Al bar sotto l’ufficio, una mattina, sento un cliente dire al barista: “Tanto io non ho niente da nascondere, possono pure leggermi le mail.” Il barista, che ha più buon senso di molti CISO, ribatte: “Ma se ti rubano l’identità e fanno bonifici a nome tuo, il problema diventa tuo, mica loro.”
La frase “non ho niente da nascondere” confonde due concetti diversi: la privacy (legittimo non voler condividere) e la sicurezza (non voler subire conseguenze). Anche se ai tuoi dati personali tieni poco, ai dati che hai in custodia dei clienti, dei pazienti, dei colleghi tieni eccome. Un commercialista non protegge i propri redditi: protegge i redditi di duecento contribuenti che si sono fidati di lui.
Il punto della sicurezza informatica raramente è “qualcuno legge la mia mail”. È: chiunque acceda alla tua casella di posta può impersonarti nei confronti di chi ti scrive. E lì, il danno reputazionale e legale è di chi è stato bucato, non di chi ha bucato. Cambiamo la domanda: non “ho qualcosa da nascondere?”, ma “quante persone si fidano di me?”.
