Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on maggio 24, 2016

data breach

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica volta a fare il punto sui provvedimenti che introducono per amministrazioni pubbliche e aziende l’obbligo di comunicare i casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti, incendi e altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante privacy ha adottato negli anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante riguardano le aree della Biometria, delle Società telefoniche, delle Pubbliche Amministrazioni e del Dossier Sanitario Elettronico. Sono riassunti in una infografica che, con mere finalità divulgative, riassume i casi finora esaminati.

Infografica Garante Privacy

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.

La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).

Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).

A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).

In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

In seguito all’attacco hacker di alcune settimane fa, i dati sensibili degli iscritti ad Ashley Madison, portale di dating espressamente dedicato agli incontri extraconiugali, sono stati resi pubblici.

Come già riportato su questo blog, lo scorso luglio il gruppo di hacker “Impact Team” aveva minacciato di rendere pubblici i dati dei 37 milioni di utenti registrati sul portale se la compagnia Avid Life Media non avesse chiuso i due siti di appuntamenti Ashley Madison e Established Men, istantaneamente e in maniera definitiva.

Nei giorni scorsi, vista la decisione Avid Life Media di non sottostare alle richieste degli estorsori, gli hacker hanno messo in pratica le minacce rendendo i file accessibili online con evidente e dirette conseguenze per la vita privata delle persone coinvolte.

I dati ammontano a un totale di 9,7 GB, e comprendono i nomi degli utenti, i loro indirizzi email, le conversazioni private e le transazioni compiute tramite carta di credito.

Le informazioni riguardano sia gli attuali iscritti al sito sia coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione. Sebbene in molti casi gli utenti abbiano usato false generalità per registrarsi sul sito, i profili violati contengono anche numeri di carte di credito e indirizzi email, in molti casi riconducibili anche a enti governativi, militari e parastatali.

La diffusione dei dati è stata accompagnata da un messaggio degli hacker che accusa Avid Life Media di ingannare i propri utenti attraverso l’utilizzo di profili femminili virtuali fittizi creati per intrattenere ed equilibrare la sovrabbondanza di profili maschili; oltre a ciò, la compagnia è stata accusata di violare la privacy dei suoi iscritti perché conserva i dati personali degli utenti che ne avevano chiesto a rimozione attraverso un servizio a pagamento che garantiva la cancellazione dalla piattaforma di tutti i dati sensibili.

L’azienda Avid Life Media ha replicando sottolineando di non ritenere l’attacco subito alla stregua di un atto di denuncia, ma di un semplice atto criminale.

A rischio i dati sensibili degli iscritti ad Ashley Madison, un portale di dating espressamente dedicato agli incontri extraconiugali.

Un gruppo di hacker, autonominatosi Impact Team, si è servito di una falla del sito web per venire in possesso dei dati sensibili di 37 milioni di utenti.

I dati riguardano non solo gli attuali membri, ma anche coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione.

Noel Bilderman, Ceo della Avid Life Media, società proprietaria del sito, ha confermato la notizia, senza però offrire informazioni ulteriori sulla gravità del furto avvenuto. Impact Team, che ha invece dichiarato di essersi impossessato della totalità dei dati disponibili, ha intimato la chiusura immediata e definitiva di Ashley Madison e Established Men, altro sito di dating controllato dalla Avid Life Media. In caso di rifiuto, la totalità dei dati dei profili, i nomi, gli indirizzi, i numeri delle carte di credito, le transazioni bancarie e le conversazioni private degli utenti iscritti saranno resi pubblici.

Nel 2011, Ashley Madison si era reso noto in Italia per una campagna pubblicitaria che faceva esplicito riferimento alle vicende private dell’allora Presidente del Consiglio. In quel periodo oltre 200.000 italiani decisero di creare un account.

La natura dei dati sensibili raccolti dal portale fa ipotizzare gravi danni alla sfera privata di molti cittadini in caso di diffusione non autorizzata.

posted by admin on aprile 27, 2015

Computer Crimes, data breach

(No comments)

Documenti non riservati della Casa Bianca sarebbero stati raggiunti da una azione di hackeraggio.

Il New York Times ha recentemente riferito di un attacco informatico, presumibilmente operato da hacker russi, eseguito a danno degli account del presidente degli Stati Uniti. L’azione, che sarebbe stata compiuta l’anno scorso, è stata individuata e bloccata dal Joint Worldwide Intelligence Communications System (Jwics), il sistema di difesa governativo per le informazioni classificate della Casa Bianca.

Stando a quanto riferito al quotidiano da un rappresentate dell’amministrazione, non esiste prova di intrusione nell’account che il presidente Obama usa abitualmente tramite il suo BlackBerry, i cui server sono protetti. Ad essere colpito sarebbe stato un indirizzo di posta elettronica utilizzato dallo staff del presidente per la comunicazione con l’esterno, riguardante informazioni non riservate, e perciò non coperto dal sofisticato sistema di sicurezza della Casa Bianca. Attraverso questo account, gli hacker avrebbero avuto accesso a mail inviate e ricevute da persone che si relazionano quotidianamente con Obama.

I contenuti violati comprendono “appuntamenti, scambi di mail con ambasciatori e diplomatici, discussioni riguardo strategie” che coinvolgono inevitabilmente l’attività politica del presidente. Il NYT sottolinea come l’attacco appaia “più invasivo e preoccupante di quanto pubblicamente dichiarato”. Non è al momento noto il numero e il contenuto delle mail a cui gli hacker hanno avuto accesso.

All’inizio di aprile, l’amministrazione Obama aveva diffuso la notizia di un attacco informatico che aveva coinvolto i sistemi del Dipartimento di Stato nel corso del 2014, senza però specificarne l’obiettivo e senza offrire notizie più dettagliate degli autori.

Negli Stati uniti la notizia ha riaperto il dibattito sulla sicurezza nazionale: già nel dicembre 2014 l’FBI aveva indicato la Corea del Nord responsabile dell’azione che a novembre aveva interessato la casa di produzione Sony Pictures, mentre nel 2008 era stata la stessa campagna elettorale di Obama ad essere colpita da hacker cinesi.

Il NYT riferisce di una inchiesta in corso che riconduce ad hacker “presumibilmente legati al governo russo, se non addirittura suoi dipendenti”. In proposito, il portavoce della Casa Bianca Josh Earnest, ha espresso l’intenzione degli investigatori di non voler precisare l’identità degli hacker.

Il caso, verificatosi in un momento di tensione diplomatica con il governo russo, rappresenta un ulteriore elemento critico nei rapporti fra i due paesi.

Comunicati i dati relativi alle attività investigativa e sanzionatoria dell’anno trascorso, e il piano ispettivo del primo semestre 2014.

Aziende e Pubblica Amministrazione non informano adeguatamente utenti e cittadini dell’uso che fanno dei loro dati personali, e sono ancora molti i casi in cui le informazioni personali risultano utilizzate senza il consenso degli interessati. Il resoconto del 2013 delle attività investigative e sanzionatorie svolte dal Garante fa emergere le carenze di trasparenza e messa in sicurezza dei dati personali da parte di chi li usa, li gestisce e controlla.

Le ispezioni effettuate, focalizzate in particolare sull’attività di telefonate promozionali e banche dati pubbliche, ma anche su novità come l’uso dei sistemi di localizzazione satellitare e sui nuovi strumenti di mobile payment, sono state 411 (+4% in più rispetto al 2012), per un un totale riscosso dall’erario da parte di soggetti pubblici e privati di oltre 4 milioni di euro.

Gli 850 procedimenti sanzionatori avviati (578 nel 2012, con un aumento del 47%) hanno riguardato la omessa o inidonea informativa (476 casi), il trattamento illecito dei dati (277), l’utilizzo senza consenso dei dati personali, la mancata adozione di misure di sicurezza e le violazioni connesse alla conservazione dei dati di traffico telefonico, all’omessa notificazione al Garante e all’inosservanza dei provvedimenti dell’Autorità.

Si registra inoltre una crescita delle segnalazioni all’Autorità giudiziaria (71, 27% in più rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

Oltre alla prosecuzione dei controlli già avviati e degli accertamenti conseguenti a segnalazioni e reclami, il Garante annuncia per il primo semestre 2014 l’avvio di nuove ispezioni in ambiti significativi e la pianificazione di circa 200 accertamenti rispetto ai nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazioni dei database causate da attacchi informatici o eventi avversi.

posted by admin on ottobre 3, 2013

Computer Crimes

2 comments

Adobe_Systems_logo_and_wordmark.svgLa nota Software House annuncia la scoperta di un importante attacco al suo network che ha portato ad un accesso non autorizzato agli account di quasi tre milioni di utenti. Trafugati dati di carte di credito, nomi, password, contatti, ma anche i codici sorgenti di alcuni prodotti Adobe tra cui Coldfusion e ColdFusion Builder.

Adobe Systems ha annunciato che ignoti hacker hanno violato gli archivi aziendali rubando i codici sorgenti di un numero indeterminato di software tra cui la piattaforma web Coldfusion e forse anche alcuni prodotti della famiglia Acrobat. La compagnia ha fatto sapere che l’attacco ha colpito 2,9 milioni di account di utenti Adobe, mettendo a rischio i relativi dati tra cui quelli relative alle carte di credito, fortunatamente cifrati.

Un portavoce di Adobe ha reso noto che la compagnia crede che l’attacco hacker risalga allo scorso agosto. Secondo l’azienda tutti i dati delle carte di credito erano criptati e l’attacco non dovrebbe ever colpito la parte di network interno in cui sono archiviati i dati in chiaro.

Ciononostante, Adobe ha dichiarato che è in corso un processo di notificazione massiva in cui si invitano tutti gli utenti interessati dall’attacco a resettare le proprie password.

Il Garante per la protezione dei dati personali ha adottato un provvedimento generale che obbliga i fornitori di servizi di comunicazione elettronica a comunicare al Garante, e a tutti i soggetti direttamente coinvolti, eventuali “data breach”, violazioni ai database nei quali vengono archiviate le informazioni sugli utenti.

Com’è noto, attacchi informatici, malfunzionamenti, incendi o altre calamità possono mettere a rischio i dati archiviati nei database delle società che gestiscono servizi di comunicazione elettronica come Internet provider e compagnie telefoniche. La cosiddetta direttiva europea sull’e-privacy (direttiva 2002/58/Ce ) afferma che i fornitori di servizi di comunicazione elettronica devono adottare “appropriate misure tecniche e organizzative” per assicurare “un livello di sicurezza adeguato al rischio esistente” (art. 4, comma 1). La direttiva 2009/136/Ce, che ha modificato la direttiva e-privacy,  sottolinea, in particolare, che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l’usurpazione d’identità (cfr. considerando 61).

Il decreto legislativo 28 maggio 2012, n. 69, che recepisce la direttiva, obbliga i fornitori di servizi di comunicazione elettronica a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l’occorrenza dei predetti eventi, qualificati come “violazioni di dati personali”. In seguito a consultazione pubblica il Garante  ha fissato gli adempimenti per i casi in cui si dovessero verificare tali violazioni.

Il provvedimento stabilisce che l’obbligo di comunicare le violazioni di dati personali, contenuti in archivi elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet, e non a diversi soggetti quali ad esempio content provider, motori di ricerca, internet point o gestori di reti aziendali.

I fornitori sono tenuti a comunicare al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione) entro 24 ore dalla scoperta dell’evento, attraverso un modello di comunicazione disponibile sul sito www.garanteprivacy.it.

La comunicazione agli utenti non è dovuta se il fornitore dimostra all’Authority di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi. In tali circostanze le società telefoniche e gli Isp dovranno informare entro tre giorni ciascun utente coinvolto, con riferimento a alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l’ “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.

La mancata o ritardata comunicazione al Garante può comportare per le società di servizi di comunicazione elettronica una sanzione amministrativa da 25mila a 150mila euro. Sono previste sanzioni anche per la omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell’inventario aggiornato può invece costare da 20mila a 120mila euro.

posted by admin on aprile 23, 2013

Computer Crimes

(No comments)

Pubblicato il “Verizon 2013 Data Breach Investigations Report”, lo studio che ogni anno delinea lo scenario della sicurezza informatica mondiale. Anche quest’anno il cyber crime finanziario risulta essere il reato informatico più diffuso.

621 violazioni accertate e più di 47.000 incidenti di sicurezza segnalati, questi sono i dati analizzati dal rapporto annuale di Verizon sulle violazioni d’accesso ai dati digitali. Il risultato sembra molto chiaro: il crimine informatico più diffuso riguarda l’ambito economico, dal momento che 75 crimini informatici su 100 sono legati al settore finanziario.

Al secondo posto in calssifica si attesta lo spionaggio governativo che rappresenta il 20% del totale delle violazioni. Tra i reati di spionaggio rientrano anche le violazioni finalizzate ai furti di proprietà intellettuale, quali informazioni governative secretate, risorse tecniche e segreti industriali.

Lo studio di Verizon, giunto alla sua sesta edizione, ha, inoltre, rilevato come “la proporzione di incidenti che vede protagonisti gli hacktivisti, ovvero coloro che agiscono per ragioni ideologiche o per puro divertimento, si sia mantenuta stabile; la quantità di dati sottratti però si è ridotta in quanto molti di essi hanno utilizzato altri metodi, quali attacchi DDoS (distributed denial of service). [...] Questi attacchi, volti a paralizzare i sistemi o provocarne malfunzionamenti, hanno anche un forte impatto sui costi delle aziende e sulle loro attività”.