L’operatore di telefonia TIM ha rilevato attività sospette all’interno dei propri sistemi e, in particolare, delle aree di accesso personale MyTim, tramite la quale è possibile gestire la propria utenza, le ricariche telefoniche e altro. Quanto accaduto, mostra ancora una volta l’importanza del principio di “adeguatezza” delle misure di sicurezza adottate per il trattamento dei dati, come stabilito dal GDPR.
Indice degli argomenti
Data Breach Tim: cos’è successo
Nella comunicazione inoltrata ai clienti, ai sensi di quanto previsto dal GDPR, si riporta che “a fronte delle attività di controllo di sicurezza sui nostri sistemi, sono state rilevate attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle tue credenziali di accesso a MyTim. Per tua tutela e per garantire la sicurezza delle tue informazioni, stiamo provvedendo a disabilitare in via precauzionale le tue credenziali MyTim, utilizzate anche per l’accesso ad alcuni servizi Tim correlati (Tim Party, Tim Personal), rendendo obbligatorio il cambio password al primo accesso all’area privata MyTim”.
Il data breach, tuttavia, avrebbe riguardato esclusivamente le anagrafiche clienti e le credenziali di accesso degli stessi, sebbene non sia ancora noto l’esatto numero di interessati coinvolti, fra cui anche ex utenti. Non sarebbero stati, invece, sottratti i dati relativi alle modalità di pagamento e/o ricarica, come i numeri dei conti correnti e delle carte di credito. “I dati coinvolti”, spiega Tim in poche parole, “non contengono informazioni che possano abilitare funzioni di pagamento”.
Cyber security e GDPR: regole di accountability per una efficace data protection
L’operatore ha poi precisato, all’interno di una nota ufficiale, che è stata avanzata formale denuncia alla Polizia Postale, e che l’Autorità Garante è stata informata di quanto avvenuto, al fine di valutare se l’evento possa dipendere da responsabilità proprie della Società, o se le misure di sicurezza delle informazioni oggetto del breach fossero adeguate. Anche i clienti interessati dal breach sono stati informati di quanto avvenuto, al fine di consentire loro di modificare la password di accesso non solo al servizio di Tim (adempimento reso obbligatorio), ma anche degli eventuali altri account per i quali si utilizzava la medesima password, che potrebbero essere messe a rischio dalla fuga di dati. “Riteniamo opportuno raccomandarti di non utilizzare più la vecchia password”, si afferma nella comunicazione, “né una simile, nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, qualora coincidente o simile a quella precedentemente utilizzata su MyTim”.
GDPR e data breach Tim : l’importanza di adeguate misure di sicurezza
Ai sensi dell’art. 32 GDPR, il titolare del trattamento ha l’obbligo di mettere in atto misure tecniche e organizzative che consentano di garantire un livello di sicurezza adeguato al rischio. Fra queste, la norma prevede, in particolare, che il titolare possa:
- Pseudonimizzare e/o cifrare i dati personali;
- Adottare procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
- Assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- Ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico al fine ultimo di preservare i dati personali da eventi infausti, come la distruzione, la perdita, la modifica, e, in particolar modo, la divulgazione non autorizzata e l’accesso, sia accidentali che dolosi.
Tale norma, che costituisce una specifica del più generale principio di privacy by design e by default contenuto all’art. 25 GDPR, sebbene abbia una formulazione molto generale e astratta in ragione dell’impossibilità di ricostruire in modo esaustivo tutte le possibili prassi e misure tecniche che possano garantire a più livelli la sicurezza dei dati, appare particolarmente rilevante nel caso in cui il titolare, come nel caso di specie, fornisca servizi digitali ad un numero di interessati particolarmente elevato.
Privacy e Telco
Specialmente del settore delle telecomunicazioni, nel quale transitano enormi quantità di dati personali di ogni genere (dall’identità personale ai mezzi di pagamento), enorme rilevanza deve essere data alle attività di controllo periodico dei sistemi, i quali, per loro natura, non possono essere invulnerabili da qualsiasi accesso di natura dolosa.
Il controllo periodico dei sistemi consente non solo di scovare le eventuali vulnerabilità presenti a seguito di aggiornamenti o altro, adeguando di conseguenza i sistemi di sicurezza, ma anche, come avvenuto per Tim, di rilevare con prontezza eventuali anomalie che altrimenti, nell’inerzia del titolare, potrebbero portare a pesanti conseguenze non solo per l’utenza (che si vedrebbe privata dei propri dati e potenzialmente esposta a ritorsioni di natura economica) ma anche per la società stessa, anche solo in relazione al danno reputazionale. Nel caso in cui le attività di controllo fossero mancate, le conseguenze avrebbero essere molto maggiori, arrivando magari a coinvolgere anche i dati di pagamento o altre informazioni.
La delicatezza del settore delle comunicazioni viene rimarcata anche nel novellato impianto normativo del Codice Privacy, che agli articoli 132-ter e 132-quater, dedicate ai servizi di comunicazione elettronica, ribadisce, rimandando espressamente all’art. 32 GDPR, che i fornitori di detti servizi debbano adottare, “anche attraverso altri soggetti a cui sia affidata l’erogazione del servizio, misure tecniche e organizzative adeguate al rischio esistente”, garantendo altresì specificatamente che “i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati”, al fine di consentire “la protezione dei dati relativi al traffico ed all’ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché’ […] l’attuazione di una politica di sicurezza”.
La valutazione del rischio
Come detto, perno fondamentale dell’intero impianto normativo del GDPR e del novellato Codice Privacy, è il concetto di rischio, e il processo di valutazione dello stesso. In particolare, il Considerando 83 del GDPR prevede che la valutazione del rischio debba essere improntata alla possibilità che un data breach causi un danno per l’interessato, sia materiale che immateriale. Recita, infatti, il Considerando, che, tenuto conto della natura dei dati personali da proteggere, “nella valutazione del rischio per la sicurezza dei dati personali è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”.
“Una violazione dei dati personali”, continua il Considerando, “può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.”
Nel caso di cui si discute, il danno per l’interessato potrebbe essere connesso non soltanto alla sottrazione delle proprie informazioni di pagamento, ma anche, semplicemente, alla diffusione dei dati personali “comuni” e delle informazioni relative all’utenza. Occorre pensare, infatti, non soltanto alle attività illecite poste in essere da hacker che intendano utilizzare i dati ottenuti per sottrarre somme di denaro o rivendere le password online, ma anche a tutte le operazioni dolose che hanno come finalità quella di sottrarre clientela alla concorrenza, particolarmente diffuso nel settore delle telecomunicazioni.
Il caso data room
La stessa Tim è stata coinvolta, solo l’anno scorso, in una operazione simile. A seguito di una denuncia scaturita proprio da Tim a seguito della scoperta di ulteriori attività anomale nei sistemi informatici, la Polizia Postale, in un’operazione denominata “Data Room”, coordinata dalla Procura di Roma, era stata in grado di scoprire un vero e proprio “business” di dati dei clienti delle compagnie telefoniche, con dipendenti infedeli che sottraevano pacchetti di dati per rivenderli ai call center. Le dimensioni del business erano del tutto rilevanti: ben oltre 1,2 milioni di record raccolti illecitamente, per il valore di 3,4 centesimi l’uno.
Data breach, quando sussiste l’obbligo di notifica
Poiché il rischio connesso al trattamento non è completamente eliminabile, specialmente in alcuni settori particolarmente presi di mira, come le telecomunicazioni, l’e-commerce o la sanità, il GDPR ha previsto in capo al titolare anche degli obblighi di notifica del breach, sia nei confronti dell’autorità Garante, sia nei confronti dell’interessato, “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Nel caso in cui il termine di notifica sia superiore alle 72 ore, tale ritardo deve essere adeguatamente motivato.
L’obbligo di notifica, correttamente adempiuto da Tim a seguito dell’avvenuta scoperta dell’accaduto, nasce al fine di tutelare l’interessato dall’eventuale inerzia del titolare, consentendogli così di porre in essere, anche per suo conto, ogni possibile misura atta a prevenire l’insorgere di eventuali danni nei suoi confronti, o a evitarne le conseguenze. Non solo: con riferimento alla notifica del breach nei confronti del Garante, ciò consente anche al titolare di aprire un utile spazio di confronto e dialogo con le Autorità, il quale potrà ben mettere le proprie competenze al servizio del miglioramento del servizio reso, nella fase di reazione al data breach.