Il Data Brech lycamobile e la diffusione di dati sensibili online

Avv. Vincenzo Colarocco

Se è vero che i dati personali, costituiscono il nuovo petrolio è altresì vero che le violazioni di dati personali tendono a imporsi quali veri e propri attentati ai diritti e alla libertà delle persone fisiche, rivendicati dagli artefici, al fine di far conoscere le finalità della propria azione, oltre che diffondere una regime di “terrore” volto a minare i paradigmi adottati dalle aziende per rafforzare la cybersecurity, quale responsabilità condivisa che deve essere affrontata in modo sinergico, tra aziende, istituzioni e utenti. Nel solco di tali attacchi e rivendicazioni, sempre più frequenti, lo scorso 5 novembre, il gruppo di hacker LulzSec (Lulz Security) annunciava sul proprio profilo Twitter di essere entrato in possesso di una grande quantità di informazioni di natura sensibile, relative ai clienti dell’operatore telefonico low cost Lycamobile. In particolare, il data breach perpetrato ai danni dei migliaia di Clienti di Lycamobile ha avuto ad oggetto dati personali di natura particolare estratti da carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM, oltreché credenziali di accesso dei rivenditori. Alla violazione di sicurezza è poi seguita la diffusione online, sulla piattaforma MEGA, di un’esigua entità dei dati sensibili raccolti illecitamente, che in tal modo sono stati resi accessibili a qualsivoglia soggetto potenzialmente predisposto a porre in essere futura attività illecita proprio a mezzo di tali dati. Nei casi di data breach analoghi a quello summenzionato, a norma degli artt. 33 e 34 del Regolamento UE 2016/679, il Titolare del trattamento ha l’obbligo di notificare l’avvenuta violazione all’Autorità competente nel termine di 72 ore dalla scoperta dell’evento, scaduto il quale è necessario corredare la notifica dei motivi del ritardo. Nel caso di specie, avendo la violazione comportato un rischio elevato per i diritti delle persone è altresì richiesto dalla normativa di riferimento che il titolare del trattamento la comunichi a tutti gli interessati, utilizzando i canali più idonei, a meno che non abbia già adottato misure tali da ridurne l’impatto. Considerato che, senza le giuste competenze e risorse, però, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione rappresentano una seria sfida nell’ambito della cybersecurity, si rileva, ad oggi, che tale specifica comunicazione, la quale vedrebbe come destinatari i clienti di Lycamobile, non sarebbe avvenuta, né direttamente a mezzo di Short Message Service sulle singole utenze, né indirettamente, a mezzo del sito web ufficiale dell’operatore telefonico.