Data breach e attacchi informatici: come comportarsi

Donna in ufficio subisce un data breach tramite attacco informatico

La curva degli attacchi informatici subiti dalle aziende sale vertiginosamente di anno in anno. Spesso si riescono a prevenire e bloccare, ma a volte possono raggiungere il loro obiettivo.
Quindi, come ci si comporta quando si subisce un data breach dovuto ad un crimine informatico?

Cosa si intende per data breach

Data breach è il termine usato tecnicamente per definire “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, così come esplicitato dall’articolo 4, n.12 del Regolamento UE 679/2016 (c.d. GDPR).

Quando si verifica un data breach, quindi, può essere compromessa l’integrità, la riservatezza o la disponibilità dei dati personali.
La violazione può avere diverse modalità, che vanno dalla perdita accidentale di una pen-drive contenente dati personali riservati, alla divulgazione non autorizzata di foto o video privati.

La portata di questi eventi, ovviamente, è parametrata a diversi fattori, che di volta in volta consentono di valutare la gravità delle conseguenze di una violazione.
È ovvio, però, che prevenire episodi di questo tipo sia preferibile, piuttosto che arrivare alla gestione di una situazione già compromessa da una infrazione subita.

Per questo suggeriamo di consultare un professionista esperto che ti possa affiancare nella messa a norma della sicurezza e della privacy della tua azienda.

Per capire la dimensione di questo fenomeno, in costante espansione, basti pensare che il Garante per la Protezione dei dati personali italiano ha istituito un servizio, accessibile online, tramite il quale i titolari del trattamento dati possono essere seguiti e coadiuvati nella gestione di un data breach.

Tipi di attacchi informatici che si possono subire

Una delle ipotesi sicuramente più problematiche di data breach è rappresentata dai cyber attacchi, quindi violazioni dei dati perpetrate da hacker, molto spesso professionisti e operanti tramite vere e proprie organizzazioni, che utilizzano diversi strumenti o modalità per insidiarsi nei dispositivi elettronici delle vittime e compromettere, sottrarre, utilizzare i dati personali delle stesse.

L’evoluzione tecnologica ha contribuito anche all’affinarsi di tecniche sempre più efficaci per compiere tali attacchi informatici, mettendo così sempre più a rischio la sicurezza degli utenti.
Altro fattore determinante, poi, è sicuramente rappresentato da una scarsa informazione sul tema, che contribuisce a far sì che queste minacce informatiche molto spesso si concretizzino in violazioni.

Oltre a ciò, gli hacker ovviamente tentano di adattarsi al soggetto che vogliono colpire: più questo è informato e istruito su un determinato tipo di cyber attacco, più l’hacker sarà portato a sviluppare nuove e diverse tecniche per cogliere di sorpresa il destinatario della sua offensiva.

Vi sono ormai tecniche conosciute dai più, quali ad esempio il phishing, caratterizzato dall’invio di un messaggio di posta elettronica, molto spesso da un contatto conosciuto dal soggetto, contenente un virus, che si insidierà nel dispositivo qualora il destinatario della mail cliccherà sul link infetto.

Altre meno conosciute e prevedibili come l’attacco ransomware, che determina il blocco dei propri dati tramite crittografia degli stessi, che potrà essere ripristinato soltanto al pagamento di un riscatto, oppure i c.d. worm, programmi capaci di insidiarsi silenziosamente in un dispositivo, per poi propagarsi in altri dispositivi connessi, tramite la rete, gli accessi da internet, lo scambio di mail.

Cosa fare in caso di data breach

La gestione degli episodi di data breach è regolata ed esplicitata dagli articoli 33 e 34 del GDPR, che si occupano di indicare gli step da seguire nel caso in cui si verifichi una qualche violazione di sicurezza dei dati personali.

Per quanto riguarda l’ambito soggettivo, il regolamento affida al titolare del trattamento il compito di operare in primis le valutazioni in merito al caso di specie, al termine delle quali si potrà decidere se notificare o meno all’Autorità Garante e comunicare la violazione agli interessati, così come previsto dal GDPR.

I responsabili del trattamento, invece, qualora fossero a conoscenza di una violazione, dovranno prontamente informare il titolare, che rimane comunque il soggetto che eventualmente dovrà interfacciarsi con le autorità e/o con gli interessati.

Seguendo quindi il ciclo delle attività da svolgere in caso di data breach, possiamo dire che:

  • Al verificarsi di una violazione dei dati personali, il titolare del trattamento deve valutare l’opportunità o meno di notificare il data breach all’autorità Garante;
  • Per fare tale valutazione, deve verificare se “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”;
  • I criteri da seguire, in questo caso, sono diversi ed eterogenei.
    Un’indicazione è stata data, ad esempio, dal c.d. Working Party 29 (gruppo di lavoro comune della autorità di vigilanza e protezione dei dati degli stati membri, attualmente sostituito dal Comitato europeo per la protezione dei dati), che raccomanda la valutazione di elementi quali il tipo di violazione, la natura, il carattere ed il volume dei dati coinvolti, il grado di facilità che il caso di specie presenta in merito all’identificabilità dei soggetti interessati, gravità delle conseguenze per le persone fisiche ecc..;
  • Qualora il titolare evidenzi la sussistenza di effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali”, dovrà provvedere , senza ingiustificato ritardo, e comunque entro 72 ore dalla scoperta della violazione, a notificare il data breach all’Autorità Garante.
    La notifica data breach dovrà contenere una descrizione dettagliata della violazione in oggetto, indicare il Responsabile per la protezione dei dati personali (qualora fosse presente), elencare le possibili conseguenze negative della violazione e, in ossequio al principio di accountability che permea tutto il GDPR, dimostrare di avere utilizzato tutte le misure tecnico-organizzative adeguate per porre rimedio al data breach;
  • In ultimo, qualora il data breach esponga ad un rischio elevato i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà comunicare la violazione agli interessati coinvolti. Le modalità di comunicazione possono essere diverse, a seconda dello sforzo che richiederebbe al titolare di informare singolarmente ogni soggetto coinvolto nella violazione. In casi in cui gli interessati da informare siano numerosi, il titolare può optare per mezzi di comunicazione quali comunicati stampa o avvisi tramite i canali ufficiali, così da veicolare uno stesso messaggio per tutti i soggetti.

È importante, poi, sottolineare che, nel caso in cui vi fossero le condizioni e i presupposti per la notifica e la comunicazione del data breach, qualora il titolare non assolva tale obbligo, sono previste dal GDPR sanzioni pecuniarie che possono arrivare fino a 20.000.000 € o al 4% del fatturato globale annuo.

Elemento imprescindibile, però, è la tenuta del registro delle violazioni, che il titolare del trattamento è obbligato a redigere, a prescindere dalla necessità di notifica al Garante o di comunicazione agli interessati. Tener prova delle eventuali violazioni subite consente al titolare di dimostrare il suo grado di compliance alla normativa di settore, e all’Autorità Garante di valutare questo aspetto.

Come difendersi dagli attacchi informatici ed evitare data breach

L’importanza della protezione dei dati personali si evidenzia con estrema forza quando si verificano episodi di data breach, circostanze in occasione delle quali le conseguenze potenzialmente disastrose di un evento quale un attacco informatico, fanno ben comprendere come sia indispensabile avere un atteggiamento preventivo sul tema.

Il primo accorgimento da adottare è la formazione propria e del personale della propria azienda. Più spesso di quanto si possa immaginare, i data breach avvengono proprio a causa di un errore umano dovuto alla poca familiarità che le persone hanno su questi temi.

In secondo luogo, devono essere adottate tutte le varie accortezze, quali la diversificazione delle password utilizzate e la protezione degli account a due fattori, l’utilizzo frequente di backup per il salvataggio dei dati, fino alle vere e proprie misure di sicurezza tecnico-informatiche.

È chiaro, quindi, che la competenza nel settore sia l’elemento chiave per scegliere i modi e gli strumenti idonei per difendere e per gestire un’eventuale violazione già subita.

Il nostro partner, Studio legale FCLEX, è da sempre al fianco di aziende e privati nella consulenza legale informatica in materia di protezione dei dati personali e cybersecurity: contattali per maggiori informazioni.

Redazione Diritto dell’Informatica

Privacy e sicurezza Informatica
maggio 21, 2021
attacco informaticodata breachprivacy
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it