È di ieri il lancio di agenzia ANSA della compromissione dei dati di 3 milioni di clienti Unicredit. 

Di per se la notizia non regala nulla di nuovo: un gruppo di hacker si è introdotto venerdì scorso, o forse anche prima, nei server di Unicredit, e ha trafugato un file creato nel 2015 contenente i dati di oltre 3 milioni di clienti e li ha pubblicati nel darkweb. Lo sappiamo e lo diciamo da anni che in Italia la protezione dei dati degli altri è inefficace, inadeguata e non più al passo con i tempi. È da tempo che invochiamo controlli e sanzioni che riportino l'attenzione sulla materia, che speriamo nella designazione del nuovo Garante che possa iniziare a pianificare una roadmap credibile ed efficiente. E invece la situazione in Italia è grave e anche seria (parafrasando all'incontrario la nota citazione di Flaiano) e noi tutti stiamo a guardare.

Quello su cui mi voglio soffermare è invece il taglio della notizia: riporto tra virgolette

"Questo file conteneva circa 3 milioni di records, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. Lo si legge in una nota della banca."

Che vuol dire solo? Il nome, cognome indirizzo, numero di telefono ed email di un interessato sono dati secondari? Far pubblicare sul darkweb 3 milioni di dati che dal minuto successivo saranno preda di spam, phishing, offerte pubblicitarie non gradite, telefonate di telemarketer senza scrupoli vi sembra una cosa da poco? Voglio ricordare l'articolo 82 del GDPR:

"Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento."

Il problema è che ancora non ci prendiamo sul serio, crediamo sia tutto un gioco ed andiamo avanti riempiendosi la bocca con la parola privacy. Volete la riprova? Il lancio continua così:

"Nell'accesso non autorizzato a file Unicredit "non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l'accesso ai conti dei clienti o l'effettuazione di transazioni non autorizzate". UniCredit ha immediatamente avviato un'indagine interna e ha informato tutte le autorità competenti, compresa la polizia."

Certo, fa figo dire che "abbiamo salvato gli altri dati personali dei clienti", rende più professionali, più reattivi, più efficaci. Ma quali altri dati personali?

Oramai anche i bambini sanno che con il numero di conto non ci si può fare più niente, ci sono le "One Time Password" e recentemente i doppi controlli con gli smartphone. Quali altri miei dati personali può avere una banca e che è riuscita a salvare? (ammesso e non concesso che ci sia davvero riuscita).

La verità è che ancora non sanno quanti e quali dati sono stati rubati e l'unica maniera per accertarlo è armarsi del browser Thor e navigare nella rete oscura alla ricerca dei market che stanno vendendo a pacchetti tali files.

Unicredit dal canto suo ha giustamente segnalato la cosa al Garante e al Cnaipic, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche e da un punto di vista formale ha espletato tutte le azioni necessarie, nulla da dire.

Rimane il fatto che tutti i giorni aziende, organizzazioni, enti pubblici, banche e società di servizi sono vittime di furto di dati altrui e la domanda è: per quanto tempo ancora vogliamo continuare a proteggere inadeguatamente tali dati? Non sono certo un fautore della repressione ma mai come in questi casi delle sanzioni certe ed adeguate potrebbero sensibilizzare quel tanto che basta a fare di più, a fare di meglio.

Ci sono solo da fare i primi passi, poi il cammino diverrà per tutti più semplice e soprattutto inarrestabile.