Articoli

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.