Italiaonline SpA può essere considerata l’erede di Pagine Gialle, quei vecchi volumi che potevano anche essere usati per rinforzare i bicipi e su cui si trovavano imprese e professionisti che usavano questo strumento per farsi trovare da possibili clienti, magari acquistando spazi più grandi rispetto alla concorrenza. Lo scorso 20 febbraio Italiaonline ha registrato un accesso fraudolento mediante un hot spot della rete Wifi e l'intrusione aveva permesso la violazione di circa 1.5 milioni di credenziali di account di posta Libero e Virgilio riconducibili ad utenti che avevano eseguito l'accesso mediante webmail.

Immediatamente erano state adottate le misure di sicurezza, comprese la "forzatura" del cambio password e informazione agli utenti mediante landing page. Ovviamente veniva informato subito il Garante e, successivamente, l’azienda comunicava che non erano stati riscontrati accessi anomali alle caselle email degli interessati anche in considerazione del breve lasso di tempo trascorso tra l’attacco e la forzatura della password predisposta da Italiaonline. Veniva anche data comunicazione agli interessati.

Il Garante della Privacy, nell’analisi della vicenda, ha posto in evidenza una serie di elementi che meritano particolare attenzione e che forniscono importanti linee guida per chiunque in caso di DataBreach. Ed invero il Garante, pur dando atto della comunicazione inviata agli utenti, ha rilevato come Italiaonline non si sia attenuta ai principi del GDPR che impongono un preciso dovere di diligenza sulla base di tipologia dei dati che possono essere stati violati, del possibile uso degli stessi e, ovviamente, anche del numero delle violazioni che, è bene ricordare, non sono certo pari al numero degli accessi ma, come nel caso di specie, al numero degli account.

Nella fattispecie la violazione è stata il frutto di un attacco ai sistemi di front end per la consultazione delle caselle mail tramite webmail che, anche se arginato e di breve durata, ha permesso l’acquisizione di una grande quantità di credenziali che possono consentire l’identificazione di un numero elevatissimo di persone fisiche direttamente dai dati personali senza particolari ricerche per scoprirne l'identità. Da qui il potenziale pregiudizio per gli interessati i cui dati personali potrebbero essere utilizzati, oltre che per invio di mail pubblicitarie anche per scopi illeciti che possono andare fino al furto o l'usurpazione di identità. 

Nella propria comunicazione all’utenza Italiaonline non aveva assolutamente tenuto in considerazione questo aspetto, limitandosi esclusivamente ai potenziali accessi abusivi alle caselle mail. Inoltre il Garante non ha mancato di rilevare come Italiaonline sia uno dei principali fornitori di servizi di posta elettronica a livello nazionale con conseguente elevato rischio per i diritti e le libertà degli interessati che ne dovrebbero avere adeguata ed esaustiva comunicazione. 

Ai sensi dell’art. 34, GDPR, questa comunicazione dovrebbe essere sicuramente semplice, ma anche completa circa la natura della violazione e contenere le informazioni di cui all'articolo 33 e, in particolare, descrivere le probabili conseguenze della violazione dei dati personali; ciò si ritrova anche nelle “Linee guida” sulla notifica delle violazioni dove si specifica che il Titolare "dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione".

Italiaonline, sotto questo aspetto, non solo si era limitata a parlare di “attività anomala” e non aveva fornito suggerimenti salvo il cambio di password, senza dare contezza della tipologia di violazione e delle sue possibili conseguenze, nonché specifiche indicazioni sulle misure da adottare per proteggersi da possibili conseguenze negative, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l'accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione. E in quanti usano le stesse credenziali per più account?

Da qui la decisione del Garante che ha ingiunto ad Italiaonline una nuova comunicazione della violazione integrandola con gli elementi indicati, adeguandosi anche nelle modalità, ritenendo insufficiente quella di invio alla stessa casella mail oggetto di violazione. Da qui il provvedimento, per il momento non ancora sanzionatorio, di inviare nuove comunicazioni che contengano le informazioni di cui all'art. 34, par. 2, del Regolamento e “utilizzando mezzi di comunicazione che permettano di raggiungere il maggior numero di interessati”. Massima libertà che, peraltro, si traduce in maggiori oneri e costi per l’azienda.