
L’allusione all’episodio di hacking della pagina Facebook del Presidente Conte fa discutere e solleva alcune lecite perplessità, per lo più basate sul raffronto con le tipiche modalità di conduzione di un attacco hacker e, ovviamente, le ancor più comunemente riscontrate conseguenze che certo non si limiterebbero alla pubblicazione di una singola storia.
Ebbene, poiché così è stato fatto intendere, sarà bene analizzare le conseguenze di questo “attacco hacker” invocato, ma tutt’ora non confermato. Percorriamo però lo scenario ipotetico dando per certo che vi sia stato un accesso da parte di un utente non autorizzato.
Certamente è una violazione di sicurezza significativa ai sensi del GDPR. Ancor più, è un evento di data breach dal momento che è conseguenza di una violazione delle credenziali attraverso cui è gestita la pagina del Presidente del Consiglio, la quale ha reso quanto meno disponibili i messaggi scambiati con lo stesso da parte degli utenti, la lista dei circa 4 milioni utenti del social network che hanno aderito alla pagina, oltre che la lista de gestori.
Ora, ragionando secondo i canoni di valutazione forniti dall’art. 33 GDPR, tale violazione può essere considerata quasi certamente una violazione di confidenzialità, dal momento che la lista dei follower della pagina è visualizzabile soltanto agli amministratori della stessa.
Tale violazione può produrre un rischio probabile, per cui dunque occorre una notifica all’Autorità Garante per la protezione dei dati personali?
Certamente, l’elevato volume di utenti potenzialmente coinvolti è un primo elemento da considerare. Inoltre, andrebbe valutato che il contenuto dei messaggi privati scambiati con la pagina può offrire non pochi “spunti” ad un astuto cybercriminale intenzionato a dirigere un phishing mirato. È bene aver contezza del fatto che già la lista utenti può consentire di dirigere alcuni attacchi. Ad esempio: potrebbe essere impiegato il medesimo modello comunicativo dei SMM della pagina per l’invio di messaggi anche tramite e-mail, in caso i nominativi siano collegati con indirizzi pubblici o anche con altri database violati, o SMS se il profilo Facebook dell’utente rivela il contatto telefonico. Ulteriormente, potrebbero essere inviate finte richieste di riadesione, o altri bait che potrebbero produrre impatti negativi nei confronti degli utenti. E questo senza considerare che l’investigazione interna potrebbe rivelare che la violazione ha coinvolto anche l’account di un membro dello staff che gestisce la pagina.
Insomma: seguendo lo scenario prospettato di hacking, il rischio c’è e non è trascurabile o “non improbabile”. E dunque ci si aspetta che l’evento sia notificato entro 72 ore al Garante Privacy.
Nell’ottica di migliore tutela degli interessati, inoltre, sarebbe opportuno anche comunicare nella medesima pagina le potenziali conseguenze negative in cui potrebbero incorrere gli utenti in seguito alla violazione, oltre che i comportamenti da assumere per attenuarne gli effetti.
Conclusa così la ricognizione sul piano ipotetico, l’auspicio è che siano presto offerte tutte le evidenze a conforto della corretta ricostruzione di quanto accaduto.