Sono principalmente Micro Imprese e Piccole medie Imprese che manifestano la fragilità alle minacce da sicurezza informatica via internet a causa delle scarsa attenzione del management e di investimenti in software, hardware e sistemi operativi non più adeguati.
Una versione non supportata di Windows non riceverà più aggiornamenti software da Windows Update. Tra questi vi sono aggiornamenti relativi alla sicurezza con l’obiettivo di proteggere il PC da virus dannosi, spyware e altri malware che possono carpire informazioni personali.
Per fare un esempio, Windows 7 è andato in pensione, con la fine del supporto da parte di Microsoft in vigore dal 14 gennaio 2020.
Facciamo un po’ di chiarezza:
- in cosa consiste la fine del supporto?
- quali sono le implicazioni legali e GDPR?
1) In cosa consiste la fine del supporto?
Windows 7 è nato il 22 ottobre 2009 e per 5 anni è rimasto attivo il supporto mainstream, che permetteva di mantenere efficiente il proprio Sistema Operativo (S.O.) con aggiornamenti e nuove funzioni, mentre per i successivi 5 anni è stato possibile usufruire del supporto esteso, con piccoli aggiornamenti mirati (Patch) e appunto supporto generale.
Nel marzo 2019, Microsoft ha annunciato che il S.O. non verrà più aggiornato e stabilisce la fine del supporto o E.O.S. (End of support) per Windows 7 dal 14 gennaio 2020.
Cosa succede adesso?
- il S.O. continua a funzionare, ma non riceverà aggiornamenti;
- non viene più considerato sicuro e quindi potenzialmente esposto ad attacchi;
- non è più conforme al GDPR.
Un sistema operativo obsoleto è sicuramente più esposto ai rischi, anche potenzialmente disastrosi.
2) Implicazioni legali e GDPR
Cosa dice la legge nel caso in cui un professionista o un’Azienda che utilizza Windows 7 dopo il 14 gennaio 2020 subisca un attacco in cui vengano sottratti dati sensibili?
Sebbene la recente normativa europea in tema di privacy (GDPR – Reg. UE 2016/679) non obblighi esplicitamente di dotarsi di software aggiornati, la stessa contiene numerose disposizioni che rendono evidente un simile obbligo.
È ovviamente chiaro che ogni attività di trattamento di dati personali effettuata su software obsoleto sia illecita ai fini del trattamento privacy.
Per evitare il risarcimento chi era in possesso dei dati personali deve essere in grado di aver fatto tutto quanto il possibile per evitare il danno stesso.
È evidente che l’azienda che decide di non aggiornare il S.O. sarà direttamente responsabile in caso di perdite di dati (personali e non), inadempimenti e altri danni causati dal mancato funzionamento del software o da attacchi informatici subiti dopo il periodo di supporto ufficiale.
Su un piano più generale non bisogna, infine, sottovalutare il fatto che se di un software esistono due versioni, una rivolta all’utente generico e una rivolta all’utente professionale, è opportuno che le aziende si rivolgano alla versione del software pensata per loro.
Infatti la versione business dei software garantisce una piena adempienza al GDPR, policy di sicurezza aggiuntive e impostazioni specifiche per lo smart-working.
