In questi periodi di incertezza globale che coinvolge i mercati finanziari con notizie che si susseguono in un’altalena di prezzi, quotazioni e indicatori economici impazziti, conflitti che sembrano sedarsi ma riesplodono con violenza, anche un altro problema, con meno clamore, ma altrettanto pericoloso, sta creando problemi ad aziende e cittadini: gli attacchi informatici a servizi e banche dati e le successive conseguenze in caso di successo dell’attacco.

Al di là di chi sia effettivamente a compiere la violazione o ci faccia comodo credere che sia, il dato di fatto è che sono in enorme aumento gli attacchi a strutture informatiche che vanno a segno. E mentre i “vecchi” modus operandi riguardavano più che altro la cifratura del dato o il blocco del servizio a scopo di ricatto (i classici ransomware da pagare in bit coin), ora è più frequente (anche o solo) l’esfiltrazione del dato al fine di rivenderlo sul dark web per usi illeciti quali frodi, phishing, spamming, furti di identità ecc.).

A complicare ulteriormente le cose è il fatto che spesso i soggetti violati detentori dei dati non sono noti al titolare del trattamento né all’interessato in quanto sub appaltatori di sub appaltatori di appaltatori… tutti tecnicamente responsabili del trattamento ex art. 28 del GDPR (che imporrebbe una conoscibilità completa della filiera e delle garanzie sulla protezione dei dati vincolate da atti e contratti scritti che impegnino il primo responsabile come l’ultimo affidatario della catena).

Purtroppo nella realtà quasi mai ciò accade ed anche i titolari più solerti dopo il primo/secondo passaggio perdono traccia dei successivi sub responsabili.

Quindi, quando un sistema non dovesse più funzionare e si legge di un attacco alle infrastrutture della società xyz, quasi mai si pensa che le due cose siano collegate, salvo scoprirlo poi nel tempo, ben oltre alle 72 ore canoniche che il GDPR prevede per la gestione e la notifica al garante privacy.

Si rischia così di restare intrappolati tra utenti scontenti, data breach non gestiti, ispezioni/sanzioni del garante privacy e documentazione che dovrebbe regolare le responsabilità dei vari responsabili del trattamento incompleta o inidonea allo scarico di responsabilità.

La conoscibilità e la corretta contrattualizzazione di tutta la filiera del trattamento dovrebbe essere impostata e gestita prima che accada un incidente, non inseguita a posteriori quando purtroppo non si potrà più porre rimedio all’incidente e alle possibili conseguenze dello stesso.

La Guida (di Fabrizio Bongiovanni - Pentha S.r.l.)

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

L'Antitrust bastona Poste Italiane con una sanzione da 4 milioni di euro

Clienti obbligati a consentire l’accesso ai loro dati personali per usare le app bancarie,

Controlli a distanza con una sola autorizzazione dell’ispettorato territoriale del lavoro per province diverse

Unico provvedimento in caso di più unità produttive ubicate nell’ambito di competenza della medesima sede territoriale dell’INL

Data breach: il Garante della Privacy sanziona l’Ordine degli psicologi della Lombardia

L'oridne ha subito un attacco ramsomware che ha comportato l'esfiltrazione di dati particolari di pazienti e iscritti all'Albo