Investimenti cyber e benefici del GDPR: un’economia che fa bene alle aziende

Economia cyber e benefici del GDPR: i punti salienti

Premesso che la CNIL nel marzo dell’anno scorso aveva pubblicato una valutazione di impatto economico del GDPR osservando come la maggior parte degli studi economici sull’impatto del Regolamento si sia concentrata più sui costi che sui benefici, ecco che quest’anno si è impegnata a studiarli, proponendoci un’analisi quantificata.

Evidentemente, per raggiungere gli scopi prefissati l’Autorità è partita dalla prospettiva della sicurezza informatica (artt. 32, 33 e 34 del GDPR), per evidenziarne i benefici.

Ciò premesso, vediamo ora i punti salienti dello studio in parola.

Ruolo del GDPR nella cyber security

Il GDPR, come arcinoto, è uno regolamento che impone obblighi di sicurezza per il trattamento dei dati personali.

Questi includono l’obbligo da un lato di implementare misure di sicurezza adeguate (ex art. 32) e dall’altro di notificare le violazioni dei dati all’Autorità competente e, in caso di rischio elevato, anche agli interessati (artt. 33 e 34).

Di qui, la protezione dei dati personali e la cyber sicurezza sono due “questioni inseparabili” e quindi strettamente legate ed eziologicamente connesse.

Sotto-investimento nella cyber security

Nonostante gli attacchi che quasi quotidianamente si verificano e di cui spesso leggiamo, ad oggi dallo studio della CNIL emerge ancora un sotto-investimento nella cyber security.

Si registrano, infatti, investimenti insufficienti da parte delle imprese nella privacy/protezione dei dati. La letteratura economica dimostra che le decisioni di investimento delle aziende nella cyber sicurezza spesso non portano a un livello ottimale per il consorzio sociale.

Ciò è dovuto a diverse “défaillances de marché” cioè fallimenti di mercato, che portano a un sotto-investimento da parte delle organizzazioni.

Le cause sono molteplici:

1. esternalità negative: le organizzazioni tendono a non ottimizzare i loro investimenti in cyber security in quanto bilanciano i costi con i propri interessi finanziari, senza considerare pienamente l’impatto del cybercrime sui clienti o su altre imprese cd “effetto di contagio”;
2. asimmetria di informazione: in assenza di regolamentazione, le organizzazioni non sarebbero costrette a rivelare violazioni di dati, ben potendo non divulgare violazioni anche significative al fine di proteggere la propria immagine e reputation;
3. interdipendenza delle imprese: le decisioni di investimento in cyber sicurezza di un’organizzazione hanno delle “esternalità positive” sull’ecosistema. Tuttavia, le aziende non considerano il cd “rischio di contagio” – come nel caso di WannaCry – o gli effetti a cascata sulle altre imprese;
4. relazioni di subappalto: la sicurezza dei dati trattati da un responsabile dipende dal livello di sicurezza del subfornitore/sub responsabile. A causa dell’asimmetria di informazione, il responsabile potrebbe non conoscere il livello di sicurezza reale del suo sub;
5. mercato del ransomware: le organizzazioni che non adottano misure di cyber security adeguate rischiano di subire attacchi ransomware, aumentando la “disposizione a pagare” per i cyber criminali e, di conseguenza, il costo del riscatto per tutti (altra esternalità negativa);
6. ampiezza del sotto-investimento: sebbene difficile da stimare, lo studio in questione suggerisce che “il livello di sotto-investimento delle imprese sia probabilmente tra il 20% e il 66%, in base al modello di Gordon e Loeb che tiene conto delle esternalità”.

La cyber security è una decisione di investimento aziendale

In questa analisi economica, la sicurezza informatica è considerata una decisione di investimento aziendale che segue una logica di redditività nel senso che“l’investimento in sicurezza informatica viene valutato in base al suo costo e al rischio di attacchi informatici” così spiega bene lo studio della CNIL.

Tuttavia, aggiunge l’Autorità francese, “questo calcolo… non tiene conto di un elemento cruciale, l’impatto del suo investimento sul resto della società, che in economia viene definito esternalità”.

Diversi sono i tipi di esternalità negative nella sicurezza informatica, ovvero esternalità:

• che influenzano altre attività,
• per i criminali informatici,
• che influenzano i clienti.

Questo fenomeno di esternalità negativa è “subottimale in quanto induce le aziende interessate a sottrarsi alla responsabilità per le conseguenze negative causate ai propri clienti a causa dei loro scarsi investimenti in sicurezza informatica, riducendo così il loro incentivo a rafforzare le proprie protezioni”.

Tuttavia, così facendo, l’interessato perde il controllo e non è più “vigile” nell’ adottare misure necessarie per proteggersi.

I vantaggi del GDPR, anche economici

Ecco che il GDPR ha stabilito che è illegale tutta quella opacità. Di qui, i titolari del trattamento dei dati sono tenuti a informare l’Autorità per la protezione dei dati di qualsiasi violazione, nonché gli interessati in caso di rischio elevato di data breach; e il mancato rispetto di tali obblighi espone l’Organizzazione a pesanti sanzioni.

Quindi il GDPR ha aiutato a:

1. “internalizzare le esternalità”;
2. combattere le asimmetrie con la trasparenza incentivante le imprese a investire di più, poiché gli individui possono scegliere di non affidare i propri dati a chi ha subito perdite;
3. secondo i dati di Eurostat il GDPR ha influenzato l’aggiornamento dei protocolli di cyber sicurezza nelle organizzazioni francesi.

La resilienza informatica è considerata un “bene pubblico” (non rivale e non escludibile), il che porta intrinsecamente a un sotto-investimento quando finanziato da attori privati senza misure coercitive.

Il caso analizzato del furto di identità

L’analisi economica in questione, come anticipato all’inizio, si concentra sulla comunicazione delle violazioni di dati (art. 34) e il suo impatto sul furto d’identità precisando sin da ora che tali stime rappresentano solo una parte limitata dei guadagni totali derivanti dal compliance al GDPR.

Benefici quantificati tra costi diretti e indiretti

È stato stimato che le violazioni di dati personali – data breach possano portare a furti d’identità con costi (monetari e temporali) per gli individui/interessati, mostrando una riduzione del 2,5% o 6,1% di tali usurpazioni a seguito delle politiche di comunicazione delle violazioni.

Ecco che il GDPR ha permesso di evitare perdite dirette tra 54 e 132 milioni di euro in Francia e tra 405 e 988 milioni di euro nell’UE.

Ma non è tutto. Le violazioni di dati influiscono sulla fiducia degli individui nelle attività online, riducendo il numero di transazioni e il fatturato delle imprese.

Includendo dunque questi costi indiretti, le perdite totali evitate grazie al GDPR sono stimate tra 90 e 219 milioni di euro in Francia e tra 585 e 1427 milioni di euro nell’UE.

Ancora, dallo studio la CNIL evidenza come, considerando il livello di risarcimento per le perdite e l’impatto del furto di identità sulla fiducia delle vittime negli acquisti online, sia possibile stimare che “l’82% di queste perdite evitate vada a beneficio delle aziende”.

Concludendo come tutti “questi vantaggi rappresentino solo una piccola frazione dei vantaggi totali derivanti dal GDPR nella riduzione della criminalità informatica”.

Prospettive e ricerche future

Quindi, in presenza delle sopradette esternalità “il livello di investimento spontaneo delle aziende nella sicurezza dei sistemi informativi non è ottimale in assenza di regolamentazione”.

In altri termini, senza la norma/obbligo di adempimenti implementativi in termini di sicurezza non si investe, e poi ancora.

L’analisi economica proposta dalla CNIL peraltro non prende in considerazione tanti altri fattori come all’impatto delle misure di sicurezza es crittografia (art. 32), o la minimizzazione dei dati o ancora la limitazione della durata di conservazione (art. 5) cioè a dire tutti elementi che potrebbero ridurre il costo medio degli attacchi cyber.

Se poi si aggiungesse l’impatto positivo della conformità al GDPR a tutto tondo (su ransomware, botnet, malware ecc.), i dati emergenti contribuirebbero senz’altro a sensibilizzare tutti, aumentando la fiducia degli utenti.

Così la CNIL esorta che economisti approfondiscano la dimensione della sicurezza informatica per fornire una visione più completa di questo importante tema.