giovedì, Aprile 18, 2024
Fashion Law Influencer Marketing

Il rischio Cyber nelle industrie del Fashion e del Lusso: il caso Luxottica

Il rischio Cyber nelle industrie del Fashion e del Lusso: il caso Luxottica.

a cura di Dott. Kristian Massimei

Certo è che le industrie in rapido cambiamento, affrontano rischi in rapido cambiamento. Le nuove tecnologie giocano un ruolo fondamentale, e le aziende del fashion si affidano sempre più ad esse per realizzare i loro scopi economici. Pertanto, a causa di questa “digitalizzazione” di massa, il segmento della moda ha subito un passaggio – rapido e diretto – dallo shopping offline a quello online. Da ciò deriva che, le aziende scelgono di interconnettersi direttamente con il cliente e, in particolar modo, con i fornitori, in maniera digitale. Allo stesso tempo, però, sulla base dei crescenti livelli di Cyber-security, le industrie del lusso e della moda stanno perseguendo strategie per aumentare la sicurezza informatica dei loro beni patrimoniali digitali.

Per più di un giorno, Luxottica – leader nel design, produzione e distribuzione di occhiali di fascia alta, lusso e sportivi, con un portafoglio di marchi tra cui “Ray-Ban, Oakley, Vogue Eyewear, Persol, Oliver Peoples, Arnette, Costa del Mar e Alain Mikli, sia in licenza, come Giorgio Armani, Burberry, Bulgari, Chanel, Dolce&Gabbana, Ferrari, Michael Kors, Prada, Ralph Lauren, Tiffany & Co., Valentino e Versace[1]” – è risultata vittima di un attacco hacker attraverso l’utilizzo di un Ramsonware[2], il quale ha causato un blocco totale della produzione “senza tuttavia sottrarre dati riservati[3]”. Tale blocco, in realtà, ha provocato un vero e proprio guasto informatico che, secondo quanto appreso, ha reso impossibile il proseguimento di ogni tipologia di attività aziendale, provocando – in tal maniera – la chiusura totale degli impianti operativi[4]. Non è la prima volta che, nelle industrie del lusso e della moda, tali attacchi siano compiuti a mezzo di strumenti informatici: H&M[5], Patagonia[6] e persino Geox[7], nel corso di questi ultimi tempi, hanno ricevuto simili attacchi ai loro servers, i quali hanno portato a delle vere e proprie fughe di dati aziendali; il tema è di rilevante importanza, perché accanto a quest’ultimi, che rivestono comunque sia un numero maggiore in termini quantitativi, vi sono anche i dati dei Customers.

Il rischio Cyber, ad oggi, rappresenta uno dei maggiori rischi a cui un’azienda deve saper rispondere in maniera rapida e tempestiva. Se adeguatamente coperto con una Polizza[8] di Cyber-Risk, il danno sarà – quasi sicuramente – risarcito e l’attività aziendale riprenderà in maniera del tutto stabile. Tuttavia, in questi casi, è meglio “prevenire che curare”: sicuramente un ottimo programma di Risk management gioca un ruolo più che fondamentale. Anzitutto, è necessario che ogni singola azienda, servendosi di appositi professionisti, svolga una valutazione ex ante dei rischi probabilmente connessi all’uso delle infrastrutture informatiche. La Business Interruption, un uso improprio dei dispositivi aziendali da parte dei dipendenti/collaboratori che lavorano in Smart Working, la violazione dei sistemi ed il conseguente furto di informazioni societarie confidenziali, nonché degli assets digitali, rappresentano alcuni dei potenziali rischi Cyber connessi ad un attacco informatico; senza tralasciare il c.d. “Danno reputazionale”, cagionato indirettamente dall’impatto mediatico derivante dai media. Pertanto, risulta fondamentale: 1. Identificare il rischio; 2. Individuare le possibili minacce; 3. Individuare i danni che potrebbero derivare dal concretizzarsi delle minacce e la loro valutazione; 4. Identificare le possibili contromisure per contrastare le minacce arrecate alle risorse informatiche.

Da alcuni anni l’interesse degli operatori economici sul Cyber-risk è cresciuto in maniera notevole[9]. In tale quadro sistematico, l’assicurazione ha un ruolo complementare rispetto alle regole e procedure interne di risk management, laddove – e semplificando – mentre queste ultime sono dirette a prevenire e gestire il verificarsi di un evento di cyber-risk, la seconda interviene nel caso di verificazione del rischio, trasferendone le conseguenze dannose a un soggetto terzo, l’assicuratore appunto, a fronte del pagamento di un premio. La copertura assicurativa si apprezza, soprattutto, in termini di indennizzo per l’interruzione dell’attività d’impresa[10], per le perdite da risarcimento danni nei confronti di terzi e, più in generale, per i costi da violazione di dati e per ripristinare l’operatività dei sistemi compromessi dal cyber-attack[11].

Difatti, come disse John Chambers[12], esistono due tipologie di aziende: quelle che sono state violate e quelle che non sanno ancora di essere state violate.

Chissà se l’azienda Veneta, leader nell’eyewear, abbia già un response team idoneo ed operativo per rispondere all’attacco subito; resta il fatto che tali attacchi stanno aumentando a dismisura e, in particolare, sembrerebbero colpire sempre di più lo stesso target aziendale.

Note:

[1] Come meglio argomentato su Luxottica, “Profilo aziendale”,  http://www.luxottica.com/it/chi-siamo/profilo-aziendale.

[2] Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.

[3] Paolo Tartisano, “Attacco ransomware blocca Luxottica, ma la reazione è da manuale: ecco perché”, 22 settembre 2020, https://www.cybersecurity360.it/nuove-minacce/ransomware/attacco-ransomware-blocca-luxottica-ma-la-reazione-e-da-manuale-ecco-perche/

[4] Il blackout – che a quanto pare si è riverberato anche nelle propaggini più lontane dell’impero Luxottica in Cina – è presumibilmente correlato ad un ransomware, ovvero ad uno di software maligni che crittografa indebitamente i file e rende totalmente inservibile il patrimonio informativo di una azienda.

[5] Per quanto argomentato su TEISS,  “Fashion retailer H&M says data protection breaches unacceptable”,

 4 febbraio 2020, su https://www.teiss.co.uk/fashion-retailer-hm-says-data-protection-breaches-unacceptable/.

[6] Come meglio argomentato da Jake Sturmer, “Hackers breach clothing company Patagonia’s website, hundreds of customers’ bank details at risk”, 27 ottobre 2015, https://www.abc.net.au/news/2015-10-27/patagonia-website-hacked-600-customers-bank-details-at-risk/6888196.

[7] Proprio quest’estate l’azienda della “Scarpa che respira” ha visto il proprio comparto informatico in ginocchio per ben due giorni: reparto logistico, e-commerce e il sistema aziendale dedicato alle mail.

[8] Più precisamente, il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).

[9] Michele Iasselli, “Polizze assicurative nel settore del Cyber Risk: soluzioni operative”, 25 maggio 2020, https://www.cybersecurity360.it/soluzioni-aziendali/polizze-assicurative-nel-settore-del-cyber-risk-soluzioni-operative/.

[10] Si pensi qui, per esempio, oltre alla perdita di reddito anche ai danni da ritardato o mancato adempimento.

[11] DLA Piper, “L’assicurazione cyber risk tra le priorità? Le linee guida ISO su rischi informatici e copertura assicurativa”, 26 giugno 2019, su https://www.dlapiper.com/it/italy/insights/publications/2019/06/l-assicurazione-cyber-risk-tra-le-priorita/

[12] Informatico e dirigente d’azienda Statunitense.

Per ulteriori approfondimenti si legga:

Tedeschi, La cyber due diligence nelle operazioni di M&A: alcune riflessioni, Ius in itinere, 2020 disponibile su https://www.iusinitinere.it/la-cyber-due-diligence-nelle-operazioni-di-merger-and-acquisition-23349

Lascia un commento