La vicenda di cui parliamo oggi è nota a tutti.
Per riassumere, il 29 dicembre si diffondeva la notizia della presenza di un massiccio database di dati personali di clienti ho. mobile in vendita sul dark web; la veridicità di questa notizia veniva confermata anche da alcuni hacker, che si mettevano direttamente in contatti con dei clienti ho..
Prontamente contattata dalla stampa, la ho. inizialmente smentiva la notizia, dichiarando che all’azienda non risultava vi fosse stato alcun accesso massivo di informazioni relative ai suoi clienti.
Il 4 gennaio, però, ha ho. inviava ai suoi clienti un SMS di tutt’altro tono, con il quale informava di essere rimasta vittima di crimini informatici “… come numerose altre aziende” durante la pandemia; e che erano stati trafugati i dati anagrafici ed i dati della SIM (numero di telefono e seriale), ma non i dati di pagamento ed i dati di traffico.
Soltanto il 5 gennaio, infine, la ho. rilasciava un comunicato con il quale denunciava attività illecite da parte di ignoti sui dati dei propri clienti.
Il data breach
Il caso .ho ci aiuta a ricordare i numerosi pericoli che corriamo, quotidianamente, affidando le nostre informazioni personali ad aziende che probabilmente non pongono sufficiente attenzione alla tutela delle stesse. Ci offre, altresì, lo spunto per parlare di come (non) dovrebbe agire un’azienda vittima di un data breach.
Perché sì, in termini tecnici l’attività illecita subita da ho. è un esempio perfetto di data breach ai sensi del Regolamento UE n. 2016/679 (d’ora in avanti, GDPR), che disciplina, come sappiamo, la protezione delle persone fisiche con riguardo al trattamento dei dati personali.
ho. è stata vittima di attività che ricomprendono molteplici fattispecie penali, tra le quali spicca l’accesso abusivo a sistema informatico e telematico (art 615 ter c.p.), ma non è questo l’oggetto delle presenti riflessioni.
L’art. 4 del GDPR definisce i data breach come “violazione dei dati personali”, ossia la “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Gli obblighi in capo al titolare
Il GDPR prescrive specifici obblighi in capo al titolare del trattamento (la ho., appunto).
- in primis, l’obbligo di notifica del data breach all’Autorità Garante per la protezione dei dati personali “senza ingiustificato ritardo”, e, ove possibile entro 72 ore (art. 33 GDPR).
- in secondo luogo, l’obbligo di comunicazione agli interessati qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Nel caso di specie, la ho. ha inizialmente negato di aver subito un data breach, salvo poi ammettere tutto dapprima con i propri clienti, e poi con un comunicato stampa.
Nel comunicato rende noto di aver informato il Garante della Privacy, senza specificare le tempistiche. Ovviamente la comunicazione della sottrazione dei dati personali agli interessati era necessaria, tenuto conto che vi è un palese rischio elevato per i loro diritti e le loro libertà.
I rischi per gli utenti
A dire della ho. non sono stati trafugati i dati di traffico ed i dati relativi ai servizi di pagamento (come le carte di pagamento per le ricariche); nonostante questo, la sottrazione dei dati anagrafici e dei dati della SIM potrebbe portare a dei rischi (anche se non così semplici e scontati), tenuto conto del tipo di “breach”, della sensibilità dei dati e della facilità di associare i dati violati alle persone fisiche.
Il rischio più immediato è la vendita dei dati personali trafugati a società di profilazione (poco rispettose della privacy), che li useranno per campagne di spam mirate. Meno probabile è il rischio del c.d. SIM Swap: eventuali malintenzionati, in possesso dei dati personali, del numero di telefono e del seriale, potrebbero “sostituirsi” all’interessato e chiedere a suo nome la portabilità presso un nuovo operatore, al fine di avere il completo possesso della SIM con tutto ciò che ne consegue in termini di autenticazione a due fattori, o peggio ancora utilizzo della stessa per finalità fraudolente.
Ovviamente, i soggetti presso i quali è possibile effettuare la portabilità (si spera) saranno più attenti in fase di controllo dei documenti d’identità; ma è sempre consigliato il cambio della SIM (e quindi del seriale), peraltro offerto gratuitamente dalla ho..
L’accountability e le misure di sicurezza
La notifica da inviare al Garante della Privacy deve essere abbastanza dettagliata: deve contenere la natura della violazione dei dati personali, i dati di contatto del DPO del titolare (il responsabile della protezione dei dati che, obbligatoriamente, aziende come la ho. hanno l’obbligo di nominare), le probabili conseguenze della violazione, e soprattutto le misure adottate o da adottare per porre rimedio alla violazione e contrastarne gli effetti negativi (tra l’altro il Garante, pochi giorni fa, ha lanciato una piattaforma online tramite la quale effettuare le notifiche).
Soffermiamoci su quest’ultimo punto. Il GDPR, rispetto alla vecchia direttiva 95/46/CE, ha imposto un cambio di prospettiva circa la protezione dei dati in capo al titolare del trattamento, al quale, sulla base del fondamentale principio di accountability (responsabilizzazione) spetta il compito valutare e mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza parametrato al rischio (art. 32 GDPR).
Evidentemente, la ho. non ha approntato adeguate misure di sicurezze volte a prevenire efficacemente la sottrazione di dati personali; ed a nulla vale l’improvvida dichiarazione secondo la quale la .Ho è rimasta vittima di crimini informatici “come numerose altre aziende”.
Sul piano pratico, la ho. dovrà correggere le vulnerabilità che hanno permesso il data breach, migliorare l’approccio alla sicurezza delle informazioni, rafforzare le misure di sicurezza ed approntare un report interno che documenti gli accadimenti e le determinazioni successive al data breach.
Le sanzioni
Tutta questa documentazione sarà dirimente per il procedimento che è già stato aperto dal Garante per la Privacy, tenuto a valutare eventuali profili di responsabilità della ho. nel trattamento dei dati personali dei suoi utenti, ed eventualmente a comminare una sanzione amministrativa pecuniaria “effettiva, proporzionata e dissuasiva” ai sensi dell’art. 83 del GDPR, che può ammontare fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Il Garante della Privacy, nel valutare l’entità della (probabile) sanzione, valuterà non solo l’adozione precedente di misure di sicurezza adeguate al tempo dell’attacco, ma terrà conto anche del comportamento dell’azienda e delle sue successive determinazioni. Come detto, il comportamento di ho. non è stato precisamente da manuale, soprattutto nelle tempistiche, ma fondamentalmente ha seguito il protocollo.
Risarcimento dei danni
Non resta che parlare degli utenti della ho.. Per quanto possa essere probabile una qualche responsabilità dell’azienda, non è detto che i clienti abbiano diritto automaticamente al risarcimento dei danni.
In linea teorica:
“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento” .
(art. 82 del GDPR)
Ma, come detto sopra, per ora esiste solo un rischio che dal data breach derivino dei danni per gli utenti: non è detto che già si siano verificati, né che si verificheranno.
Peraltro la Corte di Cassazione ha precisato più volte che il danno da violazione dei dati personali è risarcibile solo qualora siano accertate la gravità della lesione, la serietà e la rilevanza del danno. In altre parole, un eventuale risarcimento dei danni sarebbe possibile solo qualora si verificassero conseguenze economiche rilevanti (peraltro, possibili, in caso di SIM Swap), e soltanto in caso di dimostrazione del nesso causale tra il data breach (l’utilizzo dei dati personali sottratti) ed il danno.