La notizia dell’esfiltrazione dei dati in danno dell’ABI è vicenda degli ultimi giorni, ma dal comunicato sul sito istituzionale titolato “ABI: attacchi hacker da febbraio, prese misure a tutela dati“, il 29 aprile viene data l’informazione circa la finestra temporale degli attacchi informatici. Non manca la rassicurazione – oramai ricorrente quasi come un copy ad ogni data breach di qualsivoglia organizzazione – circa l’aver presentato “denunce alla Polizia postale e alle Autorità competenti” e di avere “già attivato tutte le azioni a propria tutela e di quella dei dati del personale e adottate tutte le misure per la messa in ulteriore sicurezza delle infrastrutture e dei dati”.
Manca del tutto una comunicazione agli interessati, tanto nella forma quanto nei contenuti. A questo punto, si può ritenere che sia stato valutato un data breach non sufficientemente grave da porre in pericolo diritti e libertà degli interessati coinvolti, sebbene la portata della documentazione reperibile nel “bottino” dei cybercriminali faccia emergere quanto meno alcuni dubbi a riguardo. Ma forse tale comunicazione è già stata svolta internamente nei confronti del personale, sebbene una parte di rischio possa riguardare anche ulteriori soggetti quali gli interlocutori esterni o fornitori ad esempio.
Non volendo insistere su tale punto, ma tornando al comunicato, ci sono alcuni elementi poco chiari. Ad esempio: se la scoperta delle aggressioni informatiche perpetrate in danno dell’ABI sia stata realizzata solo pochi giorni fa attraverso attività di analisi e investigazione; quali sia la portata dei dati compromessi; quali siano state le azioni (a parte: tutte) per tutelare i dati del personale; quali siano le misure (a parte: tutte) per la messa in sicurezza delle infrastrutture e dei dati; se altri soggetti si debbano preoccupare del reimpiego da parte di alcuni cybercriminali dei dati esfiltrati. O se ci si deve preoccupare del furto d’identità, che come da vademecum pubblicato dall’ABI e dalla Polizia di Stato può avere conseguenze “per l’utente molto gravi dal punto di vista del rischio di coinvolgimento dei propri dati in attività illecite, sotto l’aspetto reputazionale nonché sotto quello finanziario”. Siamo tristemente abituati ai silenzi e ai punti ciechi nelle comunicazioni riguardanti data breach, al di là dello svolgimento di alcuni adempimenti essenziali. Eppure, non possiamo fare a meno di continuare a notarli e sollecitare risposte, auspicabilmente in quella che potrebbe essere una “spinta dal basso” da parte degli utenti – e a maggior ragione: dei soggetti coinvolti – nel pretendere maggiore trasparenza e sicurezza nella gestione delle violazioni.
