Un mese fa terminava il "grace period" del GDPR, che così entrava in vigore in maniera completa dopo due anni in cui le aziende avrebbero in teoria dovuto prepararsi in modo ordinato alla sua compliance. In Italia, ma non solo, non è stato esattamente così e la sensazione comune era di un generale ritardo, anche se non eccessivamente grave. A un mese da quell'importante 25 maggio è il momento di chiedersi quale sia la "security posture" delle imprese italiane, tenendo conto che il GDPR sottende sia aspetti tecnologici sia - e soprattutto - organizzativi. Due pareri interessanti sono in questo senso venuti da IDC ed Accenture, coinvolti da Microsoft in un evento dedicato appunto alla nuova normativa.

Secondo Giancarlo Vercellino di IDC Italia, va innanzitutto notato che i CSO delle aziende italiane non partono tutti con la stessa visione della cybersecurity: la percezione del rischio è influenzata dal tipo di asset che si usano e questo porta a investimenti mirati differenti, puntati sugli aspetti della sicurezza che si giudicano più critici. In questo scenario il GDPR si cala come un elemento di forte novità e ha mostrato, a cavallo della sua completa entrata in vigore, tre elementi chiave. Il primo è di scenario: si è dimostrato che con il GDPR la UE ha imposto un precedente da seguire e molte nazioni extra UE hanno deciso di recepire i suoi stessi principi nel rivisitare le loro norme sulla sicurezza delle informazioni.

Un elemento di interesse più concreto per le imprese si è dimostrato quello delle sanzioni. E' proprio il rischio di multe salate che ha spinto le aziende a intervenire migliorando la sicurezza: mentre prima il rischio economico era vago e indefinito, ora c'è un meccanismo chiaro per le sanzioni e ciò ha l'effetto di coinvolgere pesantemente il board delle aziende. Il rischio-sicurezza non è più solo un fatto tecnico ma un rischio economico per tutta l’azienda. Il terzo elemento chiave è conseguenza di questa dinamica: il GDPR dà un nuovo valore a chi gestisce la sicurezza in azienda, che non è più solo un portatore di problemi da risolvere ma aiuta a mitigare un rischio economico che potrebbe mettere fuori gioco tutta l'impresa.

Resta comunque parecchio da fare. Secondo IDC Italia solo l'11% circa delle imprese è arrivato a ridosso del 25 maggio sentendosi compliant con il GDPR, una sensazione che peraltro potrebbe essere legata a quanto fatto per adempiere alle normative precedenti più che agli specifici requisiti della nuova legge.


La visione di Accenture è abbastanza in linea con quella di IDC e si basa su una analisi informale di un campione di progetti portati avanti direttamente in questi mesi, con aziende clienti dei cinque settori principali di mercato: utility, banche e assicurazioni, PA e Sanità, retail, telco. Lo scorso febbraio i settori più avanti nel recepire e mettere in pratica i principi del GDPR apparivano le utility, il comparto banche-assicurazioni e le telco (già coinvolte da normative simili sulla data retention). In generale mancava una "awareness" adeguata sul tema, con in particolare una preoccupante mancanza di comprensione di se e quanto il nuovo Regolamento potesse impattare sulla propria impresa.

Oggi la valutazione di Accenture sullo stato delle imprese di fronte al GDPR è migliore. Alcuni comparti che erano indietro, come la PA, hanno fatto grossi passi in avanti. Ma siamo ancora indietro: a un mese dal "debutto" del GDPR mediamente solo il 30% circa delle aziende è nella fase tecnica di implementazione delle misure identificate in una precedente fase di assessment.

L'esperienza sul campo di Accenture ha confermato alcuni fattori chiave per il buon successo dei progetti di adeguamento al GDPR. In primis che essi funzionano solo se c’è un forte impegno del management, altrimenti appaiono troppo complicati e sono percepiti come un peso eccessivo per l'operatività quotidiana delle persone coinvolte. La principale ragione di fallimento rilevata è che all'interno dei progetti figure diverse in azienda, ad esempio la parte IT e quella compliance, fanno cose scollegate fra loro e senza una visione integrata. Ci deve invece essere una maggiore comunicazione tra i responsabili coinvolti. E soprattutto un piano da seguire, anche se in molte aziende si mostra una evidente difficoltà a definirlo.