GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Furto di dati: le conseguenze di un'attività in crescita


giovedì 2 maggio 2019
Avv. Gianni Dell'Aiuto





I giornali ne hanno dato notizia ponendo più l’attenzione sulle modalità con cui l’operazione si è svolta che non sulle conseguenze per privati e aziende. Un tranquillo ragazzo, studente neppure di informatica ma di giurisprudenza, munito del suo normalissimo portatile, si è seduto al tavolino di un bar vicino alla sede di un grande provider e, tra un caffè e un gelato, ha rubato le credenziali di accesso mail a circa un milione e quattrocentomila utenti che utilizzano indirizzi Virgilio e Libero, gestiti da Italiaonline.

Comunicazioni via Telegram, pagamenti da parte del committente in Bitcoin e il ladro di dati, in pochissimo tempo e usando una banalissima antenna per intercettare la rete Wi-Fi di Italiaonline, neppure troppo sofisticata, ha portato a termine il suo compito. Ovviamente, adesso, dovrà vedersela con l’autorità giudiziaria e risponderà, presumibilmente e in attesa dell’esito delle indagini, dei reati di accesso abusivo a sistema informatico (che nella sua forma semplice è perseguibile a querela di parte), di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, forse violazione o soppressione di corrispondenza; non è da escludersi la frode informatica di cui all’art. 640 Ter. C. P. Chissà se l’azienda danneggiata riuscirà ad ottenere dall’autore dell’accesso pirata il risarcimento dei danni cagionatigli.

Ciò che però la maggior parte della stampa ha tralasciato o si è limitata solo a pochi accenni, è la circostanza obiettiva che il sistema informatico del fornitore di servizi è stato violato e che si è avuta una perdita di dati. Tutto ciò impone l’attivarsi di tutte le procedure previste dal GDPR cui Italiaonline dovrà dimostrare essersi adeguata per evitare pesanti conseguenze ma che, anche solo ad una prima analisi della vicenda, perlomeno come riferita, diviene una probatio diabolica, stante l’obiettiva perdita dei dati. In ogni caso Italiaonline, così come previsto dal regolamento Europeo, si è già attivata comunicando la violazione del sistema ai propri utenti, chiedendo il cambio delle password. Stessa comunicazione ai sensi del Considerata 85 e dell’art. 33 del GDPR dovrà essere portata a conoscenza del Garante per iniziare l’istruttoria del caso ed emettere i conseguenti provvedimenti sanzionatori. Ovvio, previsioni ad ora non possono essere fatte e l’azienda oggetto dell’attacco informatico dovrà proporre le proprie difese, ma la falla del sistema appare evidente e il rischio di sanzione decisamente concreto. 

Questo episodio offre in ogni caso interessanti spunti di osservazione sulla circostanza che i nostri dati personali hanno un altissimo valore non solo per aziende e privati che possono svolgere attività lecite, ma anche e in particolar modo per coloro che decidono di utilizzarli per scopi illeciti: dai ricatti on line al furto di identità; dall’accesso abusivo al sistema per rubare dati personali o riservati fino a giungere alle coordinate bancarie o ai dati delle carte di credito o di altri sistemi di pagamento.
Ulteriore considerazione è che i sistemi, anche in cloud, sono particolarmente vulnerabili e che le policy di aziende e professionisti, indipendentemente dalla dimensioni, dovranno essere adeguate in proporzione all’attività svolta, alla tipologia dei dati trattati, alle proprie dimensioni e capacità finanziarie.

Un richiamo anche a tutti coloro che, ancora, non si sono adeguati al GDPR prevedendo mezzi non solo tecnici in relazione alle misure di sicurezza, ma anche organizzativi e documentali. I primi sono indispensabili per cercare di evitare attacchi dall’esterno; i secondi non hanno certo meno valore in quanto permettono di potersi attivare e cercare di minimizzare gli effetti non solo di simili casi, ma anche per ipotesi di perdita di dati o erroneo trattamento degli stessi, oltre che di violazione dei diritti dell’interessato. Forse per molti un costo eccessivo ma, come la rata di un’assicurazione, indispensabile quando si verificherà l’evento danno non voluto.




CONDIVIDI QUESTA PAGINA!