l'attacco informatico

Data breach Tim, gli aspetti privacy: perché adeguate misure di data protection sono la priorità

Il principio di adeguatezza delle misure di sicurezza adottate per il trattamento dei dati, come sancito dal GDPR, è un aspetto prioritario per le aziende, in particolare per le Telco: vediamo che cosa è successo e quali sono le soluzioni da implementare

27 Ago 2021
C
Marina Rita Carbone

Consulente privacy

L’operatore di telefonia TIM ha rilevato attività sospette all’interno dei propri sistemi e, in particolare, delle aree di accesso personale MyTim, tramite la quale è possibile gestire la propria utenza, le ricariche telefoniche e altro. Quanto accaduto, mostra ancora una volta l’importanza del principio di “adeguatezza” delle misure di sicurezza adottate per il trattamento dei dati, come stabilito dal GDPR.

Data Breach Tim: cos’è successo

Nella comunicazione inoltrata ai clienti, ai sensi di quanto previsto dal GDPR, si riporta che “a fronte delle attività di controllo di sicurezza sui nostri sistemi, sono state rilevate attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle tue credenziali di accesso a MyTim. Per tua tutela e per garantire la sicurezza delle tue informazioni, stiamo provvedendo a disabilitare in via precauzionale le tue credenziali MyTim, utilizzate anche per l’accesso ad alcuni servizi Tim correlati (Tim Party, Tim Personal), rendendo obbligatorio il cambio password al primo accesso all’area privata MyTim”.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il data breach, tuttavia, avrebbe riguardato esclusivamente le anagrafiche clienti e le credenziali di accesso degli stessi, sebbene non sia ancora noto l’esatto numero di interessati coinvolti, fra cui anche ex utenti. Non sarebbero stati, invece, sottratti i dati relativi alle modalità di pagamento e/o ricarica, come i numeri dei conti correnti e delle carte di credito. “I dati coinvolti”, spiega Tim in poche parole, “non contengono informazioni che possano abilitare funzioni di pagamento”.

Cyber security e GDPR: regole di accountability per una efficace data protection

L’operatore ha poi precisato, all’interno di una nota ufficiale, che è stata avanzata formale denuncia alla Polizia Postale, e che l’Autorità Garante è stata informata di quanto avvenuto, al fine di valutare se l’evento possa dipendere da responsabilità proprie della Società, o se le misure di sicurezza delle informazioni oggetto del breach fossero adeguate. Anche i clienti interessati dal breach sono stati informati di quanto avvenuto, al fine di consentire loro di modificare la password di accesso non solo al servizio di Tim (adempimento reso obbligatorio), ma anche degli eventuali altri account per i quali si utilizzava la medesima password, che potrebbero essere messe a rischio dalla fuga di dati. “Riteniamo opportuno raccomandarti di non utilizzare più la vecchia password”, si afferma nella comunicazione, “né una simile, nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, qualora coincidente o simile a quella precedentemente utilizzata su MyTim”.

GDPR e data breach Tim : l’importanza di adeguate misure di sicurezza

Ai sensi dell’art. 32 GDPR, il titolare del trattamento ha l’obbligo di mettere in atto misure tecniche e organizzative che consentano di garantire un livello di sicurezza adeguato al rischio. Fra queste, la norma prevede, in particolare, che il titolare possa:

  • Pseudonimizzare e/o cifrare i dati personali;
  • Adottare procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  • Assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • Ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico al fine ultimo di preservare i dati personali da eventi infausti, come la distruzione, la perdita, la modifica, e, in particolar modo, la divulgazione non autorizzata e l’accesso, sia accidentali che dolosi.

Tale norma, che costituisce una specifica del più generale principio di privacy by design e by default contenuto all’art. 25 GDPR, sebbene abbia una formulazione molto generale e astratta in ragione dell’impossibilità di ricostruire in modo esaustivo tutte le possibili prassi e misure tecniche che possano garantire a più livelli la sicurezza dei dati, appare particolarmente rilevante nel caso in cui il titolare, come nel caso di specie, fornisca servizi digitali ad un numero di interessati particolarmente elevato.

Privacy e Telco

Specialmente del settore delle telecomunicazioni, nel quale transitano enormi quantità di dati personali di ogni genere (dall’identità personale ai mezzi di pagamento), enorme rilevanza deve essere data alle attività di controllo periodico dei sistemi, i quali, per loro natura, non possono essere invulnerabili da qualsiasi accesso di natura dolosa.

Il controllo periodico dei sistemi consente non solo di scovare le eventuali vulnerabilità presenti a seguito di aggiornamenti o altro, adeguando di conseguenza i sistemi di sicurezza, ma anche, come avvenuto per Tim, di rilevare con prontezza eventuali anomalie che altrimenti, nell’inerzia del titolare, potrebbero portare a pesanti conseguenze non solo per l’utenza (che si vedrebbe privata dei propri dati e potenzialmente esposta a ritorsioni di natura economica) ma anche per la società stessa, anche solo in relazione al danno reputazionale. Nel caso in cui le attività di controllo fossero mancate, le conseguenze avrebbero essere molto maggiori, arrivando magari a coinvolgere anche i dati di pagamento o altre informazioni.

La delicatezza del settore delle comunicazioni viene rimarcata anche nel novellato impianto normativo del Codice Privacy, che agli articoli 132-ter e 132-quater, dedicate ai servizi di comunicazione elettronica, ribadisce, rimandando espressamente all’art. 32 GDPR, che i fornitori di detti servizi debbano adottare, “anche attraverso altri soggetti a cui sia affidata l’erogazione del servizio, misure tecniche e organizzative adeguate al rischio esistente”, garantendo altresì specificatamente che “i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati”, al fine di consentire “la protezione dei dati relativi al traffico ed all’ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché’ […] l’attuazione di una politica di sicurezza”.

La valutazione del rischio

Come detto, perno fondamentale dell’intero impianto normativo del GDPR e del novellato Codice Privacy, è il concetto di rischio, e il processo di valutazione dello stesso. In particolare, il Considerando 83 del GDPR prevede che la valutazione del rischio debba essere improntata alla possibilità che un data breach causi un danno per l’interessato, sia materiale che immateriale. Recita, infatti, il Considerando, che, tenuto conto della natura dei dati personali da proteggere, “nella valutazione del rischio per la sicurezza dei dati personali è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”.

Una violazione dei dati personali”, continua il Considerando, “può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.”

Nel caso di cui si discute, il danno per l’interessato potrebbe essere connesso non soltanto alla sottrazione delle proprie informazioni di pagamento, ma anche, semplicemente, alla diffusione dei dati personali “comuni” e delle informazioni relative all’utenza. Occorre pensare, infatti, non soltanto alle attività illecite poste in essere da hacker che intendano utilizzare i dati ottenuti per sottrarre somme di denaro o rivendere le password online, ma anche a tutte le operazioni dolose che hanno come finalità quella di sottrarre clientela alla concorrenza, particolarmente diffuso nel settore delle telecomunicazioni.

Il caso data room

La stessa Tim è stata coinvolta, solo l’anno scorso, in una operazione simile. A seguito di una denuncia scaturita proprio da Tim a seguito della scoperta di ulteriori attività anomale nei sistemi informatici, la Polizia Postale, in un’operazione denominata “Data Room”, coordinata dalla Procura di Roma, era stata in grado di scoprire un vero e proprio “business” di dati dei clienti delle compagnie telefoniche, con dipendenti infedeli che sottraevano pacchetti di dati per rivenderli ai call center.  Le dimensioni del business erano del tutto rilevanti: ben oltre 1,2 milioni di record raccolti illecitamente, per il valore di 3,4 centesimi l’uno.

Data breach, quando sussiste l’obbligo di notifica

Poiché il rischio connesso al trattamento non è completamente eliminabile, specialmente in alcuni settori particolarmente presi di mira, come le telecomunicazioni, l’e-commerce o la sanità, il GDPR ha previsto in capo al titolare anche degli obblighi di notifica del breach, sia nei confronti dell’autorità Garante, sia nei confronti dell’interessato, “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Nel caso in cui il termine di notifica sia superiore alle 72 ore, tale ritardo deve essere adeguatamente motivato.

L’obbligo di notifica, correttamente adempiuto da Tim a seguito dell’avvenuta scoperta dell’accaduto, nasce al fine di tutelare l’interessato dall’eventuale inerzia del titolare, consentendogli così di porre in essere, anche per suo conto, ogni possibile misura atta a prevenire l’insorgere di eventuali danni nei suoi confronti, o a evitarne le conseguenze. Non solo: con riferimento alla notifica del breach nei confronti del Garante, ciò consente anche al titolare di aprire un utile spazio di confronto e dialogo con le Autorità, il quale potrà ben mettere le proprie competenze al servizio del miglioramento del servizio reso, nella fase di reazione al data breach.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr