MEGAMULTA A UNICREDIT E ALTRA AZIENDA PER DATA BREACH
Una complessa inchiesta del Garante ha portato a multare UniCredit SpA per 2,8 milioni di euro a causa di un data breach reso possibile per una carente organizzazione di sicurezza informatica che ha permesso nel 2018 l’attacco hacker da una rete Tor, con la violazione di dati di oltre 778 mila clienti ed ex clienti e la violazione anche del Pin di accesso per oltre 6 mila di loro. L’azienda si è difesa dicendo di essere ricorsa a controlli informatici e aver implementato sistemi di sicurezza. E’ invece emerso che gli hacker sono riusciti ad attaccare massicciamente i server con una tempesta di tentativi di accesso che non venivano bloccati anche se il mandante era anonimo, quindi sono riusciti a rubare una mole di dati, cliccando password banali come 12345678 che erano in uso a diversi utenti insieme alle loro date di nascita. La collaborazione del gruppo bancario ha permesso una ridotta entità della sanzione. Aspetto ancor più grave Unicredit aveva incaricato un’azienda, NTT Data Italia, di fare dei penetration test, specificando che non dovevano essere nominati sub-responsabili. NTT Italia invece è ricorsa a un’altra azienda, Truel IT, per fare i test, che hanno rivelato i bachi del sistema. Così NTT Italia è stata multata per 800 mila euro per non aver nominato il sub-responsabile. Le due multe ci portano delle riflessioni: prima di tutto la sicurezza informatica resta un punto nodale della credibilità e difesa dei dati di un’azienda e i sistemi di difesa devono essere aggiornati, tantopiù che l’attacco di UniCredit si era rivelato simile ad altri che negli anni precedenti avevano colpito gruppi statunitensi. In secondo luogo il controllo sui sub-fornitori deve essere continuo, ricordando che il responsabile può nominare i sub-fornitori solo col consenso dei Titolare. La giustificazione che Truel IT non “vedeva” i dati di UniCredit non è servita a niente.
GARANTE ITALIA VARA CODICE PER TELESELLING E TELEMARKETING
Entrerà in vigore il giorno successivo alla sua pubblicazione sulla Gazzetta ufficiale, il nuovo Codice per il teleselling e telemarketing approvato dal Garante Privacy italiano con un provvedimento del 7 marzo scorso. Il documento intende tutelare gli interessati da chiamate indesiderate e si basa su un Organismo di monitoraggio promosso da associazioni di committenti, di call center ed associazioni di consumatori. L’entrata in vigore del Codice e l’attività dell’Organismo con l’adesione delle società al Codice stesso, dovrebbero creare un circolo virtuoso e promuovere sul mercato le aziende compliant alle regole sulle vendite al telefono o in tv. Si spera che alla lunga si faccia piazza pulita dei call center fuorilegge che operano da paesi fuori della UE ed utilizzano numeri e liste avute in modo irregolare o sul Dark web. In pratica le aziende che aderiscono al Codice dimostrano di aver adottato misure specifiche nel segno della correttezza, della trasparenza e qualora nelle loro attività utilizzino profilazione o decisioni automatizzate sui dati degli interessati saranno tenute ad eseguire delle DPIA, vale a dire Valutazione d’impatto. Il Codice prevede anche delle penali per chi agisce in maniera irregolare e l’azienda fornitrice potrà non essere pagata in caso di violazioni.
GLI INDIRIZZI IP SONO DATO PERSONALE: LO DICE IL CANADA
La Corte Suprema canadese ha stabilito che anche l’indirizzo IP che identifica la connessione dalla quale ci si collega alla rete è un dato personale. Quindi la polizia per accedervi deve avere una denuncia circoscritta e l’autorizzazione giudiziaria specifica. In pratica la Corte ha stabilito che c’è un nesso diretto tra la persona che utilizza la rete e quell’indirizzo di rete. La polizia di Calgary indagando su truffe online si era fatta dare dai fornitori di telefonia gli indirizzi IP di diverse persone per individuare i malfattori.
ATTACCO INFORMATICO RUBA 4 MILA DATI DI UTENTI NEGLI USA
Sono stati hacherati i dati dell’ennesima catena di hotel: questa volta si tratta della Virgin Hotels molto presente nel Nord America. L’attacco informatico è avvenuto nel 2023 e ha riguardato 4 mila utenti. Non si sa quali procedure abbia adottato l’azienda in seguito al furto, ma solo che è stata presentata una notifica di violazione al procuratore generale del Maine. Da indiscrezioni sarebbero stati esfiltrati anche i dati bancari dei clienti.
AGENZIA IMPIEGO COLPITA CON FURTO DATI DI 43 MILIONI DI CITTADINI
Le banche dati sono il bottino dei criminali online. In Francia ha fatto scalpore l’hacheraggio dell’Agenzia nazionale per l’impiego France Travail che avrebbe colpito 43 milioni di francesi. L’attacco è avvenuto a cavallo di febbraio e marzo e i malviventi sarebbero riusciti ad avere nome, cognome, indirizzo, numero e data di iscrizione al servizio, mail e telefono. CNIL, l’Autorità privacy francese, ha immediatamente definito il colpo un attacco su larga scala che quindi mette a rischio la libertà e i diritti dei cittadini. France Travail è ricorsa alla stampa e ai media per comunicare l’accaduto alle persone interessate e sta procedendo anche a notifiche diffuse. Tra i consigli, occorre stare attenti ai tentativi di furti dei dati, pishing e simili, non aprire allegati e controllare gli indirizzi mail dei mittenti.
EDPB: MULTINAZIONALI NON NELLA UE E AUTORITA’ DI RIFERIMENTO
Il Board europeo EDPB ha emanato ulteriori chiarimenti circa la necessità per le aziende extraUE di avere un DPO in Europa. In pratica se un’impresa fuori dalla Ue ha una fabbrica all’interno della Ue ma le decisioni aziendali non sono prese in detta sede, l’azienda non è tenuta a scegliere un Garante di riferimento, il cosidetto One-Stop-Shop. Quindi in caso di ricorsi di cittadini UE contro detta azienda, sarà il Garante del paese dell’interessato a contattare il Titolare all’estero. Il provvedimento dovrebbe fare luce anche sull’Autorità di riferimento in caso di contenziosi, visto che in passato a tutto vantaggio di chi non rispettava le regole sul trattamento dei dati, c’è stato un rimpallo tra Autority di diversi paesi. Per saperne di più: https://www.edpb.europa.eu/news/news/2024/edpb-clarifies-notion-main-establishment-and-calls-eu-legislators-make-sure-csam_en
GARANTE POLACCO MULTA CON 24 MILA EURO ASSICURAZIONE
Per non aver notificato un data breach al Garante, una compagnia assicurativa polacca è stata sanzionata con 24 mila euro. La compagnia aveva inviato una mail all’indirizzo sbagliato con dati sull’assicurato, il tipo di polizza e il premio stabilito e chi ha ricevuto la mail errata ha anche tentato di comunicare con la compagnia assicurativa. A suo tempo la compagnia decise di annotare la violazione nel Registro dei Data breach, senza comunicare niente all’Autorità.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Siamo autori di diversi volumi tra cui ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). Stiamo lavorando a un nuovo volume sui dati relativi alla salute che uscirà a breve, sempre per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.
