Il consulente risponde
Essere attaccati a livello informatico (purtroppo) è più comune di quanto si pensi e quando succede si configura un data breach. Il problema immediatamente successivo all’attacco è capire se bisogna notificarlo al Garante e agli interessati: stando alle linee guida del Comitato Europeo per la protezione dei dati (EDPB), infatti, la notifica al Garante non è sempre necessaria.
Iniziamo con le definizioni: di che cosa si parla quando si parla di “data breach”? Semplice: il data breach consiste in una violazione della sicurezza con specifico riguardo ai dati personali, in conseguenza del quale il titolare non potrebbe più garantire il rispetto delle prescrizioni previste dal GDPR.
Data breach: quando si deve notificarlo?
Quando si parla di privacy, a seguito di un attacco informatico scattano immediatamente alcuni obblighi in capo al titolare dai quali non si può scappare. Oltre alla compilazione del registro dei data breach (che è sempre da compilare) può esserci la necessità di comunicare tale violazione al Garante e agli interessati. Per tale comunicazione non ci sono dei criteri numerici (es. se vengono violati più di 100 dati è necessario comunicarlo) ma ci sono delle indicazioni generiche relative alla quantità e qualità dei dati.
L’EDPB (Comitato europeo per la protezione dei dati), nelle sue linee guida, offre una serie di casi atti a capire quando sia necessario fare la notifica al garante e quando agli interessati, sottolineando che, in ogni caso, è sempre necessaria la compilazione di un apposito registro delle violazioni.
Come per i Ransomware, le linee guida dell’EDPB offrono diversi esempi.
Data breach: attacco con furto di dati
Il primo tipo di attacco informatico che bisogna notificare è il classico furto dei dati. Si tratta di attacchi ai sistemi informatici che sfruttano le vulnerabilità presenti sui siti web e che, a differenza degli attacchi ransomware, hanno come obiettivo il furto di dati da utilizzare per scopi illeciti (vendita dei dati, minacce agli interessati, utilizzo degli stessi per creazione di profili/account fasulli e altro ancora). Si tratta di tipologie di attacchi molto conosciute, di conseguenza il titolare del trattamento ha a disposizione molte misure volte a ridurre il rischio.
Tra le principali: protocollo https, antivirus, firewall, criptazione dei dati, password sufficientemente forti, autenticazione in due fattori.
Un esempio di furto dei dati [Data Breach]
Un primo esempio riguarda il sito web di un’agenzia di collocamento, all’interno del quale è stato inserito un codice malevolo che ha reso possibile l’accesso ai moduli compilati dagli utenti (salvati sul Server) a soggetti non autorizzati. Nello specifico, il codice permetteva al malintenzionato, oltre l’accesso e l’acquisizione dei dati, di cancellare la cronologia delle estrazioni, presumibilmente dal registro dei log (il registro elettronico sul quale vengono registrati gli accessi al sistema, ossia ora di accesso e utente che ha effettuato l’accesso). Il codice malevolo è stato scoperto solo dopo un mese. A seguito di un’attenta analisi è risultato che solamente i dati personali degli utenti iscritti sono stati coinvolti nella violazione (non dati particolari, ossia queli relativi alla salute, all’orientamento politico, sessuale, etc).
Questa violazione è sintomo di vulnerabilità del sistema che dovrebbero essere eliminate tramite un aggiornamento della sicurezza.
Vista la grande quantità di dati presenti nei server del sito web e che questi, potenzialmente, sono in grado di ledere i diritti e le libertà degli interessati, in questo caso la notifica al Garante e agli interessati è necessaria e indiscutibile.
Altri esempi di furto dei dati [Data Breach]
Il secondo caso riguarda un sito web di cucina, un vero e proprio fenomeno del web al quale erano iscritte migliaia di persone, il cui server è stato attaccato tramite SQL Injection (ossia una tipologia di attacco fatta sui database relazionali che consiste nell’inserimento di un comando, quali ad esempio il download dei dati) che ha sfruttato delle vulnerabilità dello stesso. Per l’iscrizione al sito, il proprietario consigliava l’uso di un nickname, senza contare che le password utilizzate dagli utenti venivano crittografate tramite un forte algoritmo, che a seguito di analisi è risultato non compromesso.
La situazione qui è molto particolare: in questo caso, infatti, la notifica al garante non è stata necessaria, perché i dati sono stati violati, ma le accortezze (nickname e crittografia delle password) hanno fatto sì che non vi fossero pericoli per i diritti e le libertà degli utenti. Ciò non toglie, ovviamente, che il proprietario del sito abbia dovuto comunicare l’accaduto a tutti gli utenti coinvolti, consigliando il cambio di password, soprattutto se questa era usata per accessi ad altri siti.
L’ultimo esempio riportato dalle linee guida del EDPB (Comitato europeo per la protezione dei dati) riguarda una banca, il cui sito web (che forniva anche servizi bancari online) ha subito un attacco volto a recuperare tutti gli ID degli account degli utenti tramite l’utilizzo di una password banale e fissa. A causa di una vulnerabilità del sito web, l’attaccante è riuscito ad estrarre dati personali (nome, cognome, sesso, data e luogo di nascita, codice fiscale e codici identificativi) di circa 100.000 utenti e, in circa 2.000 casi, è riuscito ad entrare nell’account (tramite la stessa password). Il centro operativo della banca ha rilevato una richiesta anormale di accessi da parte del sito web, si è accorta dell’attacco e ha disabilitato l’accesso al sito, forzando il ripristino della password degli utenti coinvolti. Inoltre, è riuscita ad identificare tutti i tentativi di accesso illegittimi e a confermare che non è stata eseguita nessuna transazione.
A seguito del fatto la banca ha dovuto comunicare la violazione ai soli utenti degli account compromessi. Perché? In una banca vengono trattati una ingente quantità di dati la cui violazione può portare a conseguenze importanti per gli interessati. Nel caso in esame i dati rubati permettono l’identificazione della persona con possibili conseguenze, oltre che economiche, anche di altro tipo (per esempio tentativi di indovinare le password e campagne di phishing).
Le prime misure di sicurezza adottate sono sicuramente adeguate, ma l’evento è sintomo di una debolezza del sistema e per questo, a seguito dell’evento, le vulnerabilità sono state corrette ed è stata inserita un’ulteriore misura di sicurezza (l’autenticazione in due fattori). Vista la quantità e qualità dei dati coinvolti, la notifica al Garante in questo caso è obbligatoria così come lo è agli interessati, ma differentemente da quanto fatto è necessario comunicare l’evento a tutti gli utenti coinvolti (tutti e 100.000)
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.