Pubblicato il 29/01/2018
“Si attacca con la forza frontale, ma si vince con quelle laterali.”
Sun Tzu, L'arte della guerra
Era il 2004 quando un ex ingegnere della AOL, tra le più grandi compagnie per la creazione e la distribuzione di contenuti multimediali online del mondo, Jason Smathers sottrasse 92 milioni di indirizzi mail di utenti per venderli a spammer. Le mail indesiderate sugli account violati raggiunsero i 7 miliardi con una perdita per la società americana di milioni di dollari. Al giudice Smathers disse “Il cyberspazio è un posto nuovo e strano. Ero bravo a navigare in quella frontiera e sono diventato un fuorilegge". La condanna allora fu minima, un anno e tre mesi, grazie anche alla decisione del giovane impiegato di collaborare con le autorità giudiziarie.
Poi nel 2007, sempre negli Stati Uniti, alcuni hackers riuscirono ad entrare nei database di alcuni store come TJ Maxx, Barnes & Noble e BJ's Wholesale Club, riuscendo a rubare i codici di milioni di carte di credito e bancomat. Viene considerato ancora oggi, come il più grande caso di frode e furto di identità nella storia americana. Costò al principale colpevole, Albert Gonzalez, allora poco più che ventottenne, ben 20 anni di carcere in una prigione federale. Da allora i data breach o violazione dei dati sensibili si sono moltiplicate in modo ipertrofico, coinvolgendo ogni settore e moltissime aziende e istituzioni in tutto il mondo. Se la modernità è stata caratterizzata da una corsa alle risorse naturali, l'epoca in cui viviamo, la post-post-modernità si basa su un'economia di dati, di informazioni. Il nuovo petrolio siamo noi e la guerra si combatte in quello spazio di frontiera, come lo aveva definito Smathers, che sembra non avere né leggi né controllori.
Cosa sono i data breach
Per una maggiore chiarezza riportiamo la definizione che il GDPR, Art.4, p.12, dà del data breach: “Per Violazione di dati si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”
Potremmo definire i data breach come incidenti di sicurezza, che consistono o nella divulgazione non autorizzata di dati sensibili o nel loro utilizzo illecito. Tali incidenti possono essere causati da, per fare degli esempi:
- una perdita accidentale dei dispositivi che conservano i dati;
- un furto di tali dispositivi (pc, USB, ecc.);
- infedeltà aziendale, come il caso AOL insegna;
- accesso non autorizzato ai sistemi informatici.
Ci sono moltissimi esempi di data breach, i più comuni sono i furti di documenti di identità e di codici segreti, dalla password delle mail o di altri account al pin del bancomat e al numero della carta di credito; poi ci sono le violazioni della proprietà industriale il cui obiettivo, attraverso la sottrazione di brevetti, liste clienti, progetti, è principalmente quello di fare spionaggio industriale e concorrenza sleale.
I data breach sono entrati di prepotenza nell'agenda politica, catturando attraverso i media l'attenzione dell'opinione pubblica. Se prima era un argomento, avrebbero detto gli studiosi di comunicazione, “freddo” ovvero di interesse di pochi, adesso, causa anche la nostra sovraesposizione digitale e il racconto mediatico che ne viene fatto, il data breach è diventato oggetto di discussioni pubbliche e di normative internazionali, che impongono non solo di ripensare il modo in cui le società trattano le informazioni, ma anche una maggiore consapevolezza negli interessati.
Data breach e normativa
Il GDPR, rispetto alla precedente direttiva, impone a tutti i titolari del trattamento di dati sensibili di notificare all'autorità di controllo la violazione di tali dati e di farlo entro 72 ore dal momento in cui si viene a conoscenza dell'intrusione nel sistema. Seppure, l'obbligo di notifica si estenda a tutti i titolari, esso va valutato caso per caso.
In un articolo sul tema, l'avvocato Alessandro Frillici, distingue tra il data breach in un ospedale e quello fatto ai danni di un'agenzia di comunicazione. Ammettiamo, quindi, che si sia verificato un furto nel database di una struttura sanitaria e che tale furto renda impossibile schedulare gli interventi chirurgici previsti nel periodo. È evidente che le motivazioni per far scattare l'obbligo di notifica ci sono tutti, anzi, nel caso di rischio elevato per le persone coinvolte, è obbligatorio anche una tempestiva comunicazione agli interessati ovvero i pazienti. Ora, invece, pensiamo ad un altro incidente magari ai danni di una società più piccola, il cui database viene di norma usato per inviare mail informative, come ad esempio una newsletter, e che il data breach comporti solo il ritardo nella ricezione di queste mail. L'obbligo in questo caso non ci sarebbe. Ma cosa oggettivamente fa scattare l'obbligo di notifica e la successiva comunicazione agli interessati? Come si legge nella normativa europea, affinché il titolare notifichi il data breach, questo deve costituire un rischio per i diritti e la libertà delle persone fisiche, perché a questa segua la comunicazione all'interessato in modo pubblico o privato, a seconda del numero di persone da raggiungere, tale rischio deve essere elevato.
La disposizione di legge riporta un elenco a titolo esemplificativo dei rischi che comportano la notifica obbligatoria:
- perdita del controllo dei dati personali;
- limitazione dei loro diritti;
- discriminazione;
- furto o usurpazione di identità;
- perdite finanziarie;
- decifratura illecita della pseudonimizzazione;
- danno alla reputazione;
- perdita di riservatezza di dati personali protetti da segreto professionale;
- qualsiasi altro danno economico o sociale rilevante per la persona interessata.
Sanzioni in caso di mancata notifica
Le sanzioni nel caso di mancata notifica e di comunicazione non tempestiva variano a seconda del livello di rischio e sono specificate nell'art.58 del GDPR e possono andare da semplici avvertimenti e ammonimenti alla revoca delle certificazioni sulla sicurezza, gli standard ISO ad esempio, alle limitazioni nel trattamento fino alle sanzioni amministrative ben più severe rispetto al passato. Le multe possono, infatti, arrivare a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell'anno precedente, se superiore.
Qualificazione e valutazione del rischio
Lo svilupparsi dei data breach in un mondo profondamente e pericolosamente interconnesso ci ha insegnato che la sicurezza non può essere solo il tema al vaglio di giudici e legislatori, non possiamo comportarci come fosse del latte versato. La sicurezza nel cyberspazio è un elemento strategico a pari di tanti altri e, forse, il più importante degli altri. Notificare un data breach significa valutare il rischio, significa agire a monte, in modo predittivo per controllare e arginare le possibili intrusioni. Significa dotarsi di un sistema di gestione degli incidenti e di risorse umane, non solo tecniche in grado di lavorare in modo rapido, adeguato e tempestivo.
Più la società è grande, naturalmente, più questo diventa necessario. Perché, come diceva Sun Tzu, “I guerrieri vittoriosi prima vincono e poi vanno in guerra, mentre i guerrieri sconfitti prima vanno in guerra e poi cercano di vincere.”
smSend e la sicurezza: tre domande al responsabile del Customer Care, Gabriele Simonetti
Cosa rende smSend un servizio sicuro per i dati degli utenti?
smSend è l'unico portale che fornisce una doppia psw per garantire un maggiore livello di sicurezza proteggendo i dati dei suoi utenti svincolando l'accesso al software di invio e gestione rubriche, un token di sicurezza come nell'on-line banking
Sul sito si legge che smSend è un gateway SMS protetto da protocollo SSL TLS , ci spieghi in breve cosa significa?
Si tratta di un protocollo che permette una comunicazione end-to-end più sicura grazie alla crittografia applicata che previene una manomissione o l'intercettazione dei dati trasmessi.
Una delle preoccupazioni principali degli utenti è la vendita dei propri dati a terzi, qual è la politica di smSend a riguardo?
I dati dei nostri utenti sono trattati nel massimo rispetto della privacy, non sono ceduti o venduti a terzi e gli acquisti vengono effettuati tramite piattaforme certificate su cui gestire tranquillamente le transazioni (PayPal, Banca Sella, GestPay, Hype o MyBank)