In un recente provvedimento, (10010621 del21 marzo 1924), il garante per la Protezione dei Dati Personali, ha sancito importanti linee guida sul comportamento da tenere in caso di data Breach in particolare sulla valutazione della gravità dello stesso.

Nel caso in esame un’azienda operativa nel mercato del credito comunicava all’Autorità un attacco hacker subito dal responsabile del trattamento, il provider dei servizi, che portava alla cifratura e successiva esfiltrazione di dati e documenti presenti in 5 di 195 server gestiti da tale soggetto.
I dati criptati erano quelli identificativi e di contatto unitamente a quelli relativi all’attività professionale e connesse informazioni bancarie, tra le quali il numero di conto corrente, carta di credito, esposizione debitoria.

Di questo attacco veniva data anche notizia sui siti destinati alla raccolta e diffusione di attacchi ransomware.
La società, vittima non diretta del Data Breach ha successivamente comunicato al Garante che riteneva come la violazione non fosse “sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, rappresentando pertanto di non aver provveduto a informare gli interessati ai sensi dell’art. 34 del Regolamento.

Approfondisci l'argomento > Quanto costa un piccolo Data Breach per una piccola impresa? 

Di contrario avviso il garante che, nel suo provvedimento dove, nelle motivazioni, ha posto in evidenza la gravità dell’accaduto.
Muovendo dal presupposto che la tipologia di attività del Titolare (settore del credito), impone maggiori forme di cautela al fine, in particolare, di garantire la fiducia nei suoi confronti da parte dei clienti, soddisfacendo, nello specifico, le legittime aspettative di trasparenza e sicurezza del trattamento, il Garante ha rilevato che la natura della violazione dei dati personali, delle categorie dei dati personali oggetto di violazione, della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione quali, a esempio, il furto di identità, la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale, costituiscono una grave violazione che mette in pericolo la sicurezza degli utenti.

Potrebbe interesarti > Data breach: tre aziende su quattro non individuano le cause

Nel prosieguo della decisione, il Garante ha anche ricordato che le Linee guida nei casi di violazione dati evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l'autore dell'attacco può aver modificato e/o copiato i dati dal server. Lente d’ingrandimento, quindi, sul danno potenziale e sugli utilizzi non certo eventuali dei dati da parte dell’hacker o di chi ben potrebbe acquistarli.

Conseguenza della categoria di attacco e della tipologia di dati. L’Authority ha concluso che sussistevano i presupposti per ritenere il rischio come “elevato” e, richiamando i suoi stessi precedenti, ha posto in evidenza che: “Le violazioni che coinvolgono dati sanitari, documenti di identità o dati finanziari come i dettagli della carta di credito possono causare danni di per sé, ma se utilizzate insieme potrebbero essere utilizzate per il furto di identità. Una combinazione di dati personali è in genere più sensibile di un singolo dato personale.”

Potrebbe interessarti > La gestione della catena esterna della della Data Protection

La mancata comunicazione della violazione agli interessati ha impedito a questi ultimi di prendere le possibili precauzioni e non è stata data alcuna prova che l’invio di una mail informativa a tutte le vittime rappresentasse uno sforzo sproporzionato.
Da queste considerazioni la decisione di ingiungere al Titolare del trattamento di comunicare agli interessati la violazione dati e, di conseguenza, fornire un debito riscontro in ordine alle iniziative intraprese.

Non sarà certo piacevole per gli interessati venire a conoscenza via mail, da parte di un soggetto in cui riponevano fiducia e dati, che questi non erano adeguatamente protetti; che adesso sono in mano a un numero potenzialmente enorme di hacker e criminali e, non ultimo, che per venirne a conoscenza è stato necessario un provvedimento del Garante.

E si tratta di dati estremamente sensibili che sono alla base di un possibile furto di identità.
La Digital trust è, oggi, un elemento essenziale e fondante per ogni impresa e un caso come questo può ben farla perdere creando danno irreparabile più di una sanzione economica.