Dopo un data breach in azienda, la sanzione per violazione del Gdpr non è che l’inizio di un processo che potrebbe risolversi nelle circostanze più estreme con la fine del ciclo di vita aziendale.
C’è quindi poco da meravigliarsi se un data breach grave come quello occorso qualche tempo fa a Knuddels.de – società fornitrice di un servizio di messaggistica online – sia stato sanzionato per appena 20 mila euro. In attesa di conoscere la sanzione che sarà comminata alla catena alberghiera Marriot, vale la pena ricordare che per minimizzare l’impatto di una violazione dei dati è importante dotarsi di un adeguato modello organizzativo che affronti in maniera adeguata tre elementi: valutazione dei rischi; organizzazione aziendale; sicurezza informatica.
Data breach, i casi Marriot e Qora non sono isolati
La rapidissima evoluzione tecnologica degli ultimi anni trainata dai colossi dei Big Data, ha portato con sé innegabili aspetti di natura positiva (si pensi non soltanto ai progressi in campo scientifico e/o sanitario ma, anche alla comodità e facilità di accesso alle informazioni) e, allo stesso tempo, conseguenze estremamente negative.
L’aumento esponenziale delle informazioni presenti in rete unite alla loro raccolta e uso incontrollati ed incontrollabili, infatti, si sono accompagnati all’incremento del numero e della forza degli attacchi informatici e delle tecniche di intrusione nei sistemi.
Questi concetti dovevano essere assolutamente chiari sia al legislatore europeo che già qualche anno fa in sede di redazione dell’ormai celeberrimo Regolamento UE 679/2016 (Gdpr) si prefissò di intervenire sulla materia con l’obiettivo fondamentale di alimentare la cultura della protezione dei dati senza arrestarne la circolazione, sia a tutte quelle imprese (ed Enti pubblici) che nell’ultimo quinquennio hanno moltiplicato ed intensificato gli investimenti nella cosiddetta cyber sicurezza.
Nonostante, però, la maggiore sensibilità ai fenomeni relativi alla sicurezza del trattamento dei dati (dovuti all’influenza di normative come quella europea del GDPR) e alla protezione dei propri asset informatici (si pensi ad esempio all’attenzione mediatica riguardanti i danni creati da ransomware e virus del tipo “wannacry”), casi di “data breach” come quelli di Marriott e Quora balzati agli onori della cronaca nelle ultime ore non sono assolutamente isolati.
Cos’è un data breach
Ricordiamo velocemente, per i pochi che ancora non lo sapessero, che “data breach” secondo il Regolamento UE 679/2016 (che tratta la materia agli articoli 33 e 34), è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Trattasi di definizione molto ampia che ricomprende casistiche diverse e dal differente impatto. Per ragioni di trattazione, basti ricordare che, oltre alle due aziende già citate, altri colossi come Yahoo, Google, Facebook e Uber (o per restare sul territorio italiano Unicredit, Equitalia, Ministero dello sviluppo economico), pur nelle loro diversità, sono stati vittime nel recente passato di violazioni che hanno portato all’esposizione illegittima di milioni di informazioni personali (anche di quelle categorie di dati di cui all’art 9 par. 1 e art 10 del GDPR che una volta conoscevamo come “sensibili”).
Le conseguenze dei data breach
Conseguenze degli attacchi subiti sono state non soltanto il pagamento di sanzioni (comminate sulla base della precedente normativa) ma anche il cosiddetto danno reputazionale (sulla tematica connessa al tema del trattamento dei dati personali basterebbe solo ricordare, ad esempio, come opinione pubblica e mercati hanno reagito all’ormai famoso caso Cambridge Analytica).
Così, in attesa di conoscere cosa succederà alla famosa catena alberghiera Marriot e al social Quora per i fatti recentemente denunciati, andiamo ad analizzare (anche alla luce delle prime sanzioni europee), quali scenari potrebbero presentarsi per le imprese (pubbliche e private) in relazione alle violazioni delle disposizioni del GDPR e quali criticità ulteriori e non di poco potrebbero emergere.
Al momento in cui scrivo, il sistema entrato in vigore il 25 maggio 2018 sembra aver reagito alle non conformità alle proprie disposizioni soltanto in tre occasioni e per motivi diversi. La violazione considerata più grave è stata sanzionata per un importo di 400.000 euro.
La sanzione è solo l’inizio
Soffermiamoci, però, (per ragioni di trattazione) al solo caso di Knuddels.de. La società fornitrice di un servizio di messaggistica online, ha recentemente subito un attacco nel quale sono state trafugate le credenziali di accesso (nomi utente e password) di centinaia di migliaia di utenti iscritti alla propria piattaforma. Le stesse, poi, sono state esposte sul web e in chiaro dagli hacker poiché nessuna misura crittografica era stata prevista dalla società tedesca per garantire la sicurezza delle informazioni conservate all’interno dei propri server.
Il Garante tedesco per il caso in specie ha erogato una sanzione amministrativa di 20.000 euro motivando la “modesta” entità dell’importo (se paragonato ai massimali previsti dalla normativa) con lo spirito di collaborazione e trasparenza che l’azienda ha mostrato nei confronti delle autorità.
Il pagamento della sanzione amministrativa, però, non libera il Titolare del trattamento dalla sua responsabilità nei confronti degli interessati. Quindi, se è vero che le autorità garanti prima di applicare le sanzioni “effettive, proporzionate e dissuasive” (art. 83, co. 1 GDPR), terranno sicuramente in debito conto della natura e gravità della violazione e dell’eventuale approccio collaborativo delle imprese, è altrettanto vero che ogni eventuale ammenda rappresenta soltanto un punto di partenza non l’esaurimento della vicenda.
L’equivoco delle multe “leggere”
Chi leggendo la modesta entità delle cifre citate pensa che anche casi ulteriori e ben più gravi del caso Knuddels (come quelli di Marriott e Quora) potrebbero risolversi con importi tutto sommato ragionevoli (se paragonati alle risorse economiche dei colossi coinvolti) in caso di condotta esemplare nei confronti delle autorità preposte al controllo, si sbaglia di grosso.
L’inganno è determinato dalla “spettacolarizzazione” mediatica delle disposizioni contenute nell’art. 83 del GDPR :
- quelle cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente;
- quelle di maggiore gravità, e fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
e la scarsa attenzione rivolta, invece, all’art. 82 del Regolamento che, al contrario, risulta a noi centrale per comprendere l’entità del danno potenziale: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” – al quale aggiungo (per completezza) una citazione del Considerando 146 “salvo dimostri che l’evento dannoso non gli sia imputabile”.
Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere
Ed è questo riferimento normativo che ci rende evidente come la sanzione sia soltanto una delle fasi iniziali di un processo che potrebbe risolversi nelle circostanze più estreme con la fine del ciclo di vita aziendale. Nessuno deve pensare che il caso Knuddels.de possa considerarsi definitivamente finito con la sanzione dell’autorità tedesca o che il caso Marriott (con 500 milioni di utenti coinvolti ed il furto di informazioni tra cui nomi, numeri di carte di credito, indirizzi email, indirizzi di residenza e numeri di passaporto, e per moltissimi di loro anche una serie di ulteriori dati come numeri di telefono, di passaporto, informazioni di arrivo e partenza, date di prenotazione e preferenze) possa risolversi con una semplice multa (per quanto esemplare).
Oggetto del data breach in quest’ultimo caso è un database zeppo di informazioni estremamente private riguardanti milioni di persone.
I danni collaterali di un data breach
E quali potrebbero essere gli ulteriori danni “materiali o immateriali” connessi alla violazione di questa enorme mole di dati?
Spionaggio, attacchi man in the middle, spear-phishing, scam, phishing sono solo alcune delle possibili azioni che hacker malintenzionati potrebbero rivolgere con successo non soltanto ai danni degli utenti violati ma dei loro contatti. Senza contare, inoltre, le possibili attività criminali legate al super redditizio commercio di passaporti rubati e falsi sul dark web. L’ampia riserva di dati identificativi personali, permette, infatti, di creare con facilità identità fittizie molto verosimili.
L’importanza di un adeguato modello organizzativo
Gli impatti di una violazione possono essere, quindi, estremamente dannosi e superiori a quanto gli stessi numeri rivelino sia per le vittime sia per le imprese; ed è proprio per minimizzare i possibili impatti di queste minacce che è importante dotarsi di un modello organizzativo capace di contrastare in maniera efficace ogni possibile attacco.
Modello organizzativo che, ripeterò fino allo sfinimento, non deve produrre soltanto carte ma affrontare con profitto tematiche ben definite come:
- la valutazione dei rischi;
- l’organizzazione aziendale;
- la sicurezza informatica.
Investire nella valorizzazione di questi tre elementi (preliminari ad ogni aspetto di natura legale) è opportunità di migliore competitività in questo mondo globalizzato che va sempre più nell’economia digitale.
La situazione in Italia
Torniamo ora in Italia e chiediamoci se le nostre imprese pubbliche e private siano in grado di fronteggiare queste tipologie di attacchi, minacce? Le imprese così come costituite sapranno mettere in campo misure efficienti per sensibilizzare la cultura della protezione e contrastare i fenomeni disruttivi?
I numeri ufficiali parlano di una crescente sensibilità negli investimenti per la compliance normativa e per la sicurezza delle proprie infrastrutture informatiche anche nel nostro paese ma, addentrandoci in maniera analitica in queste statistiche, risulta evidente che l’80% delle risorse poste in campo sono prerogativa di un numero ristretto di (grandi) imprese.
Gli altri cosa fanno invece?
Producono carta, acquistano “magiche” soluzioni software (che mai e poi mai da sole assicureranno le conformità ad una normativa complessa come quella del GDPR), nominano DPO senza fornirgli mezzi e modi per consigliare, controllare e vigilare l’effettiva rispetto del Regolamento pensando che la sola comunicazione al Garante possa metterli al riparo da ogni problematica.
Io credo fermamente che il 25 maggio 2018 si sia persa (o sensibilmente posticipata) un’occasione importante.
I due fondamentali anni in cui, la sospensione dell’efficacia, avrebbe consentito agli stati membri di adeguarsi prima che il Regolamento Ue 679/2016 avesse pieno titolo per “invadere” gli ordinamenti giuridici nazionali, sono stati resi vani dall’approccio vacuo e approssimativo che le Istituzioni hanno mantenuto.
La diffusione di questo approccio, poi, si è ripercosso a tutti i livelli creando livelli di scompenso potenzialmente distruttivi per una buona fetta di imprese.
La verità, quindi, è che siamo estremamente in ritardo e non ci è possibile prevedere quello che succederà nei prossimi mesi ma una cosa è certa, dopo le prime sanzioni ne arriveranno altre.
