Garante Privacy, servizi telefonici e violazione dati personali

di G. Ricci (www.consulentelegaleinformatico.it) - Il provvedimento dell'11 maggio 2017 dell'Autorità Garante ha prescritto a un noto provider telefonico di comunicare il data breach subìto agli utenti interessati dalla violazione

Garante Privacy, servizi telefonici e violazione dati personaliRoma - Un noto provider di servizi telefonici è stato recentemente vittima di una violazione di dati personali, che ha comportato la conseguente notifica all'Autorità Garante e agli interessati, come prescritto dall'art. 32 bis del Codice Privacy e dal provvedimento dell'Autorità Garante del 4 aprile 2013.
L'attacco è stato effettuato - citando il provvedimento dell'11 maggio 2017 - sfruttando una vulnerabilità (omissis) che ha consentito l'accesso, con successiva copia, alle credenziali di autenticazione (user-id e password) di 5118 clienti.
Di questi 5.118, per 402 clienti risultava un avvenuto accesso all'area personale loro dedicata contestualmente al periodo dell'incidente. Tale evento è stato valutato come "pregiudizio idoneo per i dati personali o per la riservatezza dell'interessato" ai sensi dell'art. 32 bis del Codice e pertanto solo 402 interessati sono stati informati dell'avvenuta violazione mediante apposita comunicazione.

Ebbene, nel provvedimento di cui si discute, il Garante ha contestato al provider che la comunicazione agli interessati fosse in realtà stata diretta solo a una parte di questi, quando invece la comunicazione individuale del breach avrebbe dovuto riguardare tutti gli interessati i cui dati personali erano violati, in quanto la sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate. Questo in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell'utente.

Tanto l'art. 32-bis del Codice Privacy, quanto il Regolamento UE 611/13 (sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche) e infine il Provvedimento del Garante n. 161 del 4 aprile 2013 prescrivono per i provider di servizi telefonici ed Internet provider l'obbligo di comunicazione delle violazioni di dati personali subiti entro termini molto brevi - 24 ore al Garante e 3 giorni per informare ciascun singolo utente coinvolto. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati. Per consentire l'attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
Il Regolamento europeo, applicabile a decorrere dal 25 maggio 2018, estende a ogni titolare del trattamento europeo, ma anche extra UE, gli obblighi di comunicazione dei data breach.
Con data breach si identifica una violazione dei dati personali per tale intendendosi la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi conservati o comunque trattati.
La prima considerazione riguarda la portata di tale evento che potrebbe essere sia esterno (pensiamo ai temuti cryptolocker) che interno (furto di dati da parte di un ex dipendente scontento).

In caso di violazione, il titolare è obbligato a notificare la violazione all'autorità di controllo, ove possibile entro 72 ore e ad ogni interessato coinvolto - qualora ne ricorrano i presupposti.

È evidente che qualora il servizio relativo alla gestione (e manutenzione) della banca dati sia in outsourcing dovranno essere conseguentemente implementati i relativi obblighi di comunicazione con le tempistiche derivanti da parte del Provider verso il Titolare/committente.
Internamente ogni azienda dovrà implementare un processo interno di gestione dei dati breach ("che cosa faccio in caso di breach subito il 25 di dicembre?) tale da permettere il rispetto di quanto sopra, tenuto conto che il mancato adeguamento di quelle che sono le regole previste potrebbe comportare in capo alle aziende sanzioni fino a 10 MIL o fino al 2 per cento del fatturato mondiale annuo.

Dott.ssa Gloria Ricci
Consultant Colin & Partners
Notizie collegate
13 Commenti alla Notizia Garante Privacy, servizi telefonici e violazione dati personali
Ordina
  • veramente? e' di pubblico dominio
    http://www.garanteprivacy.it/web/guest/home/docweb...


    "VISTA la comunicazione di avvenuta violazione dei dati personali inoltrata il 21 marzo 2017 ai sensi dell'art. 32-bis del Codice da Wind Tre s.p.a. con la quale si è informato il Garante della "violazione [che] è avvenuta sul sistema informatico di selfcare tre.it di proprietà di Wind Tre s.p.a., già H3G s.p.a.", con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti a 5118 clienti (di cui 683 non più attivi) rilevato il 20 marzo 2017 da un proprio fornitore di servizi, a tal fine designato responsabile del trattamento (cfr. verbale 10.4.2017, p. 3 e all. 1);"
    non+autenticato
  • Sarei curioso della natura di queste "credenziali" perché per quanto mi costa (e per varie normative che non ho sottomano al momento ma posso cercare se qualcuno è curioso) non si conservano cose tipo pin in chiaro, password in chiaro ecc. Quindi il furto in teoria potrebbe riguardare al massimo "array" di nome-cognome-indirizzo (mail inclusa)-telefono dei clienti. Certo non gradevole ma manco da strapparsi i capelli, nessuno di questi dati è in effetti "segreto"...

    A parte questo per me dovrebbe essere imposta la pubblicazione senza dati particolareggiati sulla homepage di ogni azienda o ente ufficiale bucato dell'incidente avvenuto, agli interessati ovviamente in forma privata e maggiormente dettagliata.

    Posso solo sperare che questi eventi sveglino qualcuno, magari facendo pensare al potenziale "danno di scala" dei tanto spinti "servizi cloud", a cominciare da quelli di storage di foto, messaggi ecc.
    non+autenticato
  • - Scritto da: xte
    > Sarei curioso della natura di queste
    > "credenziali" perché per quanto mi costa (e per
    > varie normative che non ho sottomano al momento
    > ma posso cercare se qualcuno è curioso) non si
    > conservano cose tipo pin in chiaro, password in
    > chiaro ecc. Quindi il furto in teoria potrebbe
    > riguardare al massimo "array" di
    > nome-cognome-indirizzo (mail inclusa)-telefono
    > dei clienti. Certo non gradevole ma manco da
    > strapparsi i capelli, nessuno di questi dati è in
    > effetti
    > "segreto"...
    beh sono loro stessi che scrivono.....
    < , con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati
    personali riferiti a 5118 clienti (di cui 683 non più attivi) rilevato il 20 marzo 2017 da un proprio fornitore di servizi, a tal fine designato
    responsabile del trattamento (cfr. verbale 10.4.2017, p. 3 e all. 1);

    VISTO che in tale comunicazione è stato altresì precisato che per 402 dei 5118 clienti poteva anche essersi verificato un accesso non
    autorizzato all'area personale
    del sistema "Selfcare" di Tre (area clienti) nella quale è presente, tra l'altro, l'anagrafica della clientela (cfr.
    verbale 11.4.2017, p. 2);
    >
    direi che erano proprio credenziali belle e buoneCon la lingua fuori
    non+autenticato
  • Si, ok, ma in cosa consistono queste credenziali?
    Nomi utente+password dell'area clienti tramite le quali un potenziale attaccante può cambiarti piano tariffario, magari mandar messaggi via portale a tua moglie/marito fingendosi l'amante o al politico di turno fingendo che tu stia organizzando un attentato e al posto del complice hai scritto a lui? PIN delle SIM che per usarli devon fregarti la SIM prima? Password dei servizi a luci rosse extra che ti vendono?

    Perché le "credenziali" che contano dovrebbero essere conservate in modo tale per cui il loro furto non comporti la possibilità di far gravi danni (es. un db con nomi utenti, ad es. hash-ati e password anche loro hash-ate il cui furto non porta praticamente ad altro se non la seccatura di cambiar password, avvisare tutti, indagare sulla vulnerabilità ecc), poi il "buco" può anche essere un MITM sui generis dove chessò t'han modificato la procedura di login/registrazione succhiandosi dati in chiaro da te, 'somma le possibilità sono vaste e una volta arginato e quantificato il danno è IMVHO opportuno dir chiaro che tipo di danno è stato.

    Perché per dire se son riusciti a scaricarsi il mio shadow mi girano, ma i miei utenti non han molto da preoccuparsi, se son riusciti a loggarsi e modificare la procedura di registrazione o login succhiando quindi in chiaro user e password che io normalmente ricevevo e trattavo come si deve è ben altra storia.
    non+autenticato
  • - Scritto da: xte
    > Sarei curioso della natura di queste
    > "credenziali" perché per quanto mi costa (e per
    > varie normative che non ho sottomano al momento
    > ma posso cercare se qualcuno è curioso) non si
    > conservano cose tipo pin in chiaro, password in
    > chiaro ecc. Quindi il furto in teoria potrebbe
    > riguardare al massimo "array" di
    > nome-cognome-indirizzo (mail inclusa)-telefono
    > dei clienti. Certo non gradevole ma manco da
    > strapparsi i capelli, nessuno di questi dati è in
    > effetti
    > "segreto"...
    >
    > A parte questo per me dovrebbe essere imposta la
    > pubblicazione senza dati particolareggiati sulla
    > homepage di ogni azienda o ente ufficiale bucato
    > dell'incidente avvenuto, agli interessati
    > ovviamente in forma privata e maggiormente
    > dettagliata.
    >
    > Posso solo sperare che questi eventi sveglino
    > qualcuno, magari facendo pensare al potenziale
    > "danno di scala" dei tanto spinti "servizi
    > cloud", a cominciare da quelli di storage di
    > foto, messaggi
    > ecc.

    Intanto wind ha fatto sapere ai suoi utenti di ricaricabili che la tangente mensile passa da due euro a quattro euro. Con buona pace degli utenti fessi possessori di tali device.
    non+autenticato
  • Ho lasciato Wind ben prima di lasciar l'Italia e tre non l'ho manco mai guardata per le sue policy (costi mensili, pacchetti scaglionati a settimana, che sino a poco tempo fa eran gli unici a praticare). Entrambe son partite abbastanza bene sul piano tecnico e son rapidamente crollate...

    Cmq consolati che la telefonia in tanti altri paesi della UE è messa anche parecchio peggio. In Francia hai molti più "servizi inclusi"; per es. la quasi totalità dei contratti sopra l'uno/due €/mese sono flat, quasi tutti includono le chiamate ad almeno i fissi di quasi tutti i paesi del mondo, i data cap mobili sono un pelo più ampi che in Italia (ad oggi ad es. ho 60Gb/mese con chiamate e messaggi flat per Francia e pochi altri paesi (USA, Cina, Canada, ... non Italia e il resto della UE) e verso i fissi di più o meno tutto il mondo a 18€/mese). Ma i call-center sono operativi solo in orario di ufficio e a pagamento (solo dal momento in cui l'operatore risponde e tolti gli eventuali tempi di attesa se la tua richiesta richiede lavorii interni, se chiami per problemi loro non tolgono in genere il costo ma scontano anche del 50% la bolletta successiva) e la portabilità è assai più lenta dell'Italia (anche perché son praticamente SOLO abbonamenti, non vi sono tasse sopra, sono praticamente tutti "sans engagement" ovvero senza vincoli di durata minima ma comunque non sono ricariche, devi chiuderli con raccomandata A/R, addebitare su carta o via SDD ecc). In Germania spendi assai di più per servizi assai inferiori e addirittura hai la telefonia fissa non flat ma tariffata a distanza chilometrica del link (!!!). In Belgio hai data-cap persino sulle ADSL... 'Somma l'Italia nell'UE e nel mondo non è messa così male per la telefonia mobile!
    non+autenticato
  • pur se lenti come lumache... qualcosa si muove
    non+autenticato
  • Il fatto è che lenti come lumache significa ingiustizia sociale....
    Tra parentesi non capisco il "noto provider" al posto di "wind".
    E' vietato divulgare le malefatte di gente che espropria dati personali?
    Curioso...
    non+autenticato
  • - Scritto da: falsizon
    > Il fatto è che lenti come lumache significa
    > ingiustizia
    > sociale....
    dagli tempo.Con la lingua fuori perfino il CERT-it e' rimasto un catorcio abbandonato per anni e anni. adesso (da un po) almeno contiene qualcosa. Da un po' abbiamo perfino un CERT-PA ( https://infosec.cert-pa.it/ ) che -meraviglia- ha perfino strumenti utili

    > Tra parentesi non capisco il "noto provider" al
    > posto di
    > "wind".
    > E' vietato divulgare le malefatte di gente che
    > espropria dati
    > personali?
    > Curioso...
    e' un tipico caso di autocensura.Con la lingua fuori wind-h3g e' nel provvedimento del garante, quindi certamente pubblico.
    piuttosto sarebbe interessante che il CERT, invece di mettere i soliti noiosi bollettini delle vuln (ma tradotti in ita), piazzasse questo tipo di info (l'incident response, appunto)... e dettagliate. I posti seri, se attaccati, mettono il follow-up sul blog aziendale. Qui non pretendo tanto, ma magari che finisse nel cert-it (in modo dettagliato)... non sarebbe maleCon la lingua fuoriCon la lingua fuori
    non+autenticato
  • Una parte della lentezza non è necessariamente malafede ma malagestio per incapacità. I gestionali odierni sono mostri assai poco usabili, talvolta persino peggio dei vecchi archivi cartacei quindi talvolta la capacità di reazione e l'efficacia della reazione di un'azienda è limitata, a dir poco, dalla sua struttura amministrativa, peraltro assai comune.

    È il problema di voler dare al manager il controllo di tutto, non della sola gestione ordinaria e il dire a quest'ultimo sin dall'università che lui è un dio e gli basta applicare pedissequamente una serie di modelli fumosi (come fossero libri sacri) ignorando tutto il resto.
    non+autenticato
  • speriamo che anche oggi PI sforni qualche articolo su prodotti apple... altrimenti su PI non commenta nessuno e diventa noioso.
    non+autenticato
  • - Scritto da: Digital Coach Italia
    > speriamo che anche oggi PI sforni qualche
    > articolo su prodotti apple... altrimenti su PI
    > non commenta nessuno e diventa
    > noioso.
    Si potrebbe partire da
    https://blog.fortinet.com/2017/06/09/macransom-off...
    +
    https://www.alienvault.com/blogs/labs-research/mac...

    ;)
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Digital Coach Italia
    > > speriamo che anche oggi PI sforni qualche
    > > articolo su prodotti apple... altrimenti su PI
    > > non commenta nessuno e diventa
    > > noioso.
    > Si potrebbe partire da
    > https://blog.fortinet.com/2017/06/09/macransom-off
    > +
    > https://www.alienvault.com/blogs/labs-research/mac
    >
    >Occhiolino

    Grazie mi hai salvato la giornata hahaha
    non+autenticato