Nuove normative, vecchie trappole. Prodotti e soluzioni “indispensabili” per la conformità? Meglio prima verificare e affidarsi a consulenti qualificati. La conoscenza diretta della normativa è il primo passo
Come spesso accade, l’introduzione di una nuova normativa, in questo caso la NIS2 o il regolamento DORA, genera un proliferare di presunti esperti e di altri soggetti pronti ad approfittare della situazione. Ma come difendersi dalle pratiche commerciali scorrette e dai sedicenti esperti? Prima di tutto, occorre leggere integralmente la normativa. Non è necessario essere esperti legali per comprendere un testo di legge. La conoscenza diretta della normativa è essenziale per capire realmente cosa richiede. Il secondo punto è la verifica: esigete le prove. Ogni affermazione dei vostri consulenti esperti deve essere supportata dal testo normativo corrispondente. Non accontentatevi di spiegazioni generiche del tipo “lo dice la normativa” o “l’articolo x prevede questo”. Pretendete di vedere il requisito normativo specifico, completo del suo contesto, e controllate sempre quanto vi viene presentato, consultando il testo ufficiale della normativa.
Oltre ai “presunti esperti”, c’è un’altra categoria di soggetti altrettanto rischiosa: i venditori di soluzioni (hardware o software), che dichiarano che il loro prodotto è “indispensabile” per garantire la conformità alla normativa da implementare, paventando gravi sanzioni in caso contrario. Un caso simile si è presentato con riferimento al provvedimento relativo agli amministratori di sistema. L’applicazione di tale provvedimento è alquanto residuale, in quanto tali trattamenti – definiti di natura amministrativo e contabile – sono considerati a basso rischio. Il provvedimento non si applica nemmeno alle attività di manutenzione occasionale: unica attività svolta dagli amministratori di sistema nelle aziende di piccole e medie dimensioni. Nonostante il perimetro di applicazione del provvedimento sia estremamente limitato, dalla sua entrata in vigore molti produttori di hardware e software utile per la gestione dei log hanno intrapreso una “strategia di vendita” che promuove i loro prodotti come strumenti indispensabili per garantire la conformità ai requisiti normativi.
Sia in un caso che nell’altro, non si tratta di mettere in dubbio la qualità o l’utilità delle soluzioni offerte, ma di criticare le modalità con cui le stesse vengono proposte. Spesso questi comportamenti sono vere e proprie pratiche commerciali scorrette e, in alcuni casi, possono avere anche risvolti penali. Con riferimento al regolamento DORA, è utile ricordare che si applica alle entità finanziarie e ai loro fornitori ICT. Si tratta di categorie che, in generale, possiedono una maggiore consapevolezza in tema di sicurezza informatica e di gestione dei fornitori rispetto alla media del mercato. Tuttavia, le realtà più piccole potrebbero essere esposte alle stesse pratiche scorrette descritte nel seguito.
L’esempio concreto, riguarda la NIS2. Nel caso in questione l’azienda “vittima” non rientrava affatto tra i soggetti regolati dalla normativa. Questo dimostra che qualunque azienda può diventare bersaglio di venditori privi di scrupoli. Nel caso specifico, ho analizzato personalmente lo scambio di comunicazioni tra il venditore e il cliente: il venditore proponeva la sua soluzione come “assolutamente obbligatoria ai sensi della NIS2”, citando articoli di esperti autorevoli che, a suo dire, collaboravano con lui. Tali articoli venivano però presentati in modo distorto, confidando sul fatto che il cliente non fosse esperto né della normativa né degli aspetti tecnici trattati. Sarebbe stato sufficiente che il cliente avesse consultato il testo ufficiale della normativa, per scoprire l’inganno. Purtroppo, così come accade con le dichiarazioni dei “presunti esperti”, nessuno ha effettuato questo semplice controllo. Per evitare simili situazioni, il consiglio è quindi sempre lo stesso: consultate la normativa, rivolgetevi a consulenti realmente qualificati o, in caso di dubbi, se necessario, segnalate alle autorità i comportamenti commerciali sospetti. E ricordatevi che tra i parametri che qualificano un esperto non rientrano il numero di clienti o la loro importanza.
Giancarlo Butti comitato scientifico CLUSIT
