Il titolo mi è venuto alla fiorentina per cercare di sdrammatizzare un fatto che, se non riguardasse milioni di interessati, sarebbe persino grottesco. Il silenzio assordante di Lycamobile riguardo ai milioni di carte di identità, passaporti, carte di credito e indirizzi di "poveri" interessati finiti nel DarkWeb mi fa pensare che la legge è per pochi un po' meno uguale.

Unicredit che si fa rubare milioni di dati dei correntisti e si affretta a farci sapere che erano “soltanto” nome cognome indirizzo, email numero di telefono, cellulare (che fortuna, temevo gli avessero preso anche il numero di scarpe), Lycamobile che mette a disposizione i documenti con foto dei propri clienti come se fossero figurine Panini… ma che sta succedendo in Italia?

Eppure questi giganti ci tengono eccome a tranquillizzare a parole i propri utenti. Dal sito di Lycamobile:

“Abbiamo predisposto adeguate misure di sicurezza per impedire che i tuoi dati personali vengano accidentalmente persi, utilizzati o consultati in modo non autorizzato, alterati o divulgati. Inoltre, limitiamo l’accesso ai tuoi dati personali ai soli dipendenti o terzi che hanno una necessità commerciale di conoscerli. Essi trattano i tuoi dati personali solo in base alle nostre istruzioni e sono soggetti a un rigoroso obbligo di riservatezza. Abbiamo messo in atto procedure per far fronte a qualsiasi sospetta violazione dei dati personali, e informeremo te e qualsiasi relativo ente regolamentale in caso di una loro violazione, se saremo giuridicamente tenuti a farlo.”

Ora, se la memoria non mi inganna, l’articolo 33 del GDPR dice più o meno così: “Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione.”

Ma il silenzio regna sovrano in uno Stato dove il Garante è decaduto e ovviamente non ha più né le risorse economiche per agire né l’entusiasmo per organizzarsi.

Questo è, ahimè, il problema: un effetto domino che parte da quell’ufficio e che si propaga sempre più dirompente nelle imprese italiane. E, d’altra parte, se colossi come Unicredit o Lycamobile possono farsi prendere i dati altrui senza dover attenersi alle procedure del Regolamento, perché dovrebbe preoccuparsi l’ufficio, l’azienda, il professionista o l’artigiano?

La verità è che stiamo distruggendo quello che di buono aveva fatto l’Europa unita, ovvero un regolamento per la protezione dei dati che mettesse fine ai trattamenti non autorizzati, alle ricette mediche lasciate nelle cassettine alla mercè di tutti, alle aziende i cui sistemi di protezione sono simili ad uno scolapasta…

Quando mi ritrovo nelle aziende a parlare di Data Loss Prevention o di Mobile Device Management mi guardano come se fossi un extraterrestre atterrato nella città dei Puffi: eppure le stesse persone che in quel momento ho davanti sono la classe dirigente di quelle aziende, hanno vestiti di ottima fattura, uffici in pelle, begli orologi e stipendi da manager. E con che cosa li hanno generati quei benefit? Con i dati che gestiscono, o meglio, con i dati che poi si fanno rubare perché non investono in sicurezza, perché non pagano adeguatamente chi dovrebbe vigilare sui dati, perché semplicemente non rischiano niente e rimangono impuniti. L’effetto domino è partito e c’è solo un modo per fermarlo…

Che s’ha a fare un Data Breach?

Aggiornamento del 13/11/2019

Tra ieri e oggi, sul sito di Lycamobile, è stata pubblicata questa comunicazione riguardante il data breach subito ad opera di LulzSec.

Siamo ben oltre le 72 ore previste dal GDPR per comunicare a interessati e autorità competenti l'incidente di sicurezza subito: gli hacktivisti di LulzSec infatti, già ieri chiedevano riscontri, tramite un tweet sul loro profilo, di eventuali comunicazioni da parte di Lycamobile sul data breach subito e diverse riviste di settore avevano sollevato il problema. Ma ciò che più colpisce è l'evidente minimizzazione dell'evento. La nota, rintracciabile solo nella sezione "Per il consumatore" accessibile dalla parte più in basso del sito ufficiale e non pubblicata in home, parla infatti esplicitamente di "un numero esiguo di clienti": stima contraddetta da LulzSec stessa e dai database pubblicati online.