L'APPROFONDIMENTO

Twitch: tutte le conseguenze privacy (e non solo) del leak sui compensi degli streamer

Il recente data leak di Twitch è una vera débâcle sia della sicurezza informativa sia della protezione dei dati, configurando in un colpo solo un data breach (per i dati e codici non personali) e un personal data breach (per i dati personali coinvolti) dalle conseguenze tutte da pesare e forse ancora non del tutto evidenti

08 Ott 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Il noto sito Twitch – content provider basato essenzialmente sul (live)streaming di contenuti di vario tipo (dai videogame alle competizioni eSports soprattutto), con una forte platea di giovani e giovanissimi – ha subito uno dei peggiori data breach degli ultimi tempi.

Un breach sia di dati personali che di codice informatico e altri dati non personali, piuttosto ingente e tale da far pensare circa l’effettiva sicurezza di una piattaforma che conta circa 15 milioni di utenti attivi al giorno.

Oltretutto mettendo a nudo dati di pagamento delle sue star – la piattaforma, infatti, retribuisce gli streamer con quanto ricavato dagli stream, dalle sponsorizzazioni e altre attività rese su Twitch stesso – che non potranno lasciare indifferenti le autorità di controllo.

Una vera débâcle sia della sicurezza informativa che della protezione dei dati, configurando in un colpo solo un data breach (per i dati e codici non personali) e un personal data breach (per i dati personali coinvolti), dalle conseguenze tutte da pesare e forse ancora non del tutto evidenti.

Data leak di Twitch: i fatti finora noti

Come è potuto accadere tutto questo? Qualcuno sul social 4Chan (ovviamente anonimamente, essendo tale piattaforma by default anonima, non richiedendo nemmeno di registrarsi) ha postato un link Torrent a materiale esfiltrato dal dominio di Twitch (circa 128 giga di volume), asserendo si tratti di una sorta di vendetta o punizione verso la comunità di protagonisti del sito stesso.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Evidentemente non proprio di gradimento dell’utente, il quale ha pure aggiunto un hashtag “#DoBetterTwitch” oltre a vari commenti di hate speech.

Come sia riuscito a entrarvi in possesso non si sa attualmente, comunque i contenuti postati sono risultati in due distinte cartelle piene di file: da una parte materiali software e dati non personali (codice sorgente della piattaforma stessa, codici interni AWS e di SDK proprietarie, informazioni sul marketplace Vapor, altro materiale per la sicurezza IT – paradossalmente), dall’altra dati personali: soprattutto pagamenti (payout) effettuati da Twitch ai propri streamer (periodo 2019-2021 circa) e che utilizzano la piattaforma per la loro attività di influencer a vario titolo, venendone remunerati.

I guadagni degli streamer di Twitch così diffusi comprendono anche personaggi italiani: tra i più retribuiti troviamo ad es. ZanoXVII (esperto di FIFA), POW3Rtv (esperto di Fortnite) e tanti altri, alcuni con cifre considerevoli (dal quasi milione e mezzo di ZanoXVII si passa alle centinaia di migliaia di euro degli altri top streamer italiani).

Il fatto stesso che questi dati siano stati da subito riprodotti dalla stampa (italiana e non), in maniera analitica, la dice lunga sull’interesse potenziale del pubblico per tali aspetti e, di converso, della riservatezza che invece ci si aspetta dall’altro lato.

Non ci sono password e numeri di carte di credito nel leak

Per ora i comunicati ufficiali di Twitch sull’episodio affermano che tra i dati esfiltrati non figurerebbero password o numeri di carte di pagamento.

L’attribuzione causale del leak sarebbe quella di un errore di configurazione dei server che avrebbe permesso al malintenzionato di accedere e copiare i dati poi pubblicati.

In ogni caso, da più parti per ogni evenienza si è consigliato agli utenti di Twitch di cambiare le proprie password.

Conseguenze privacy del leak a Twitch

Partiamo dal titolare colpito, Twitch, il quale dimostra di avere qualche falla di compliance già a monte, ben prima del breach in parola. Il sito e la società di riferimento – facente parte del gruppo di Amazon – sono nella titolarità di Twitch Interactive Inc., di diritto statunitense (sede a San Francisco).

Leggendo la relativa informativa privacy è subito evidente – almeno basandoci sul testo pubblicato attualmente – come non sia stato nominato un DPO, in potenziale violazione dell’art. 37 GDPR (i requisiti per l’obbligatorietà della nomina potrebbero essere facilmente compatibili con l’attività di Twitch – ad es. nel caso di un monitoraggio su larga scala degli, non certo peregrino lato marketing sfruttando i cookie e le preferenze degli utenti della piattaforma).

Non possiamo sapere se la presenza di un DPO avrebbe evitato l’episodio in esame, tuttavia sarebbe stata certamente una figura chiave sia nel prevenire che nel rimediare all’attuale scenario.

Una società britannica come rappresentante del titolare in UE

Inoltre si scopre, sempre scorrendo l’informativa, che sarebbe stato nominato un rappresentante del titolare con sede in un Paese dell’Unione (come richiesto dall’art. 27 GDPR per i titolari con sede extra-UE che trattano dati di persone nella UE).

L’adempimento è obbligatorio e presenta solo alcune eccezioni che non paiono applicabili alla complessità dei trattamenti di Twitch. Tuttavia risulta nominata una società britannica (Twitch UK Limited), ormai insufficiente in epoca post-Brexit a decorrere dal febbraio 2020. Il Regno Unito è infatti ritenuto – per ora, tenuto conto delle ventilate riforme legislative – sì un Paese adeguato agli standard europei ai sensi dell’art. 45 GDPR per trasferirvi dati personali, ma non si può considerare equivalente a uno Stato membro per quanto imposto dall’art. 27 circa il rappresentante.

Compensi degli streamer: un aggravio di conseguenze e rischi

Quanto ai dati resi noti, restando concentrati su quelli dei compensi riconosciuti da Twitch agli streamer, è vero che si tratta di dati non particolari (protetti maggiormente rispetto a quelli comuni, vedi l’art. 9 GDPR); tuttavia si parla di dati “finanziari” che, secondo diversi commentatori ed esperti, sono di pregnante delicatezza, pensando agli effetti della loro violazione verso gli interessati.

Tant’è che in caso di data breach la procedura prevista dall’ENISA nella valutazione della violazione avvenuta li considera come una tipologia di dati a sé, che se violati portano a un aggravio di conseguenze e relativi rischi, rispetto ai dati comuni.

Va anche detto che non è immediato capire quali conseguenze concretamente negative (economiche o di altro tipo) possano derivare ai predetti streamer dalla mera pubblicazione dei loro incassi di Twitch (ammesso che restino gli unici loro dati resi pubblici).

Si può pensare a eventuali conseguenze fiscali (se non avevano denunciato al fisco tutte le somme ora emerse – ipotesi comunque dubbia che non pare di reale interesse per il fisco italiano, ove anche ravvisasse un fumus circa l’evasione fiscale) ed economiche (la violazione della riservatezza circa i compensi ricevuti potrebbe portare a una revisione di determinati accordi con terzi che, magari, si basavano su diverse stime circa la redditività degli interessati su Twitch).

Un danno anche di immagine e promozione per gli streamer

Anche a livello di immagine e promozione gli streamer potrebbero lamentare un vulnus, ad es. per le possibili ritorsioni da parte di utenti livorosi o che potrebbero prenderli di mira considerandoli pagati fin troppo bene per il loro lavoro – peraltro gli stessi streamer di Twitch hanno subito negli ultimi tempi campagne di odio online piuttosto accese.

Come possono tutelarsi gli streamer di Twitch

Teoricamente gli interessati colpiti (cioè gli streamer suddetti) potrebbero agire legalmente anzitutto verso Twitch per danni, inoltre potrebbero reclamare presso il Garante la violazione dei propri dati (sebbene si auspica si attivi d’ufficio per un’indagine in merito, a fronte di quanto già emerso dalla stampa).

Il down di Facebook/Whatsapp dovuto a due grandi errori: una lezione per tutti

Le possibili conseguenze reputazionali

Solo un accenno finale a tematiche pertinenti ai dati non personali esfiltrati (come i codici software ecc.).

Anche questo può generare problemi rilevanti: ad es. la diffusione al pubblico di codici sorgenti potrebbe configurare sia la violazione di proprietà intellettuale protetta (anche di terzi, fornitori o comunque partner di Twitch) che porre ulteriori questioni di sicurezza (la diffusione di tali codici potrebbe ora agevolmente permettere ad altri malintenzionati di trovare falle nei software inclusi nel breach, considerato che fanno parte del pacchetto esfiltrato anche tool interni di security).

Tutto quanto narrato avrà prevedibili ulteriori conseguenze extralegali, soprattutto reputazionali, per la piattaforma americana. Nondimeno gli accertamenti sono ancora in corso per comprendere la portata di quanto accaduto: altre informazioni potrebbero essere state copiate dai sistemi della piattaforma ed emergere solo in seguito.

Conclusioni

Concludendo, non sarà un bel periodo per Twitch e per Amazon sua controllante, oltre a gettare l’ennesima ombra sul grado di sicurezza informatica dei top player statunitensi: in una sola settimana la vicenda clamorosa del down di Facebook e ora quella del breach Twitch potrebbero essere solo un’anteprima di peggiori scenari a venire. Speriamo ardentemente di sbagliare.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr