Articoli

Google Calendar veicolo di truffe online

Avv. Vincenzo Colarocco

Un’indagine condotta dagli esperti cybersecurity di Kaspersky ha messo alla luce come, nell’arco dello scorso maggio, la nota piattaforma “Google Calendar” fosse stata utilizzata quale veicolo per la realizzazione di un’imponente truffa informatica finalizzata a colpire con azioni di phishing gli utilizzatori di questa funzionalità offerta dal colosso del web.

In particolare, è stato appurato che, sfruttando una funzione in grado di aggiungere automaticamente gli appuntamenti al calendario, i criminali informatici corredassero le mail di invito all’evento con un URL rimandante ad un sito terzo. L’utente veniva quindi reindirizzato, nella maggior parte dei casi presi in esame, all’interno di un sito in cui, “promettendo” la vincita di un premio, veniva richiesto ai naviganti di inserire i propri dati identificativi e i dettagli della propria carta di credito. I detti dati confluivano, quindi, nelle mani dei truffatori al fine di essere utilizzati per la sottrazione di denaro o per il furto di identità personali.

I ricercatori di Kaspersky hanno quindi consigliato agli utilizzatori di Google Calendar di disattivare l’aggiunta automatica di inviti al calendario al fine di evitare le descritte azioni di phishing.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

Quanto valgono i nostri dati sanitari?

Avv. Vincenzo Colarocco

Un recente ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, ha svelato come nel mirino dei cyber-attacchi ci siano i dati sanitari. Nel 2018, il numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017.

Il furto del dato sanitario consente ai pirati informatici di raccogliere informazioni sempre più personali degli utenti e di realizzare profili sempre più fedeli al fine di colpirli con specifiche iniziative illecite. A prescindere dalla truffa, però, si ricordi che la violazione del dato sanitario può tradursi in una lesione della riservatezza dell’interessato, il quale potrebbe aver scelto di tenere per sé le informazioni sul suo stato di salute, senza contare le ripercussioni in termini di discriminazione che potrebbero prodursi socialmente. Ma non è tutto.

Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari, intendendosi per tali i certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Gli hacker, infatti, una volta impossessatisi dei dati dei professionisti sanitari, possono utilizzarli per creare delle false ricette mediche, in poche parole per sostituirsi a questi, con ogni conseguente rischio per i pazienti interessati.

A fronte di tale evidenza, il tema vero è quello della vulnerabilità delle strutture sanitarie: questi studi hanno infatti testato l’estrema facilità con cui si riesce a compromettere i sistemi informatici. In Italia, in particolare, manca trasparenza in merito alle misure di sicurezza, tecniche ed organizzative, adottate per garantire un adeguato livello di efficienza dei sistemi e l’adeguamento delle aziende sanitarie al GDPR è stato erroneamente interpretato come un requisito di forma.

Sul punto, e sulla criticità del tema, si è espresso anche il Garante per la protezione dei dati personali nell’ultima relazione annuale: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).

Minimizzazione dei dati: il Garante danese sanziona una compagnia di taxi

Avv. Vincenzo Colarocco

Con un recente provvedimento pubblicato a seguito di un’attività ispettiva effettuata lo scorso ottobre, l’Autorità Danese, rilevando la sussistenza di una violazione del principio di minimizzazione dei dati, ha sanzionato con una multa da € 160.000,00 la società di taxi “Taxa 4×35”.

In dettaglio, nell’ambito del trattamento dati correlato agli ordini effettuati dai clienti, la società si era imposta una data retention pari a 2 anni, rilevando come un trattamento ulteriore non risultasse giustificato da alcuna necessità aziendale. L’Autorità, nell’ambito della suddetta attività ispettiva, verificava però come, per quanto la suindicata conservazione fosse concretamente realizzata ed adeguata rispetto alle finalità perseguite, non comprendesse tutti i dati identificativi del cliente. Infatti l’anonimizzazione era limitata al nome e al cognome, mentre non veniva intaccato il numero di telefono del cliente, dato per il quale la società aveva invece imposto una conservazione di 5 anni.

Alla luce di quanto sopra, la competente Autorità non ha potuto che constatare una violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento UE 679/2016 (“GDPR”). In particolare non risultava correttamente utilizzata la misura tecnica dell’anonimizzazione dal momento che, prevedendo una retention più ampia per il numero di cellulare del cliente, a quest’ultimo ben potevano essere ricondotti una serie di dati afferenti alla corsa in taxi effettuata (es: data della corsa, ora di inizio e di fine della stessa, il numero di chilometri percorsi, il pagamento, la posizione iniziale e finale specificati come coordinate GPS) oltre il termine di due anni previsto per la conservazione del proprio nome e cognome.

È infatti evidente come, finché una corsa in taxi può essere collegata al cliente che ha prenotato il viaggio, le relative informazioni sono da considerarsi informazioni personali sul cliente.

Riscatti: il sequestro di “persona” nell’era digitale

Avv. Vincenzo Colarocco

L’avvento dell’era digitale ha determinato una trasformazione nella fisionomia delle tradizionali forme di criminalità, inducendo altresì una crescita esponenziale della frequenza con cui, grazie all’uso dello strumento informatico, sono perpetrati gli illeciti comuni: quale il furto di dati compiuto direttamente sui personal computer.

Gli strumenti usati sono diversi. Fino a qualche tempo fa venivano usati i c.d. Ransom Trojans, “trappole” che convincevano gli utenti ad accettare i termini del malware con la scusa di sterilizzare i computer da false minacce come virus o errori di sistema; oggi, molto in voga tra le organizzazioni cybercriminali, sono i Ransomware, malware che, tramite la tecnica dell’Encryption (metodo codificante i dati in un formato che sia impossibile da leggere per chi non è autorizzato a farlo) limitano l’accesso al dispositivo infettato.

In entrambi i casi l’obiettivo è uno soltanto: farsi pagare dalle vittime ingenti somme di denaro al fine di restituire i dati o sciogliere le limitazioni d’accesso. Questo crea, ovviamente, grandi difficoltà, soprattutto laddove non sono poste politiche di sicurezza adeguate e quindi la possibilità di recupero dei dati da copie di backup o altre tecniche di archiviazione sicura.

Ma non finisce qui. La tecnica del riscatto è impiegata anche in situazioni diverse. Infatti, in alcuni casi, le organizzazioni di cybercriminali sono riuscite ad accedere ad interi database, giovando sulle criticità dei sistemi di autenticazione e copiandone i contenuti dietro pagamento di un prezzo imposto.

A subire l’offensiva, proprio qualche giorno fa, sono stati i servizi di hosting GitHub, Bitbucket e GitLab. Centinaia di repository di codice sorgente Git sono stati cancellati e sostituiti con una richiesta di riscatto da parte degli aggressori. L’attacco sulle diverse piattaforme è stato lanciato, coordinatamente, il 3 maggio.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.

No all’uso dei dati senza consenso di ex-pazienti per propaganda elettorale

Avv. Vincenzo Colarocco

Con il provvedimento del 14 febbraio 2019 il Garante ha comminato una sanzione di 16 mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo e per finalità completamente differenti (quelle di promozione politico-elettorale).

Le iniziative di propaganda elettorale, o collegate a referendum o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.). Pertanto, se i dati sono raccolti presso l’interessato, quest’ultimo deve essere comunque informato a norma di legge delle caratteristiche del trattamento, salvo che per gli elementi che gli siano già noti (art. 13 del GDPR). Ancor di più, se i dati –come nel caso di specie– non vengono raccolti direttamente presso gli interessati (art. 14 del GDPR) ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro con la struttura sanitaria presso la quale prestava la sua attività in regime di libera professione.

È bene precisare, come già più volte chiarito dall’Autorità in materia di propaganda elettorale che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (Provvedimento n. 107 del 6 marzo 2014). E tuttavia, il consenso è necessario anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria (Provvedimento n. 55 del 7 marzo 2019).

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.