Secondo esperti di sicurezza e giurisprudenza non è bastato che le imprese abbiano premuto contro i provvedimenti a tutela della <b>cybersecurity</b>, poiché l’applicazione delle leggi vigenti negli Stati Uniti potrebbe portare a sanzioni civili e penali nei confronti delle compagnie, che non renderanno sicuri i loro network o che almeno non dimostreranno di avere un'adeguata strategia a riguardo. La sicurezza informatica non è soltanto un problema del settore tecnologico, ma vincola anche altre aree quali: la sanità, l’attività bancaria e il commercio ingannevole.

Il <b>Sarbanes-Oxley Act</b> del 2002 considera le aziende responsabili della propria sicurezza informatica imponendo controlli interni adeguati. Secondo Shannon Kellogg, direttore degli affari governativi della società di sicurezza informatica RSA Security, i revisori dei conti includono sempre di più la cybersecurity in questi controlli. Contro chi violerà il provvedimento, il Dipartimento di Giustizia potrà disporre imputazioni penali e addirittura il carcere. E' quanto afferma David Becker, socio di uno studio legale a Washington, in passato consigliere generale alla Securities and Exchange Commission, l’organo di controllo delle borse valori statunitensi.

Secondo la nota compagnia antivirus Trend Micro, virus e worm come SoBig e Slammer, intasando i network aziendali e sferrando attacchi micidiali ai siti Internet, sono costati alle aziende nel 2003 circa 55 miliardi di dollari. Altri rischi online, dal furto di identità allo spionaggio, sono più difficili da quantificare. Come contromossa lo scorso anno il Governo americano ha messo a punto un piano per incrementare la sicurezza online, ma l'impatto a livello pratico non è stato rilevante. In autunno una proposta di legge che avrebbe obbligato le società a divulgare i provvedimenti presi in materia di cybersecurity è stata rimandata a seguito dell’opposizione delle stesse società.

Secondo gli esperti, le aziende saranno comunque costrette ad aggiornare le loro difese online, grazie al Sarbanes-Oxley Act e ad altre leggi. Per esempio le organizzazioni nel settore della salute dovranno assicurare entro Aprile 2005, che i dati elettronici dei pazienti siano archiviati in maniera riservata e sicura, in conformità a quanto imposto dall’<b>Health Insurance Portability and Accountability Act</b> del 1996 (HIPAA). Banche e altri gruppi che si occupano di servizi finanziari hanno obblighi analoghi definiti nel <b>Gramm-Leach-Bliley Act</b> del 1999.

La Federal Trade Commission americana ha portato avanti delle azioni legali, arrivando a sanzionare alcune compagnie inadempienti in materia di sicurezza. Tra queste c’è la società farmaceutica Eli Lilly, che nel 2002 aveva involontariamante reso pubblici gli indirizzi email degli utenti che usavano la medicina antidepressiva Prozac. Anche alcuni tribunali si sono pronunciati contro le imprese. Lo scorso anno una giuria dello stato del Maine ha deciso, che Verizon Communications avrebbe dovuto tutelarsi meglio dalle minacce di Internet, costringendo l'operatore di telefonia a pagare le tasse per l’infrastruttura allo stato, anche nei casi di caduta della propria rete a causa degli attacchi online. A Washington, un giudice ha ordinato più volte al Ministero dell’Interno americano di staccare i suoi computer da Internet fino a che non fosse in grado di garantire che i versamenti del fondo fiduciario agli Indiani d’America fossero a prova di hacker.

Mentre l’opinione comune si divide tra chi prevede maggiore severità per le aziende, anche in relazione al temuto cyberterrorismo, e chi invece sdrammatizza la portata dei provvedimenti vigenti, è vero che le aziende considerano ormai la cybersecurity un obiettivo primario. Se i danni provocati da virus e warm non fossero già un argomento convincente, lo sarà forse in futuro la legge. [Guido Tauro]