Articoli

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Facebook di nuovo vittima degli hacker: violati 81 mila account

Avv. Vincenzo Colarocco

Dopo lo scandalo Cambridge Analytica e gli hacker che rubano le chiavi di 30 milioni di account, ancora una volta, lo scorso novembre, Facebook è vittima di un attacco hacker ed a farne le spese sono almeno 81 mila utenti i cui log di chat sono stati venduti a 10 centesimi l’uno.

In realtà, questa volta sembrerebbe che il social network non sia stato violato, ma siano stati compromessi i browser con i quali gli utenti accedono al Social utilizzando estensioni manomesse. È così, infatti, che milioni di messaggi privati degli utenti sono stati monitorati e salvati da “agenti ostili”. A rivelarlo è stata la stessa BBC dopo aver scoperto il forum dove i log di tutte queste chat sono stati messi in vendita.

In particolare, insieme con la società di sicurezza informatica Digital Shadows, la BBC ha indagato su un utente con il nickname “FBSaler”, il quale ha offerto in vendita alcune informazioni private ricavate da Messenger affermando: “Vendiamo informazioni personali degli utenti di Facebook. Il nostro database include 120 milioni di account”.

Ad oggi sembra che gli account violati appartengano per lo più ad utenti provenienti da Russia e Ucraina, ma alcuni anche dagli Stati Uniti, dal Regno Unito e altrove.

L’unico aspetto positivo di tutta la vicenda è che le informazioni in possesso degli hacker non sarebbero in nessun modo collegate né a quelle dello scandalo Cambridge Analytica di fine marzo 2018, né alle violazioni dello scorso settembre.
Per maggiori approfondimenti clicca qui.

I rapporti tra l’accesso abusivo ad un sistema informatico e il ruolo dirigenziale

Avv. Vincenzo Colarocco

Con la sentenza del 25 ottobre 2018 n. 48895, la V Sezione Penale della Corte di Cassazione ha risposto al seguente interrogativo: è imputabile di accesso abusivo a sistema informatico il dirigente, che, all’atto delle proprie dimissioni, estragga i file contenenti dati riservati del proprio datore di lavoro?

Le Sezioni Unite prendono le mosse da un precedente orientamento giurisprudenziale con il quale era stato già affermato che il delitto previsto dall’art. 615 ter c.p. è integrato dalla condotta di colui che , pur essendone autorizzato, acceda o si mantenga in un sistema informatico protetto violando le condizioni ed i limiti risultanti dall’autorizzazione fornita dal titolare del sistema utilizzando, dunque, le proprie credenziali per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita.

Ciò implica che tutti i dipendenti di un’azienda, anche quelli che ricoprono un ruolo dirigenziale, siano tenuti a rispettare il dovere di eseguire, sui sistemi informatici, attività che siano in diretta connessione con l’assolvimento della propria funzione. Ne conseguono l’illiceità e l’abusività di qualsiasi comportamento che si ponga in contrasto con i limiti del relativo potere conferito.

Nel caso in esame, non è stato provato che l’imputato con la qualifica di dirigente avesse l’accesso indiscriminato a tutti i dati dell’azienda e, pertanto, nonostante la sua qualifica apicale, non era per lo stesso possibile un accesso indiscriminato ed illimitato al sistema informativo. La preposizione ad una branca o un settore autonomo dell’impresa, infatti, è pienamente compatibile, sul piano logico e giuridico, con la qualifica di dirigente.

La sentenza in commento si pone nel novero delle pronunce giurisprudenziali rilevanti nel contesto della cybersecurity, che è l’insieme di processi e presidi volti alla tutela della confidenzialità, integrità e disponibilità delle informazioni trattate mediante sistemi informatici.

Il caso in esame mostra come non solo un atto proveniente dall’esterno, come potrebbe essere quello di tipo hacker, ma anche uno proveniente dall’interno possa comportare una sostanziale violazione di dati ed informazioni. L’imputato, infatti, ha operato dall’interno, mediante le proprie credenziali legittimamente detenute, ponendo, però, in essere una condotta che non era ontologicamente compatibile con gli scopi posti alla base del rilascio delle credenziali stesse.

Da una tale affermazione conseguono, per lo meno, due considerazioni. Da un lato, la sentenza in commento non potrà restare priva di conseguenze sul piano organizzativo dell’impresa perché l’art. 615 ter c.p. rappresenta un reato presupposto ex art. 24-bis DLgs. 231/2001. Dall’altro, è evidente la diretta correlazione della statuizione della Corte con il principio di limitazione delle finalità disposto dall’art. 5 del Reg. UE 679/2016 che prevede che i dati personali siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo non incompatibile con tali finalità. Questo perché, come visto, le credenziali informatiche, sebbene siano legittimamente possedute, non possono essere utilizzate per ragioni ontologicamente estranee a quelle per le quali la facoltà di accesso è stata attribuita.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.