La notizia riportata dal quotidiano americano Wired, avrebbe dell’incredibile e allarmante ma, purtroppo, sembra non debba avere l’onore delle prime pagine pur nella sua enormità. Sembra che un database di Google, contenente i dati di oltre un miliardo di utenti della rete, tra cui indirizzi personali e credenziali di social, sia rimasto per un periodo non troppo breve senza protezione e, di conseguenza, tutti i dati sono ora reperibili in rete e oggetto di scambio sul dark web. Ovvio che i pirati del web possono fare l’uso che vogliono di queste preziose informazioni: dal poterle vendere per profilazione ad aziende commerciali o che si occupano di vendite, ma anche usarli per accedere agli account degli utenti, cercare di accedere ai conti correnti o alle carte di credito, rubare identità e altro ancora.

Difficile in questo contesto dare la responsabilità al singolo utente, che peraltro sembra ormai rassegnato alla mancanza di protezione del proprio dato, visto che spesso non si adottano nella navigazione in rete le misure minime di protezione; le responsabilità di chi dovrebbe proteggere i dati sono ben evidenti ed i rischi per i singoli enormi. Innanzitutto una simile quantità di dati non dovrebbe essere conservata in un unico database e, comunque, viene da chiedersi quali misure di protezione fossero state poste in essere dal gestore. Nel caso specifico, dalla stampa risulta che è stata addirittura l’FBI "in persona" a mettere offline il server. Impossibile sapere chi e come vi abbia potuto accedere anche se, è bene ricordare, l’esposizione del dato non vuol dire che lo stesso sia stato sottratto o usato in maniera non conforme da terzi, anche se i dubbi restano.

Ad oltre un anno dalla definitiva efficacia del GDPR, la situazione in merito alla protezione del dato, oltre ad avere visto una piena armonizzazione dei sistemi normativi, è considerata con ottimismo da parte della Commissione Europea, pur con alcuni distinguo dovuti per lo più alla discrezionalità lasciata ai singoli Stati. Peraltro dall’osservazione delle vicende e seguendo non solo le notizie dei data breach, ma anche le sanzioni emesse, pare che da parte dei giganti del web ancora non vi sia una piena attuazione della norma che, ad onor del vero, sembra sia più sentita dalle PMI, che devono talvolta sostenere costi non proprio irrisori.

Restano aperte numerose criticità e le notizie quasi quotidiane di attacchi informatici fanno capire come l’aumento dell’esposizione dei dati comporti anche l’aumento di rischi da parte di hacker e pirati informatici. Necessario quindi elevare gli standard di protezione tecnici, ma anche porre in essere tutte le cautele di natura legale che salvaguardino i Titolari del trattamento e che, al contempo, permettano agli utenti – Interessati – di creare una consapevolezza dell’importanza del loro dato. In tal senso la predisposizione di informative rigorose e dettagliate, pur a fronte della ritrosia dei più a prenderne visione e magari leggerle compiutamente, potrebbe avere un senso e responsabilizzare non solo i Titolari del trattamento, ma anche gli stessi utenti.

Alcune aziende sembra che abbiano iniziato a rendersi conto di che cosa possa comportare la protezione dati e si è registrata, in particolare, una forte diminuzione nell’uso di cookies di terze parti all’interno dei siti. Ciò sembra avere generato diminuzioni di fatturato, ma i rischi di incorrere in sanzioni o misure quali l’oscuramento del sito, forse la più temuta, fanno propendere sempre più ad una maggiore cautela.

Come potrebbe in qualche maniera migliorare la situazione? Temiamo che purtroppo solo l’arrivo di sanzioni a tanti zeri possa essere il solo segnale che in molti siano in grado di comprendere e, come le multe in macchina per l’uso del cellulare e perdita di punti per la patente, anche in materia di protezione dati la repressione e la punizione siano gli unici argomenti comprensibili.