L’espressione data breach si riferisce ad un evento che comporta la perdita di dati personali. Può essere il frutto di un’azione illecita o di un incidente. Nei casi più gravi, i dati vengono modificati o divulgati da parte di terzi. Ciò comporta una grave violazione della privacy e rappresenta uno dei crimini informatici più rischiosi, e purtroppo diffusi, dell’era digitale.
Alla luce di ciò, si parla di data breach in diverse occasioni: dal furto di informazioni per compiere atti criminali, alla perdita di un dispositivo che contiene dati personali. Quali sono i comportamenti da attuare in questi casi?
Come comportarsi in caso di data breach o violazione dei dati
Il primo punto da chiarire è che un data breach può capitare a tutti, anche ai più attenti. Parliamo dello specifico delle azioni criminali mirate alla violazione dei dati: i criminali informatici lavorano in continuazione per scoprire i punti deboli di un sistema e colpire proprio lì, dove è più fragile.
Cosa fare se si scopre di aver perso dati importanti? Innanzitutto, si deve agire subito. Il tempo è un aspetto fondamentale: più scorre, più si è a rischio di atti illeciti.
Entro 72 ore dalla scoperta occorre inviare una notifica al Garante della Privacy tramite PEC all’indirizzo protocollo@pec.gpdp.it. Per rendere più semplice l’operazione, l’Autorità ha messo a disposizione una procedura online di autovalutazione.
Se si superano le 72 ore la procedura si complica: bisogna descrivere il motivo del ritardo. Se la violazione coinvolge anche altre persone è cruciale avvertirle tramite mezzi idonei e prendere misure per ridurre i rischi. Per esempio, se sono stati sottratti i dati finanziari occorre informare la propria banca e bloccare eventuali carte e conti.
Naturalmente se il furto di dati riguarda direttamente una compagnia, deve essere l’azienda stessa ad agire immediatamente per proteggere i propri clienti.
Data breach: la sfida delle aziende è tutelare i clienti
Purtroppo, come accennato, il data breach è un evento che può colpire il singolo utente, ma anche un’azienda, addirittura una grande società. Negli ultimi anni, si sono susseguiti numerosi casi, da usare come modello o fonte di ispirazione per costruire la propria strategia aziendale. Tra i più recenti c’è quello che ha coinvolto i clienti di ho.
L’operatore di telefonia mobile alla fine del 2020 è stato oggetto di un attacco criminale di data breach. Il furto si è limitato solo ad un gruppo di utenti, ed in particolare ai loro dati anagrafici e tecnici delle SIM, mentre non ha riguardato i dati finanziari e di pagamento, né i dati relativi al traffico generato sulle SIM.
La società si è mossa immediatamente per tutelare i clienti. Innanzitutto, ha informato tutte le persone coinvolte tramite e-mail o SMS. Inoltre, ha aggiornato la sezione FAQ del sito web ufficiale, spiegando l’accaduto e le azioni condotte per evitare danni.
Ha poi provveduto rigenerare in modo automatico e gratuito il numero seriale delle SIM interessate, in modo da ridurre il rischio di frodi e SIM swap, ovvero sostituzione SIM per eseguire atti illeciti sotto falsa identità.
I clienti che vogliono conoscere il nuovo numero seriale della propria SIM possono inviare un messaggio con scritto “seriale” al numero 3424072211, mentre chi è passato a un nuovo operatore, può conoscere il codice durante il trasferimento. Infine, i clienti interessati dalla violazione possono cambiare la SIM gratuitamente nei punti vendita autorizzati.
Accanto a tali azioni, la società ha segnalato subito l’accaduto al Garante della Privacy con la quale sta “lavorando a stretto contatto”.
L’accaduto dimostra che per quanto il sistema di sicurezza possa essere forte, non è infallibile. Bisogna quindi sempre avere una strategia di reazione già pronta, in modo da muoversi subito in caso di data breach. Ciò vale sia per i singoli utenti che per le aziende che gestiscono informazioni personali dei clienti.
