SICUREZZA DIGITALE

Data breach SIAE: di male in peggio

Il database SIAE, violato lo scorso ottobre, risulta ora pubblicato sul dark web e la perdurante inazione nelle comunicazioni pubbliche verso gli interessati è ben distante dall’essere una "good practice"

Come non dimenticare l’attacco hacker alla SIAE? Quello per cui con un solerte annuncio da parte del Dg si voleva sminuire l’accaduto con quel “per fortuna non sembrerebbero esserci dati economici, cioè relativi a IBAN bancari o cose di questo genere”, e a cui ha fatto seguito l’assordante silenzio circa la comunicazione di data breach e gli aggiornamenti relativi all’accaduto. 

Insomma: sebbene il Garante Privacy abbia aperto un’istruttoria, il sito istituzionale della SIAE non sembra aver avuto alcuno stimolo a rendicontare al pubblico alcuna misura a tutela degli interessati, se non una promessa dettata dalla contingenza degli eventi secondo cui “Tutti gli interessati riceveranno puntuale informazione sugli specifici dati che li riguardano non appena SIAE avrà terminato l’analisi del contenuto di tutti i singoli file, fornendo puntuale indicazione dei dati illecitamente carpiti che li riguardino.”.

Ma dalle ultime notizie che si apprendono in rete, il database SIAE violato lo scorso ottobre risulta ora pubblicato sul dark web, con tutti i contenuti resi pubblicamente disponibili. Sono così accessibili le anagrafiche degli autori, nonché dati finanziari e altri dati di natura personale con un’esposizione significativa degli interessati ad una serie di pericoli tutt’altro che trascurabili. Come già avevamo precedentemente affermato lo scenario era già significativo, ed ora che la minaccia di esposizione e diffusione incontrollata dei dati si è realizzata si transita dal rischio al pericolo. 

Certo: sappiamo che SIAE non ha pagato il riscatto a conferma delle parole del Dg per cui non c’è stato alcun danno economico.

Ma la perdurante inazione riscontrata nelle comunicazioni pubbliche verso gli interessati è ben distante dall’essere una good practice. Anzi: vale ad esporre gli stessi a maggiori incertezze e rischi, in quanto ha impedito loro di intraprendere tempestivamente delle contromisure a propria tutela.

Tutto ciò accade nonostante la volontà dichiarata di voler perseguire i cybercriminali, che non è – alla pari della notifica della violazione dei dati al Garante – un golden ticket per esimersi dalle proprie responsabilità nei confronti degli autori e delle loro eventuali pretese risarcitorie, o di eventuali non conformità riguardanti la gestione della sicurezza dei database o dell’incidente occorso.

Back to top button