Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.