Come è noto, la materia della privacy è oggi disciplinata dal regolamento 2016/679 UE o GDPR, sulla tutela delle persone fisiche per ciò che riguarda il trattamento dei dati personali e la libera circolazione di tali dati. Nel nostro paese il Codice Privacy è stato aggiornato – dopo l’entrata in vigore del regolamento – con il d. lgs. 101/2018, testo normativo con cui sono state inserite le maggiori novità indicate, in tema di trattamento dei dati personali, da parte del legislatore UE.
Nelle attività aziendali e nei rapporti di lavoro la riservatezza dei dati personali può essere messa a rischio dagli attacchi degli hacker e dalle falle ai sistemi informatici, come un recente caso – finito sotto la lente del Garante Privacy – dimostra. Di seguito coglieremo l’occasione per spiegarlo in sintesi, chiarendo anche come l’Authority è arrivata alla decisione di una maxi sanzione pari a 900mila euro, inflitta a Postel. Ciò infatti costituisce un monito verso comportamenti di aziende e datori di lavoro, poco attenti al rispetto delle regole privacy e alla protezione delle banche dati digitali.
Indice
Il caso e l’attacco ransomware ai sistemi Postel
Come accennato poco sopra, Postel – document company del gruppo Poste Italiane che offre servizi di gestione documentale e di comunicazione a supporto di aziende pubbliche e private – si è trovata nel bel mezzo di un procedimento conclusosi con una salatissima multa.
Il Garante ha infatti accertato che la società, per quasi un anno, non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, tramite cui ha poi subìto una violazione dei dati personali. Di fatto le misure di sicurezza che già c’erano non erano più sufficienti, e avrebbero dovuto essere aggiornate. Ma Postel non si è mossa tempestivamente, di fatto aprendo un varco ad un attacco informatico di tipo ransomware.
Quest’ultimo altro non è che una tipologia molto diffusa di aggressione ai sistemi, nella quale un malware – un software dannoso di cui recentemente abbiamo già parlato – blocca o limita l’accesso ai dati di un sistema, di solito criptandoli, per poi richiedere un riscatto (ransom) per ripristinare l’accesso ai dati o al sistema stesso. Tale attacco ransomware, avvenuto nell’agosto dello scorso anno e rivendicato dalla cybergang Medusa, ha causato il blocco dei server e di alcune postazioni di lavoro Postel, con conseguente attivazione delle procedure di recovery / restore. Vero è che gli attacchi hacker sono oggi minacce costanti e, non di rado, prendono di mira colossi come ad es. la Disney.
Circa il caso che qui interessa, nel sito web del Garante Privacy si precisa che il piano criminoso ha determinato l’esfiltrazione, ossia la fuga o sottrazione non autorizzata dei dati – e in alcuni casi la perdita di disponibilità – dei file che includevano i dati personali di circa 25mila persone. Tra essi troviamo lavoratori della società e ex dipendenti, titolari di cariche societarie, congiunti, candidati a posizioni lavorative e rappresentanti di imprese che avevano rapporti commerciali in essere con la società del gruppo Poste Italiane.
I dati personali nel mirino dei criminali informatici e le violazioni della società
Le violazioni di dati personali possono avere effetti molto negativi sulle persone, provocando danni fisici, materiali o immateriali. Basti pensare ad es. alla limitazione di alcuni diritti, alla perdita di riservatezza di informazioni coperte dal segreto professionale o al connesso rischio di frode.
Ebbene, nella vicenda che qui interessa e che ha portato a una pesante sanzione amministrativa pecuniaria, inflitta a Postel con ordinanza-ingiunzione, era emerso che le informazioni sottratte – e successivamente pubblicate nel dark web – attenevano a dati:
- anagrafici e di contatto;
- di accesso e identificazione;
- di pagamento;
- relativi alla salute;
- relativi a condanne penali e reati;
- rivelanti all’appartenenza sindacale.
La vulnerabilità dei sistemi informatici era stata tempestivamente segnalata, prima dal produttore del software nel settembre 2022 (con la messa a disposizione degli aggiornamenti necessari dopo qualche mese) e poi dall’Agenzia per la cybersicurezza nazionale sempre nello stesso anno. Ma Postel – aggravando di fatto una situazione già pericolosa – non aveva proceduto ad aggiornare i propri sistemi informatici, esponendosi ad attacchi poi in effetti avvenuti con la grave sottrazione di dati personali.
Per questa via, la società sanzionata ha violato gli obblighi previsti dalla normativa di protezione dei dati personali che impongono l’adozione di misure tecniche e organizzative, tali da assicurare un livello di sicurezza proporzionato al rischio di cyberattacco.
Infatti, come si può leggere nel provvedimento del Garante, alla società sono state notificate le violazioni del GDPR:
riscontrate con riferimento agli artt. 5, par. 1, lett. f), 25, 28, par. 3, lett. f), 32, 33, del Regolamento.
La maxi sanzione
Non solo. Nella decisione dell’Authority è emerso che, nella notifica di data breach allo stesso Garante – ai sensi dell’art. 33 del GDPR – e nelle successive integrazioni, Postel non ha dato informazioni complete sulla violazione patita e sulle misure di attenuazione o di eliminazione delle vulnerabilità sofferte, determinando un allungamento dei tempi per le verifiche dell’Autorità per la protezione dei dati.
Il Garante ha così individuato le condizioni per infliggere la maxi sanzione amministrativa pecuniaria pari a 900mila euro, come è nei suoi poteri, imponendo peraltro alla società di rispettare i tre obblighi seguenti:
- compiere un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi;
- approntare un piano per individuare e gestire tali vulnerabilità;
- individuare tempistiche di rilevamento e di risposta opportune contro il cyber-rischio.
Non dimentichiamo, infine, che con lo stesso provvedimento sanzionatorio, il Garante per la protezione dei dati personali ha anche richiesto a Postel di comunicare quali iniziative verranno intraprese al fine di dare attuazione a quanto disposto.
La società dovrà cioè fornire riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice Privacy, entro il termine di 120 giorni dalla data di notifica dello stesso provvedimento. La conseguenza dell’eventuale mancato riscontro potrà determinare l’applicazione di una nuova sanzione amministrativa, quella prevista dall’art. 83, par. 5, lett. e) del Regolamento.