Qualsiasi business sano parte dalla fiducia del cliente. Ma una buona cyber security deve superare notizie inquietanti, quadri legali sfavorevoli e vecchie culture

Voglia di un piccolo cyber security shock? Prendi il tuo indirizzo email che preferisci e infilalo nel sito Have I Been Pwned?, come ho appena fatto io. È facile che ti segnali una violazione avvenuta di un tuo account personale. Eppure sembra tutto normale… che cosa è successo?

Sembra che nessuna azienda di nome riesca a proteggere i dati dei propri clienti in modo efficace. L’altroieri era Facebook (50 milioni di account), ieri Marriott (500 milioni), prima ancora Yahoo(3 miliardi), è toccato perfino ad aziende che sviluppano software di cyber security. Si vedono ingenuità colossali, come password conservate in chiaro dentro comuni file di testo, e grande reticenza nell’ammettere verità scomode rispetto alla gestione dei dati sensibili.

Facebook può fare spallucce e anzi annunciare la creazione di una moneta digitale, come a dire che la confidenza dell’azienda nella sicurezza della propria infrastruttura è massima. Altre organizzazioni di dimensione meno planetaria, invece, si trovano a fronteggiare un problema significativo. Una perdita di fiducia da parte dei fornitori o dei clienti può essere letale per il business.

Chiudersi a riccio è controproducente; comprare un nuovo firewall non basta. Il digitale richiede, al solito, un radicale ripensamento dei processi di business e della cultura interna. Possiamo provare a isolare qualche considerazione per aiutare chi veda la fiducia digitale come un vantaggio competitivo. E voglia avvalersene.

Il bicchiere della cyber security è mezzo pieno

Senza minimizzare per incoscienza, è peraltro vero che spesso le voci sulle fughe di dati fanno più clamore di quanto siano effettivamente pericolose. . Have I Been Pwned? è pieno di identificativi violati, ma quasi sempre su siti amatoriali o marginali, la cui insicurezza era messa in conto da subito. Non tutti i dati sono ugualmente critici.

Un sistema moderno, aggiornato con criteri di buon senso, dentro un’azienda consapevole, è ragionevolmente sicuro. I grandi cloud, dove operano le infrastrutture di molte aziende piccole e grandi, sono sorvegliatissimi.

Trasparenza batte opacità

Se tutti conoscono le modalità di protezione dei dati di un’azienda e questo non causa pregiudizio, il più è fatto. Per esempio, nessun sistema serio conserva le password degli utenti, neanche in forma cifrata; al massimo memorizza gli hash risultati di funzioni complesse dalle quali solo chi è legittimato può ricavare il dato originale. Un esempio: Apple spiega in modo approfondito come vengono protetti i dati sul proprio cloud e nell’hardware che vende. Questo genera fiducia molto più che la dichiarazione anodina di rispetto di GDPR.

Nessun sistema, inoltre, è inviolabile al 100 percento. Deve sempre preesistere quindi un piano di gestione della crisi. Nel piano, suggeriamo, sarà scritto di spiegare esattamente come stanno le cose, offrire ai clienti un contatto immediato e effettivo, informare tempestivamente e con chiarezza. Facebook ha l’abitudine di minimizzare all’inizio e poi, un comunicato dopo l’altro, alzare i numeri. Se lo può permettere; altre aziende, no.

Luce batte oscurità

Mentre lavorano alla sicurezza dei sistemi, molte aziende applicano tecniche di lock-in e dark pattern per rendere difficile al cliente il passaggio alla concorrenza e, nella sostanza, conservarlo a prescindere dalla sua fiducia. È una strategia che può rendere solo nel breve. Netflix, per esempio, offre una disiscrizione immediata e permette al cliente di ritornare dopo essersi preso una pausa conservando tutti i dati sulle proprie preferenze utili ad avere un servizio di raccomandazione efficiente; altre aziende, al contrario, sono più macchinose, anche se si intravede un miglioramento nelle condizioni, forse proprio perché ci si è resi conto che chi ha fatto fatica a uscire, non tornerà mai più. Questione di fiducia.

Un altro aspetto critico è l’eventuale richiesta di dati riservati da parte delle forze dell’ordine. Le aziende possono qui tutelare l’interesse del cliente solo fino a un certo punto. Anzi, alcune hanno anche millantato una resistenza alle ordinanze che nei fatti non c’era. La cosa migliore da fare è comunque dare onestamente conto della situazione, senza cercare di nascondere informazioni ritenute scomode. Che emergeranno lo stesso e in forma più dannosa.

La fiducia è un continuum

C’è una regola d’oro che consente di distinguere una azienda con digital trust e buona cyber security da una che non ci è arrivata: la prima lavora continuamente a rinnovare la fiducia. Tante vecchie culture aziendali che invece nascondono gli scheletri nell’armadio o pensano di poter comprare la tranquillità con un acquisto che metta il cuore in pace, dovranno affrontare un rinnovamento anche traumatico, o si troveranno a malpartito nei prossimi anni. Il digital trust è un investimento, non una spesa.