Forse una svolta nella saga delle chiamate moleste, un fenomeno che si sta aggravando, invece di recedere. Pure a fronte di riforme normative (Registro delle opposizioni ecc.), codici di condotta (quello recente del telemarketing), iniziative di supporto del Garante (la pagina dedicata alle segnalazioni), si sta moltiplicando invece di assottigliarsi. Senza che, al momento, questi rimedi mostrino sensibili miglioramenti del fenomeno, specie per le chiamate mirate ai contratti degli operatori dell’energia.
Ora, però, una scoperta inattesa potrebbe rivelare una delle possibili cause principali: una fuga di dati che apre scenari sia di speranza (scoperta la causa la si gestisce e si estingue il fenomeno) che di sconforto (la possibile causa rivelerebbe una grave mancanza di minima sicurezza nella gestione dei dati personali).
Tutto ciò è emerso a seguito di una segnalazione al Garante (nonché ad ARERA per il settore energia e ad AGID per la sicurezza della P.A.) del 18 luglio scorso. Da parte di importanti associazioni del comparto energia, telemarketing e altre ancora (A.R.T.E., Assium, Assocall, Assocontact, Consumerismo, OIC).
Tali stakeholder, infatti, sono da tempo loro stessi vittime delle malpratiche di una minoranza di soggetti fraudolenti che, negli ultimi mesi, stanno arroventando le linee telefoniche degli italiani con chiamate insistenti, non richieste, in genere per far cambiare operatore e far stipulare contratti con le maggiori società del campo energetico.
Con questo atto i segnalanti ricostruiscono un quadro di fatto piuttosto desolante – se verrà accertato quanto lamentato – circa il rispetto di minime prescrizioni sulla gestione in sicurezza dei dati personali di una pletora di utenti, da parte di una struttura della P.A. Per capire meglio, vediamo di ricostruire per punti i passaggi chiave della segnalazione.
Indice degli argomenti
Chiamate moleste settore energia: l’exploit dello spoofing
Quel che sta accadendo è noto da tempo e ormai esperienza di tutti, purtroppo: negli ultimi tempi si stanno moltiplicando le telefonate indesiderate, a tutte le ore e giorni della settimana, da parte di soggetti con presunte varie qualifiche (operatori dell’energia, associazioni di consumatori ecc.). Obiettivo: convincere l’utente a cambiare gestore energetico, in maniera truffaldina, per poi incassare la commissione presso l’operatore ad avvenuta stipula del contratto da parte dell’utente.
Come riporta la segnalazione, “il Garante della privacy ha dichiarato che nonostante le 256 multe effettuate da quando il GDPR è attivo, per un ammontare complessivo di 123.369.569 milioni di euro, si contano ugualmente circa 4.000 segnalazioni ricevute al mese da parte dei cittadini, molte delle quali, per quanto noto, riferiscono di offerte telefoniche da soggetti non tracciabili, effettuate con modalità aggressive/fraudolente nelle quali l’offerente mostra di avere completa conoscenza dei dati personali dell’utente da parte dell’offerente, inclusi quelli relativi a recentissimi cambi di fornitore/volture delle utenze energetiche o, addirittura, di cambi di fornitore in corso, non ancora definitivamente perfezionati”. Basti menzionare che i fraudolenti operatori arrivano a fingere di essere corrieri per consegnare un assegno a titolo di rimborso, inviando persino un codice OTP al numero mobile dell’utente, per legittimarsi.
Il numero telefonico dei chiamanti, purtroppo, non è utile per individuarli: in alcuni casi, perché sfruttano una tecnica chiamata “ID spoofing”: il chiamante rivela, al numero chiamato, un numero falso o meglio di un terzo, non quello reale, sfruttando una vulnerabilità nella struttura dei protocolli di segnalazione delle reti telefoniche (SS7 e simili).
In altri casi, vengono usati numeri non richiamabili e non registrati – come invece sarebbe dovuto per legge – nel ROC (Registro Operatori delle Comunicazioni) mantenuto da AGCOM. Non parliamo poi del rispetto della normativa sul Registro delle Opposizioni.
È utile rammentare che sussiste tuttora un protocollo di intesa AGCM e ARERA, per la tutela del consumatore (delibera 16 ottobre 2014 505/2014/A), instaurando forme di coordinamento e di segnalazione dei casi in cui emergano ipotesi di fattispecie di pratiche commerciali scorrette relative ai settori dell’energia elettrica, del gas e dei servizi idrici. Proprio come nell’”epidemia” di chiamate in questione, e nell’atto in parola si richiama proprio questo protocollo.
Il secchio bucato? Il Sistema Informatico Integrato e i soggetti del settore
Arriviamo alla possibile fonte del problema. In forza di normativa (art. 1-bis della l. 129/2010), è stato istituito un Sistema Informatico Integrato (“SII”) presso e a responsabilità di Acquirente Unico S.p.a. Tale società fa parte della P.A.: è (si riporta dal relativo sito web) “la società pubblica nata per approvvigionare l’energia elettrica per i clienti domestici e le PMI che ancora non sono passati al mercato libero. Dal 2009, si sono progressivamente ampliate le attività di AU a beneficio del corretto funzionamento dei mercati energetici”.
Il SSI è stato creato per “sostenere la competitività ed incentivare la migliore funzionalità delle attività delle imprese”: in concreto, il SSI è impiegato per la memorizzazione e gestione dei flussi informativi su attivazioni e contratti energetici degli operatori del mercato, i cui utenti nel libero mercato possono cambiare gestore con necessità di coordinare i passaggi di contratto. Le regole di gestione sono stabilite da ARERA, anch’essa parte della P.A.: è infatti l’Autorità di Regolazione Energia Reti Ambienti, autorità amministrativa indipendente di regolazione del settore fin dal 1995.
Quindi il dataset gestito dal SSI è a dir poco ghiotto per malintenzionati operatori del settore (e non solo): è possibile ricavarne le complete anagrafiche dei clienti (comprensive di POD, e-mail e contatto telefonico, inclusi a volte sia quello fisso che quello mobile) che stanno effettuando un cambio fornitore o che hanno richiesto una voltura, aspetti sfruttati dai malintenzionati nelle loro chiamate abusive citando questi elementi anche per acquisire credibilità e attenzione. E così proporre facilmente offerte di cambio operatore, in maniera aggressiva ma documentata, facilitando l’opera di convincimento. Ecco un esempio plastico di come dati personali, di per sé, in prima battuta, non sembrino particolarmente rilevanti, ma contestualizzati e combinati tra loro possano essere sfruttati per facilitare condotte illecite, abusare della fiducia dell’utente, falsare la credibilità dell’interlocutore.
Sempre la normativa del 2010 citata prevede che sul trattamento dei dati personali, contenuti dentro il SII, il Garante per la protezione dei dati personali fornisca indicazioni ad ARERA, cosa puntualmente avvenuta con provv. 8 maggio 2015. Pre-GDPR, il Garante richiamava le misure del vecchio Codice nazionale e l’abrogato Allegato B, e ARERA le aveva a sua volta imposte con propria delibera al gestore (cioè Acquirente Unico S.p.a.).
Al di là del fatto che i richiami alla normativa siano datati, le misure prescritte comunque erano e restano a garanzia minima della sicurezza di reti e sistemi. In particolare, a tutela soprattutto della riservatezza prescrivevano adeguatezza nell’accesso ai dati, con tracciamento (log) combinato alla riferibilità univoca verso utenti autorizzati (peraltro da garantire con “non ripudiabilità” delle rispettive comunicazioni). Oltretutto, in ossequio al principio di minimizzazione, in consultazione l’utente dovrebbe visionare solo i dati essenziali alle proprie funzioni, non certo l’intero dataset – specie per i dati di contatto.
Non solo – richiamano i segnalanti –, oltre alle prescritte misure da parte del gestore SII, questi è parte della P.A. e dovrebbero comunque trovare applicazione le misure di sicurezza sì minime ma articolate e aggiornate (rispetto al pregresso Allegato B del Codice privacy) curate da AGID per la P.A., come da CAD (D.Lgs. 28/2005), nella versione ultima della Circolare AGID 18 aprile 2017, n. 2/2017. Ben più articolate del pregresso Allegato B del Codice privacy e che, in particolare, impongono presidi come quelli – meglio illustrati fra poco – verso la gestione degli accessi e del tracciamento degli autorizzati. Si lasci dire che poi a sistemi pubblici di questa portata si dovrebbe esplicitamente imporre, altresì, una gestione della sicurezza delle informazioni come da standard ISO 27001 o similari.
Cosa potrebbe essere accaduto: personal data breach
Da quanto indicato nel documento di accusa in parola, i conti (sulla dovuta sicurezza) non tornerebbero: per es. il SII non contemplerebbe procedure di autenticazione utente più evolute di un banale username-password.
Inoltre, non vi sarebbe la tracciabilità utente prescritta da ARERA e l’estrazione di dati dal sistema avverrebbe con mere esportazioni in formati come .csv, senza protezione o attribuibilità univoca all’operatore.
Idem per le mere credenziali di accesso al sistema, non certo univoche bensì potenzialmente condivise tra più utenti, frustrando la possibilità di risalire a eventuali responsabili certi. E tacendo della possibilità di estrarre l’intero parco dati, pare senza particolari restrizioni e presidi.
I segnalanti, pertanto, ritengono che le riprovevoli prassi dell’ultimo periodo abbiano fonte proprio in tale scarsa sicurezza del SII, tale da permettere una facile fuga di dati, arrivati così in pasto al sottobosco di operatori fraudolenti, in una versione “pericolosamente” aggiornata rispetto alla situazione di ogni cliente del settore energetico.
Pertanto, il problema sarebbe sia di inidonea security ICT che – per i dati personali coinvolti – di personal data breach (derivante da tale inidoneità). Accountability fallace, nel caso, intesa come mancata applicazione di presidi minimi di tutela dei dati. E si tratterebbe, come ipotizzato, di misure che – non solo nel 2023! – operatori professionali e istituzionali non dovrebbero nemmeno esitare ad aver adeguato da molto tempo, senza che ci si possa scusare per es. invocando carenze dovute a particolari complessità o costi rilevanti. Più corretta governance che altro. O meglio: governance, più che sua assenza, stante il caso.
La portata del presunto breach sarebbe sotto gli occhi (e le orecchie) di tutti: uso dei dati di contatti da parte di estranei non autorizzati in primis, modalità ingannevoli e moleste di presentarsi e spingere le offerte con le chiamate, divulgazione dei dati anche di contatto tra chissà quanti e quali terzi estranei non legittimati.
Le violazioni, come rivelato dunque dai destinatari della segnalazione, potranno configurarsi come un illecito plurisettoriale, su cui ora pare sia doveroso indagare da parte del Garante, di AGID e di ARERA.
Le condotte descritte ben possono prestarsi a indagini congiunte o parallele in ambito consumeristico (AGCM, in accordo con ARERA, potrebbe voler approfondire le pratiche commerciali aggressive e scorrette ivi descritte, a danno degli utenti consumatori). Tra le tante autorità coinvolte speriamo sia attuata una valida cooperazione, per i rispettivi ambiti di competenza.
Cosa potrà accadere ora
Restiamo sul tavolo della privacy: giocoforza il Garante (che ha appena approvato il codice deontologico proprio per il telemarketing, concordato peraltro con alcune delle segnalanti del caso di oggi) dovrà aprire un’indagine, che potrà richiedere diverso tempo.
Vedremo se e come sarà possibile accertare la “fuga di dati” paventata dai segnalanti, un data breach di considerevole gravità specie nei suoi effetti a medio-lungo termine e che potrebbe comportare, tra l’altro, una sanzione rilevante da parte del Garante a carico degli enti responsabili (sarà da comprendere se possa essere solo l’Acquirente Unico S.p.A., gestore del SII, o anche coloro che avrebbero dovuto vigilare in merito). Auspichiamo ovviamente che già in corso di indagine – se confermate le gravi carenze – si rimedi quanto prima e si sani la mala gestio alla fonte, attuando efficaci misure di rimedio sul SII, da mettere in seria sicurezza appena possibile. Così da interrompere, intanto, il flusso illecito di dati all’esterno e il rischio che simili deprecabili episodi possano ripetersi.
Resterà però in circolazione, se confermato, un corposo dataset illecito di utenti del settore energetico, esfiltrato dal SII, in mano a un sottobosco di professionisti dell’illecito che potrebbero comunque insistere – almeno per un certo periodo, finché i dati acquisiti avranno una certa attualità – nella loro condotta. Magari forti di giurisdizioni persino extra-UE con cui considerarsi al sicuro da eventuali indagini e sanzioni. Quindi – in ogni caso – gli effetti del breach rischiano di protrarsi per diverso tempo ancora, senza che il Garante possa efficacemente intervenire in merito (non per sua colpa, ma per la portata e modalità del caso e di un dataset che potrebbe e potrà essere replicato senza problemi).
Auspichiamo sia solo lo scenario peggiore possibile, che in realtà si possano comunque arginare, con qualche provvedimento, queste condotte, e il prima possibile. Le autorità devono affrontare queste criticità con la massima serietà e urgenza, adottando azioni concrete per proteggere i diritti degli utenti interessati e garantire un trattamento adeguato e sicuro dei dati personali nel settore energetico. Anche a beneficio degli operatori del settore che cercano faticosamente di svolgere la loro attività nella legalità.
Resta da constatare che quanto accaduto – ripetiamo, se confermato dalle indagini ed esiti del Garante – è un episodio molto grave, che fa toccare con mano a tutti i cittadini cosa può accadere se non si curano la gestione dei dati personali e la loro sicurezza. Se non altro, può essere un’occasione per far toccare con mano a chi magari considera “la privacy” (la genericità gergale è voluta) cosa di scarso o nullo interesse, che non lo tocca o interessa, senza temere possa accadere chissà cosa. Un’amara consapevolezza.
