Articoli

TEST GDPR per settore bancario e finanziario: tutti bocciati

Avv. Vincenzo Colarocco

ImmuniWeb ha condotto una ricerca lo scorso 10 luglio sulla sicurezza dei dati gestiti dalle nostre banche. I risultati? Per nulla rassicuranti: il 97% delle più grandi banche sono a rischio di furto di dati online, e il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio. In particolare tra le app esaminate, 85 non hanno superato il test di conformità al GDPR, 25 non sono protette da firewall, e 7 contengono vulnerabilità note e sfruttabili dagli hacker.

La situazione non migliora guardando al settore del Fintech. Immuniweb ha rivelato i dati in un nuovo report emesso il 20 agosto mettendo in evidenza che il 100% delle aziende ha problemi di sicurezza, privacy e conformità relativi ad applicazioni web, API e sotto-domini abbandonati o dimenticati. In questo ambito sono stati rilevati 8 siti web principali e 64 sotto-domini con almeno una vulnerabilità di sicurezza divulgata pubblicamente e sfruttabile a medio o alto rischio. Anche con il mobile i dati sono sconcertanti: il 100% delle applicazioni mobili contiene almeno una vulnerabilità di sicurezza a rischio medio, il 97% presenta almeno due vulnerabilità a rischio medio o alto. Il 56% dei back-end di app mobili presenta gravi configurazioni errate o problemi di privacy relativi alla insufficiente protezione della sicurezza del server web.

Come far crescere la fiducia di investitori e risparmiatori se il livello di allerta e di pericolo raggiunge i massimi livelli, non solo per i dati personali? È chiaro, infatti, che hackerare l’home banking permetterebbe a terzi sconosciuti di compiere operazioni con i soldi degli investitori attraverso la gestione del conto bancario e di altri servizi finanziari.

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).