WEBVTT 00:00:00.000 --> 00:00:15.540 Salve a tutti, la CCIG è lieta di darvi il benvenuto a questa colazione per le PMI con i nostri partner, l'OCEI e lo Stato, con cui lavoriamo da oltre due decenni. 00:00:15.540 --> 00:00:23.840 Quindi è una formula che funziona, è una formula che funziona e il successo e il numero di imprenditori di questa mattina è un vero piacere. 00:00:24.420 --> 00:00:34.444 La CCIG, in realtà, si articola in tre linee, tre pilastri strategici. Il primo pilastro è un club di imprenditori, un mercato. Organizziamo oltre 120 eventi, 00:00:34.444 --> 00:00:43.783 conferenze e corsi di formazione all'anno. Il secondo pilastro è una lobby politica. Rappresentiamo la voce dell'economia presso i politici e l'arena 00:00:43.783 --> 00:00:52.002 politica. E conduciamo campagne, da soli o con le associazioni di partito e le associazioni imprenditoriali che sono nostre alleate. 00:00:52.060 --> 00:01:00.907 Il terzo pilastro è il commercio internazionale. Sosteniamo le aziende nell'esportazione e in questo momento ne hanno davvero bisogno. Stiamo anche 00:01:00.907 --> 00:01:09.100 organizzando una serie di seminari. Lanceremo un club dell'export. Stiamo anche organizzando una delegazione economica a Dubai e al Cairo. 00:01:09.100 --> 00:01:15.520 E se siete interessati a tutto ciò che abbiamo da offrire, a tutto ciò che facciamo, siete invitati a porre le vostre domande o a visitare il nostro sito web. 00:01:15.520 --> 00:01:22.260 Lascio la parola a Kustrim per spiegare un po' le attività della mattinata. Grazie per il suo tempo. 00:01:22.260 --> 00:01:24.260 Merci Elsa. 00:01:24.260 --> 00:01:34.680 Vorrei quindi unirmi alla Camera e a Elsa per darvi il benvenuto a questa colazione per le PMI e le start-up. 00:01:36.420 --> 00:01:40.960 Non c'erano dubbi sul fatto che questo argomento avrebbe avuto un grande successo oggi. 00:01:40.960 --> 00:01:44.080 Quindi siamo ovviamente felici di vedere il tutto esaurito. 00:01:44.080 --> 00:01:52.040 Ovviamente, il tema di oggi è una sfida importante e crescente per voi, aziende, PMI e start-up. 00:01:52.040 --> 00:01:58.120 L'obiettivo della mattinata è quello di fornire una serie di strumenti pratici. 00:01:58.120 --> 00:02:02.420 che potreste mettere in atto abbastanza rapidamente all'interno delle vostre aziende. 00:02:02.420 --> 00:02:10.980 Quindi non stiamo solo cercando di aiutarvi a gestire i vostri dati, ma stiamo cercando di darvi gli strumenti necessari per controllarli. 00:02:10.980 --> 00:02:13.160 Cosa significa avere il controllo sui dati? 00:02:13.160 --> 00:02:18.140 Significa una gestione efficiente, sicura e conforme agli standard attuali. 00:02:18.140 --> 00:02:21.580 Quindi, come tutti sappiamo, le norme in vigore sono estremamente complesse. 00:02:21.580 --> 00:02:29.680 Siamo quindi fortunati ad avere con noi una serie di esperti che vi accompagneranno per tutta la mattinata, 00:02:29.680 --> 00:02:34.120 sia nella presentazione che nelle sezioni di domande e risposte, 00:02:34.120 --> 00:02:38.380 per aiutarvi a rispondere a una serie di domande. 00:02:38.380 --> 00:02:41.080 Quindi cosa devo fare ogni giorno? 00:02:41.080 --> 00:02:45.380 Quali soluzioni tecnologiche ci sono per me? 00:02:45.380 --> 00:02:50.640 E infine, come posso essere parte di una leva economica? 00:02:50.640 --> 00:02:55.720 Perché i dati non servono solo a fornire informazioni sulla vostra situazione. 00:02:55.720 --> 00:02:58.900 o la situazione dei vostri clienti, ma è anche una leva economica, 00:02:58.900 --> 00:03:09.540 un asset che, se saputo usare alla perfezione, può ovviamente creare performance per la vostra azienda, sia a livello organizzativo che di mercato. 00:03:09.540 --> 00:03:13.940 Vorrei ringraziare gli oratori di oggi. 00:03:13.940 --> 00:03:24.360 Da parte nostra, stiamo anche cercando di svolgere un ruolo come amministrazione pubblica per sostenervi in questa transizione e trasformazione digitale. 00:03:24.360 --> 00:03:28.280 che, come ho detto, è importante anche per l'economia di Ginevra. 00:03:28.280 --> 00:03:30.280 È una risorsa che vogliamo sviluppare. 00:03:30.280 --> 00:03:34.420 E la nuova strategia economica del Cantone di Ginevra 00:03:34.420 --> 00:03:38.680 che è stato insabbiato dal Consiglio di Stato lo scorso agosto, quindi è ancora caldo di stampa, 00:03:38.680 --> 00:03:45.360 pone un forte accento sul sostegno alle PMI durante le varie transizioni. 00:03:45.360 --> 00:03:48.000 E naturalmente la transizione digitale è una di queste. 00:03:48.000 --> 00:03:51.420 Cosa significa tutto questo in termini pratici? 00:03:51.420 --> 00:04:00.189 Vogliamo davvero sensibilizzare e fornire supporto a tutte le aziende, perché non vogliamo che questo sia un approccio settoriale; non sono 00:04:00.189 --> 00:04:05.600 solo alcuni settori a dover abbracciare la trasformazione digitale, ma tutti i settori. 00:04:05.600 --> 00:04:12.780 Quindi al proprio ritmo, in base alle proprie esigenze, ma dobbiamo sostenere l'intera economia in questa transizione. 00:04:13.020 --> 00:04:23.118 Quindi, in termini pratici, abbiamo già introdotto corsi di sensibilizzazione su temi come la cybersecurity, l'intelligenza 00:04:23.118 --> 00:04:29.661 artificiale, la blockchain, la protezione dei dati e la responsabilità digitale. 00:04:29.580 --> 00:04:36.040 Ora abbiamo una serie di corsi di formazione e guide per aiutarvi a iniziare. 00:04:36.140 --> 00:04:38.860 Potete trovare tutto questo su innovation.ge.ch. 00:04:38.860 --> 00:04:44.380 La nostra ambizione per il futuro è quella di sviluppare questa offerta di supporto. 00:04:44.380 --> 00:04:49.600 per prepararvi ancora meglio alle sfide digitali che vi attendono. 00:04:49.600 --> 00:04:51.820 Quindi, per quanto mi riguarda, è finita. 00:04:51.820 --> 00:04:57.800 Vorrei comunque concludere con una piccola pubblicità per un prossimo evento. 00:04:57.800 --> 00:05:02.240 Il Digital Economic Forum si terrà il 12 dicembre presso la FER di Ginevra. 00:05:02.240 --> 00:05:05.560 Come suggerisce il nome, si concentrerà sulle questioni digitali. 00:05:05.740 --> 00:05:17.100 Se siete interessati all'argomento oggi, vi invito a partecipare a questa conferenza, che è un po' più mastodontica e dura mezza giornata con sessioni plenarie e workshop. 00:05:17.100 --> 00:05:30.800 Vorrei ringraziare la CCIG per aver ospitato questo evento e i nostri partner. Di solito, se facciamo scorrere le diapositive, li vedete, quindi vorrei citare 10 nomi. 00:05:31.660 --> 00:05:41.300 Frédéric Thomasset, caporedattore della rivista Bilan, presiederà la sessione mattutina e risponderà alle domande alla fine. 00:05:41.300 --> 00:05:45.200 Ringrazio ancora una volta i relatori e vi auguro di godervi la conferenza. 00:05:45.200 --> 00:05:49.960 Grazie Kustrim. 00:05:49.960 --> 00:05:56.260 Lasciatemi prendere il leggio, la poltrona presidenziale. 00:05:56.860 --> 00:06:03.260 Buongiorno a tutti, anch'io vorrei darvi il benvenuto a questa colazione per le PMI e le start-up. 00:06:03.260 --> 00:06:11.360 Oggi, per moderare e condurre una discussione sul complesso argomento descritto sopra, è necessario padroneggiare questi dati. 00:06:11.360 --> 00:06:18.860 Come preludio a questo incontro, mi sono preso la libertà di sondare l'ecosistema del bilancio, l'ecosistema delle PMI in cui ci piace gravitare, 00:06:18.860 --> 00:06:22.980 con cui ci piace parlare, per scoprire la nostra posizione su questo tema. 00:06:22.980 --> 00:06:29.700 Così, presto o tardi, mi è stato detto "sì, beh, potrei fare di meglio". Quindi 00:06:29.700 --> 00:06:34.020 Sono d'accordo, è una risposta molto diplomatica, quindi suggerisco, senza ulteriori indugi 00:06:34.020 --> 00:06:38.400 diplomazia, per partecipare ai dibattiti di oggi. Vi presento il programma 00:06:38.400 --> 00:06:43.980 della giornata. Inizieremo, quindi, fino alle 10, questa è la parte che sarà l'ultima. 00:06:43.980 --> 00:06:47.580 presentazione, con una prima parte dedicata all'archiviazione dei dati e alle firme 00:06:47.580 --> 00:06:51.660 quadro giuridico e l'attuazione pratica, il monitoraggio e la gestione di 00:06:51.660 --> 00:06:55.620 rischi per i dati e la conformità, consigli pratici su come proteggerli 00:06:55.620 --> 00:07:01.320 dati e la scelta e l'implementazione di soluzioni informatiche. Successivamente e in 00:07:01.320 --> 00:07:05.760 Allo stesso tempo, sapete che, chi di voi ha già partecipato, sa che ci sono 00:07:05.760 --> 00:07:10.200 opportunità di porre domande. Riprodurremo la diapositiva, quindi ecco la 00:07:10.200 --> 00:07:15.600 slido. Quindi, d'ora in poi, dall'inizio dei dibattiti, è possibile 00:07:15.600 --> 00:07:19.260 potete iniziare a fare domande, io le raccoglierò e le metterò insieme. 00:07:19.260 --> 00:07:22.700 su una tavoletta, quindi, non appena vi viene in mente, non esitate, non vi aspettate che 00:07:22.700 --> 00:07:28.020 non la fine, e poi potrei moderare e trasmettere queste domande alle altre parti. 00:07:28.020 --> 00:07:34.320 e senza ulteriori indugi, cominceremo con il primo oratore. 00:07:34.320 --> 00:07:46.780 presentazione. Archiviazione dei dati e firme elettroniche, quadri giuridici e implementazione 00:07:46.780 --> 00:07:54.240 presentato da Audrey Souter. Audrey Souter ha un'esperienza di quasi dieci anni 00:07:54.240 --> 00:07:58.100 in diritto societario e protezione dei dati, con un master in diritto commerciale 00:07:58.100 --> 00:08:02.420 Université Paris 2, un master in scienze gestionali presso la EM Lyon Business School. È 00:08:02.420 --> 00:08:05.820 membro dell'ufficio di Parigi. Si occupa di questioni di diritto societario, 00:08:05.820 --> 00:08:09.520 in particolare per le operazioni di ristrutturazione, ma anche per le questioni relative alla protezione dei dati. 00:08:09.520 --> 00:08:17.460 e di governance. È accompagnata dalla sua collega Elisabeth Everson, che è, vorrei aggiungere, un'esperta in materia di governance. 00:08:17.460 --> 00:08:21.860 sono entrambi dipendenti di Deloitte, assistenti manager di Deloitte Legal e avvocati qualificati 00:08:21.860 --> 00:08:27.340 Ginevra ed è inoltre qualificato come Solicitor di Inghilterra e Galles. Prima di entrare in Deloitte, 00:08:27.340 --> 00:08:32.040 Elisabeth lavora come associata in uno studio legale locale, dove è specializzata in contenzioso, 00:08:32.040 --> 00:08:36.940 in contesti svizzeri e internazionali, compresi casi di arbitrato internazionale presso Deloitte. 00:08:36.940 --> 00:08:40.360 Elisabeth si occupa di diritto contrattuale svizzero e di nuove tecnologie, 00:08:40.360 --> 00:08:42.480 protezione dei dati, che è ciò che ci guida oggi. 00:08:42.480 --> 00:08:46.660 Vorrei ringraziarvi ancora una volta. 00:08:46.660 --> 00:08:55.340 Porterò con me il tablet, quindi non dimenticate le domande. 00:09:02.040 --> 00:09:18.580 Ciao a tutti e benvenuto anche da parte mia. 00:09:18.580 --> 00:09:25.700 Come abbiamo detto io e la mia collega Audrey, inizieremo a delineare il quadro giuridico, 00:09:25.700 --> 00:09:29.680 gettare le basi, soprattutto in relazione a queste due domande. 00:09:29.680 --> 00:09:37.040 Quindi, da un lato, la memorizzazione dei dati e, in particolare, l'archiviazione elettronica e, dall'altro, le firme elettroniche. 00:09:37.040 --> 00:09:43.660 Iniziamo quindi con la conservazione dei dati. 00:09:43.660 --> 00:09:48.900 Da un punto di vista legale, ci sono tre domande principali da porsi. 00:09:48.900 --> 00:09:52.680 In primo luogo, esiste un obbligo di conservazione dei dati? 00:09:52.680 --> 00:09:56.680 Allora, per quanto tempo deve essere conservato? 00:09:56.680 --> 00:09:58.840 In terzo luogo, la forma. 00:09:58.840 --> 00:10:02.220 Il modulo può essere elettronico o no? 00:10:02.220 --> 00:10:04.980 Per prima cosa esaminiamo le prime due domande. 00:10:04.980 --> 00:10:06.840 C'è qualche obbligo? 00:10:06.840 --> 00:10:12.680 Ecco quindi il primo esempio che riguarda tutti voi. 00:10:12.680 --> 00:10:19.980 In linea di principio, la legge impone l'obbligo di tenere libri e registri contabili per un periodo di 10 anni. 00:10:19.980 --> 00:10:24.520 Un altro esempio di conservazione, questa volta per 20 anni, 00:10:26.200 --> 00:10:32.480 è tipicamente presente nella legge sull'IVA in relazione ai documenti relativi all'imposta sugli immobili. 00:10:32.480 --> 00:10:36.500 Ecco quindi due esempi in cui la legge impone un obbligo. 00:10:36.500 --> 00:10:42.040 Vi sono altre situazioni in cui non vi è alcun obbligo legale in tal senso, 00:10:42.040 --> 00:10:47.860 è buona norma conservare alcuni documenti, in genere in caso di controversie. 00:10:47.860 --> 00:10:51.720 Quindi, per quanto tempo possiamo tenerlo? 00:10:51.720 --> 00:10:53.940 Abbiamo visto questi due esempi di 10 e 20 anni fa. 00:10:54.760 --> 00:11:01.810 Va notato che il periodo di conservazione può essere un periodo minimo o massimo, cioè il periodo massimo durante il quale i 00:11:01.810 --> 00:11:05.196 documenti non possono essere conservati oltre un certo tempo. 00:11:05.140 --> 00:11:15.460 Tra poco vedremo l'esempio del DPA, il Data Protection Act, che è un esempio abbastanza chiaro di questo periodo massimo. 00:11:15.460 --> 00:11:23.746 Anche il punto di partenza varia. Si può fare l'esempio che ho citato prima in relazione ai libri e alle scritture contabili. Il 00:11:23.746 --> 00:11:27.060 periodo decorre dalla fine di ogni anno finanziario. 00:11:29.100 --> 00:11:37.460 Il periodo di conservazione più comune è generalmente di 10 anni. Questo periodo si basa su diverse basi legali. 00:11:37.460 --> 00:11:45.632 Quindi, di nuovo, quello che ho già menzionato. Abbiamo anche l'articolo 127CO, che regola la prescrizione della maggior parte 00:11:45.632 --> 00:11:48.760 delle richieste di risarcimento in ambito civile. 00:11:48.760 --> 00:11:56.700 Ecco cosa dicevo prima. È necessario disporre di tutti i documenti necessari in caso di controversie che vi coinvolgono, 00:11:56.840 --> 00:11:59.980 molti documenti che vorrete conservare per circa dieci anni. 00:11:59.980 --> 00:12:04.120 Il caso particolare, come dicevo, è la legge sulla protezione dei dati. 00:12:04.120 --> 00:12:09.120 In generale, quando si dispone di dati personali, 00:12:09.120 --> 00:12:14.120 se non esiste un testo legislativo o un contratto che imponga una durata specifica, 00:12:14.120 --> 00:12:18.180 dovremo considerare la durata appropriata. 00:12:18.180 --> 00:12:21.940 Quindi terremo conto di tutte le circostanze. 00:12:21.940 --> 00:12:25.680 E fondamentalmente, se non ha senso tenerlo, 00:12:26.200 --> 00:12:29.500 dovrete cancellare o rendere anonimi i dati personali. 00:12:29.500 --> 00:12:34.780 Un caso tipico è quello del CV o delle qualifiche di un candidato che si candida per un lavoro presso di voi. 00:12:34.780 --> 00:12:39.840 Quindi, anche se si mantiene il candidato, un principio dopo il periodo di prova, 00:12:39.840 --> 00:12:44.780 non avete alcun interesse legittimo a conservare questi dati, ad esempio il CV, ecc. 00:12:44.780 --> 00:12:48.120 Quindi dovranno essere cancellati o resi anonimi. 00:12:48.120 --> 00:12:54.000 Altri esempi di scadenze sono riportati nella diapositiva, 00:12:54.540 --> 00:12:58.520 Ma credo che questo dia un'idea dell'analisi che deve essere fatta. 00:12:58.520 --> 00:13:03.700 Quindi valutiamo se esiste un obbligo, se si tratta di una buona prassi e per quanto tempo deve essere conservato. 00:13:03.700 --> 00:13:06.240 Cosa ne facciamo di tutto questo? 00:13:06.240 --> 00:13:10.560 In linea di principio, viene creato un piano di conservazione. 00:13:10.560 --> 00:13:18.780 Si tratta quindi di un documento che formalizza i periodi di conservazione per ogni tipo di documento in possesso dell'azienda. 00:13:21.740 --> 00:13:25.820 Si tratta di un aspetto che può rientrare in un più ampio documento di politica di conservazione. 00:13:25.820 --> 00:13:28.840 dove è possibile dettagliare i processi di archiviazione, ecc. 00:13:28.840 --> 00:13:36.440 Ma è un documento che riassume ciò che si intende conservare per quanto tempo. 00:13:36.440 --> 00:13:39.900 Questo copre le prime due domande. 00:13:39.900 --> 00:13:45.220 E passo la parola ad Audrey per la forma in cui dovrebbe essere conservata. 00:13:45.220 --> 00:13:48.100 Grazie mille per il suo tempo. 00:13:51.740 --> 00:14:01.960 Quindi, come ha detto Elisabeth, il primo problema è il periodo di conservazione. 00:14:01.960 --> 00:14:08.040 Questo vale sia per l'archiviazione fisica che per quella elettronica dei documenti, 00:14:08.040 --> 00:14:09.820 i periodi di conservazione saranno gli stessi. 00:14:09.820 --> 00:14:12.700 È importante ricordarlo. 00:14:12.700 --> 00:14:17.520 Il principio è che i documenti possono essere archiviati elettronicamente. 00:14:17.520 --> 00:14:19.820 La legge prevede due eccezioni. 00:14:20.500 --> 00:14:24.740 è che dovete conservare una copia stampata e firmata della relazione sulla gestione e della relazione di revisione, 00:14:24.740 --> 00:14:26.940 se la vostra azienda è soggetta a revisione. 00:14:26.940 --> 00:14:32.480 Aggiungerei una raccomandazione per il contratto di lavoro e le lettere di licenziamento, 00:14:32.480 --> 00:14:36.080 per ragioni di valore probatorio, su cui tornerò tra poco. 00:14:36.080 --> 00:14:40.580 Iniziamo quindi con l'archiviazione elettronica. 00:14:40.580 --> 00:14:47.740 È il classico formato cartaceo, in origine, quello che tutti facevamo, e si sta evolvendo. 00:14:48.380 --> 00:14:59.237 Questa forma di conservazione implica significativi requisiti di stoccaggio fisico ed è vero che, come diceva Elisabeth, abbiamo determinati periodi di conservazione 00:14:58.624 --> 00:15:08.807 che possono estendersi fino a 20 anni e in questo caso la conservazione fisica diventa un vincolo per le aziende a causa dei costi, dello spazio e della funzionalità 00:15:10.060 --> 00:15:22.340 Per non parlare di altri rischi, come gli incendi, meno frequenti, speriamo, ma pur sempre un rischio quando si ha un'archiviazione fisica al 100%. 00:15:22.340 --> 00:15:28.680 Inoltre, l'accesso ai documenti cartacei può essere lento: bisogna andare negli archivi, rovistare e così via. 00:15:28.680 --> 00:15:38.680 Ecco perché, con la tendenza alla dematerializzazione, le aziende si stanno orientando sempre più verso l'archiviazione elettronica. 00:15:39.080 --> 00:15:47.200 I vantaggi sono evidenti in termini di spazio, riduzione dei costi e facilità di accesso remoto alle informazioni. 00:15:47.200 --> 00:15:58.280 D'altra parte, è necessario tenere presente che dietro a tutto questo, bisogna fare molta attenzione alla sicurezza, all'integrità e alla validità dei dati. 00:15:58.280 --> 00:16:03.500 La questione del valore probatorio dei documenti elettronici rimane irrisolta. 00:16:03.500 --> 00:16:12.420 Nel 2015 è stata emessa una sentenza che metteva in discussione il valore probatorio di un documento elettronico, poiché senza la 00:16:12.420 --> 00:16:18.975 possibilità di produrre il documento originale cartaceo, la persona non poteva vincere la causa. 00:16:19.860 --> 00:16:30.320 In particolare, se avete un documento che dovete presentare in formato elettronico, la controparte potrebbe contestarne l'autenticità. 00:16:30.320 --> 00:16:37.540 Spetta quindi alla controparte dimostrare l'autenticità. Questo è noto come onere della prova. 00:16:37.540 --> 00:16:47.800 Ed è qui che sorgono le difficoltà, perché bisogna stabilire con certezza l'autenticità di un documento archiviato elettronicamente il cui originale è stato distrutto. 00:16:49.060 --> 00:16:56.100 Ecco perché dicevo che quando si tratta di contratti di lavoro o di lettere di licenziamento, può valere la pena di conservare anche una versione cartacea. 00:16:56.100 --> 00:17:03.600 In previsione, la sfida sarà quella di garantire che un archivio elettronico abbia valore legale e che non possa essere contestato. 00:17:03.600 --> 00:17:11.880 A questo scopo, esiste in particolare la firma elettronica, che è un processo che fornisce questa garanzia, ma torneremo a parlarne più dettagliatamente tra poco. 00:17:19.060 --> 00:17:26.800 Ora entriamo nel vivo dell'argomento, ovvero i principi da rispettare per una conservazione elettronica conforme. 00:17:26.800 --> 00:17:33.640 L'obiettivo è garantire l'integrità, l'autenticità e l'assenza di falsificazioni dei documenti. 00:17:33.640 --> 00:17:35.940 Ho fatto molti allenamenti per arrivarci. 00:17:35.940 --> 00:17:45.760 L'archiviazione deve infatti garantire che il documento sia autentico e non possa essere alterato senza lasciare tracce, al fine di garantire l'affidabilità dei documenti. 00:17:46.100 --> 00:17:49.200 Questo è l'olico. Questo è uno dei principi di Olico. 00:17:49.200 --> 00:17:54.300 Che cos'è l'Olico? È l'ordinanza che riguarda la tenuta e la conservazione dei libri contabili. 00:17:54.300 --> 00:18:01.320 Olico distingue due mezzi di informazione. 00:18:01.320 --> 00:18:03.660 Esistono supporti informativi che non possono essere modificati. 00:18:03.660 --> 00:18:08.040 Ecco quindi la carta e il supporto per le immagini. Non ci sono requisiti particolari. 00:18:08.040 --> 00:18:13.120 D'altra parte, c'è il caso dei media modificabili. 00:18:13.740 --> 00:18:21.880 In questo caso, per creare il documento è necessario utilizzare un processo tecnico che garantisca l'integrità delle informazioni salvate. 00:18:21.880 --> 00:18:37.940 Anche in questo caso, a titolo di esempio, due strumenti comuni che garantiscono questa conservazione sono la firma elettronica e l'eurodatazione. 00:18:38.180 --> 00:18:40.780 Torneremo sulla firma elettronica più avanti. 00:18:40.780 --> 00:18:44.100 Eurodating è un sistema che permette di provare 00:18:44.100 --> 00:18:50.040 non vi era alcuna possibilità di falsificazione al momento della registrazione delle informazioni. 00:18:50.040 --> 00:18:51.860 Quindi è una vera garanzia. 00:18:51.860 --> 00:18:56.260 Non è molto comune, ma è un'ottima misura. 00:18:56.260 --> 00:19:01.700 In seguito, abbiamo unito anche il principio della leggibilità e della disponibilità. 00:19:01.700 --> 00:19:04.480 Quindi, ovviamente, i documenti devono essere leggibili, 00:19:04.480 --> 00:19:09.840 ma devono anche essere sempre accessibili alle persone autorizzate. 00:19:09.840 --> 00:19:18.140 Ciò significa gestione proattiva dei file e dei supporti di archiviazione e accesso continuo. 00:19:18.140 --> 00:19:25.080 Per questo proponiamo alcune misure da mettere in atto. 00:19:25.080 --> 00:19:31.360 Quindi, create un sistema di archiviazione per tutti i vostri documenti, sia fisici che digitali, specificando la distinzione. 00:19:32.000 --> 00:19:40.764 In effetti, garantire l'accesso in ogni momento entro un periodo di tempo ragionevole, ecco, abbiamo ripreso il testo di Olico, agli archivi per le persone autorizzate, 00:19:40.712 --> 00:19:48.909 in particolare per semplificare e velocizzare le procedure di controllo, designando qualcuno che sia responsabile della gestione di questi archivi, effettuando 00:19:48.909 --> 00:19:56.848 controlli periodici, in particolare per garantire l'integrità dei documenti, che non ci siano state alterazioni, e mettendo in atto misure di protezione. 00:19:56.900 --> 00:20:08.360 Le prossime presentazioni approfondiranno le modalità di protezione di questi documenti e dati e documenteranno le procedure di documentazione. 00:20:08.360 --> 00:20:14.220 Quindi, come brevemente introdotto, dobbiamo mettere in atto un piano di conservazione. 00:20:14.220 --> 00:20:25.240 Per questo motivo, ci avvicineremo un po' di più alla pratica con un processo di implementazione in cinque fasi. 00:20:26.060 --> 00:20:41.065 Il primo passo è parlare di una procedura di archiviazione, definire regole, un processo interno per l'archiviazione e questo include 00:20:41.065 --> 00:20:47.400 la digitalizzazione, l'indicizzazione e la conservazione. 00:20:48.140 --> 00:20:57.678 Poi, naturalmente, c'è la scelta del fornitore di servizi, che può essere cruciale. Scegliere un fornitore di servizi che sia conforme agli standard 00:20:57.678 --> 00:21:07.152 legali svizzeri, come Olico. Oggi non faremo pubblicità, ma saremo lieti di consigliarvi fuori dalla telecamera. Ci sono fornitori di servizi con cui 00:21:07.152 --> 00:21:14.163 lavoriamo, ma molti di loro rispettano tutti gli standard in Svizzera. Sono anche abbastanza facili da trovare. 00:21:15.420 --> 00:21:23.283 Garantire e implementare efficacemente i controlli di accesso per assicurare un accesso rigoroso agli archivi, in modo che solo le 00:21:23.223 --> 00:21:26.380 persone autorizzate a consultarli vi abbiano accesso. 00:21:26.440 --> 00:21:35.578 Ciò è anche in linea con i requisiti della legge sulla protezione dei dati, in quanto consente di garantire e limitare il rischio di 00:21:35.578 --> 00:21:39.707 ritardi dovuti a un trattamento improprio dei dati personali. 00:21:39.640 --> 00:21:42.500 Quindi è vero che c'è una reale sovrapposizione tra i due aspetti. 00:21:43.400 --> 00:21:52.780 Infine, la governance del sistema, per la quale consigliamo vivamente di mettere in atto un piano di conservazione, un programma di conservazione. 00:21:52.780 --> 00:22:04.500 È un ottimo strumento, perché consente di inserire il tipo di documento e la durata di conservazione, come ha spiegato Elisabeth, 00:22:04.500 --> 00:22:12.980 se è una durata minima, se è una durata massima, e poi il formato ed eventualmente il modo di cancellare il documento. 00:22:13.400 --> 00:22:20.620 Infine, naturalmente, la manutenzione del sistema, con aggiornamenti regolari per garantire la sicurezza a lungo termine. 00:22:20.620 --> 00:22:24.860 Ma questi aspetti più tecnici saranno trattati nelle presentazioni successive. 00:22:24.860 --> 00:22:29.240 Lascio la parola a Elisabeth per la firma elettronica. 00:22:29.240 --> 00:22:31.940 Grazie mille Audrey. 00:22:31.940 --> 00:22:36.680 Quindi la seconda parte della presentazione è un po' più breve, 00:22:36.680 --> 00:22:41.280 solo per introdurvi alla firma elettronica, quindi un po' di nozioni di base nel diritto svizzero. 00:22:41.520 --> 00:22:46.440 Secondo la legge svizzera, esistono quattro tipi di firma elettronica che vedete sullo schermo. 00:22:46.440 --> 00:22:52.800 In pratica, la scelta sarà tra la firma elettronica, talvolta definita firma semplice, 00:22:52.800 --> 00:22:57.420 perché semplice è la parola che usiamo in altre giurisdizioni, è quella che vedete all'estrema sinistra, 00:22:57.420 --> 00:23:01.960 e la firma elettronica qualificata che vedete all'estrema destra. 00:23:01.960 --> 00:23:08.940 Diamo quindi una rapida occhiata alle definizioni di questi due tipi di firma elettronica, 00:23:09.440 --> 00:23:20.160 Una firma elettronica semplice è un insieme di dati elettronici allegati o collegati logicamente ad altri dati elettronici e utilizzati per verificarne l'autenticità. 00:23:20.160 --> 00:23:22.840 Di cosa si tratta in concreto? 00:23:22.840 --> 00:23:27.580 È una firma che si scansiona e si trascina su un documento Word. 00:23:27.580 --> 00:23:32.840 Potrebbe essere una firma apposta sul computer con il mouse. 00:23:32.840 --> 00:23:35.580 Quindi è qualcosa che non è scritto a mano. 00:23:35.880 --> 00:23:44.360 È la firma che ha meno legittimità legale, perché non c'è una vera verifica dell'identità del firmatario. 00:23:44.360 --> 00:23:54.320 Quindi, dall'altra parte dello spettro, all'estrema destra, la firma elettronica qualificata, che di fatto si basa su un certificato qualificato. 00:23:54.320 --> 00:23:59.320 Per ottenere questo tipo di firma, quindi, è necessario rivolgersi a un fornitore riconosciuto. 00:23:59.580 --> 00:24:07.640 Abbiamo elencato i fornitori riconosciuti in Svizzera. In totale sono quattro, di cui tre per i clienti privati. 00:24:07.640 --> 00:24:11.260 Per esempio, abbiamo elencato Swisscom, DigiCard e Swissign. 00:24:11.260 --> 00:24:16.300 A cosa serve quindi una firma qualificata? 00:24:16.300 --> 00:24:22.760 Anch'io mi perdo nelle mie diapositive. Ecco fatto. Grazie per il vostro tempo. 00:24:25.060 --> 00:24:30.740 Il principale vantaggio di una firma qualificata è che è equivalente a una firma autografa. 00:24:30.740 --> 00:24:36.180 Quindi, quello che dovete sapere è che, in linea di principio, il diritto svizzero prevede la libertà contrattuale. 00:24:36.180 --> 00:24:41.780 Ciò significa che le parti possono concludere il contratto nella forma che desiderano, in genere oralmente. 00:24:41.780 --> 00:24:47.520 Ci sono alcuni esempi in cui la legge impone una forma diversa. 00:24:47.520 --> 00:24:50.540 In genere, questo avviene in forma scritta, ma non esclusivamente. 00:24:51.700 --> 00:24:58.680 Quando è richiesta la forma scritta, il contratto deve essere firmato da tutte le parti interessate. 00:24:58.680 --> 00:25:03.520 E ciò che intendiamo per firma è, in linea di principio, una firma autografa. 00:25:03.520 --> 00:25:07.460 Quindi quello che chiamiamo "inchiostro umido", la firma autografa. 00:25:07.460 --> 00:25:11.800 Ed è qui che vediamo il valore della firma elettronica qualificata, 00:25:11.800 --> 00:25:16.480 perché per legge, quindi questa è una citazione del Codice delle obbligazioni, 00:25:16.480 --> 00:25:19.220 è trattata alla stregua di una firma autografa. 00:25:20.720 --> 00:25:31.720 Quindi, per i contratti che devono essere scritti, se volete che siano validi in forma elettronica, potete firmarli con una firma svizzera qualificata. 00:25:31.720 --> 00:25:40.420 Sottolineo quindi la parola Svizzera, e questo ci porta alla seconda parte di questa diapositiva, ovvero il riconoscimento internazionale. 00:25:40.420 --> 00:25:48.940 Si tratta quindi di contratti svizzeri, soggetti al diritto svizzero, che saranno firmati con una firma svizzera qualificata. 00:25:49.680 --> 00:25:53.920 In altri Paesi, alle firme qualificate si applicano altre leggi. 00:25:53.920 --> 00:25:59.100 In genere, l'Unione Europea ha un regolamento chiamato eIDAS, 00:25:59.100 --> 00:26:04.940 che riconosce anche diversi tipi di firma elettronica. 00:26:04.940 --> 00:26:10.600 Il regolamento eIDAS fa riferimento alle firme semplici, avanzate e qualificate. 00:26:10.600 --> 00:26:16.380 Ma quello che dovete sapere è che anche se hanno una firma qualificata, 00:26:16.380 --> 00:26:22.940 Attualmente non esiste un'equivalenza tra le firme qualificate, ovvero Unione Europea, Svizzera o altro. 00:26:22.940 --> 00:26:33.120 Si pone quindi sempre la questione della legge applicabile al contratto, ovvero la legge che regolerà le condizioni formali di validità. 00:26:33.120 --> 00:26:41.960 E quindi tenete presente che se volete concludere un contratto in forma scritta per via elettronica, un contratto che è soggetto al diritto svizzero, 00:26:42.080 --> 00:26:52.531 Le due parti, o le tre parti, o tutte le parti, dovranno utilizzare una firma svizzera qualificata e non ci dovrà essere alcun problema con 00:26:52.531 --> 00:26:57.200 il fatto che una di esse utilizzi tipicamente la firma europea. 00:26:58.280 --> 00:27:02.680 Penso che stiamo arrivando alla fine della presentazione, siamo in perfetto orario. 00:27:02.680 --> 00:27:09.160 Se siamo andati troppo veloci, avrete la possibilità di farci delle domande e saremo felici di rispondervi. 00:27:09.160 --> 00:27:16.980 Diamo nuovamente la parola a Frédéric per introdurre il prossimo oratore. 00:27:16.980 --> 00:27:18.520 Grazie mille per il suo tempo. 00:27:27.520 --> 00:27:42.940 Grazie mille per questa prima parte. Abbiamo già ricevuto molte domande, quindi ne sono lieto. Suggerisco di mantenere questo buon ritmo. 00:27:43.300 --> 00:27:49.560 Nella seconda parte parleremo della gestione dei rischi legati ai dati e alla conformità. 00:27:49.560 --> 00:27:58.360 La responsabilità sarà affidata a Claudia Pallaud-Wolfer, Digital Insurance and Trust Manager di PwC. 00:27:58.360 --> 00:28:05.560 Per presentarla, in PwC è responsabile dei progetti IT, 00:28:05.560 --> 00:28:11.140 è dedicato alle iniziative strategiche di digitalizzazione, digitalizzazione e audit IT. 00:28:11.420 --> 00:28:15.020 Ha conseguito un master in contabilità e finanza presso l'Università di Friburgo. 00:28:15.020 --> 00:28:17.480 Si è anche formata alla London School of Economics. 00:28:17.480 --> 00:28:19.580 Il pavimento è vostro. 00:28:19.580 --> 00:28:28.560 Ciao a tutti. 00:28:28.560 --> 00:28:31.020 Sono felice di essere qui. 00:28:31.020 --> 00:28:33.940 Questa è la mia prima visita alla Camera di Commercio. 00:28:33.940 --> 00:28:40.000 Sono felice di partecipare a queste discussioni e di condividere le mie conoscenze. 00:28:41.080 --> 00:28:54.000 L'argomento che presenterò oggi si concentrerà principalmente sulla parte relativa al rischio e quindi sui controlli da mettere in atto intorno al nostro tema, 00:28:54.000 --> 00:28:58.340 archiviazione, conservazione e protezione dei dati. 00:29:00.340 --> 00:29:12.520 Soprattutto, condividerò anche un po' della mia esperienza, dei progetti in cui sono stato coinvolto, in modo che possiate trarne qualcosa di interessante. 00:29:20.280 --> 00:29:26.280 Innanzitutto, PwC ha una presenza globale. 00:29:26.280 --> 00:29:34.360 In Svizzera abbiamo la sede centrale a Zurigo e uffici in ogni città del Paese. 00:29:34.360 --> 00:29:40.640 Per questo mi concentro soprattutto sui clienti delle PMI della Svizzera francese. 00:29:41.900 --> 00:29:53.560 Dopo Covid, abbiamo ricevuto molte richieste da parte di aziende che dovevano passare rapidamente dal mondo cartaceo a quello digitale. 00:29:53.560 --> 00:30:02.101 È diventata quindi molto importante la cosiddetta EDM, gestione elettronica dei documenti, e in particolare la necessità di avere 00:30:02.101 --> 00:30:05.789 una governance in questo mondo un po' più digitalizzato. 00:30:06.840 --> 00:30:21.058 I progetti principali in cui sono stato coinvolto, e le aziende con cui abbiamo lavorato, sono stati principalmente l'implementazione di 00:30:21.058 --> 00:30:29.464 controlli chiave sull'EDM, nonché audit per garantire la conformità alla legge. 00:30:29.360 --> 00:30:42.404 Questo si ricollega alla presentazione che abbiamo fatto prima. Molte aziende ci hanno chiesto di aiutarle a comprendere le leggi fondamentali che si 00:30:42.317 --> 00:30:51.473 applicano a tutta la gestione dei documenti elettronici e i controlli o le misure fondamentali da attuare. 00:30:52.040 --> 00:31:02.342 E i progetti più recenti, quindi si tratta di veri e propri audit, nel mio campo, l'auditing IT, quindi audit completi dell'EDM, la gestione 00:31:02.342 --> 00:31:10.540 elettronica dei documenti, oltre alla certificazione, per cui certifichiamo che l'EDM sia conforme agli standard. 00:31:11.780 --> 00:31:17.100 Questi sono i progetti in cui sono stato coinvolto. 00:31:17.100 --> 00:31:24.240 La prima parte riguarda quindi i rischi associati all'archiviazione elettronica. 00:31:24.240 --> 00:31:32.100 Quindi, come hanno detto i miei colleghi, abbiamo alcuni documenti che è importante conservare per molti anni a venire. 00:31:32.100 --> 00:31:39.720 Parliamo quindi di 10, 20 anni e di come garantirli in un ambiente digitale, 00:31:39.720 --> 00:31:43.980 Conserviamo davvero questi PDF, ad esempio, o questi documenti per molti anni. 00:31:43.980 --> 00:31:47.100 Questo è uno dei rischi principali. 00:31:47.100 --> 00:31:51.980 Si tratta in realtà di conformità legale in relazione all'archiviazione. 00:31:51.980 --> 00:31:57.180 Altri rischi sono la perdita di dati. 00:31:57.180 --> 00:32:00.740 Quando si hanno archivi da conservare per tanto tempo, 00:32:00.740 --> 00:32:05.640 Siamo sicuri che tra, ad esempio, 10 anni saremo ancora in grado di leggere questi documenti? 00:32:05.640 --> 00:32:14.900 La tecnologia di cui disponiamo sarà ancora al passo con i tempi o sarà obsoleta tra dieci anni? 00:32:14.900 --> 00:32:20.580 Il concetto di perdita di dati è quindi molto importante quando si parla di dieci o vent'anni. 00:32:20.580 --> 00:32:28.760 Gli altri due rischi principali legati agli archivi sono l'accesso non autorizzato agli stessi. 00:32:28.760 --> 00:32:32.480 Alcuni documenti sono riservati. 00:32:33.260 --> 00:32:40.840 Tra 10 anni, non tutti i dipendenti dovranno essere in grado di accedere a determinati file, quindi dobbiamo assicurarci di potervi accedere anche noi. 00:32:40.840 --> 00:32:45.180 Infine, la corruzione dei dati, cioè l'alterazione di questi archivi. 00:32:45.180 --> 00:32:52.620 Il secondo rischio riguarda lo stoccaggio. 00:32:52.620 --> 00:33:01.100 Qui parliamo più che altro di attività quotidiane, di tutti i documenti che abbiamo in azienda e che abbiamo digitalizzato, 00:33:01.600 --> 00:33:05.400 Come possiamo assicurarci di avere spazio sufficiente per conservarli? 00:33:05.400 --> 00:33:09.820 Uno dei rischi principali è quindi l'esplosione del volume dei dati. 00:33:09.820 --> 00:33:17.640 Quindi, per avere davvero i server di fronte, la capacità di archiviare tutti questi documenti. 00:33:17.640 --> 00:33:25.280 Altri rischi da menzionare in relazione allo stoccaggio sono soprattutto la mancanza di ridondanza. 00:33:25.280 --> 00:33:37.271 Consigliamo due o tre server o copie, ma in ogni caso dobbiamo assicurarci di avere misure sufficienti per conservare i dati, anche in 00:33:37.183 --> 00:33:42.032 caso di scenario di disastro, attacco informatico, ecc. 00:33:42.120 --> 00:33:49.280 Altri due rischi da menzionare sono i guasti all'hardware, cioè i guasti ai server che paralizzerebbero l'azienda. 00:33:49.640 --> 00:34:00.157 Infine, in relazione all'archiviazione dei dati, la sicurezza rimane importante. Si raccomanda di proteggere i dati sensibili, possibilmente 00:34:00.157 --> 00:34:06.720 con la crittografia, e di evitare la vulnerabilità dei sistemi di archiviazione stessi. 00:34:13.780 --> 00:34:24.146 Per quanto riguarda il terzo rischio, che ha a che fare con la protezione dei dati, i miei colleghi ne hanno fatto una buona presentazione prima, quindi ci sono 00:34:24.082 --> 00:34:32.336 leggi molto chiare sulla protezione dei dati, in Svizzera la legge sulla protezione dei dati, ma anche il RGPD o GDPR in inglese. 00:34:33.080 --> 00:34:43.697 La mancata osservanza di queste norme avrebbe conseguenze molto gravi per l'azienda. Dobbiamo quindi assicurarci di rispettare queste leggi. In 00:34:43.551 --> 00:34:54.312 termini di protezione dei dati, vi sono anche rischi legati a eventi esterni, come gli attacchi informatici, che ci permetterebbero di essere in una 00:34:54.312 --> 00:35:00.274 posizione migliore per proteggere e garantire la conservazione dei dati aziendali. 00:35:01.540 --> 00:35:13.960 Oppure errori dei dipendenti, ad esempio fughe di dati dovute a un errore, l'invio di un documento sensibile a una persona esterna, nel peggiore dei casi. 00:35:13.960 --> 00:35:26.220 E poi c'è la perdita di riservatezza, quindi è più una questione di accesso non autorizzato a dati sensibili all'interno dell'azienda. 00:35:26.220 --> 00:35:32.200 Così, ad esempio, un file HRD sarebbe accessibile ai dipendenti di altri dipartimenti, ecc. 00:35:32.200 --> 00:35:39.140 Volevo aggiungere un terzo aspetto del rischio. 00:35:39.140 --> 00:35:41.760 Quindi è più una questione di rischi organizzativi. 00:35:41.760 --> 00:35:46.480 Si tratta quindi di tutto ciò che influisce sulle attività quotidiane dell'azienda. 00:35:46.480 --> 00:35:50.480 Si tratta di rischi che spesso vengono minimizzati, ma che sono importanti. 00:35:50.480 --> 00:35:56.600 Quindi è l'errore umano o la mancanza di formazione dei dipendenti in queste aree a essere importante. 00:35:56.600 --> 00:36:03.020 Quindi, documenti, conservazione dei documenti, attenzione ai dati, ai dati a cui si invia cosa, e così via. 00:36:03.020 --> 00:36:07.780 E l'assenza di un piano di disaster recovery. 00:36:07.780 --> 00:36:17.640 Quindi, per l'azienda, in caso di scenario disastroso, una semplice misura che a volte può essere messa in atto è un piano di recupero SINIS. 00:36:17.720 --> 00:36:24.720 Quindi, avere un piano B - cosa fare se c'è un attacco informatico, come mantenere la propria attività, ecc. 00:36:24.720 --> 00:36:28.380 Stiamo quindi parlando di tutti i rischi organizzativi e umani. 00:36:28.380 --> 00:36:38.420 Quindi, come promemoria, se uno di questi rischi o scenari dovesse avverarsi, 00:36:38.420 --> 00:36:41.680 quindi le conseguenze per l'azienda possono essere davvero significative. 00:36:41.680 --> 00:36:46.500 Quindi stiamo parlando di cifre e di perdite finanziarie, 00:36:46.640 --> 00:36:53.160 Quindi un attacco informatico, ad esempio, se c'è una richiesta di riscatto, spesso coinvolge somme di denaro piuttosto elevate. 00:36:53.160 --> 00:37:04.460 Ma anche una non conformità legale su uno di questi documenti che sono protetti dalla legge, dall'OLICO, dalla legge sulla protezione dei dati, ecc. 00:37:04.460 --> 00:37:07.600 può anche avere conseguenze finanziarie molto significative. 00:37:07.600 --> 00:37:16.120 Infine, se non stiamo attenti, anche la reputazione dell'azienda è a rischio. 00:37:16.640 --> 00:37:25.260 Infine, in caso di guasti ai server, attacchi informatici e così via, le attività dell'azienda potrebbero essere interrotte. 00:37:25.260 --> 00:37:33.980 Dopo aver parlato di tutti questi rischi, ci interessa sapere come proteggerci. 00:37:33.980 --> 00:37:43.300 I colleghi che hanno presentato le sezioni successive entreranno quindi molto più nel dettaglio delle misure pratiche da mettere in atto. 00:37:43.480 --> 00:37:57.322 Vi fornirò una panoramica. Raccomandiamo di adottare l'approccio dei controlli chiave, assicurandoci di mettere in atto i 00:37:57.322 --> 00:38:04.525 controlli più importanti e più efficaci per mitigare i rischi. 00:38:05.720 --> 00:38:14.480 Li ho divisi in tre parti. In primo luogo, ci sono tutti i controlli più operativi, che spesso sono un po' più semplici da attuare. 00:38:14.480 --> 00:38:23.274 In questo caso, si tratta semplicemente di mettere in atto procedure informatiche all'interno dell'azienda che possano essere 00:38:23.205 --> 00:38:27.291 condivise con i dipendenti o anche di formare i dipendenti, 00:38:27.360 --> 00:38:37.068 assicurarsi che tutti i membri dell'azienda facciano molta attenzione ai documenti, alla posta elettronica e all'accesso, per non dare accesso a 00:38:37.068 --> 00:38:46.575 chiunque, a qualsiasi file, soprattutto al giorno d'oggi con SharePoint, è piuttosto facile aggiungere un gruppo per accedere ai file, quindi 00:38:46.575 --> 00:38:52.600 questo genere di cose, le persone devono essere informate di fare attenzione a tutto ciò. 00:38:53.600 --> 00:39:04.895 Infine, la gestione degli accessi. Questo è un altro aspetto che può essere implementato abbastanza facilmente. Ma la limitazione degli accessi si basa sul principio 00:39:04.895 --> 00:39:15.787 del minor numero di privilegi. Quindi, diamo accesso solo alle persone che ne hanno veramente bisogno per il loro lavoro. Quindi diamo il minor accesso possibile. 00:39:17.560 --> 00:39:29.639 Il secondo aspetto del controllo, che si addentra un po' di più nei controlli tecnici, è stato accennato in precedenza, ma consiste nel criptare i dati 00:39:29.639 --> 00:39:38.659 sensibili, ad esempio quelli in transito, ma anche quelli memorizzati, ad esempio una volta che sono nell'archivio. 00:39:41.260 --> 00:39:50.602 Inoltre, in termini di controlli tecnici, stiamo parlando di tutto ciò che ha a che fare con le password, ma in questo caso raccomandiamo davvero l'MFA 00:39:50.602 --> 00:39:57.441 (autenticazione a più fattori), con una maggiore sicurezza per l'accesso alle applicazioni e ai dati aziendali. 00:39:59.220 --> 00:40:01.520 In secondo luogo, per quanto riguarda l'archiviazione dei dati, 00:40:01.520 --> 00:40:03.960 quindi si tratta di avere backup regolari. 00:40:03.960 --> 00:40:08.740 E in termini di rischio esterno, 00:40:08.740 --> 00:40:11.040 quindi assicuratevi di avere il minimo indispensabile, 00:40:11.040 --> 00:40:13.560 quindi antivirus e firewall, 00:40:13.560 --> 00:40:18.400 rilevamento degli endpoint, se possibile, 00:40:18.400 --> 00:40:23.400 quindi i sistemi di, cosa ho scritto lì? 00:40:23.400 --> 00:40:26.100 Rilevamento delle intrusioni, in francese. 00:40:28.080 --> 00:40:40.515 Si tratta quindi di controlli più tecnici. Ne abbiamo parlato anche prima, quindi tutto ciò che ha a che fare con la riformattazione dei documenti. I miei colleghi 00:40:39.809 --> 00:40:52.174 entreranno un po' più nel dettaglio su questi temi, ma ci sono anche molti modi tecnici per proteggere i documenti, per garantire che ci sia, si potrebbe dire, un certificato 00:40:52.880 --> 00:41:01.340 Così Eurodata si assicurerà anche che il documento non sia stato alterato, che il documento che stiamo leggendo sia davvero l'originale. 00:41:01.340 --> 00:41:13.460 Le chiavi di crittografia certificate sono anche un ottimo modo per garantire che il documento provenga da una fonte conosciuta. 00:41:13.460 --> 00:41:18.040 Questo per quanto riguarda le ispezioni tecniche. 00:41:18.040 --> 00:41:21.260 e ora passerò all'ultima parte 00:41:21.260 --> 00:41:23.680 quindi si tratta più che altro di controlli d'archivio 00:41:23.680 --> 00:41:28.500 negli archivi per i documenti che si desidera conservare a lungo. 00:41:28.500 --> 00:41:34.820 quindi dobbiamo assicurarci soprattutto di avere un'integrità 00:41:34.820 --> 00:41:37.240 ma anche la tracciabilità negli archivi 00:41:37.240 --> 00:41:41.220 in modo da poter utilizzare le firme elettroniche 00:41:41.220 --> 00:41:42.640 o Eurodatage, come lo chiamiamo noi 00:41:42.640 --> 00:41:45.500 per garantire che il documento sia davvero l'originale 00:41:45.500 --> 00:41:46.780 e non è stato alterato 00:41:46.780 --> 00:41:51.560 in termini di durata di conservazione 00:41:51.560 --> 00:41:54.840 in modo da assicurarci di avere anche dei controlli 00:41:54.840 --> 00:41:58.400 negli archivi per conservare i documenti 00:41:58.400 --> 00:42:03.100 per il tempo necessario, quindi prima abbiamo parlato di un piano di archiviazione. 00:42:03.100 --> 00:42:07.180 quindi è importante rivedere le cose come stanno. 00:42:07.180 --> 00:42:11.400 il piano di archiviazione dell'azienda e di assicurarsi che esso copra 00:42:11.400 --> 00:42:15.600 l'intero elenco che è stato annotato 00:42:15.600 --> 00:42:19.119 nel piano di classificazione, quindi questo documento deve essere conservato per 2 anni, questo documento per 10 anni, questo 00:42:19.091 --> 00:42:20.532 documento per 10 anni, questo documento per 10 anni. 00:42:20.560 --> 00:42:26.380 documento di 20 anni, ecc. E poi, l'ultimo punto per gli archivi è rappresentato dai formati. 00:42:26.380 --> 00:42:33.100 quindi anche questo è molto importante. Abbiamo dei formati che tra 10 anni saranno 00:42:33.100 --> 00:42:37.520 illeggibile, potremmo non disporre più del software necessario per aprire, ad esempio 00:42:37.520 --> 00:42:42.600 un video o un file con un formato un po' strano, che è quello che consigliamo, 00:42:42.600 --> 00:42:51.260 I formati PDFA sono formati durevoli che possono essere letti nel tempo. 00:42:51.260 --> 00:43:02.720 E qui ho voluto aprire un po' il discorso su tutto ciò che ha a che fare con l'intelligenza artificiale, perché è molto di moda, un argomento di cui si parla dappertutto. 00:43:02.720 --> 00:43:04.720 Come lo applichiamo qui? 00:43:04.720 --> 00:43:09.340 È vero che anche la gestione elettronica dei documenti si sta sviluppando enormemente. 00:43:09.720 --> 00:43:21.920 Di conseguenza, molte aziende offrono software in grado, ad esempio, di estrarre i dati in modo abbastanza automatico e di eseguire ricerche intelligenti nell'EDM. 00:43:21.920 --> 00:43:28.800 Quindi, se cerchiamo una parola chiave, vengono visualizzati tutti i documenti dell'azienda che la contengono. 00:43:28.800 --> 00:43:37.700 Anche l'indicizzazione automatica nell'EDM, in altre parole strumenti che classificano i documenti e li collocano automaticamente nel posto giusto. 00:43:37.700 --> 00:43:47.783 Quindi è piuttosto impressionante quello che sta accadendo e quello che accadrà. Questo è un altro punto da tenere d'occhio. Inoltre, in 00:43:47.783 --> 00:43:58.154 termini di sicurezza e accessibilità, disponiamo di un numero sempre maggiore di strumenti che ci aiutano a gestire tutto questo, con notifiche 00:43:58.154 --> 00:44:03.484 se un dipendente cerca di accedere, ad esempio, a un file non autorizzato. 00:44:04.300 --> 00:44:24.000 Quindi è tutto. Per il prosieguo. Infine, vorrei aprire la discussione. Penso che le domande verranno dopo. Ma non so se qualcuno ha... Ci riuniremo alla fine. Ok, allora. 00:44:24.000 --> 00:44:31.040 Sì, archiviata da diversi anni. Grazie mille. 00:44:34.300 --> 00:44:38.740 Grazie mille per questa presentazione. 00:44:38.740 --> 00:44:56.140 Quindi, come ho detto, la discussione si svolgerà alla fine. Potete continuare a fare le vostre domande, io le seguirò in diretta e le selezionerò con attenzione. 00:44:56.140 --> 00:45:02.540 Proseguiamo con alcuni consigli pratici su come proteggere questi dati. 00:45:03.700 --> 00:45:13.140 La responsabilità sarà quindi affidata ad Alexandre Courois, vicedirettore di BDO Ginevra, specializzato in audit IT, cybersecurity e conformità normativa. 00:45:13.140 --> 00:45:19.020 Con oltre 20 anni di esperienza, aiuta banche, gestori patrimoniali e imprese a raggiungere la conformità. 00:45:19.020 --> 00:45:24.020 È anche relatore e formatore regolare su questi temi. 00:45:24.020 --> 00:45:26.620 Le do quindi la parola, signor Courois. 00:45:33.700 --> 00:46:00.640 Ciao a tutti, 00:46:00.640 --> 00:46:02.920 felice di essere qui con voi questa mattina. 00:46:03.700 --> 00:46:05.480 per questa presentazione. 00:46:05.480 --> 00:46:08.140 Allora, Juliette, ripassando le mie diapositive di ieri, 00:46:08.140 --> 00:46:09.560 oggi non è qui, ma mi ha detto che 00:46:09.560 --> 00:46:11.180 "Alexandre, è molto ricco. 00:46:11.180 --> 00:46:13.980 Quindi penso che abbiate ricevuto queste diapositive in anticipo. 00:46:13.980 --> 00:46:16.540 Cercherò di non andare troppo veloce, 00:46:16.540 --> 00:46:19.320 ma non avrò necessariamente il tempo di tornare 00:46:19.320 --> 00:46:20.900 dietro tutti i concetti. 00:46:20.900 --> 00:46:23.560 Quindi non esitate a chiederlo alla fine della presentazione. 00:46:23.560 --> 00:46:26.040 di pormi una serie di domande. 00:46:26.040 --> 00:46:28.520 Sarò lieto di rispondere. 00:46:28.520 --> 00:46:31.980 Come potete vedere, l'agenda di oggi è piuttosto piena. 00:46:33.080 --> 00:46:44.346 Cercherò di entrare un po' più nel dettaglio, ma alla fine si ricollegherà perfettamente a quanto Claudia ha iniziato a dire, in particolare 00:46:44.346 --> 00:46:51.857 sulle misure tecniche e organizzative che potete adottare per proteggervi dalla perdita di dati. 00:46:54.200 --> 00:47:07.323 Salterò l'introduzione. L'obiettivo che mi prefiggo questa mattina è quello di darvi, in 15 minuti, che è una bella sfida, alcuni 00:47:07.323 --> 00:47:13.638 aggiustamenti prioritari da applicare oggi nelle vostre aziende. 00:47:13.440 --> 00:47:26.680 Alla fine, vi fornirà una sorta di lista di controllo pronta all'uso delle cose da mettere in atto rapidamente per proteggersi dal rischio di perdita dei dati. 00:47:26.680 --> 00:47:35.540 Cercherò inoltre di presentarvi una sorta di piano d'azione per 30, 60 o 90 giorni, fornendovi ogni volta alcuni KPI abbastanza semplici. 00:47:35.540 --> 00:47:43.660 Ci sono alcune cose che vorrei esaminare rapidamente, ma anche in questo caso non esitate a porre le vostre domande. 00:47:43.660 --> 00:47:56.720 Tre idee chiave che ho cercato di identificare e leve che potete attivare rapidamente. 00:47:57.620 --> 00:48:07.160 La prima cosa che ritengo fondamentale è la mappatura e la classificazione dei dati. 00:48:07.160 --> 00:48:20.160 Prima di sapere come proteggere i dati, dobbiamo sapere cosa stiamo proteggendo e chi è responsabile della loro protezione. 00:48:21.860 --> 00:48:33.140 Quello che consiglio è innanzitutto, il primo riflesso da avere, è di identificare quelli che io chiamo i depositi, cioè tutti i dati, dove si trovano. 00:48:33.140 --> 00:48:47.320 Può trattarsi di una condivisione di rete, di dati in applicazioni on-premise, di applicazioni SaaS, di dati su cellulari o su condivisioni di rete. 00:48:48.340 --> 00:48:55.120 Per ogni dato individuato, consiglio di identificare i proprietari dei dati. 00:48:55.120 --> 00:49:02.220 I proprietari dei dati non sono necessariamente tecnici informatici, ma soprattutto uomini d'affari. 00:49:02.220 --> 00:49:05.840 Potrebbe trattarsi di risorse umane, finanza, vendite, ecc. 00:49:05.840 --> 00:49:14.840 Raccomando inoltre che, una volta individuati i dati da proteggere, si proceda alla loro applicazione, 00:49:14.840 --> 00:49:18.020 è quello di fare una classificazione abbastanza semplice 00:49:18.020 --> 00:49:21.780 tra i dati che sappiamo essere accessibili da chiunque 00:49:21.780 --> 00:49:23.540 dati pubblici 00:49:23.540 --> 00:49:27.240 compreso l'accesso per gli esterni 00:49:27.240 --> 00:49:28.900 e poi man mano che andiamo avanti 00:49:28.900 --> 00:49:32.180 fisseremo un livello più alto di riservatezza 00:49:32.180 --> 00:49:35.540 come si può vedere nella mia presentazione in fondo alla pagina 00:49:35.540 --> 00:49:38.260 Ho messo C1 pubblico perché quello che sto condividendo qui 00:49:38.260 --> 00:49:41.920 non è particolarmente riservato 00:49:41.920 --> 00:49:44.420 e tornerò su questo argomento più tardi 00:49:44.420 --> 00:49:50.280 ogni volta che vedrete 00:49:50.280 --> 00:49:52.420 Vi ho fornito alcuni KPI 00:49:52.420 --> 00:49:54.120 che si può seguire insieme a 00:49:54.120 --> 00:49:56.860 l'argomento di cui parlo 00:49:56.860 --> 00:49:58.000 tipicamente 00:49:58.000 --> 00:49:59.940 cosa saremo in grado di seguire 00:49:59.940 --> 00:50:00.700 è la percentuale 00:50:00.700 --> 00:50:04.240 tenute con lode 00:50:04.240 --> 00:50:05.800 la percentuale di attività 00:50:05.800 --> 00:50:07.860 classificato 00:50:07.860 --> 00:50:09.980 Gli asset non sono solo dati 00:50:09.980 --> 00:50:11.960 è anche l'hardware 00:50:11.960 --> 00:50:12.680 dietro di esso 00:50:12.680 --> 00:50:15.800 il numero di collegamenti pubblici chiusi 00:50:15.800 --> 00:50:16.920 ma ci tornerò più tardi 00:50:16.920 --> 00:50:18.640 e il secondo punto 00:50:18.640 --> 00:50:21.640 che mi è sembrato essere la seconda leva importante 00:50:21.640 --> 00:50:23.280 è una volta che abbiamo tracciato 00:50:23.280 --> 00:50:24.420 che abbiamo classificato questi dati 00:50:24.420 --> 00:50:27.360 è chiedersi quali siano i mezzi tecnici 00:50:27.360 --> 00:50:29.520 e organizzativi che ho implementato 00:50:29.520 --> 00:50:31.980 per ridurre la superficie di attacco 00:50:31.980 --> 00:50:35.780 quindi l'obiettivo sarà quello di rendere 00:50:35.780 --> 00:50:37.320 infine l'accesso illegittimo 00:50:37.320 --> 00:50:39.900 difficile e visibile 00:50:39.900 --> 00:50:43.620 alcuni passi immediati 00:50:43.620 --> 00:50:45.080 e vedrete 00:50:45.080 --> 00:50:46.740 che faccio molta terapia del martello 00:50:46.740 --> 00:50:48.020 questa mattina attraverso le mie diapositive 00:50:48.020 --> 00:50:50.660 Claudia ne ha già parlato 00:50:50.660 --> 00:50:52.620 ma l'AMF per tutti 00:50:52.620 --> 00:50:54.880 è essenziale oggi 00:50:54.880 --> 00:50:57.500 per tutti i conti 00:50:57.500 --> 00:50:59.580 Questo è un altro concetto su cui tornerò più avanti. 00:50:59.580 --> 00:51:00.440 perché a volte 00:51:00.440 --> 00:51:03.240 pensiamo sempre agli account utente 00:51:03.240 --> 00:51:05.260 ma dimentichiamo, trascuriamo 00:51:05.260 --> 00:51:06.700 una serie di altri 00:51:06.700 --> 00:51:09.140 account utente 00:51:09.140 --> 00:51:10.840 che hanno accesso privilegiato 00:51:10.840 --> 00:51:13.460 e per questo motivo 00:51:13.460 --> 00:51:15.340 si consiglia di distribuire 00:51:15.340 --> 00:51:17.260 autenticazione 00:51:17.260 --> 00:51:19.740 su tutti i conti 00:51:19.740 --> 00:51:21.340 autenticazione ereditata 00:51:21.340 --> 00:51:22.980 disabilitato 00:51:22.980 --> 00:51:24.760 Che cos'è l'autenticazione legacy? 00:51:24.760 --> 00:51:27.020 meccanismi di autenticazione 00:51:27.020 --> 00:51:28.620 che sarebbe obsoleto, ad esempio 00:51:28.620 --> 00:51:30.400 che non consentirebbe tecnicamente 00:51:30.400 --> 00:51:33.520 Infine, per impostare 00:51:33.520 --> 00:51:34.080 l'AMF 00:51:34.080 --> 00:51:36.800 e quindi raccomando anche 00:51:36.800 --> 00:51:39.000 per disattivare ciò che è noto come 00:51:39.000 --> 00:51:41.000 autenticazione ereditata nelle directory 00:51:41.000 --> 00:51:43.280 limitare il rischio 00:51:43.280 --> 00:51:44.680 è possibile creare account 00:51:44.680 --> 00:51:47.040 senza poter imporre loro questo meccanismo 00:51:47.040 --> 00:51:49.080 autenticazione multipla 00:51:49.080 --> 00:51:50.800 fattori. Ovviamente, 00:51:50.800 --> 00:51:52.160 accesso condizionato. 00:51:52.160 --> 00:51:54.960 Anche qui, tornerò 00:51:54.960 --> 00:51:56.860 su questo concetto un po' più avanti, ma 00:51:56.860 --> 00:51:59.120 per quanto possibile 00:51:59.120 --> 00:52:01.160 non dare accesso 00:52:01.160 --> 00:52:02.180 sistematico 00:52:02.180 --> 00:52:04.500 direttore 00:52:04.500 --> 00:52:06.860 anche se è di qualcun altro 00:52:06.860 --> 00:52:08.780 chi è autorizzato ad avere questo tipo di accesso 00:52:08.780 --> 00:52:17.420 Dobbiamo istituire un sistema di accesso condizionato che consenta l'accesso solo a ciò di cui abbiamo bisogno, e solo su base temporanea. 00:52:17.420 --> 00:52:32.320 L'accesso, ovviamente, deve essere proporzionato al ruolo di ciascuna persona all'interno dell'azienda e i ruoli amministrativi devono essere separati. 00:52:32.320 --> 00:52:38.600 E quello che vedo troppo spesso è che c'è qualcuno nell'IT che ovviamente ha, in virtù della posizione che ricopre, 00:52:38.600 --> 00:52:43.960 perché amministra un certo numero di cose nel sistema informativo, l'accesso dell'amministratore. 00:52:43.960 --> 00:52:50.740 Ma ha accesso all'amministrazione per tutto, per ogni funzione, per ogni compito che svolge. 00:52:50.740 --> 00:52:55.880 Si consiglia pertanto di separare questi conti. 00:52:56.220 --> 00:52:59.620 Abbiamo un account utente standard per le funzioni standard 00:52:59.620 --> 00:53:03.100 all'interno dell'organizzazione. 00:53:03.100 --> 00:53:07.080 E poi c'è il ruolo di amministratore, quando è necessario amministrare il sistema informativo. 00:53:07.080 --> 00:53:17.020 La voce è gestita e valutata, e anche in questo caso è stato lanciato il martello della terapia in relazione a quanto detto da Claudia. 00:53:17.020 --> 00:53:21.080 Aggiornamenti automatici, estremamente importanti, 00:53:21.260 --> 00:53:26.200 significa aggiornare regolarmente hardware e software. 00:53:26.200 --> 00:53:28.820 Sembra un po' inverosimile, 00:53:28.820 --> 00:53:30.840 ma vedo anche troppi sistemi 00:53:30.840 --> 00:53:36.840 che sono soggetti a violazioni della sicurezza, 00:53:36.840 --> 00:53:39.320 proprio perché non esiste una politica di patching, 00:53:39.320 --> 00:53:42.940 di aggiornamenti hardware e software. 00:53:42.940 --> 00:53:45.880 Passerò rapidamente ai KPI, 00:53:45.880 --> 00:53:49.060 ma in genere è qualcosa che si può seguire, 00:53:49.480 --> 00:53:54.380 Copertura AMF, numero di posizioni gestite e quantificate, 00:53:54.380 --> 00:53:56.520 il numero di account di amministrazione, che è una delle cose 00:53:56.520 --> 00:54:00.240 che sono sempre molto interessanti. 00:54:00.240 --> 00:54:05.580 L'ultima idea chiave è quella di testare la resilienza. 00:54:05.580 --> 00:54:10.520 Claudia ha parlato anche di questo, del backup e del ripristino. 00:54:10.520 --> 00:54:15.160 Ve ne parlerò un po' più avanti e velocemente 00:54:15.160 --> 00:54:18.700 di quello che io chiamo il backup 3, 2, 1, 1, 0. 00:54:19.480 --> 00:54:32.157 E quando si utilizza il cloud o un'applicazione SaaS, è necessario chiedersi che cosa viene fatto all'esterno, e tornerò su questo punto quando si tratterà di 00:54:32.157 --> 00:54:44.755 gestire i fornitori di servizi esterni: che cosa sto facendo in realtà e come faccio a garantire il backup dei miei dati quando non lo sto facendo internamente? 00:54:44.880 --> 00:54:54.420 Anche l'esecuzione di test di ripristino è un'idea azzardata, ma è una carenza che io, in qualità di revisore IT, riscontro molto spesso. 00:54:54.420 --> 00:55:00.820 Abbiamo clienti che pensano con attenzione a realizzare i loro backup, ma dimenticano di effettuare i test di ripristino. 00:55:00.820 --> 00:55:09.740 Inoltre, i test di ripristino non si limitano a ripristinare un file perché un dipendente lo ha perso o cancellato accidentalmente. 00:55:09.740 --> 00:55:19.920 Significa anche garantire la possibilità di riavviare un intero server, sia esso un server fisico o un server virtuale, una macchina virtuale. 00:55:19.920 --> 00:55:28.200 E poi c'è anche il cloud, che dice: "Ho un backup sul cloud e per accedervi ho bisogno di un account". 00:55:28.200 --> 00:55:36.740 Quindi mi assicuro che quando eseguo i test di ripristino sia possibile accedere a questi backup. 00:55:38.060 --> 00:55:42.000 Definire un RPO e un RTO per tutte le applicazioni critiche. 00:55:42.000 --> 00:55:45.500 Anche in questo caso, ho fornito esempi di KPI. 00:55:45.500 --> 00:55:52.660 Vado avanti velocemente, ma vi ho dato alcuni scenari in cui potreste essere coinvolti, 00:55:52.660 --> 00:55:56.420 In quanto PMI o start-up, non siete ovviamente soli, 00:55:56.420 --> 00:55:59.200 siete potenzialmente esposti. 00:55:59.200 --> 00:56:05.840 Potreste essere esposti ad attacchi esterni come il phishing, 00:56:05.840 --> 00:56:17.500 Potete essere esposti ad attacchi ransomware, a fughe di notizie e, come ha detto anche Claudia, a fughe di dati non intenzionali dovute a errori umani. 00:56:17.500 --> 00:56:28.916 Ogni volta, quindi, vi ho fornito un modo, che qui sarà piuttosto rapido, ma vi ho dato gli strumenti che potete finalmente implementare 00:56:28.916 --> 00:56:33.880 abbastanza rapidamente per prevenire questo tipo di attacco. 00:56:33.880 --> 00:56:36.680 e questo non vi proteggerà mai del tutto 00:56:36.680 --> 00:56:38.620 completamente, ma limiterà 00:56:38.620 --> 00:56:39.740 il rischio 00:56:39.740 --> 00:56:42.120 quindi anche in questo caso potremmo tornare a parlarne alla fine 00:56:42.120 --> 00:56:44.860 se avete domande 00:56:44.860 --> 00:56:51.600 stessa cosa 00:56:51.600 --> 00:56:53.540 IT ombra 00:56:53.540 --> 00:56:55.000 quello che io chiamo Shadow IT 00:56:55.000 --> 00:56:56.460 è tipicamente 00:56:56.460 --> 00:57:00.500 l'uso del software 00:57:00.500 --> 00:57:01.460 strumenti 00:57:01.460 --> 00:57:05.780 che non sono ufficialmente approvati all'interno dell'azienda. 00:57:05.780 --> 00:57:11.880 E questo accade molto spesso perché non abbiamo questa o quella funzionalità. 00:57:11.880 --> 00:57:14.000 attraverso l'ERP utilizzato dall'azienda. 00:57:14.000 --> 00:57:16.260 Quindi creiamo i nostri strumenti. 00:57:16.260 --> 00:57:21.260 Può essere un foglio Excel, ma anche strumenti gratuiti. 00:57:21.260 --> 00:57:26.160 a cui possiamo accedere dall'interno dell'azienda. 00:57:26.160 --> 00:57:28.740 Anche questo rappresenta un rischio. 00:57:29.620 --> 00:57:38.540 E c'è un modo molto semplice per evitarlo, usando quello che ho messo qui come strumento, come dispositivo. 00:57:38.540 --> 00:57:45.180 Perdita di attrezzature rubate, accesso scarsamente controllato ai privilegi: anche queste sono cose che vedo molto spesso. 00:57:45.180 --> 00:57:50.740 Troppi amministratori, questa è la mia osservazione generale. 00:57:50.740 --> 00:57:57.580 Non è sistematico, ma vedo troppe persone che hanno accesso a privilegi, privilegi che non dovrebbero avere. 00:57:58.560 --> 00:58:09.480 Fate quindi molta attenzione anche in questo caso, perché si tratta di una porta aperta a un potenziale rischio di fuga o perdita di dati. 00:58:09.480 --> 00:58:25.480 Vi ho fornito il maggior numero di dettagli possibile, ma anche per darvi il maggior materiale possibile dopo l'evento. 00:58:25.620 --> 00:58:28.580 Ci sono alcune cose che ho già menzionato e che riprenderò abbastanza rapidamente. 00:58:28.580 --> 00:58:32.780 Come si vede, la mappatura di questi dati è fondamentale. 00:58:32.780 --> 00:58:37.360 Guardo se ci sono messaggi chiave che ho dimenticato di trasmettere, 00:58:37.360 --> 00:58:40.600 ma nel complesso si tratta di cose che ho già presentato. 00:58:40.600 --> 00:58:48.920 Come dicevo, l'accesso e la gestione dell'accesso, e Claudia ha espresso molto bene il concetto, 00:58:48.920 --> 00:58:52.580 È una delle cose fondamentali nel mondo degli affari, 00:58:53.120 --> 00:58:55.980 che richiedono particolare attenzione. 00:58:55.980 --> 00:58:59.920 Anche in questo caso, si tratta di vittorie rapide, 00:58:59.920 --> 00:59:04.780 Abbiamo, ripeto, ma abbiamo davvero bisogno di imporre l'AMF. 00:59:04.780 --> 00:59:07.900 La trappola che trovo più spesso è quella di dire a se stessi 00:59:07.900 --> 00:59:10.920 che le persone pensano che l'AMF sia stata dispiegata ovunque. 00:59:10.920 --> 00:59:13.320 E poi noi ascoltatori, quando veniamo a guardare, 00:59:13.320 --> 00:59:17.640 possiamo vedere che c'è forse un 10-15% di conti 00:59:17.640 --> 00:59:20.740 che non sono soggetti ad AMF. 00:59:21.380 --> 00:59:24.800 E questi conti a volte sono conti tecnici, 00:59:24.800 --> 00:59:27.800 conti estesi, conti di amministrazione, 00:59:27.800 --> 00:59:32.420 che può potenzialmente fare un gran numero di cose a livello di rete e di applicazione. 00:59:32.420 --> 00:59:39.200 È quindi estremamente importante chiedersi quali conti sono coperti. 00:59:39.200 --> 00:59:46.000 e soprattutto, quali diritti attribuisco in relazione all'utilizzo del conto. 00:59:46.000 --> 00:59:49.680 Anche in questo caso, vi darò ogni volta dei KPI, ma non mi fermerò. 00:59:51.380 --> 01:00:00.700 Attivare la crittografia su workstation e cellulari, quello che io chiamo hardening indolore, non fraintendetemi, si chiama hardening. 01:00:00.700 --> 01:00:06.500 Si tratta di capire come rafforzare la sicurezza dell'hardware all'interno dell'azienda. 01:00:06.500 --> 01:00:15.120 Molto rapidamente, questo includerà l'attivazione della crittografia, già menzionata da Claudia, e l'automazione degli aggiornamenti. 01:00:15.260 --> 01:00:24.380 Anche in questo caso, può sembrare una sciocchezza, ma è estremamente importante mantenere aggiornati i sistemi e le apparecchiature. 01:00:24.380 --> 01:00:28.080 Distribuire EDR e antivirus, ha detto Claudia. 01:00:28.080 --> 01:00:33.680 Noi di BDO blocchiamo le porte USB, ma credo che questo sia ormai il caso di molte aziende. 01:00:33.680 --> 01:00:42.420 Per noi è complicato, non possiamo più collegare i dischi di backup alle porte USB per motivi comprensibili. 01:00:43.240 --> 01:00:53.400 Gestire la BIOD è l'opportunità che un'azienda offre ai propri dipendenti 01:00:53.400 --> 01:00:59.380 di portare con sé la propria apparecchiatura e di potersi collegare alla rete aziendale tramite l'apparecchiatura stessa. 01:00:59.380 --> 01:01:01.800 Ovviamente, deve essere una cosa gestita con molta attenzione. 01:01:01.800 --> 01:01:05.920 Rimuovere i diritti di amministratore sulle workstation degli utenti. 01:01:05.920 --> 01:01:11.420 Il diritto di amministrazione è la possibilità di amministrare il PC. 01:01:11.860 --> 01:01:15.520 Non si tratta solo di gestire un'applicazione, ma abbiamo anche la possibilità di farlo, 01:01:15.520 --> 01:01:21.140 e lo vedo spesso, persone che possono installare quello che vogliono sulle workstation, 01:01:21.140 --> 01:01:24.540 fanno quello che vogliono con il loro lavoro, e questo deve essere regolamentato. 01:01:24.540 --> 01:01:31.440 Quindi, in genere, in termini di vittoria rapida, attivate, come ho detto, la crittografia del disco, 01:01:31.440 --> 01:01:37.300 bloccare i supporti rimovibili per impostazione predefinita e consentire solo eccezioni giustificate, 01:01:37.300 --> 01:01:39.480 perché ovviamente non si tratta di chiudere tutto. 01:01:41.080 --> 01:01:52.520 E poi mettere in atto regole di accesso condizionato: un dispositivo non gestito o non aggiornato non deve ovviamente accedere ai dati sensibili. 01:01:52.520 --> 01:02:08.940 Mi dispiace, ma visto che conosce già a memoria la mia presentazione, va bene così. 01:02:11.080 --> 01:02:22.498 Claudia ha parlato di backup e mi piace ricordare la regola del backup 3.2.1.1.0, ovvero tre copie di ogni dato, su due supporti diversi, una copia, che 01:02:22.498 --> 01:02:29.960 per me è fondamentale, e una copia off-site per evitare di esporsi troppo a un attacco informatico. 01:02:29.960 --> 01:02:47.240 Ho molti clienti che fanno tutto questo molto bene, ma che dimenticano la copia off-site e se vengono violati, soprattutto il server su cui sono salvati i dati, sono in grossi guai. 01:02:47.240 --> 01:02:56.680 È quindi importante creare una copia off-site di questi dati e una copia immutabile, in genere per poterla conservare. 01:02:57.240 --> 01:03:08.440 E l'ultima cosa su cui ho già insistito, che è pari a zero, è fare test di ripristino e assicurarsi che i test di ripristino siano buoni. 01:03:08.440 --> 01:03:15.720 Anche in questo caso, troppo spesso mi imbatto nell'errore di non eseguire un test di ripristino periodico. 01:03:15.720 --> 01:03:25.740 Per quanto riguarda i risultati rapidi, per consentire l'immutabilità, non ho praticato la copia fuori sede. 01:03:26.340 --> 01:03:33.293 Lancio già questa settimana, quindi quando dico già questa settimana, non fraintendetemi, ma queste sono domande che potete porvi fin 01:03:33.293 --> 01:03:36.872 da ora, un test di ripristino che non si limita a ripristinare i file. 01:03:36.820 --> 01:03:51.700 Passerò rapidamente alla crittografia perché penso che se avete domande, dato che ci sono termini piuttosto tecnici, non esitate a farmi domande dopo la presentazione. 01:03:52.300 --> 01:03:54.180 Ma crittografate i vostri dati, come ha detto Claudia, 01:03:54.180 --> 01:03:57.200 dati a riposo, dati in transito. 01:03:57.200 --> 01:04:00.960 Quando si dispone di applicazioni SaaS, 01:04:00.960 --> 01:04:04.500 cioè applicazioni gestite da un fornitore di servizi esterno, 01:04:04.500 --> 01:04:06.540 è importante porsi la domanda 01:04:06.540 --> 01:04:11.560 se i dati che passano attraverso il provider di servizi in questione 01:04:11.560 --> 01:04:14.480 è sicuro e criptato. 01:04:14.480 --> 01:04:21.040 Che cos'è la DLP? 01:04:21.040 --> 01:04:28.140 è l'acronimo di Data Leakage Protection, un insieme di strumenti progettati per proteggere dal rischio di fughe di dati. 01:04:28.140 --> 01:04:35.380 Se siete una PMI o una start-up, non sempre avete le risorse per dotarvi di questo tipo di strumenti, 01:04:35.380 --> 01:04:42.480 ma se si vuole farlo, è sempre una buona idea avere a disposizione questo tipo di strumento, 01:04:42.480 --> 01:04:48.060 perché ci permette di definire un certo numero di regole per proteggerci dal rischio di fuga dei dati, 01:04:48.580 --> 01:04:59.492 Soprattutto nel caso di questioni molto complesse come il rilevamento del numero Iban, il rilevamento del numero AVS, questo tipo di parole chiave che, se un 01:04:59.423 --> 01:05:09.031 dipendente volesse inavvertitamente inviare questo tipo di contenuto in un'e-mail, permetterebbero all'e-mail di non lasciare mai l'azienda. 01:05:10.560 --> 01:05:24.447 In termini di risultati rapidi, in genere, è necessario creare tre regole DLP di base, attivare l'auditing sulle soluzioni, sia Microsoft 01:05:24.447 --> 01:05:32.240 365 che Google, ed evitare di aprire troppi collegamenti con il mondo esterno. 01:05:32.240 --> 01:05:33.740 Ecco cosa consiglio. 01:05:40.560 --> 01:05:52.303 Non dimenticate che quando vi rivolgete a un fornitore di servizi, la responsabilità è sempre vostra, i dati restano di vostra competenza, quindi la fiducia non esclude 01:05:52.303 --> 01:06:03.909 il controllo; per questo motivo raccomando che quando vi rivolgete a un fornitore di servizi locale, abbiate una due diligence minima con un certo numero di aspettative. 01:06:04.360 --> 01:06:13.880 Si può trattare dell'esistenza di un certificato SOC o ISAE, che vi darà la certezza del livello di controllo interno in atto presso il fornitore di servizi. 01:06:13.880 --> 01:06:22.739 Ci saranno anche garanzie sulla localizzazione dei dati, sempre in linea con quanto hanno detto i miei colleghi questa mattina, in 01:06:22.672 --> 01:06:26.833 particolare sulle questioni relative alla protezione dei dati. 01:06:28.060 --> 01:06:36.568 Ciò comporta la definizione delle principali clausole contrattuali, tra cui la notifica degli incidenti con scadenze chiare, la gestione 01:06:36.568 --> 01:06:41.623 dei subappaltatori del fornitore di servizi, la portabilità dei dati e così via. 01:06:41.500 --> 01:06:46.680 Quando si tratta di vittorie rapide, dovreste sempre pretendere il meglio dal vostro fornitore di servizi. 01:06:46.680 --> 01:06:55.501 Quando si tratta di grandi fornitori di servizi, in genere disponiamo di questa assicurazione perché abbiamo un certificato ISAE o SOC che ci permette di 01:06:55.501 --> 01:07:02.614 verificare che le misure tecniche previste siano in atto presso il fornitore di servizi in questione, ma non è sempre così. 01:07:02.580 --> 01:07:11.996 Non tutti i fornitori di servizi dispongono di questo tipo di certificato, quindi in questi casi è bene fare domande e, in genere, richiedere ciò che ho già 01:07:11.996 --> 01:07:20.176 descritto, ossia l'autenticazione a più fattori, il single sign-on, ossia la possibilità di connettersi a tutti i sistemi una volta sola. 01:07:20.000 --> 01:07:30.545 E poi, naturalmente, quando è possibile, e per chi è più esperto, è per raccogliere i SOC, non solo per i revisori esterni, ma anche per voi, per darvi la certezza che 01:07:30.545 --> 01:07:39.864 il mio fornitore di servizi stia effettivamente svolgendo il lavoro in modo corretto, che abbia messo in atto tutte le misure di sicurezza da parte sua. 01:07:39.680 --> 01:07:48.740 E poi, naturalmente, l'esecuzione e l'impostazione di backup indipendenti. 01:07:50.000 --> 01:07:55.960 il tempo passa 01:07:55.960 --> 01:07:59.040 ma fatemi delle domande 01:07:59.040 --> 01:08:01.080 alla fine, per favore, sul piano d'azione 01:08:01.080 --> 01:08:02.740 che non ho avuto il tempo di presentarvi. 01:08:02.740 --> 01:08:05.180 grazie a tutti 01:08:05.180 --> 01:08:16.280 Non volevo tagliarti fuori 01:08:16.280 --> 01:08:17.220 così bruscamente 01:08:17.220 --> 01:08:20.420 è vero che sono un chiacchierone 01:08:20.420 --> 01:08:23.580 no ho usato esperti e appassionati 01:08:23.580 --> 01:08:24.460 Non ho detto chiacchierone 01:08:24.460 --> 01:08:26.260 ma molto bene 01:08:26.260 --> 01:08:29.240 senza ulteriori indugi, ci accingiamo a 01:08:29.240 --> 01:08:31.480 all'ultima presentazione 01:08:31.480 --> 01:08:33.140 del mattino prima di continuare 01:08:33.140 --> 01:08:34.340 con domande 01:08:34.340 --> 01:08:37.280 quindi l'ultima presentazione 01:08:37.280 --> 01:08:39.060 è intitolato Scelta e attuazione 01:08:39.060 --> 01:08:40.080 Soluzioni IT 01:08:40.080 --> 01:08:42.900 Sig. Adélite Uwineza 01:08:42.900 --> 01:08:45.340 manager cyber security chez EY 01:08:45.340 --> 01:08:48.460 si occuperà di questa presentazione. 01:08:48.460 --> 01:08:51.680 Per ricordare la sua carriera, 01:08:51.680 --> 01:08:55.080 ha conseguito un master in ingegneria aziendale 01:08:55.080 --> 01:08:57.660 con una specializzazione in gestione dell'innovazione e della tecnologia. 01:08:57.660 --> 01:09:00.660 Con oltre 8 anni di esperienza nella cybersecurity, 01:09:00.660 --> 01:09:03.080 ha portato a termine con successo progetti di implementazione della sicurezza, 01:09:03.080 --> 01:09:06.660 soprattutto nelle ONG, nelle aziende farmaceutiche e nelle banche. 01:09:06.660 --> 01:09:09.640 Unitevi a me per continuare questa presentazione. 01:09:09.640 --> 01:09:12.080 E non preoccupatevi, come ha detto Alexander, 01:09:12.080 --> 01:09:13.500 Tutte le domande possono venire dopo. 01:09:14.780 --> 01:09:18.260 Abbiamo ancora mezz'ora di dibattito, che è sia lungo che breve. 01:09:18.260 --> 01:09:24.320 Grazie mille Frédéric per questa lusinghiera introduzione. 01:09:24.320 --> 01:09:33.480 Parlo quindi dopo i miei colleghi, dopo Audrey, Elisabeth, Claudia e Alexandre, 01:09:33.480 --> 01:09:39.400 nel tentativo di completarle condividendo con voi alcuni spunti di riflessione 01:09:39.400 --> 01:09:44.140 su come identificare e selezionare le soluzioni più adatte alle vostre esigenze, 01:09:44.700 --> 01:09:49.960 dalle firme elettroniche all'archiviazione elettronica, 01:09:49.960 --> 01:09:59.660 o di gestione del rischio dei dati, o in generale in termini di gestione della protezione dei dati sensibili. 01:09:59.660 --> 01:10:05.580 Ora che i miei colleghi hanno presentato tutti, mi rendo conto che non è un compito facile. 01:10:05.580 --> 01:10:16.200 di esporvi questi punti senza ripetermi troppo, ma cercherò di colpire il martello con un 01:10:16.200 --> 01:10:22.200 sul chiodo con un martello diverso, quello vero, per questa analogia con il falegname, non sono stato più 01:10:22.200 --> 01:10:29.520 ispirato ma sui punti in cui mi sembrerà di ripetermi, quindi è una questione di 01:10:29.520 --> 01:10:36.600 argomenti complessi, quindi è normale che non riusciremo a trattare tutto in 15 minuti. 01:10:36.600 --> 01:10:41.400 ma cercheremo comunque di esplorare alcune idee 01:10:41.400 --> 01:10:46.080 Insieme, esamineremo alcuni esempi di soluzioni haitiane adatte alle vostre esigenze. 01:10:46.080 --> 01:10:51.180 alle vostre esigenze, sulla base di alcuni casi d'uso che ho selezionato, e infine 01:10:51.180 --> 01:10:58.040 Vorrei concludere con una breve introduzione ad alcuni dei vantaggi della scelta di soluzioni 01:10:58.040 --> 01:11:03.320 cloud. Come avrete capito, sono un grande fan delle soluzioni cloud, ma non sono l'unico. 01:11:03.320 --> 01:11:10.860 è personale. Quindi, senza ulteriori indugi, passiamo subito alle soluzioni. 01:11:10.860 --> 01:11:14.460 soluzioni di protezione dei dati. Si tratta quindi di cose che hanno già 01:11:14.460 --> 01:11:18.480 ma quando si pensa alla protezione dei dati, la prima cosa che viene in mente è come proteggere i propri dati. 01:11:18.480 --> 01:11:22.560 è quello di identificare i vostri dati. Avrete bisogno di soluzioni che 01:11:22.560 --> 01:11:27.560 identificare e mappare i vostri dati, non quelli già esistenti 01:11:27.560 --> 01:11:32.600 quando si implementa la propria soluzione, ma le soluzioni che sono in grado di identificare 01:11:32.600 --> 01:11:37.340 nuove informazioni in arrivo e assegnare loro il giusto livello di sensibilità. 01:11:37.340 --> 01:11:44.800 In secondo luogo, come abbiamo già detto, è importante proteggere i dati. 01:11:44.800 --> 01:11:50.000 una volta identificati, sia a riposo che in transito, 01:11:50.000 --> 01:11:54.320 quando li si trasferisce da un punto A a un punto B o durante l'uso. 01:11:55.180 --> 01:11:58.760 È quindi importante disporre di soluzioni che consentano di applicare la crittografia. 01:11:58.760 --> 01:12:03.980 È importante disporre di soluzioni che consentano di gestire l'accesso a questi dati, 01:12:03.980 --> 01:12:09.460 per stabilire chi deve avere accesso a questi dati e quale profilo non deve assolutamente accedervi. 01:12:09.460 --> 01:12:15.560 Si tratta di elementi che possono essere integrati, ad esempio, con soluzioni DLP, di cui abbiamo già parlato, 01:12:15.560 --> 01:12:24.620 che può essere integrato, ad esempio, con le vostre soluzioni di posta elettronica per avvisarvi quando state per inviare dati sensibili 01:12:24.620 --> 01:12:29.280 o quando si è già premuto invio, per poter intercettare queste informazioni sensibili 01:12:29.280 --> 01:12:32.300 prima che si diffondano all'esterno della vostra organizzazione. 01:12:32.300 --> 01:12:38.620 Quando si parla di protezione dei dati, è molto importante ricordare che 01:12:38.620 --> 01:12:43.240 che la protezione dei dati ha tre dimensioni principali. 01:12:43.240 --> 01:12:46.860 Abbiamo già parlato di riservatezza con la crittografia. 01:12:46.860 --> 01:12:53.260 Disponibilità, perché senza i vostri dati è molto probabile che non possiate accedervi. 01:12:53.260 --> 01:12:59.520 che non si può fare il proprio lavoro, e infine l'integrità, che i miei colleghi hanno già descritto in dettaglio. 01:12:59.520 --> 01:13:05.400 In termini di integrità, si tratta principalmente di garantire che quando i dati vengono modificati, 01:13:05.400 --> 01:13:10.260 è in grado di identificare che questi dati sono stati modificati, 01:13:10.260 --> 01:13:17.740 se le modifiche sono sfortunate, e quindi accidentali, o intenzionali da parte di attori malintenzionati. 01:13:18.640 --> 01:13:26.400 Infine, cosa più importante, è necessario poter ripristinare questi dati in modo da poter ripristinare la versione che si ritiene più aggiornata. 01:13:26.400 --> 01:13:32.060 o la versione che non viene danneggiata in caso, ad esempio, di ransomware e simili. 01:13:32.060 --> 01:13:38.820 Naturalmente, se è possibile integrare le soluzioni DLP, ad esempio, 01:13:38.820 --> 01:13:46.320 o gli strumenti di gestione degli accessi con strumenti di monitoraggio e rilevamento degli incidenti, 01:13:46.780 --> 01:13:53.660 Questo vi permetterà di essere proattivi nell'identificare gli incidenti di dati prima che si verifichino, 01:13:53.660 --> 01:14:02.360 o di poter intervenire in tempo quando queste fughe di dati o incidenti che coinvolgono dati sensibili sono già avvenuti. 01:14:02.360 --> 01:14:09.360 Il punto successivo riguarda l'archiviazione sicura e le firme elettroniche. 01:14:09.360 --> 01:14:13.860 Certo, si tratta di due argomenti diversi. 01:14:14.260 --> 01:14:22.360 Tuttavia, come hanno già detto i miei colleghi, si tratta di due attività che molto spesso sono soggette alle stesse regole. 01:14:22.360 --> 01:14:32.380 Ad esempio, gli standard EIDAS, che regoleranno i regolamenti sui servizi fiduciari. 01:14:32.380 --> 01:14:41.360 È quindi importante scegliere soluzioni che soddisfino i vari requisiti a cui voi o le vostre attività siete soggetti. 01:14:42.980 --> 01:14:54.360 Quando si sceglie una soluzione di backup o anche una soluzione di firma elettronica, è molto importante disporre di funzionalità di tracciabilità degli audit trail. 01:14:54.360 --> 01:15:03.695 Questo ci riporta al punto dell'integrità. Se prendiamo l'esempio di un contratto, voi firmate un contratto con un datore di lavoro, il quale può 01:15:03.695 --> 01:15:10.886 modificare il vostro contratto dopo che è stato firmato per aggiungere clausole con le quali non siete d'accordo, 01:15:10.760 --> 01:15:15.380 bisogna essere in grado di rilevarlo e di reagire. 01:15:15.380 --> 01:15:20.980 È quindi necessario essere in grado di dimostrare che la modifica è avvenuta dopo la firma. 01:15:20.980 --> 01:15:26.480 Quindi farò un esempio ovviamente estremo per illustrare il punto. 01:15:26.480 --> 01:15:35.420 Ancora una volta, vorrei sottolineare il punto della conservazione dei dati. 01:15:36.420 --> 01:15:45.500 Avete bisogno di soluzioni che vi consentano di controllare la durata di conservazione dei vostri dati. 01:15:45.500 --> 01:15:53.320 In altre parole, ci troviamo in una situazione in cui i dati devono essere conservati per un periodo minimo. 01:15:53.320 --> 01:15:59.280 È il caso dei dati finanziari, che devono essere conservati per un periodo, ad esempio, di 10 anni. 01:15:59.280 --> 01:16:05.400 Ma ci sono anche dati che dovrebbero essere conservati solo per il tempo necessario. 01:16:06.360 --> 01:16:09.460 E al di là del periodo in cui ne avete bisogno, dovete sbarazzarvene. 01:16:09.460 --> 01:16:16.680 È quindi importante disporre di meccanismi e strumenti che consentano di monitorare il tempo di conservazione. 01:16:16.680 --> 01:16:25.780 e magari funzionalità di avviso che consentano di eliminare questi dati quando non sono più rilevanti per l'azienda. 01:16:25.780 --> 01:16:36.340 Il punto successivo è che vi consiglio di scegliere soluzioni che si integrino con gli strumenti tradizionali dell'ufficio. 01:16:36.360 --> 01:16:46.997 Con questo intendo dire che se scegliete strumenti non compatibili, dovrete tradurre questi documenti, questi dati, in formati molto 01:16:46.917 --> 01:16:54.140 specifici prima di poterli inviare per la firma, ad esempio, o prima di poterli archiviare. 01:16:54.220 --> 01:16:57.600 Si tratta quindi di una questione di semplicità, molto semplicemente. 01:16:58.380 --> 01:17:04.240 Per quanto riguarda l'archiviazione di questi dati, esistono ovviamente soluzioni on-premise o cloud, 01:17:04.240 --> 01:17:10.280 ma ho mantenuto il punto sulla nuvola per essere coerente con il mio ultimo punto. 01:17:10.280 --> 01:17:19.460 In termini di necessità di conformità normativa, 01:17:19.460 --> 01:17:24.160 I punti principali da tenere presenti nella scelta della soluzione sono quattro. 01:17:24.740 --> 01:17:30.260 In primo luogo, è necessaria una soluzione che consenta di gestire il registro di elaborazione dei dati. 01:17:30.260 --> 01:17:41.940 Questa gestione del registro del trattamento dei dati vi permetterà di documentare, ad esempio, tutto ciò che riguarda i motivi per cui raccogliete i dati, 01:17:41.940 --> 01:17:48.460 le categorie di persone e di dati che trattate e le finalità per cui li trattate. 01:17:51.020 --> 01:18:02.000 È quindi opportuno dare priorità alle soluzioni che consentono di gestire e raccogliere il consenso e le preferenze. 01:18:02.000 --> 01:18:15.680 In questo modo sarà più facile per voi, ad esempio, dimostrare di avere il consenso preventivo per i dati che raccogliete prima ancora di poterli raccogliere o elaborare. 01:18:19.500 --> 01:18:31.680 In termini di conformità, dovrete anche rispondere alle richieste degli interessati, cioè delle persone di cui trattate i dati. 01:18:31.680 --> 01:18:43.720 Quindi, se potete scegliere una soluzione che vi permetta di centralizzare tutte queste domande e di rispondere a livello centrale, magari per gruppo, è preferibile. 01:18:43.720 --> 01:18:49.340 L'ultimo punto è che le normative sono destinate ad evolversi. 01:18:50.240 --> 01:18:56.180 Non credo di correre troppi rischi se dico che la maggior parte delle norme che conosciamo oggi non esistevano 20 anni fa. 01:18:56.180 --> 01:18:58.860 E quelli che esistevano dovevano già essersi notevolmente evoluti. 01:18:58.860 --> 01:19:02.140 Possiamo quindi aspettarci che queste normative continuino ad evolversi. 01:19:02.140 --> 01:19:11.180 Quando si sceglie una soluzione, in questo caso, è necessario scegliere una soluzione scalabile che possa supportarvi nel tempo, 01:19:11.180 --> 01:19:14.920 che sarà in grado di incorporare nuove normative e nuovi requisiti. 01:19:19.500 --> 01:19:27.768 Per quanto riguarda la gestione del rischio, non mi soffermerò troppo su questo punto, credo che sia stato trattato abbastanza, ma ovviamente è sempre 01:19:27.768 --> 01:19:35.874 importante ricordare che i dati devono essere mappati e classificati prima di poter essere protetti, prima di poter anche solo pensare di proteggerli. 01:19:35.820 --> 01:19:39.420 e questo richiede generalmente strumenti a sé stanti. 01:19:39.420 --> 01:19:46.980 È meglio privilegiare gli strumenti che integrano i quadri di gestione del rischio. 01:19:46.980 --> 01:19:52.700 come la DPIA o la TIA (TIA sta per Threat Impact Assessment), 01:19:52.700 --> 01:19:57.420 e DPIA sta per Data Protection Impact Assessment (valutazione dell'impatto sulla protezione dei dati) o Privacy, tutto dipende, 01:19:57.420 --> 01:20:05.180 che vi fornirà una panoramica di 01:20:05.180 --> 01:20:12.040 la conformità con i controlli di gestione dei dati che avete messo in atto. 01:20:12.040 --> 01:20:19.440 Inoltre, se avete la possibilità di avere uno strumento che vi fornisca un cruscotto di governance e una reportistica, 01:20:19.440 --> 01:20:23.400 idealmente con allarmi e monitoraggio in tempo reale, 01:20:23.400 --> 01:20:28.880 in questo modo avrete una panoramica costante delle aree in cui siete conformi 01:20:28.880 --> 01:20:31.540 e le aree in cui non siete conformi, 01:20:31.540 --> 01:20:35.560 al fine di fornire una soluzione in tempi accettabili, 01:20:35.560 --> 01:20:40.920 ma soprattutto per non perdere di vista proprio quei punti su cui non siete conformi. 01:20:40.920 --> 01:20:49.000 Non so se valga la pena di ripercorrere alcuni esempi, 01:20:49.000 --> 01:20:52.440 forse possiamo farlo durante la sessione di domande e risposte, 01:20:52.440 --> 01:20:58.760 ma molto rapidamente, in termini di archiviazione e firme elettroniche, 01:21:00.160 --> 01:21:09.340 Per le firme elettroniche, ci rivolgeremo a soluzioni come DocuSign, Adobe o Swisscom Trust Services per una soluzione locale. 01:21:09.340 --> 01:21:15.820 E per quanto riguarda la gestione e l'archiviazione dei dati, potremmo guardare a soluzioni come Box o M5. 01:21:15.820 --> 01:21:20.060 Ovviamente, l'elenco di soluzioni qui riportato non è esaustivo. 01:21:20.060 --> 01:21:26.220 Si tratta di soluzioni selezionate che possono essere più adatte alle PMI, cioè alle piccole e medie imprese. 01:21:26.220 --> 01:21:33.760 Ma esistono anche altre soluzioni, ed è molto importante fare un'analisi prima di scegliere la soluzione. 01:21:33.760 --> 01:21:42.920 In termini di gestione del rischio e dei dati, esamineremo soluzioni come OneTrust, TrustArc, Osano e Dataguard. 01:21:42.920 --> 01:21:52.000 E noterete che in termini di conformità e gestione del rischio, utilizziamo principalmente gli stessi strumenti. 01:21:52.000 --> 01:21:55.160 Utilizziamo strumenti che combinano le due attività. 01:21:56.220 --> 01:22:06.051 Vorrei solo fare un'osservazione su One Trust. Potrebbe non essere uno strumento del tutto adatto alle piccole e medie imprese. Quindi tutto dipende dal vostro 01:22:06.051 --> 01:22:15.083 livello di maturità. È una valutazione che deve essere fatta in anticipo per determinare se è davvero lo strumento giusto per la vostra azienda. 01:22:15.660 --> 01:22:22.440 Ma ero un po' imbarazzato a non menzionare il leader di mercato nella gestione della conformità. 01:22:22.440 --> 01:22:28.540 Ho quindi voluto inserire lo strumento nella diapositiva, in modo che possiate comunque fare le vostre ricerche. 01:22:28.540 --> 01:22:33.080 E se si deve escludere, si dovrebbe essere in grado di farlo, ma con tutte le informazioni. 01:22:33.080 --> 01:22:38.200 Quando si parla di protezione dei dati, in particolare se si è alla ricerca di una soluzione di backup e ripristino dei dati, è necessario che 01:22:38.200 --> 01:22:41.095 il sistema di protezione dei dati sia in grado di garantire la sicurezza dei dati. 01:22:41.060 --> 01:22:43.720 per proteggersi dagli attacchi ransomware, 01:22:43.720 --> 01:22:45.860 è più probabile che si opti per Microsoft, 01:22:45.860 --> 01:22:48.320 Acronis, Sophos, ecc. 01:22:48.320 --> 01:22:52.160 Per questo motivo troverete molte soluzioni sul mercato, 01:22:52.160 --> 01:22:54.700 soluzioni on-premise o cloud. 01:22:54.700 --> 01:23:02.180 E anche se una valutazione abbastanza approfondita 01:23:02.180 --> 01:23:05.980 è necessario per determinare se si ha bisogno di un modello di cloud 01:23:05.980 --> 01:23:07.500 o se avete bisogno di un modello on-premise, 01:23:08.300 --> 01:23:15.120 È molto importante menzionare questi pochi vantaggi delle soluzioni cloud, che non dovrebbero essere trascurati. 01:23:15.120 --> 01:23:19.940 Cominciamo con il primo, il nerbo della guerra: il denaro. 01:23:19.940 --> 01:23:26.120 Va da sé che ogni azienda, ogni manager d'impresa, deve pensare a... 01:23:26.120 --> 01:23:33.220 È stato dimostrato che le soluzioni cloud consentono di risparmiare denaro, 01:23:33.220 --> 01:23:36.160 in primo luogo, perché si paga solo ciò che si usa, 01:23:36.680 --> 01:23:49.780 In secondo luogo, perché ci permette di esternalizzare parte della gestione quotidiana di questi strumenti a società generalmente specializzate in questo settore. 01:23:49.780 --> 01:23:57.080 E se dovete farlo da soli, per esempio, o anche la gestione degli incidenti o la prevenzione degli incidenti di sicurezza, 01:23:57.080 --> 01:23:59.860 Si tratta di attività molto costose se dovete farle da soli. 01:24:01.060 --> 01:24:06.220 E anche le aziende che generalmente gestiscono queste soluzioni, 01:24:06.220 --> 01:24:12.200 Si tratta di aziende piuttosto solide e con un certo grado di maturità in materia di sicurezza. 01:24:12.200 --> 01:24:17.860 Quindi, quando affidate loro i vostri dati, non limitate l'impatto in caso di perdita dei dati. 01:24:17.860 --> 01:24:24.060 D'altra parte, riduce notevolmente la probabilità che si verifichi l'estrazione dei dati. 01:24:27.760 --> 01:24:41.460 Naturalmente, sempre in relazione alla solidità di questi partner, è molto importante avere un partner con cui condividere la responsabilità della conformità normativa. 01:24:41.460 --> 01:24:50.480 Dico condividere perché quando si delega la parte, ad esempio l'elaborazione dei dati, non si delegano le responsabilità. 01:24:50.480 --> 01:24:54.940 Manteniamo comunque le nostre responsabilità in quanto ente che raccoglie i dati. 01:24:57.760 --> 01:25:08.460 Tutto questo contribuisce a migliorare la vostra reputazione e la vostra fiducia nei confronti dei clienti, ma anche degli altri partner. 01:25:09.460 --> 01:25:28.820 La gestione nel cloud è accompagnata da una grande automazione, che aumenta la produttività e fa risparmiare tempo di gestione. 01:25:28.820 --> 01:25:34.580 Infine, l'ultimo punto, anch'esso non trascurabile, è l'escalation. 01:25:34.580 --> 01:25:46.220 Non credo di sbagliare dicendo che l'obiettivo di qualsiasi azienda, piccola o media, è crescere, rimanere sostenibile e continuare a crescere nel tempo. 01:25:46.520 --> 01:25:59.506 Pertanto, quando ci si rivolge a soluzioni cloud, ci si rivolge a soluzioni scalabili e flessibili in grado di supportare la crescita e di 01:25:59.413 --> 01:26:05.627 mantenere la gestione dei costi in linea con l'aumento delle spese. 01:26:05.720 --> 01:26:15.980 Concludo dicendo che sul mercato troverete diverse soluzioni per soddisfare le varie esigenze di cui abbiamo parlato. 01:26:16.520 --> 01:26:24.020 Sta a voi fare il lavoro necessario per identificare le vostre esigenze, prima di essere indirizzati verso una soluzione particolare. 01:26:24.020 --> 01:26:37.340 Molto spesso, da bravi manager d'azienda, tenderete a prendere decisioni che sono in gran parte guidate dai costi. 01:26:37.340 --> 01:26:46.060 Ma non bisogna dimenticare di prendere in considerazione altre esigenze, di considerare il vostro piano strategico a lungo termine. 01:26:46.520 --> 01:26:51.220 Il vostro piano tattico a medio termine e il vostro piano operativo a breve termine. 01:26:51.220 --> 01:26:53.160 Grazie mille per l'attenzione. 01:26:53.160 --> 01:27:02.040 Grazie mille per il suo tempo. 01:27:02.040 --> 01:27:05.440 Passiamo ora alla sessione di domande e risposte. 01:27:05.440 --> 01:27:08.660 Non so chi abbia parlato, ma non ci siamo dimenticati di lei in relazione alla diapositiva. 01:27:08.660 --> 01:27:11.640 Era laggiù, ma ci torneremo. 01:27:11.640 --> 01:27:16.380 In realtà, vorrei iniziare riassumendo una serie di domande che ci sono in giro. 01:27:16.520 --> 01:27:24.280 la presentazione è densa e i regolamenti sembrano essere sostanziali 01:27:24.280 --> 01:27:31.000 e poi alcuni si preoccupano della loro capacità di integrarli come PMI 01:27:31.000 --> 01:27:36.820 e infine è rivolto a tutti voi, forse a Claudia o ad Alexandre 01:27:36.820 --> 01:27:40.940 Non so chi voglia rispondere, ma alla fine, dovremmo preoccuparci di questo peso? 01:27:40.940 --> 01:27:45.520 come PMI e in che misura esistono soluzioni su misura per le PMI? 01:27:45.520 --> 01:27:47.120 Non so chi lo voglia. 01:27:47.120 --> 01:27:52.720 Ottimo, il microfono sta per girare, credo. 01:27:52.720 --> 01:27:54.140 Prima di tutto, questo è meglio. 01:27:54.140 --> 01:27:59.180 Quindi sì, in risposta alla sua domanda, 01:27:59.180 --> 01:28:01.940 C'è qualcosa di cui preoccuparsi come PMI? 01:28:01.940 --> 01:28:05.000 per spuntare tutte le caselle? 01:28:05.000 --> 01:28:07.780 Quindi non mi preoccuperei, 01:28:07.780 --> 01:28:09.720 ma è comunque un argomento importante. 01:28:09.720 --> 01:28:12.220 Quindi, come abbiamo detto, le conseguenze, 01:28:12.220 --> 01:28:15.200 Possono essere di tipo finanziario, legale o di reputazione. 01:28:15.520 --> 01:28:20.320 Quindi forse dovremmo iniziare con le misure più semplici. 01:28:20.320 --> 01:28:27.060 Come hanno detto i miei colleghi, mappate i dati e partite da quelli. 01:28:27.060 --> 01:28:32.580 Può richiedere un po' di tempo, ma non è nemmeno troppo dispendioso in termini di tempo o di denaro. 01:28:32.580 --> 01:28:35.760 Dobbiamo quindi catalogare un po' i dati e classificare ciò che abbiamo. 01:28:35.760 --> 01:28:39.840 Allora iniziate con il più semplice. 01:28:39.840 --> 01:28:46.960 Vedrete di nuovo le diapositive, ma tutto ciò che è organizzativo è spesso molto semplice da mettere in pratica. 01:28:46.960 --> 01:28:53.020 Formazione, procedure interne e poi anche l'aspetto tecnico. 01:28:53.020 --> 01:29:01.520 E non esitate a ricorrere a esperti di questi argomenti non appena le cose si fanno tecniche. 01:29:01.520 --> 01:29:08.620 Non esitate quindi a ricorrere a un aiuto esterno. 01:29:09.840 --> 01:29:13.900 Forse, Alexandre, alla fine tutto ciò di cui stiamo discutendo è davvero su misura per le PMI? 01:29:13.900 --> 01:29:15.180 Credo che ci sia un po' di preoccupazione. 01:29:15.180 --> 01:29:18.540 Quindi è sempre la stessa cosa. 01:29:18.540 --> 01:29:22.520 Ho cercato di presentare misure abbastanza semplici e poco costose. 01:29:22.520 --> 01:29:26.380 Impostazione... 01:29:26.380 --> 01:29:30.180 Quindi non ho avuto necessariamente il tempo di presentare la mia lista di controllo alla fine. 01:29:30.180 --> 01:29:30.980 Scuse per questo. 01:29:30.980 --> 01:29:32.220 E mi scuso. 01:29:32.220 --> 01:29:36.500 Ma ancora una volta, se avete domande molto specifiche al riguardo, non esiterò. 01:29:37.220 --> 01:29:46.900 Ma credo che le principali misure da prendere in considerazione vi permetteranno di coprire la stragrande maggioranza delle esigenze, 01:29:46.900 --> 01:29:52.380 In particolare, i requisiti normativi richiedono tempo per essere implementati. 01:29:52.380 --> 01:29:54.640 Il tempo è denaro. 01:29:54.640 --> 01:30:04.060 Adélite ha presentato una serie di soluzioni che, come ha giustamente detto, non sono necessariamente adatte a ciascuno di voi. 01:30:04.060 --> 01:30:13.762 Ma la creazione di uno strumento di tipo DLP non deve essere necessariamente ultra costosa. Attivare un certo numero di parametri nei vostri 01:30:13.762 --> 01:30:19.060 sistemi è un'operazione tecnica, ma non deve essere necessariamente costosa. 01:30:19.460 --> 01:30:26.344 L'implementazione di best practice in termini di processi di gestione dell'ingresso e dell'uscita del personale, di gestione dei 01:30:26.344 --> 01:30:29.920 diritti e degli account richiede molto tempo, ma non è necessario. 01:30:29.920 --> 01:30:37.080 Per farlo, non è necessario impostare soluzioni costose e dedicate. 01:30:37.080 --> 01:30:50.640 Tutte le misure che suggeriamo sono improntate al buon senso agricolo. Poi ci sono sempre alcuni strumenti che vi renderanno la vita molto più facile. 01:30:50.640 --> 01:31:01.906 E Adélit ha presentato alcuni esempi. Ma direi che l'80% delle cose che si possono implementare sono abbastanza facili e non richiedono 01:31:01.906 --> 01:31:06.840 alcun investimento da parte vostra, a parte un po' di tempo. 01:31:08.200 --> 01:31:19.193 La stesura di un registro dei trattamenti, se si tiene conto dei requisiti della direttiva NLPD, richiede un po' di tempo. D'altra parte, non è 01:31:19.193 --> 01:31:26.320 necessario acquistare una soluzione estremamente costosa per gestire i rischi e i trattamenti. 01:31:26.320 --> 01:31:39.260 Questo può essere fatto sotto forma di file Excel e l'ho visto con diversi clienti, tra cui piccole banche e società di intermediazione mobiliare. 01:31:39.260 --> 01:31:41.400 quindi nel complesso ci sono 01:31:41.400 --> 01:31:42.360 molto buon senso 01:31:42.360 --> 01:31:45.340 processo, processo, processo 01:31:45.340 --> 01:31:46.680 è estremamente importante 01:31:46.680 --> 01:31:49.920 e la tecnica, non dirò che si tratta di un dettaglio 01:31:49.920 --> 01:31:53.340 ma la maggior parte degli strumenti 01:31:53.340 --> 01:31:55.520 Penso che tu li abbia 01:31:55.520 --> 01:31:57.300 tutti voi li avete già 01:31:57.300 --> 01:31:59.240 poi avete impostato 01:31:59.240 --> 01:32:00.840 i processi coinvolti in 01:32:00.840 --> 01:32:03.560 impostare questi strumenti, gestire correttamente i diritti 01:32:03.560 --> 01:32:04.900 ecc, è un'altra cosa 01:32:04.900 --> 01:32:07.180 ma è qui che si svolge la maggior parte del lavoro 01:32:07.180 --> 01:32:08.240 deve essere fatto in realtà 01:32:08.240 --> 01:32:15.240 Grazie per il suo tempo. Prima di dimenticarci, volete che torniamo su questa domanda allegata alla diapositiva? 01:32:15.240 --> 01:32:32.060 Prima, per completare il quadro, troppo spesso vediamo iniziative frenate dalla paura di pensare che la gestione dei dati comporti molte responsabilità amministrative. 01:32:33.740 --> 01:32:39.760 Le multe per la mancata conformità sono troppo alte. 01:32:39.760 --> 01:32:41.920 Ma in realtà tutto questo è falso. 01:32:41.920 --> 01:32:44.640 C'è quindi una proporzionalità da tenere presente. 01:32:44.640 --> 01:32:53.080 In quanto piccola o media impresa, non dovete impiegare le stesse risorse delle grandi aziende. 01:32:53.080 --> 01:33:00.920 E lo stesso vale per le multe: non sarete multati come le grandi aziende. 01:33:01.880 --> 01:33:05.380 Esiste una nozione di "due diligence" che deve essere sempre tenuta presente. 01:33:05.380 --> 01:33:12.740 Dovete fare del vostro meglio, ma se non ci riuscite non dovete necessariamente chiudere la porta. 01:33:12.740 --> 01:33:17.240 Quando si decide di passare al cloud, ovviamente questo comporta dei rischi. 01:33:17.240 --> 01:33:19.580 In fin dei conti, si tratta di gestione del rischio. 01:33:19.580 --> 01:33:23.920 Questo non significa delegare tutte le responsabilità. 01:33:23.920 --> 01:33:35.884 Questo non significa che il fornitore di servizi a cui affidate la gestione e l'hosting dei vostri dati possa fallire domani, un rischio 01:33:35.884 --> 01:33:40.600 che avete già accettato optando per questa soluzione. 01:33:40.600 --> 01:33:43.100 Ed è per questo che torno a quanto ho detto all'inizio. 01:33:43.100 --> 01:33:51.340 È molto, molto importante prendersi il tempo necessario per valutare le proprie esigenze. Valutare le proprie esigenze significa anche valutare la 01:33:51.340 --> 01:33:58.355 propria propensione al rischio, il rischio che si è disposti ad accettare, e prendere in considerazione le proprie decisioni. 01:33:58.300 --> 01:34:06.307 Siamo d'accordo sul fatto che oggi non esiste un quadro giuridico che stabilisca, forse dovrei chiedere a voi, a quale fornitore di 01:34:06.247 --> 01:34:10.040 servizi abbiamo accesso in quanto azienda con sede in Svizzera? 01:34:10.100 --> 01:34:17.040 Oggi in Svizzera vige l'obbligo di conservare i dati in Svizzera. 01:34:17.040 --> 01:34:23.120 Quando utilizziamo soluzioni cloud americane che inviano dati negli Stati Uniti, 01:34:23.120 --> 01:34:26.600 non stiamo affatto rispettando la legge svizzera. 01:34:26.600 --> 01:34:33.820 Oggi è per questo che, ad esempio, Microsoft offre hosting a Ginevra e Zurigo. 01:34:33.820 --> 01:34:36.880 È proprio per soddisfare queste esigenze. 01:34:37.480 --> 01:34:47.728 Quindi, quando si passa attraverso Microsoft, oggi ciò che Microsoft garantisce è che i dati sono conservati in Svizzera e, in un certo senso, non c'è 01:34:47.728 --> 01:34:55.580 alcuna legittimità da parte degli Stati Uniti di poter recuperare questi dati ad un certo punto se decidono di farlo. 01:34:55.380 --> 01:35:05.896 In effetti, abbiamo di nuovo a che fare con rischi sistemici, rischi che stiamo scoprendo oggi. Cinque anni fa, avremmo immaginato che la 01:35:05.821 --> 01:35:10.285 situazione che affrontiamo oggi con Trump fosse realistica? 01:35:10.360 --> 01:35:16.780 Vorrei prendermi la libertà, ma potreste essere tutti frustrati, di tornare ad alcune domande tecniche e concrete. 01:35:16.780 --> 01:35:24.540 Anche noi ne abbiamo un bel po'. Propongo, ad esempio, di parlare con te, Audrey, o con te, Elisabeth. 01:35:24.540 --> 01:35:31.120 Qualcuno ci ha chiesto quali sono i requisiti legali per l'archiviazione dei dati di un'azienda quando cessa l'attività. 01:35:37.540 --> 01:35:41.060 Infatti, quando una società cessa l'attività, è soggetta alla legge. 01:35:41.060 --> 01:35:48.880 In effetti, i periodi di conservazione non cambiano se la società viene sciolta e messa in liquidazione. 01:35:48.880 --> 01:35:56.440 È per questo che, come dicevamo, uno strumento è una vecchia scuola rispetto a tutte le altre considerazioni, 01:35:56.440 --> 01:36:01.800 ma significa avere un calendario di conservazione e un piano di conservazione, 01:36:02.260 --> 01:36:10.700 Alcuni obblighi legali di conservazione sopravviveranno alla vostra azienda? 01:36:10.700 --> 01:36:18.300 Ci riallacciamo un po' al dibattito, ma torniamo alla legittimità delle domande sulle firme. 01:36:18.300 --> 01:36:24.520 Alcuni chiedono dettagli sulle firme riconosciute, anche quando si firmano contratti con fornitori all'estero. 01:36:25.000 --> 01:36:31.400 Questo significa che le firme o la legislazione sono la legge qui? 01:36:31.400 --> 01:36:39.500 Ok, allora. Quindi, credo che la prima cosa da sapere sia che, come dicevo, il contratto, la validità formale di un contratto, 01:36:39.500 --> 01:36:42.500 dipende dalla legge applicabile. 01:36:42.500 --> 01:36:48.560 Ci siamo quindi concentrati sui contratti soggetti al diritto svizzero, come dicevo. 01:36:48.560 --> 01:36:53.560 In tal caso, la validità formale è disciplinata dal diritto svizzero. 01:36:54.620 --> 01:36:58.860 Stiamo quindi verificando se la legge svizzera richiede la forma scritta. 01:36:58.860 --> 01:37:04.260 In tal caso, è necessaria una firma autografa o una QIS, una firma qualificata. 01:37:04.260 --> 01:37:07.460 Non so se questo risponde ancora alla domanda, 01:37:07.460 --> 01:37:13.620 se ci fossero chiarimenti o se la persona che ha posto la domanda volesse aggiungere qualche dettaglio. 01:37:13.620 --> 01:37:17.040 Non so chi l'abbia chiesto. 01:37:17.040 --> 01:37:21.540 Poi, naturalmente, se avete un contratto che è soggetto a un'altra legge, 01:37:22.380 --> 01:37:26.880 cercherete una validità formale in quest'altra legge. 01:37:26.880 --> 01:37:33.420 Quindi, in genere, se immaginiamo un contratto soggetto al diritto tedesco, 01:37:33.420 --> 01:37:39.860 Esaminiamo ora la validità formale secondo il diritto tedesco. 01:37:39.860 --> 01:37:46.440 E se la legge tedesca impone una forma scritta, una firma qualificata, ecc. 01:37:46.440 --> 01:37:51.660 Possiamo prevedere due firme in due sistemi o è qualcosa che... 01:37:51.660 --> 01:37:57.020 Quindi, se avete un contratto regolato dalla legge svizzera, che richiede la forma scritta, dovete assicurarvi che sia scritto, 01:37:57.020 --> 01:38:03.640 è necessaria una firma autografa o una firma qualificata. 01:38:03.640 --> 01:38:09.340 Non sarà possibile avere una firma qualificata svizzera e una firma qualificata estera. 01:38:09.340 --> 01:38:11.840 Perché, come ho detto, non c'è equivalenza. 01:38:11.840 --> 01:38:19.240 Quindi, se avete un contratto regolato dal diritto svizzero che richiede una firma qualificata o autografa, 01:38:20.260 --> 01:38:31.122 In genere, una firma ai sensi del regolamento eIDAS, ossia una firma riconosciuta come qualificata in Europa, nell'Unione Europea, 01:38:31.122 --> 01:38:35.600 non sarà equivalente alla firma qualificata svizzera. 01:38:35.600 --> 01:38:40.420 Pertanto, la validità formale non sarà data. 01:38:40.420 --> 01:38:44.100 Non so se è abbastanza chiaro. 01:38:44.700 --> 01:38:51.700 In genere, se si stipula un contratto con qualcuno al di fuori della Svizzera, si deve tenere conto di questo aspetto, 01:38:51.700 --> 01:38:58.860 ma in cui si ha comunque un contratto soggetto al diritto svizzero e quindi formalmente valido in Svizzera, 01:38:58.860 --> 01:39:07.740 si può firmare con una firma qualificata e l'altra persona firma un matrimonio, cioè una firma autografa. 01:39:07.740 --> 01:39:10.120 Si tratta quindi di un'ipotesi che potrebbe essere presa in considerazione. 01:39:10.120 --> 01:39:14.660 Se si stipula un contratto con qualcuno che non dispone di una firma svizzera qualificata, 01:39:14.700 --> 01:39:26.300 Grazie, Claudia. Claudia, forse hai accennato a qualcuno che ci ha chiesto informazioni sul formato PDFA. È al 100% a prova di falsificazione? 01:39:26.300 --> 01:39:32.040 Ma al di là di questo, penso anche che sollevi la questione dell'evoluzione dei formati, di ciò che durerà nel tempo. 01:39:32.040 --> 01:39:40.200 E alla fine, possiamo davvero calcolarlo e prevederlo? Come possiamo essere sicuri che tutto ciò che facciamo qui, che è una domanda fondamentale, 01:39:40.200 --> 01:39:43.440 e anche un riferimento incrociato con la questione della geopolitica globale, 01:39:43.440 --> 01:39:45.860 quanto si vuole, ma alla fine della giornata, come facciamo a garantire 01:39:45.860 --> 01:39:49.000 che quello che stiamo facendo oggi reggerà? 01:39:49.000 --> 01:39:52.500 Che ne è di questi formati, in questo caso PDF? 01:39:52.500 --> 01:39:55.680 Direi che è una bella domanda e mi piacerebbe avere la risposta, 01:39:55.680 --> 01:40:00.180 ma purtroppo non posso necessariamente prevedere tutto ciò che accadrà. 01:40:00.180 --> 01:40:04.080 Come possiamo vedere con l'intelligenza artificiale, le cose si stanno muovendo molto, molto velocemente. 01:40:04.080 --> 01:40:08.020 Quindi il PDF A è quello che vediamo oggi, 01:40:08.020 --> 01:40:11.760 Sappiamo che rimarrà lì per diversi anni. 01:40:11.760 --> 01:40:19.100 Quindi penso che sia già una buona misura per garantire che questo sia il formato che manteniamo. 01:40:19.100 --> 01:40:23.560 Ma, come sappiamo, questo è un settore che si sta evolvendo e continuerà ad evolversi. 01:40:23.560 --> 01:40:25.920 E tu devi tenere il passo. 01:40:25.920 --> 01:40:33.680 L'unica cosa che posso consigliare è di tenere le orecchie aperte e seguire le novità che si presentano, 01:40:33.680 --> 01:40:44.420 Per scoprire forse un po' di persone intorno a voi, nelle reti, in queste discussioni. Ma non posso farlo. 01:40:44.420 --> 01:40:54.083 No, ma assolutamente. Stiamo parlando a un pubblico di PMI. Ogni cambiamento comporta un costo. Immagino che calcoliamo il rischio del 01:40:54.083 --> 01:40:58.020 cambiamento e poi optiamo per la soluzione più sicura. 01:40:59.960 --> 01:41:09.340 Stessa domanda, e comunque forse resterò con te, perché alla fine hai presentato la nozione di IA come il vantaggio che può avere. 01:41:09.340 --> 01:41:15.780 Ci sono anche domande su tutte le... in termini di protezione dei dati, su tutto ciò che l'uso dell'IA può comportare, 01:41:15.780 --> 01:41:26.780 e, infine, l'aumento delle misure di sicurezza. Come dobbiamo gestire questa IA? Offre solo vantaggi? 01:41:26.780 --> 01:41:28.620 Quindi è vero che con tutto quello che... 01:41:28.620 --> 01:41:31.120 E lo chiedo a voi, ma onestamente chiunque può partecipare. 01:41:31.120 --> 01:41:35.320 Non esitate a farmi sapere se volete aggiungere qualcosa. 01:41:35.320 --> 01:41:40.160 Quindi è vero che c'è anche l'intelligenza artificiale, 01:41:40.160 --> 01:41:43.760 quindi tutti i regolamenti, tutta la sicurezza. 01:41:43.760 --> 01:41:47.260 Anche questo è un aspetto che sta iniziando ad essere messo in pratica, 01:41:47.260 --> 01:41:51.520 Regolamenti sull'IA in Europa e nel mondo. 01:41:53.140 --> 01:42:04.093 Ma è vero che a volte la tecnologia si muove quasi più velocemente della normativa, quindi è un'ottima osservazione quando si punta il dito contro l'IA e il 01:42:04.093 --> 01:42:14.361 rischio, perché è vero che quando implementiamo questi strumenti, spesso dimentichiamo di pensare a tutte le questioni di conformità e di controllo 01:42:14.361 --> 01:42:22.233 intorno all'IA, a dove vanno realmente i dati e al fornitore esterno di servizi se si tratta di un'azienda esterna. 01:42:21.960 --> 01:42:27.440 Lo conosciamo davvero bene? Sappiamo che ha davvero studiato la questione, ecc. 01:42:27.440 --> 01:42:34.340 Quindi non sono uno specialista di tutto ciò che riguarda l'intelligenza artificiale. 01:42:34.340 --> 01:42:36.240 Quindi non voglio entrare nel merito. 01:42:36.240 --> 01:42:46.620 Ma è vero che io penso, prima di implementare uno strumento nella sua azienda che sembra molto buono, 01:42:46.620 --> 01:42:54.419 È necessario scoprire cosa c'è in ballo, innanzitutto in termini di contratto, magari rivolgendosi a qualcuno dell'azienda che sia un po' più 01:42:54.419 --> 01:42:59.367 legale, un esperto di diritto, e poi andare a leggerlo insieme al dipartimento di sicurezza. 01:42:59.260 --> 01:43:07.360 Abbiamo davvero delle clausole nel contratto che ci permettono di muoverci anche nella direzione della protezione dei dati, ecc. 01:43:07.360 --> 01:43:20.760 Quindi non dovreste andare a occhi chiusi e implementare uno strumento di intelligenza artificiale a casa vostra senza leggere le clausole e informarvi su questa parte. 01:43:20.760 --> 01:43:25.360 Qualcun altro, ad esempio Alexandre, si occupa di questo uso dell'IA? 01:43:25.360 --> 01:43:35.700 Penso che sia giusto dirlo e io, come ascoltatore, sono un utente appassionato di IA sempre di più, per essere molto onesto con voi. 01:43:35.700 --> 01:43:46.721 In effetti, sono sicuro che c'è una diapositiva che non ho avuto il tempo di presentarvi sull'argomento, ma dovrebbe essere oggetto di 01:43:46.721 --> 01:43:52.880 misure tecniche regolamentate allo stesso modo di un'applicazione aziendale. 01:43:53.620 --> 01:44:06.360 Ciò significa ovviamente prestare molta attenzione all'accesso che diamo e alle opportunità che offriamo ai nostri dipendenti di utilizzare l'IA in particolare. 01:44:06.360 --> 01:44:15.920 Deve essere un uso controllato perché in genere oggi, io alla BDO, se questo pomeriggio, dopo il nostro scambio, 01:44:15.920 --> 01:44:18.200 Mi sono divertito a copiare 01:44:18.200 --> 01:44:20.040 incollare o caricare su 01:44:20.040 --> 01:44:21.680 un file cliente 01:44:21.680 --> 01:44:24.680 Io mi occuperei immediatamente di 01:44:24.680 --> 01:44:25.380 Ho ritoccato 01:44:25.380 --> 01:44:27.880 dal mio 01:44:27.880 --> 01:44:30.100 CISO, a cura del CISO di BDO 01:44:30.100 --> 01:44:32.080 Svizzera, perché? 01:44:32.080 --> 01:44:32.900 perché 01:44:32.900 --> 01:44:36.140 BDO, ad esempio, ma questo è il caso di 01:44:36.140 --> 01:44:38.460 altri miei clienti, hanno messo in atto 01:44:38.460 --> 01:44:39.760 strumenti che consentono 01:44:39.760 --> 01:44:41.980 non necessariamente 01:44:41.980 --> 01:44:44.300 a sezionare il contenuto del 01:44:44.300 --> 01:44:57.780 Ma se inserisco un file con il nome di un cliente o parole chiave molto sensibili, immediatamente o entro due giorni, ricevo un'e-mail e ho fatto il test, ad essere molto onesti. 01:44:57.780 --> 01:45:05.560 Ricevo un'e-mail dal CISO che mi spiega perché avete caricato questo file su ChatGPT, ad esempio. 01:45:05.560 --> 01:45:13.680 È ovvio che dovremo regolamentare l'uso dell'intelligenza artificiale. 01:45:13.680 --> 01:45:24.091 Faccio l'esempio dell'utilizzo dell'intelligenza artificiale, non so, per costruire un programma di lavoro, una presentazione, ma allo stesso 01:45:24.018 --> 01:45:34.210 modo noi, come revisori, dovremo cambiare un po' il nostro modo di fare audit, perché ho alcuni clienti che stanno iniziando a implementare 01:45:34.210 --> 01:45:40.107 l'intelligenza artificiale nei loro sistemi, in particolare nel settore bancario. 01:45:40.180 --> 01:45:52.771 Quindi, come revisore, dovrò esaminare l'algoritmo. Non so se arriverò a tanto, ma alla fine, come viene addestrata l'IA, come viene 01:45:52.771 --> 01:45:58.274 gestito il tutto per garantire che non ci siano pregiudizi? 01:45:58.180 --> 01:46:07.370 Quindi ci stiamo lavorando. Non credo di essere l'unico in BDO, ma credo che le società di revisione come la nostra stiano lavorando su come, a lungo termine, 01:46:07.370 --> 01:46:13.975 dovremo verificare questi modelli di intelligenza artificiale, perché è chiaro che stanno occupando molto spazio. 01:46:13.860 --> 01:46:21.800 Quindi, come ho detto, questa deve essere una delle nostre preoccupazioni. 01:46:21.800 --> 01:46:27.920 Farò solo qualche altra domanda, perché ce ne sono molte. Una cosa che emerge spesso è la questione della responsabilità. 01:46:28.180 --> 01:46:31.840 in termini di conservazione dei dati, chi è responsabile? 01:46:31.840 --> 01:46:34.240 So che l'avete presentato spesso, ma vedo che viene fuori spesso. 01:46:34.240 --> 01:46:38.400 Quindi, questa responsabilità spetta al consiglio di amministrazione o alla direzione? 01:46:38.400 --> 01:46:41.420 Prima abbiamo parlato dei proprietari dei dati nelle aziende. 01:46:41.420 --> 01:46:51.080 In definitiva, chi è ritenuto responsabile di questa conservazione? 01:46:51.080 --> 01:46:57.780 Il responsabile è la persona che raccoglie i dati. 01:46:57.960 --> 01:47:00.680 È quindi il responsabile del trattamento dei dati. 01:47:00.680 --> 01:47:10.920 E poi, all'interno della vostra azienda, saranno di solito gli amministratori. 01:47:10.920 --> 01:47:16.940 In seguito, alcune grandi aziende possono nominare un consulente per la protezione dei dati, 01:47:16.940 --> 01:47:21.980 a livello di RGPD, è noto come DPO, Data Protection Officer. 01:47:21.980 --> 01:47:25.180 Ma questa rimane una funzione interna. 01:47:25.300 --> 01:47:29.620 Questo potrebbe creare responsabilità interne in termini di compiti di questa persona. 01:47:29.620 --> 01:47:34.700 Ma la responsabilità ultima rimane in capo al management dell'azienda. 01:47:34.700 --> 01:47:40.180 Dopo la persona giuridica, cercheremo le persone fisiche. 01:47:40.180 --> 01:47:46.840 Qualcuno ci ha chiesto se, ad esempio, nella questione dell'alterazione dei documenti o dell'archiviazione conservativa, 01:47:46.840 --> 01:47:49.960 si tratta di uno scambio di e-mail con un documento allegato con valore legale. 01:47:53.620 --> 01:47:58.120 Il valore legale è quindi un concetto di per sé piuttosto astratto. 01:47:58.120 --> 01:48:02.500 Quindi, se fa parte di una controversia, può sempre essere prodotto. 01:48:02.500 --> 01:48:08.480 C'è poi la questione del valore probatorio di un'e-mail, 01:48:08.480 --> 01:48:12.260 Dipende da cosa si vuole ottenere. 01:48:12.260 --> 01:48:16.880 L'attaccamento, poi torniamo a parlare di cosa è l'attaccamento. 01:48:16.880 --> 01:48:26.560 Se si tratta di un contratto, ad esempio, firmato elettronicamente, sì, in quel caso si tratta del documento stesso. 01:48:26.560 --> 01:48:34.000 Come abbiamo detto, se è stato archiviato elettronicamente nel modo corretto, ha pieno valore probatorio. 01:48:34.000 --> 01:48:41.600 Stiamo arrivando alla fine. Ci sono molte domande che sono molto... In effetti, stiamo cercando elenchi di soluzioni. 01:48:41.600 --> 01:48:46.560 Vi invito a discuterne. Sono state avanzate diverse proposte. 01:48:46.880 --> 01:48:56.320 L'ho volutamente omesso, perché non pensavo fosse l'idea di questa discussione. Ma capisco che una soluzione concreta è ciò che tutti voi state cercando. 01:48:56.320 --> 01:49:07.500 Vi incoraggio quindi a continuare. Stiamo arrivando alla fine di questi dibattiti. Vorrei ringraziarvi per aver partecipato. Vedo che si tratta di un dibattito vivace. 01:49:07.500 --> 01:49:13.500 ma onestamente, alla fine, non l'ho più sollevato perché ce n'erano ancora, ma possiamo discuterne. 01:49:13.500 --> 01:49:19.280 Lascio a voi la discussione se il cloud possa davvero cancellare questi dati. 01:49:19.280 --> 01:49:26.420 In ogni caso, vorrei ringraziarvi per tutto, per le vostre domande, per la vostra partecipazione e vorrei ringraziare tutti coloro che hanno partecipato. 01:49:26.420 --> 01:49:31.480 Come potete vedere, è in arrivo un altro slideau per valutare la sessione odierna. 01:49:33.160 --> 01:49:43.720 Avrete quindi accesso a queste sessioni, che vengono registrate, in modo da poterle rivivere in video sul sito citato. 01:49:43.720 --> 01:49:50.380 Vorrei ringraziare tutti i partner che rendono possibili queste colazioni. 01:49:50.380 --> 01:50:03.537 Concludo qui. Quindi la CCIG, FER Genève, BDO, Deloitte, EY, KPMG, PwC, Entreprises Romandes e Bilan, che siamo lieti di unire a questa iniziativa. Ringrazio tutti 01:50:03.537 --> 01:50:15.179 i partecipanti e l'OCEI per l'organizzazione di queste colazioni e vi ricordo che la prossima si terrà il 28 novembre sul tema dei dazi doganali. 01:50:15.100 --> 01:50:18.180 Anche su questo, immagino, possiamo avere vivaci dibattiti. 01:50:18.180 --> 01:50:20.760 Ecco, quindi, grazie. 01:50:20.760 --> 01:50:26.380 Vi invito a proseguire la conversazione nella stanza accanto per chiunque voglia continuare il dibattito. 01:50:26.380 --> 01:50:26.940 Grazie mille per il suo tempo.