Furto di dati ad una APP famosa

23/11/2017 10:21


Michela Maggi, avvocato in Milano e dottore di ricerca in proprietà intellettuale, esperta di data protection

La vicenda che sto per raccontare la dice lunga sulle conseguenze che potrebbe subire un'impresa per non avere adottato misure adeguate a tutelare l'identità ed altri dati personali dei propri utenti data e idonee cautele in tema di cybersecurity. Infatti al di là delle multe amministrative che potrebbero essere inflitte al soggetto in questione, vi è stata una indubbia ricaduta in termini di reputazione aziendale.

Sembra che la più nota app di servizio di trasporto automobilistico privato abbia "tenuto nascosto" per oltre un anno un furto di dati di ben 57 milioni di passeggeri e 600 mila conducenti. L'amministratore delegato lo ha annunciato oggi, attraverso una comunicazione sul sito dell'impresa, probabilmente anche per cercare di mitigare conseguenze più gravose per procedimenti che le autorità potrebbero avviare.

Secondo Bloomberg, l'impresa in questione avrebbe inoltre pagato 100 mila dollari ai due hacker autori dell'illecito per evitare che questi diffondessero la notizia. La nota App non ha ancora, però, rilasciato ulteriori dichiarazioni sul tema, puntualizzando che nel momento successivo all'incidente sono state aumentate le misure di sicurezza sui controlli agli account e che sono state ottenute "assicurazioni che i dati raccolti siano stati distrutti".

L'impresa ha poi cercato di rassicurare gli utenti dichiarando che le informazioni violate comprendevano "solamente" il nome, l'indirizzo e-mail e il numero di cellulare relativi all'account, mentre non hanno rilevato violazioni di dati quali la cronologia delle corse, i numeri di carta di credito, i numeri di conto bancario, i codici fiscali e le date di nascita. Nella dichiarazione ufficiale si legge inoltre che gli hacker non hanno avuto accesso ai sistemi e alle infrastrutture della società, ma che la violazione è avvenuta sui server cloud di una parte terza alla quale la società si appoggia per la conservazione dei dati.

Oltre al comunicato pubblico pubblicato sul proprio sito web, a seguito della notizia, sarebbe stato licenziato il capo della sicurezza e altri soggetti ritenuti responsabili, assicurando che verranno implementate misure di sicurezza per la protezione dei dati, compresa la notificazione personale ai conducenti se il loro numero di patente sia stato o meno violato e l'offerta di tutelare gratuitamente i di furto d'identità.

Il CEO ha poi dichiarato che "niente di ciò sarebbe dovuto accadere. Non ci sono scuse. Non posso cancellare il passato, posso impegnarmi a nome dei dipendenti che impareremo dai nostri errori. Stiamo cambiando il modo di fare business". Possiamo solo immaginare quale può essere l'impatto sull'immagine aziendale rispetto a questa vicenda.

Peraltro, la società, in realtà, non è nuova all'omissione di comunicazione agli utenti di violazioni di dati personali. All'inizio del 2017, infatti, è stata costretta a pagare dal ministro della Giustizia dello Stato di New York una multa 20 mila dollari per la mancata comunicazione di un furto di nomi e numeri di patenti di 100 mila utenti avvenuto nel 2014.

La nota impresa è solo l'ultima delle vittime di cyber attacchi che hanno lo scopo di rubare i dati personali. Nel 2013 furono rubati i dati di ben 3 miliardi di account ai danni di una delle più note società di servizi web, mentre nel settembre di quest'anno sono stati violati i dati di 180 milioni di account della più grande agenzie americane di controllo del credito dei consumatori.

Risulta dunque certamente cruciale, in special modo per le App che utilizzano dati on line o per imprese che effettuano un trattamento di dati anche via web, essere in regola ed evitare conseguenze a catena che costringano ad un ravvedimento ex post e che potrebbero tuttavia anche ledere ineluttabilmente l'immagine aziendale.

Basterebbe adottare un sistema adeguato di cybersecurity ed implementare le cautele privacy del caso. Non credo che queste misure preventive, peraltro dovute ai fini della normativa vigente, possano generare un costo superiore per l'impresa rispetto a quello che può produrre un furto o una violazione di dati, come è abbastanza chiaro nel caso appena descritto.

Vetrina