Quando il data breach non è un data breach: i segreti del lessico cyber per spiegare le vulnerabilità - Cyber Security 360

LA GUIDA PRATICA

Quando il data breach non è un data breach: i segreti del lessico cyber per spiegare le vulnerabilità

Il termine data breach spesso viene usato in modo improprio: facciamo chiarezza per capire non solo sotto quali forme si presenti una violazione dei dati personali, ma anche per valutare in che casi è obbligatorio o necessario notificare l’accaduto

24 Ago 2021
P
Tiziana Pica

Avvocato - Studium Cives

Tra gli istituti che hanno fin da subito richiamato l’attenzione all’indomani della pubblicazione del GDPR c’è sicuramente quello del data breach: con questa espressione, che talvolta in modo inappropriato sentiamo invocare, il Legislatore comunitario ha inteso definire, letteralmente, la “violazione dei dati personali”.

Ma non sempre è corretto parlare di violazione del dato personale e dunque di data breach: non tutte le violazioni dei sistemi sono uguali, ma assumono rilevanze e impatti diversi mettendo il Titolare e il Responsabile del trattamento dinanzi a scenari, obblighi e soluzioni diverse tra loro.

La normativa di riferimento

L’art. 4, punto 12, del GDPR definisce la “violazione dei dati personali” come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Ebbene, l’importanza di operare impegnandosi nel contenimento del rischio di violazioni dei dati personali deriva dal combinato di una serie di esigenze: 

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity
  • tutelare e preservare i dati personali e le persone fisiche ai quali appartengono da conseguenze dannose e pregiudizievoli quali conseguenza del “breach”;
  • trattare i dati personali nell’ambito di un’attività economica, amministrativa pubblica, imprenditoriale o sanitaria osservando quanto prescritto dall’art. 25 e 32 del GDPR, ovvero operando quale Titolare o Responsabile del trattamento nel rispetto del pilastro dell’accountability, applicando ed osservando misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio di violazione dei dati stessi
  • scongiurare il verificarsi delle fattispecie di data breach che danno luogo all’obbligo di notificazione al Garante ed anche all’obbligo di notificazione agli interessati, con tutte le relative conseguenze anche dal punto di vista mediatico e reputazionale.

Che cos’è (davvero) la violazione del dato personale

La violazione dei dati personali di un individuo può assumere connotazioni assai diverse le une dalle altre. Come specifica il Considerando 85) del Regolamento UE n. 2016/679 la violazione dei dati personali può concretizzarsi nella “perdita del controllo dei dati personali” oppure nella limitazione dei diritti dell’interessato o ancora nella “discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

A ben vedere il dato personale è esposto ad una moltitudine di eventi che traggono origine dalla mano dell’uomo, dalle combinazioni di meccanismi prettamente tecnologici fino agli eventi naturalistici.

La breccia non autorizzata

La prima accezione di data breach è ovviamente quella della “breccia”, non autorizzata, all’interno di un sistema, di una banca dati che impatta negativamente sul dato personale: l’intrusione forzata, artificiosa, non autorizzata in un’area riservata e/o contenente dati e informazioni qualificabili come dato personale è già di per sé quantomeno un tentativo di violazione del dato rilevanti ai sensi dell’art. 33 del GDPR. Corre così subito alla mente il caso scuola dell’hacker esterno che viola i sistemi di sicurezza entrando in un sistema per consultare, copiare, alterare o sottrarre una serie di dati ivi contenuti e trattati.

La perdita dei dati

Tuttavia, la violazione del dato può assumere forme tecnologicamente meno evolute, traducendosi nella mera perdita o distruzione dei dati personali contenuti in un plico o archivio cartaceo, in una cd-rom oppure una pen drive che vanno perduti o distrutti a seguito di un evento naturale, come un sisma o un’alluvione.

Il furto

Le possibili sfaccettature del data breach vanno oltre la sua prima accezione basilare per spingersi fino al furto di un dispositivo, l’invio di una comunicazione elettronica a un indirizzo errato, il salvataggio di dati personali o la loro duplicazione verso sistemi, apparecchiature e server esterni o l’evento accidentale o naturale, un incendio oppure un terremoto o un’alluvione, che repentinamente e in pochi minuti provocano la perdita o la distruzione di archivi fisici o digitali di un numero indefinito di dati personali.

I tre tipi di violazione secondo il gruppo Articolo 29

Inoltre, come ribadito dal Gruppo di Lavoro dell’Articolo 29, la violazione dei dati rilevante per il Regolamento può essere di tre tipi:

  • “violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
  • “violazione dell’integrità”, in caso di modifica non autorizzata o accidentale dei dati personali
  • “violazione della disponibilità”, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali, fermo restando che, nei singoli casi concreti, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati.

La perdita temporanea dei dati

Inoltre, può rilevare come data breach anche la perdita della disponibilità dei dati personali “temporanea”, poiché l’art. 32 del GDPR spiega che nell’attuare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione, tra le altre cose, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.

Ne consegue che un incidente di sicurezza che arreca un’indisponibilità dei dati personali per un certo periodo di tempo costituisce sicuramente una violazione, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche.

Come funziona la notifica della violazione dei dati 

L’art. 33 del Regolamento UE n. 2016/679 stabilisce in capo al Titolare del trattamento l’obbligo di notificare all’Autorità di Controllo la violazione dei dati personali entro il termine di 72 ore decorrente dal momento in cui ne ha preso conoscenza “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il termine di notifica inizia a decorrere dal momento in cui, secondo il Gruppo di Lavoro dell’Articolo29, il Titolare del trattamento possa considerarsi ragionevolmente certo e consapevole del verificarsi di un incidente di sicurezza ed anche della susseguente compromissione dei dati personali.

Tuttavia, è doveroso ricordare che la notifica del data breach non è sempre obbligatoria: da un lato l’obbligo di darne tempestiva comunicazione formale all’Autorità Garante ricorre solo laddove la violazione abbia assunto delle caratteristiche tali da rappresentare un rischio probabile per i diritti e le libertà degli Interessati; dall’altro l’obbligo di notificarlo agli interessati sussiste solo qualora la violazione costituisca un rischio oggettivo elevato per i diritti e le libertà delle persone fisiche.

Assume pertanto un ruolo dirimente sia la privacy by design messa in atto dal Titolare, anche con l’ausilio dei soggetti designati autorizzati al trattamento e/o i Responsabili del trattamento, mediante l’adozione di misure tecniche e organizzative idonee a prevenire o almeno contenere il rischio di violazioni, sia la privacy by default, ovvero un attento e pronto intervento valutativo e operativo nella fase patologica immediatamente successiva al “breach”.

Questo perché, appunto, non tutti i breach sono uguali, non ogni accesso non autorizzato ai sistemi determina necessariamente uno o più degli eventi oggetto della definizione di “violazione del dato personale”. Il Titolare del trattamento, dunque, deve riuscire a compiere una serie di valutazioni e di indagini preliminari che gli permettano di comprendere a monte la sussistenza o meno dell’obbligo di notifica del data breach in un arco di tempo che gli permetta, ove l’obbligo sussista, di trasmettere entro le 72 ore a disposizione la relativa comunicazione al Garante Privacy competente.

Le regole

Al riguardo, il Working Party Art.29 ricorda che durante le attività delle prime valutazioni ed indagini finalizzate a comprendere se ci sia stata un’effettiva violazione dei dati e a inquadrarne il perimetro e la portata, necessarie per comprendere se ricorra l’obbligo di notifica, non si può parlare di “avvenuta conoscenza della violazione” e dunque il termine di 72 ore ancora non inizia a decorrere.

Appare evidente, che tra le misure tecniche e organizzative prescritte dall’art. 32 del Regolamento ci sia l’adozione da parte del Titolare del trattamento di procedure interne volte a rilevare una violazione e a gestirne la fase rimediale.

Ed è altrettanto logico che misure e meccanismi di segnalazione, intervento tempestivo e cooperazione siano alla base dei rapporti tra Aree e Dipartimenti interni alla struttura del Titolare del trattamento nonché nell’ambito dei rapporti con i Responsabili del trattamento, soprattutto ove uno o più trattamenti siano stati esternalizzati.

Proprio per questo la scelta dei cd. Responsabili esterni del trattamento e la loro nomina mediante un contratto che contenga le Istruzioni (art. 28, parag. 3 GDPR), deve essere ponderata e realizzata rifuggendo atti sterili puramente formali. Solo attraverso un’attenta pianificazione e consapevolezza di come e per quali finalità il Responsabile esterno tratta i dati, inserendo la previsione espressa del di lui obbligo di notificare al Titolare la violazione rilevata nei suoi sistemi (archivi, uffici, dispositivi, server, reti) entro un termine stringente, può contenersi il rischio di conseguenze nefaste per la riservatezza, disponibilità ed integrità dei dati personali, da un lato, e garantire al Titolare la possibilità concreta di gestire in modo efficiente e risolutivo la fase emergenziale del breach rispettando quanto stabilito dagli artt. 32, 33 e 34 del Regolamento UE n. 2016/679.

Data breach e PA

Seppure la violazione del dato possa assumere forme diverse, dalle altrettanto diverse conseguenze, nell’era in cui anche la burocrazia della Pubblica Amministrazione e i Processi civili, amministrativi e tributari, assumono corpi informatizzati, è indubbio che i casi più diffusi del breach corrano nei sistemi virtuali del mondo digitale. Dal 2019 i sistemi delle Istituzioni italiane ed europee, così come quelli di istituti bancari sono nel mirino degli autori di silenziosi attacchi informatici. In Italia i Comuni, le Camere di Commercio, l’AgID – l’Agenzia per l’Italia Digitale, l’Agenzia delle Entrate per la Riscossione, la Zecca dello Stato, l’ENAC, alcuni Ministeri, il C.O.N.I. sono stati interessati da una serie di intrusioni o di tentativi, più o meno blandi e indolori, di violazione dei dati.

L’allarme deriva non solo dal timore del furto, ovvero della sottrazione illecita, dei dati presenti nei sistemi hackerati, ma anche – e soprattutto – dal rischio che siano inseriti dei codici maligni e di backdoor poiché chiudere una falla nel CMS potrebbe anche essere immediato, ma assai più complesso e lungo, con rischio di ritardi irreparabili, è l’individuazione di una backdoor.

Tra le fattispecie più diffuse dei cd. attacchi informatici, ricordiamo:

  • i sabotaggi, ovvero gli attacchi che partono dall’interno della struttura del Titolare del trattamento ad opera di uno o più soggetti (es. collaboratori aziendali);
  • l’errore umano involontario di un collaboratore che favorisce l’ingresso dell’hacker;
  • gli Hacker “per passione”, ovvero i soggetti che danno sfoggio delle proprie abilità e “competenze” prodigandosi in tentativi che compromettano la sicurezza e rilevino la vulnerabilità di un sistema informatico;
  • Cyber criminali, soggetti che, dietro compenso, lanciano attacchi informatici;
  • Cyber attivisti, soggetti che lanciano attacchi informatici allo scopo di perseguire scopi sociali e/o politici;
  • Cyber terroristi, soggetti che lanciano attacchi per scopi simili agli attivisti, ma col fine ultimo di intimidire o danneggiare istituzioni pubbliche e governative.

Questa platea di attori, in modo più o meno consapevole o doloso, pone in essere condotte integranti le fattispecie di phishing, malware, malvertising, oscuramenti si siti istituzionali ecc. Ebbene, far fronte a tali episodi in realtà complesse e articolate in più uffici, stabilimenti, su più territori richiede maggiori risorse, tra cui il tempo, trattandosi di soggetti che in veste di Titolari o di Responsabili del trattamento dei dati hanno necessariamente delegato e sub appaltato ad altri alcuni trattamenti e dunque cospicui volumi di dati personali.

Se la falla si apre all’interno della rete della società fornitrice del servizio di hosting, essa deve immediatamente avviare interventi organizzativi, tecnici e di sicurezza che chiudano le “porte” violate e, parallelamente, avviare un’approfondita indagine che consenta l’individuazione delle falle, le loro cause, cosa non ha funzionato nella sicurezza e fino a dove l’intrusione esterna si sia spinta e con quali conseguenze sull’integrità e visibilità in chiaro del dato.

Questo insieme di analisi deve verificare se server, account di posta e dispositivi contenenti dati personali e categorie particolari di dati siano stati raggiunti ed anche penetrati dall’intruso rendendoli visibile e utilizzabili. Ed è qui che poggia il sottile confine tra l’obbligo del Titolare di notificare o meno la violazione all’Autorità di Controllo.

Cosa dice il GDPR

Il Regolamento UE n. 2016/679 ha fatto venire meno la figura della notifica preliminare al Garante del vecchio art. 37 del D.Lgs. n. 196/2003. Tuttavia, la corretta lettura dell’art. 33 del GDPR stabilisce che il Titolare del trattamento, una volta avuta la concreta conoscenza del data breach, deve rispettare il termine di sole 72 ore per la notifica al Garante: dunque, in tutti quei casi in cui siano fumose le fattezze specifiche della violazione e/o le sue vittime, l’obbligo di notifica è fatto salvo e si potrà trasmettere al Garante una pre notifica con la riserva di inviare nei giorni successivi integrazioni della denuncia. Così procedendo il termine di 72 ore sarà pienamente rispettato.

Qualora, invece, sia sì emersa una falla, una violazione nelle reti del Responsabile o di uno dei sub Responsabili, ma i loro interventi di indagine e di approfondimento non consentano ancora di individuare se ci sia stata o meno un’effettiva violazione dei dati, né di affermare che l’autore dell’accesso non autorizzato sia concretamente entrato in contatto ed abbia potuto visionare i dati personali contenuti e trattati nei sistemi violati, non può dirsi che il Titolare abbia avuto un’effettiva conoscenza del data breach e pertanto non scatta il countdown delle 72 ore per la notifica.

In tale ipotesi non solo non corre (ancora) l’obbligo di notifica al Garante, ma nemmeno quello di una sorta di notifica preliminare perché il Titolare non ha ancora avuto la conoscenza di una reale violazione dei dati, dai tratti ancora fumosi, ma tuttalpiù di una breccia, di un’intrusione nel sistema del fornitore al quale è stato esternalizzato un trattamento di alcuni dei dati trattati dal Titolare. Inoltre, qualora al termine del lavoro di indagine e monitoraggio nei giorni a seguire l’intrusione si evincerà che i dati non sono stati visibili ed estrapolabili all’autore del breach, ecco che l’incidente sarà registrato con tutte le sue specifiche tecniche nel registro dei trattamenti, ma non ci sarà l’obbligo di notifica al Garante non essendo stati compromessi i diritti e le libertà fondamentali degli Interessati poiché non c’è stata nessuna delle possibili forme di violazione del dato personale descritte all’art. 4, n. 12) del GDPR.

Alla notizia di una possibile intrusione nei sistemi IT che potrebbe aver determinato l’accesso abusivo ai dati personali diviene fondamentale un pronto e freddo gioco di squadra dei vari attori ed operatori coinvolti nel rapporto esternalizzato, tenendo lontano il timore (insensato) dello spauracchio dell’obbligo di notifica all’Autorità di controllo. Non ogni “spia rossa” accesa sul tallone di Achille dei sistemi provoca un’effettiva violazione dei dati, ma semmai potrebbe esserne la premessa. Pertanto, non tutti i campanelli di allarme di una breccia nel sistema della sicurezza dei dati determinano un obbligo di notifica al Garante, ma è fondamentale intervenire con rapide sinergie per definire se ricorra la conoscenza di un mero breach oppure di un data breach, così che solo in quest’ultimo caso, verificatane la portata, scatti l’obbligo di una notifica o di una notifica preliminare in caso di particolare complessità.

Conclusione

Tra le buone prassi di aziende e della PA, all’insegna di un risolutivo approccio privacy by design osservante le prescrizioni degli artt. 25 e 32 del GDPR, ricorre senza dubbio quella di una scelta ponderata dei soggetti delegati per i trattamenti esternalizzati coadiuvata da una nomina ex art. 28 GDPR proattiva, affinché il Responsabile del trattamento adempia le istruzioni impartite dal Titolare e utilizzi in modo consapevole il proprio registro dei trattamenti. Quest’ultimo, difatti, percepito per la sua rilevanza operativa e preventiva e non come un banale orpello formale standardizzato, permetterà alle aziende e agli enti pubblici di far tesoro degli attacchi esterni, via via sempre più sporadici, per rafforzare e meglio proteggere le reti dalle potenziali falle, facendo tesoro anche degli errori.

Del resto, sbagliando si impara, ma perseverare sarebbe diabolico. Ed è con questo monito che deve essere attuato il piano per il rafforzamento della sicurezza online in Italia soprattutto per il concreto potenziamento dei sistemi della PA che troppo spesso cadono e perseverano nei loro errori, senza trarne i dovuti insegnamenti proattivi, così tradendo la fiducia dei cittadini che li hanno resi custodi della sicurezza dei loro dati personali.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4