il regolamento a tal punto che, anche in caso di violazione del GDPR, molte aziende saranno soggette a sanzioni minime o addirittura nulle.
Che senso ha un regolamento a livello comunitario che possa essere così modificato dai singoli stati senza conseguenze? Non è certamente nell'interesse di nessuno che si formino enclavi dove i cyber criminali possano trovare un rifugio sicuro potendo aggirare legalmente le direttive della Unione Europea.