Sicurezza e Giustizia

UN CASO REALE DI DATA BREACH ITALIANO

Facebooktwittergoogle_plusredditpinterestlinkedinmail

di Marco Massavelli


Garante della Privacy – Violazione di dati personali nel settore dei servizi telefonici – 26 luglio 2017 [doc. web n. 6821202]

La società Wind Tre s.p.a. ha comunicato il 21 marzo 2017 al Garante della privacy, ai sensi dell’art. 32-bis del Codice, un caso di “data breach” che ha riguardato il sistema informatico di selfcare “tre.it”, con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti provvisoriamente a 5118 clienti. Con una nota integrativa del 23 giugno 2017 si è appreso che i dati riguardano 28.173 numeri di telefono.


 

Il Garante Privacy, con il provvedimento dell’11 maggio 2017, è intervenuto su un caso specifico di data breach, nel settore dei servizi telefonici. In data 20 marzo 2017, Wind Tre s.p.a., gestore di servizi telefonici, comunicava un’avvenuta violazione dei dati personali. L’articolo 32-bis, Codice della Privacy (Dlgs 30 giugno 2003 n. 196) disciplina gli adempimenti conseguenti ad una violazione dei dati personale: il fornitore di servizi di comunicazione elettronica accessibili al pubblico deve comunicare senza indebiti ritardi detta violazione al Garante. Quando la violazione dei dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore deve comunicare anche agli stessi senza ritardo l’avvenuta violazione.
La comunicazione al contraente o ad altra persona deve contenere almeno una descrizione della natura della violazione dei dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni e deve elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali. La comunicazione al Garante deve descrivere, inoltre, le conseguenze della violazione dei dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

Nel caso specifico, la violazione consisteva nella illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti a 5.118 clienti (di cui 683 non più attivi) rilevato da un proprio fornitore di servizi, a tal fine designato responsabile del trattamento. In tale comunicazione veniva precisato che per 402 dei 5118 clienti poteva anche essersi verificato un accesso non autorizzato all’area personale del sistema “Selfcare” di Tre (area clienti) nella quale è presente, tra l’altro, l’anagrafica della clientela. L’attacco pare sia stato effettuato sfruttando una vulnerabilità, per la quale erano già stati pianificati da parte della Società interventi correttivi, che ha consentito l’accesso, con successiva copia, alle credenziali di autenticazione (user-id e password) dei 5118 clienti.
Il 23 marzo, i 402 clienti per i quali risultava un accesso all’area personale, sono stati informati ai sensi dell’articolo 32-bis, comma 2, del Codice, mediante telefonata e successiva comunicazione scritta; inoltre, dopo aver rilevato l’incidente di sicurezza, è stato inibito l’accesso al sistema da parte di tutti gli utenti ed è stata avviata la procedura di cambio password per tutti i 5118 interessati.
Con il provvedimento dell’11 maggio 2017, il Garante Privacy ha ritenuto di imporre alcune prescrizioni alla Società la quale, conformandosi, ha provveduto poi ad integrare la comunicazione di avvenuta violazione dei dati personali inoltrata il 21 marzo 2017 ai sensi dell’art. 32-bis del Codice nei confronti di ulteriori 4709 interessati.

 

… continua su EDICOLeA

 


Altri articoli di Marco Massavelli

REGISTRO DEGLI OPERATORI COMPRO ORO: IL PARERE DEL GARANTE PRIVACY
di Marco Massavelli (N. IV_MMXVIII)
Garante della Privacy - Parere sullo schema di decreto del MEF concernente le modalità tecniche di invio dei dati di alimentazione del Registro degli operatori compro oro - 12 aprile 2018. Lo schema di decreto esaminato dal Garante, ai sensi del comma 4 del predetto articolo 3 del decreto legislativo, è volto a definire le modalità tecniche di invio dei dati e di alimentazione del nuovo “Registro degli operatori compro oro” – definito dal decreto legislativo “registro pubblico informatizzato” - ai fini dell’esercizio dell’attività di compro-oro, assoggettata a licenza per attività in materia di oggetti preziosi ai sensi dell’articolo 127 del r.d. n. 773 del 1931 (Testo unico delle leggi di pubblica sicurezza), tenuto e gestito dall’Organismo degli agenti in attività finanziaria e dei mediatori creditizi (OAM).
IL NUOVO CODICE DELLA PROTEZIONE CIVILE
di Marco Massavelli (N. II_MMXVIII)
Decreto legislativo 2 gennaio 2018, n. 224 (Entrata in vigore il 6 febbraio 2018). Il nuovo Codice, dopo il parere parere n. 2647 del 19 dicembre 2017 del Consiglio di Stato (leggi notizia) è stato approvato dal Consiglio dei Ministri n. 66 del 29 dicembre 2017. Il decreto legislativo migliora la definizione delle funzioni del Corpo nazionale dei vigili del fuoco, nell’ambito del servizio di protezione civile, quale componente fondamentale; chiarisce in modo più netto la differenziazione tra la linea politica e quella amministrativa e operativa ai differenti livello di governo territoriale; migliora la definizione della catena di comando e di controllo in emergenza in funzione delle diverse tipologie di emergenze; introduce il provvedimento della “mobilitazione nazionale”, preliminare a quello della dichiarazione dello stato d’emergenza.
PRIMA GUIDA APPLICATIVA DEL GARANTE SUL NUOVO REGOLAMENTO UE PRIVACY
di Marco Massavelli (N. II_MMXVII)
Garante della Privacy - Guida applicativa del 28 aprile 2017. Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.
SCOUT SPEED: PRIME SENTENZE CONTRASTANTI TRA LORO CIRCA L’ELEVABILITÀ DELLA MULTA SENZA PRESEGNALAZIONE
di Marco Massavelli (N. I_MMXVII)
Tribunale ordinario di Rovigo, Sentenza n. 1023 del 22 novembre 2016. Gli Scout Speed sono nuovi modelli di autovelox installati su auto civette della polizia, che funzionano anche se il mezzo della polizia sul quale è installato è in movimento; l’apparecchio è inoltre in grado di fotografare le auto avanti e dietro quella della polizia e quelle provenienti dall’opposto senso di marcia. Nella sentenza n. 654/2016 del GdP di Firenze viene affermato che la contestazione immediata deve considerarsi un “principio fondamentale per le infrazioni al codice della strada” obbligando ad un “maggior rigore nel procedimento di irrogazione della sanzione”. Tuttavia, secondo la sentenza n. 1023/2016 del Tribunale di Rovigo la legge non prevede l’obbligo di presegnalamento della postazione della polizia, trattandosi di accertamento dinamico.
LE NUOVE REGOLE SUL DIRITTO ALL’INTERPRETAZIONE E ALLA TRADUZIONE NEI PROCEDIMENTI PENALI
di Marco Massavelli (N. IV_MMXVI)
Decreto legislativo 23 giugno 2016, n. 129 (GU Serie Generale n.163 del 14-7-2016) Nel 2014, in attuazione di una Direttiva europea, sono state inserite nell’ordinamento nazionale nuove regole in materia di diritto ad avere l’interprete e la traduzione degli atti per coloro che siano sottoposti a procedimento penale. Pochi mesi fa, il quadro normativo di riferimento è stato ulteriormente integrato con il decreto legislativo 23 giugno 2016, n. 129. Analizziamo le regole da un punto di vista strettamente pratico-operativo, al fine di fornire utili spunti per l’attività della polizia giudiziaria e degli organi inquirenti.