Donna in ufficio subisce un data breach tramite attacco informatico

La curva degli attacchi informatici subiti dalle aziende sale vertiginosamente di anno in anno. Spesso si riescono a prevenire e bloccare, ma a volte possono raggiungere il loro obiettivo.
Quindi, come ci si comporta quando si subisce un data breach dovuto ad un crimine informatico?

Cosa si intende per data breach

Data breach è il termine usato tecnicamente per definire “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, così come esplicitato dall’articolo 4, n.12 del Regolamento UE 679/2016 (c.d. GDPR).

Quando si verifica un data breach, quindi, può essere compromessa l’integrità, la riservatezza o la disponibilità dei dati personali.
La violazione può avere diverse modalità, che vanno dalla perdita accidentale di una pen-drive contenente dati personali riservati, alla divulgazione non autorizzata di foto o video privati.

La portata di questi eventi, ovviamente, è parametrata a diversi fattori, che di volta in volta consentono di valutare la gravità delle conseguenze di una violazione.
È ovvio, però, che prevenire episodi di questo tipo sia preferibile, piuttosto che arrivare alla gestione di una situazione già compromessa da una infrazione subita.

Per questo suggeriamo di consultare un professionista esperto che ti possa affiancare nella messa a norma della sicurezza e della privacy della tua azienda.

Per capire la dimensione di questo fenomeno, in costante espansione, basti pensare che il Garante per la Protezione dei dati personali italiano ha istituito un servizio, accessibile online, tramite il quale i titolari del trattamento dati possono essere seguiti e coadiuvati nella gestione di un data breach.

Tipi di attacchi informatici che si possono subire

Una delle ipotesi sicuramente più problematiche di data breach è rappresentata dai cyber attacchi, quindi violazioni dei dati perpetrate da hacker, molto spesso professionisti e operanti tramite vere e proprie organizzazioni, che utilizzano diversi strumenti o modalità per insidiarsi nei dispositivi elettronici delle vittime e compromettere, sottrarre, utilizzare i dati personali delle stesse.

L’evoluzione tecnologica ha contribuito anche all’affinarsi di tecniche sempre più efficaci per compiere tali attacchi informatici, mettendo così sempre più a rischio la sicurezza degli utenti.
Altro fattore determinante, poi, è sicuramente rappresentato da una scarsa informazione sul tema, che contribuisce a far sì che queste minacce informatiche molto spesso si concretizzino in violazioni.

Oltre a ciò, gli hacker ovviamente tentano di adattarsi al soggetto che vogliono colpire: più questo è informato e istruito su un determinato tipo di cyber attacco, più l’hacker sarà portato a sviluppare nuove e diverse tecniche per cogliere di sorpresa il destinatario della sua offensiva.

Vi sono ormai tecniche conosciute dai più, quali ad esempio il phishing, caratterizzato dall’invio di un messaggio di posta elettronica, molto spesso da un contatto conosciuto dal soggetto, contenente un virus, che si insidierà nel dispositivo qualora il destinatario della mail cliccherà sul link infetto.

Altre meno conosciute e prevedibili come l’attacco ransomware, che determina il blocco dei propri dati tramite crittografia degli stessi, che potrà essere ripristinato soltanto al pagamento di un riscatto, oppure i c.d. worm, programmi capaci di insidiarsi silenziosamente in un dispositivo, per poi propagarsi in altri dispositivi connessi, tramite la rete, gli accessi da internet, lo scambio di mail.

Cosa fare in caso di data breach

La gestione degli episodi di data breach è regolata ed esplicitata dagli articoli 33 e 34 del GDPR, che si occupano di indicare gli step da seguire nel caso in cui si verifichi una qualche violazione di sicurezza dei dati personali.

Per quanto riguarda l’ambito soggettivo, il regolamento affida al titolare del trattamento il compito di operare in primis le valutazioni in merito al caso di specie, al termine delle quali si potrà decidere se notificare o meno all’Autorità Garante e comunicare la violazione agli interessati, così come previsto dal GDPR.

I responsabili del trattamento, invece, qualora fossero a conoscenza di una violazione, dovranno prontamente informare il titolare, che rimane comunque il soggetto che eventualmente dovrà interfacciarsi con le autorità e/o con gli interessati.

Seguendo quindi il ciclo delle attività da svolgere in caso di data breach, possiamo dire che:

  • Al verificarsi di una violazione dei dati personali, il titolare del trattamento deve valutare l’opportunità o meno di notificare il data breach all’autorità Garante;
  • Per fare tale valutazione, deve verificare se “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”;
  • I criteri da seguire, in questo caso, sono diversi ed eterogenei.
    Un’indicazione è stata data, ad esempio, dal c.d. Working Party 29 (gruppo di lavoro comune della autorità di vigilanza e protezione dei dati degli stati membri, attualmente sostituito dal Comitato europeo per la protezione dei dati), che raccomanda la valutazione di elementi quali il tipo di violazione, la natura, il carattere ed il volume dei dati coinvolti, il grado di facilità che il caso di specie presenta in merito all’identificabilità dei soggetti interessati, gravità delle conseguenze per le persone fisiche ecc..;
  • Qualora il titolare evidenzi la sussistenza di effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali”, dovrà provvedere , senza ingiustificato ritardo, e comunque entro 72 ore dalla scoperta della violazione, a notificare il data breach all’Autorità Garante.
    La notifica data breach dovrà contenere una descrizione dettagliata della violazione in oggetto, indicare il Responsabile per la protezione dei dati personali (qualora fosse presente), elencare le possibili conseguenze negative della violazione e, in ossequio al principio di accountability che permea tutto il GDPR, dimostrare di avere utilizzato tutte le misure tecnico-organizzative adeguate per porre rimedio al data breach;
  • In ultimo, qualora il data breach esponga ad un rischio elevato i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà comunicare la violazione agli interessati coinvolti. Le modalità di comunicazione possono essere diverse, a seconda dello sforzo che richiederebbe al titolare di informare singolarmente ogni soggetto coinvolto nella violazione. In casi in cui gli interessati da informare siano numerosi, il titolare può optare per mezzi di comunicazione quali comunicati stampa o avvisi tramite i canali ufficiali, così da veicolare uno stesso messaggio per tutti i soggetti.

È importante, poi, sottolineare che, nel caso in cui vi fossero le condizioni e i presupposti per la notifica e la comunicazione del data breach, qualora il titolare non assolva tale obbligo, sono previste dal GDPR sanzioni pecuniarie che possono arrivare fino a 20.000.000 € o al 4% del fatturato globale annuo.

Elemento imprescindibile, però, è la tenuta del registro delle violazioni, che il titolare del trattamento è obbligato a redigere, a prescindere dalla necessità di notifica al Garante o di comunicazione agli interessati. Tener prova delle eventuali violazioni subite consente al titolare di dimostrare il suo grado di compliance alla normativa di settore, e all’Autorità Garante di valutare questo aspetto.

Come difendersi dagli attacchi informatici ed evitare data breach

L’importanza della protezione dei dati personali si evidenzia con estrema forza quando si verificano episodi di data breach, circostanze in occasione delle quali le conseguenze potenzialmente disastrose di un evento quale un attacco informatico, fanno ben comprendere come sia indispensabile avere un atteggiamento preventivo sul tema.

Il primo accorgimento da adottare è la formazione propria e del personale della propria azienda. Più spesso di quanto si possa immaginare, i data breach avvengono proprio a causa di un errore umano dovuto alla poca familiarità che le persone hanno su questi temi.

In secondo luogo, devono essere adottate tutte le varie accortezze, quali la diversificazione delle password utilizzate e la protezione degli account a due fattori, l’utilizzo frequente di backup per il salvataggio dei dati, fino alle vere e proprie misure di sicurezza tecnico-informatiche.

È chiaro, quindi, che la competenza nel settore sia l’elemento chiave per scegliere i modi e gli strumenti idonei per difendere e per gestire un’eventuale violazione già subita.

Il nostro partner, Studio legale FCLEX, è da sempre al fianco di aziende e privati nella consulenza legale informatica in materia di protezione dei dati personali e cybersecurity: contattali per maggiori informazioni.

Redazione Diritto dell’Informatica

Ultimi aggiornamenti

A seguito del caso di alcuni mesi fa, torniamo a parlare di Google Analytics e problematiche con il GDPR, ma questa volta i provvedimenti sembrano ben più drastici. Dopo alcuni mesi di incertezze, segnalazioni e richieste di chiarimenti, il Garante della Protezione dei dati, con il […]
ransomware data breach pa azienda cosa fare
Il recentissimo attacco subìto dal sito del Comune di Palermo, con notevole esfiltrazione di dati (poi pubblicati online), è solo l’ultimo in ordine di tempo di una lunga scia contro le infrastrutture informatiche, pubbliche o private, italiane. Non più tardi di due mesi fa, infatti, lo […]
L’incertezza degli ultimi anni ha incrementato significativamente la complessità dei rapporti tra aziende e fornitori, mettendo in luce l’importanza di tecniche di approvvigionamento efficienti ed efficaci. Nel gergo aziendalistico, il processo di reperimento dei beni e servizi necessari al funzionamento dell’impresa viene chiamato procurement. Si tratta […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.