Retail 4.0: quando la vendita è online, la sicurezza informatica è una priorità

Domenico Raguseo, Head of Digital Factory CyberSecurity Exprivia

La sicurezza informatica nel mondo del Retail 4.0
Domenico Raguseo, Head of Digital Factory CyberSecurity Exprivia

Retail 4.0: funzioni e opportunità

Il Retail 4.0 è diventato il protagonista di una rivoluzione silenziosa nel mondo della distribuzione, trasformando radicalmente l'esperienza d'acquisto. L'integrazione delle tecnologie digitali ha già influenzato settori come l'industria manifatturiera, la sanità e la finanza, ma è proprio nel retail online e nel mondo della distribuzione che sta avvenendo una metamorfosi altrettanto significativa. Come nell'industria con l'Industry 4.0, anche l’e-retail si evolve adottando tecnologie innovative, ridefinendo i processi industriali e le dinamiche del commercio digitale, aprendo nuove frontiere per l'ottimizzazione e la personalizzazione dell'offerta.

Il lockdown legato all'emergenza Covid-19 ha dimostrato come sia possibile e semplice lavorare da casa, assistere a lezioni da remoto e anche acquistare e vendere beni o servizi da qualsiasi dispositivo connesso a una rete internet. L'esperienza dell'e-commerce e del Retail 4.0 è, dunque, ormai entrata nella nostra quotidianità.

Cos’è il Retail 4.0 e vantaggi per le aziende

Il Retail 4.0 è l'evoluzione estrema dell'idea di negozio fisico che si pone come obiettivo la personalizzazione di ogni servizio. Se il concetto di negozio si ispirava, inizialmente, all'idea di vendere in un unico posto qualunque cosa, oggi il retail digitale permette alle aziende di personalizzare i processi di vendita per farli diventare dei servizi su misura del consumatore, utilizzando le ultime tecnologie: dall'e-commerce all'IoT, dal cybertech alla blockchain e all'intelligenza aumentata. Non si tratta solo di acquistare o vendere da casa, ma di trovare quel giusto mix di servizi che consentano al consumatore di trovarsi a proprio agio.

Retail online e sicurezza informatica: la protezione dei dati e la garanzia della privacy

Per poter correttamente personalizzare i servizi sulla base dei profili e delle esigenze dei consumatori, è necessario poter accedere ai dati stessi dei consumatori nel rispetto delle regole vigenti sulla privacy.

La protezione del dato e la garanzia della privacy sono pertanto temi attinenti all'area della sicurezza informatica e della Cyber Security nel settore del retail online, a cui il l’intero mercato della distribuzione deve necessariamente prestare attenzione.

Un fattore importante per questa tipologia di business è sicuramente il meccanismo di fiducia che si instaura con il consumatore. In altre parole, è necessario che quest’ultimo superi la diffidenza dovuta alla preoccupazione per il potenziale rischio di abuso nell'utilizzo dei suoi dati personali. Il fornitore del servizio ha il dovere di difendere i dati dei consumatori da potenziali attacchi informatici e di garantire la sicurezza dei dispositivi per il retail, onde evitare di minare il rapporto di fiducia creatosi.

Oggi tutti ricordano quando nel 2013, a un’azienda primaria del mondo della distribuzione, furono rubati dati relativi a PIN criptati di carte di debito, nomi, indirizzi, numeri di telefono e indirizzi e-mail dei consumatori. Oggi le cose non sono molto cambiate. Il numero di carte di credito e relative credenziali rubate superano le decine di milioni e il costo nel dark web di una carta di credito con relative credenziali è inferiore a quello di una cartella clinica. Ovviamente, queste informazioni non vengono rubate solo attraverso portali web del settore retail, ma resta la preoccupazione del consumatore che desidera sempre maggiori rassicurazioni sul trattamento dei dati durante un acquisto online.

Principali normative di sicurezza nel Retail 4.0

Le normative di sicurezza nel retail digitale vengono in aiuto per identificare i controlli più opportuni per la riduzione del rischio durante l’acquisto o la vendita. Di seguito alcuni riferimenti legislativi e suggerimenti utili:

  • gestire tutti i log di accesso e attività sui dati personali in conformità alle normative vigenti (art. 30 del GDPR, Records of data processing);

  • pseudonimizzare i dati acceduti in modo da garantire privacy e riservatezza dei dati originali;

  • garantire che il dato non venga acceduto qualora non ci sia il consenso del proprietario o che l'accesso venga rimosso qualora il proprietario decida di revocare il consenso;

  • garantire che il dato venga cancellato logicamente e fisicamente qualora il proprietario lo richieda (art. 17 del GDPR);

  • informare le autorità nell'eventualità dell'avvenuta violazione di un dato sensibile fornendo le informazioni necessarie;

  • garantire che il dato venga protetto adeguatamente.

La protezione del dato necessita di un'attività di assessment in grado di identificare il controllo di sicurezza più opportuno da implementare. La gestione dei log, la pseudonimizzazione, la gestione del consenso e il diritto all'oblio sono, infatti, concetti sui quali sviluppare processi di implementazione della sicurezza informatica nel Retail 4.0.

Il ruolo della tecnica della microsegmentazione nell’online retail

Sicuramente la prima delle domande da porsi al fine di proteggersi da attacchi informatici nel retail digitale è: qual è il dato da proteggere? Per poter rispondere è utile partire proprio dalla microsegmentazione.

La microsegmentazione dei dati è una tecnica che consente di applicare controlli di sicurezza agli asset presenti nel data center o nel cloud in funzione delle necessità. Tale procedura consente di avere maggiore flessibilità e granularità rispetto alla segmentazione classica delle reti e delle applicazioni, rendendo più semplice bloccare movimenti laterali tra data-center, cloud e ambienti ibridi.

Una volta microsegmentati i data center e i deployment su cloud, è necessario censire e gestire tutti i dispositivi (hardware e software inventory) che fanno parte della supply chain, verificando che non siano presenti malware o attacchi in corso. Inoltre, va constatata l'assenza di vulnerabilità attraverso l'accelerazione del processo di risoluzione e gestione delle vulnerabilità. Per questo motivo, è fortemente raccomandata l'integrazione tra il processo di inventory e il SIEM (Security Information and Event Management).

In sintesi, ecco delle raccomandazioni utili per le aziende che vogliono garantire la massima sicurezza nel mondo Retail 4.0:

  • Adempiere alle normative: garantisce non solo di evitare multe per eventuali violazioni, ma anche di migliorare la percezione che il consumatore ha nei confronti della multicanalità nel Retail 4.0;

  • Verificare che elementi e dispositivi della supply chain non siano compromessi: ad esempio utilizzando sistemi EDR, Endpoint Detection and Response;

  • Non dimenticare la discovery del dato sensibile: un'attività fondamentale per una solida protezione del dato sensibile;

  • Implementare il processo SIEM integrato: ad esempio attraverso processi di inventory e patch management.