Una multa di 91 milioni di euro per aver gestito le password degli utenti in modo inadeguato, conservandole in chiaro nei propri sistemi: questa la motivazione con cui il Garante privacy irlandese ha emesso una nuova sanzione nei confronti di Meta Platforms Ireland Ltd, capogruppo e società operativa a livello europeo fornitore dei due servizi di social media Facebook e Instagram.
L’annuncio è stato dato dopo che l’Autorità ha ricevuto parere positivo sulla bozza di provvedimento da parte delle altre Autorità di controllo di tutta l’UE/SEE.
Indice degli argomenti
Nuova sanzione a Meta: le indagini
Le indagini sono state avviate nell’aprile 2019, dopo che la società di Mark Zuckerberg ha notificato al Garante privacy irlandese la conservazione in chiaro di quasi 600 milioni di password, senza alcun utilizzo degli algoritmi di password hashing, mettendo a rischio la sicurezza di milioni di persone.
Già nel 2019 Meta aveva pubblicato la notizia di tale importante falla di sicurezza, rassicurando che nessuno, al di fuori dei dipendenti di Meta, aveva avuto accesso alle password degli utenti e di non avere alcuna prova di un accesso abusivo e di un utilizzo improprio delle credenziali di accesso ai social network.
Ma tale notifica di Meta al Garante privacy è stata effettuata violando l’art. 33 del GDPR che prescrive che la notifica deve essere effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Ma non solo: tale violazione non è stata documentata da Meta e la società non ha analizzato le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Tale negligenza e vulnerabilità dei sistemi di sicurezza di Meta rappresenta una grave violazione dei principi di integrità e riservatezza stabiliti dal Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, che richiede elevati standard di sicurezza per la protezione dei dati degli utenti.
Il vicecommissario del Garante privacy irlandese, Graham Doyle, ha commentato: “È ampiamente accettato che le password degli utenti non debbano essere archiviate in testo normale, considerando i rischi di abuso che derivano dall’accesso di tali dati da parte di persone.
Bisogna tenere presente che le password oggetto di considerazione in questo caso sono particolarmente sensibili, in quanto consentirebbero l’accesso agli account dei social media degli utenti”.
Le violazioni al GDPR
La sanzione a Meta è stata decisa basandosi sulle seguenti violazioni al GDPR:
- Articolo 33(1) GDPR, poiché la società non ha notificato all’Autorità di controllo una violazione dei dati personali riguardante l’archiviazione delle password degli utenti in chiaro.
- Articolo 33(5) GDPR, in quanto la società non è riuscita a documentare le violazioni dei dati personali relative all’archiviazione delle password degli utenti in chiaro.
- Articolo 5(1)(f) GDPR, in quanto la società non ha utilizzato misure tecniche o organizzative adeguate per garantire un’adeguata sicurezza delle password degli utenti allo scopo di evitare accessi non autorizzati.
- Articolo 32(1) GDPR, poiché la società non ha implementato misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, compresa la capacità di garantire la riservatezza continuativa delle password degli utenti.
Le falle di sicurezza di Meta
L’articolo 32 del GDPR (Regolamento Generale sulla Protezione dei Dati) stabilisce le misure di sicurezza che il titolare e il responsabile del trattamento dei dati devono adottare per proteggere i dati personali.
Queste misure tecniche, ma anche organizzative, devono essere adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (principio di integrità e riservatezza e obblighi di sicurezza, di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento).
In particolare, l’art. 32, par. 1, del GDPR, tra le altre cose, individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato e richiede che sia valutata regolarmente l’efficacia delle misure tecniche e organizzative adottate, al fine di un loro aggiornamento che tenga altresì conto dello stato dell’arte e degli specifici rischi per i diritti e le libertà degli interessati.
Conclusione
Tale sanzione a Meta è solo l’ultima in ordine temporale per la società Mark Zuckerberg.
Considerando anche dell’abitudine di molti utenti a riutilizzare la stessa password per servizi online diversi o, comunque, a utilizzare una password molto simile a quelle utilizzate per altri servizi online, il rischio per gli utenti di un utilizzo improprio delle password di accesso ai social network è stato davvero elevato e ha giustificato l’importo elevato della sanzione che è parametrata comunque al fatturato della società che al 31 dicembre 2022, risultava pari a 58,06 miliardi di euro, con un margine operativo lordo di circa 1,3 miliardi di euro, con la quasi totalità dei ricavi generata dalla pubblicità e in particolare dalla visualizzazione di prodotti pubblicitari su Facebook, Instagram, Messenger e applicazioni mobili di terzi.
La gestione delle password rappresenta un pilastro essenziale per la sicurezza informatica e la tutela dei dati personali.
E per garantire un’adeguata protezione, le società devono dunque implementare misure tecniche e organizzative avanzate che assicurino la corretta archiviazione, conservazione e utilizzo delle credenziali, minimizzando così i rischi di accessi non autorizzati e violazioni della privacy, utilizzando esclusivamente algoritmi robusti in termini crittografici.