SICUREZZA DIGITALE

HO.mobile alza bandiera bianca. Avevamo ragione noi.

L’esfiltrazione dei dati personali c’è stata. Caso risolto.

Il lungo silenzio è stato infranto. Oggi poco dopo le 13,30 i telefonini degli abbonati HO.mobile hanno ricevuto il fatidico SMS con cui il gestore ammette di essere stato vittima di una incursione hacker che ha concesso a malintenzionati di accedere ai dati personali della sua clientela.“Ti scriviamo per informarti che purtroppo ho. Mobile, come numerose altre aziende, e’ rimasta vittima di crimini informatici che si sono intensificati durante la pandemia.

Fortunatamente gli utenti erano già stati informati grazie alla stampa che si era premurata di parlare del fattaccio nei giorni passati. Anche Infosec News nella mattinata del 31 dicembre aveva allertato i propri lettori fornendo una serie di consigli utili per evitare fastidiose possibili sorprese. Ieri eravamo tornati sull’argomento parlando della Caporetto dell’operatore telefonico low cost di Vodafone e invocando una dignitosa resa dinanzi all’evidenza.

L’incipit del breve messaggio di testo inoltrato ai propri clienti contiene uno sconfortato “purtroppo” che sembra addebitare l’incidente alla malasorte (e non, come sarebbe, alla inidoneità delle misure di sicurezza adottate) e un “come numerose altre aziende” quasi il mal comune fosse mezzo gaudio.

Ogni commento è superfluo.

Incuriosisce il fatto che nessuno a “casa HO.mobile” abbia mai letto l’articolo 34 del Regolamento Europeo in materia di privacy (il non mai abbastanza lodato GDPR) che parla di “Comunicazione di una violazione dei dati personali all’interessato”.

Tale norma stabilisce al primo comma che “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Visto che la storia risale all’anno scorso e – anche a non voler esser spiritosi anche perché c’è ben poco da ridere – se ne parla dal 29 dicembre, piacerebbe conoscere l’interpretazione che esperti e consulenti hanno voluto suggerire al top management a proposito del “senza ingiustificato ritardo”.

Tale comunicazione è obbligatoria e non sembrano ricorrere le condizioni che – al terzo comma del medesimo articolo – la rendono “non richiesta”.

Pare che non ci fossero “le misure tecniche ed organizzative di protezione … destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”, come si legge alla lettera a) del comma 3.

Probabilmente si sbaglia ma non si ha l’impressione che sia soddisfatta nemmeno la condizione di cui alla lettera b) secondo la quale “il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”.

Non si venga poi a raccontare che “detta comunicazione richiederebbe sforzi sproporzionati”, perché l’SMS tardivo è la dimostrazione plateale che gli utenti erano raggiungibili con un paio di clic e senza alcun onere per chi vi doveva provvedere.

Il Garante per la protezione dei dati personali saprà equamente giudicare. Ci si augura che le 72 ore per la “notificazione” non siano state considerate in maniera elastica come il “senza ingiustificato ritardo” con cui HO.mobile ha proceduto alla comunicazione agli utenti.

Back to top button