GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/480/01.png

Dettaglio news
Data breach e rischi per l'utenza: vittime non solo le grandi aziende


mercoledì 27 gennaio 2021
Avv. Gianni Dell'Aiuto





Quando si sente parlare di furto dati, specialmente di grandi quantità di dati o dati sensibili, il primo pensiero va alle aziende che, per dimensioni e tipo di attività , necessitano di disporre di grandi quantità di dati, ma possono essere vittime di furto anche realtà più piccole che, probabilmente, tengono la guardia più abbassata sul tema della protezione ritenendo di non essere esposte come le grandi imprese: non è così. Non solo grandi aziende come la compagnia telefonica Ho o la casa editrice De Agostini, oggetto di un recente attacco che avrebbe portato alla sottrazione di oltre 250.000 combinazioni di mail e password oggi a disposizione di chi le volesse acquistare sul dark web.

La notizia, consultabile a questo link, ci porta a conoscenza della vicenda di una farmacia di Varese che, oltre al danno, ha subìto la beffa di vedere il proprio nome sbandierato nel web da parte di un giornalista non certo attento alla necessaria riservatezza che avrebbe dovuto dare alla vicenda. Ai clienti della farmacia la notizia avrebbe dovuto darla la farmacia stessa nel rispetto del GDPR; averla appresa dalla cronaca locale non deve essere certo piacevole. 

Dalla lettura della notizia sembra che la perdita dei dati sia dovuta ad un virus giunto con una mail, il sistema più semplice da utilizzare per un attaccante e, a quanto pare, anche quello più efficace in contesti medio piccoli, dove è piuttosto comune aprire messaggi di posta elettronica all’apparenza innocui e, nel caso della farmacia, con allegate quelle che potrebbero essere prescrizioni mediche. In ogni caso, oltre ai giorni di chiusura per ripristinare il sistema, il danno per l’attività commerciale sarà anche quello di informare i propri clienti, e non certo con un avviso all’ingresso, dei dati che corrono rischi a causa del data breach.

Non dimentichiamo infatti che, come titolare del trattamento, il proprietario della farmacia è sottoposto a tutta la disciplina del GDPR che comprende anche la fase successiva della gestione dell’attacco hacker: dalla comunicazione al Garante a quelle ai clienti, oltre alle eventuali richieste di risarcimento del danno.

I rischi per l’utenza possono andare dal furto di identità all’accesso ai fascicoli sanitari che, verosimilmente, contengono i dati sensibili relativi alle patologie per le quali venivano acquistati i farmaci. Laddove non fosse stata prevista precedentemente una policy per la gestione del Data Breach, potrebbe essere oltremodo oneroso un intervento successivo così come potrebbe essere salata la sanzione emessa dal Garante in quanto, oggettivamente, il data breach si è verificato.

Questa vicenda dovrebbe richiamare l’attenzione sulla circostanza che nessuno è fuori pericolo o immune dal rischio di un attacco informatico. Piccole realtà commerciali e professionisti non possono permettersi di credere che le loro dimensioni possano scoraggiare ladri di dati e ricattatori. E’ anzi verosimile che sia proprio questo elemento a renderli obiettivi più appetibili in quanto, come accennato, le difese e l’attenzione possono essere inferiori rispetto a quelle di grandi aziende più strutturate. 

Sul punto preme ricordare che il Garante già a suo tempo precisò che devono adeguarsi al GDPR e predisporre non solo semplici informative, magari raccolte in rete, anche i centri estetici, i bar, i ristoranti, i tatuatori e molte altre attività considerate minori ma non certo meno importanti ai fini del trattamento dati.

 

 

 




CONDIVIDI QUESTA PAGINA!