Il caso del data breach sul Garante della Privacy ha aperto una serie di domande in merito al significato di data breach, cerchiamo di fare chiarezza perchè la questione è particolarmente delicata e va affrontata con metodo: si può considerare un data breach un attacco che non riguarda dati personali?
Il caso di data breach sul Garante della Privacy è importante perchè, per molti versi, è stato inteso come un “non data breach”. Nessun dato personale è stato trafugato e l’accesso ha riguardato:
un’applicazione esterna, non più attiva a seguito dell’entrata in vigore del GDPR se non come registro pubblico, e quindi contenente dati già accessibili.
Fonte: Garante della Privacy
Questo tipo di attacco è o non è un data breach? Cerchiamo quindi di partire dalle definizioni.
La definizione di data breach
Il 15 aprile 2019 il Garante della Privacy ha aggiornato la pagina descrittiva del data breach legandolo, comprensibilmente, al regolamento 679/2016 (GDPR). Come potete notare dall’immagine riportata di seguito, il data breach viene associato ai dati personali.
Si legge nitidamente “Cosa è una violazione dei dati personali (data breach)?”. Tuttavia, a voler essere precisi, in informatica un data breach è differente da un “personal data breach”: il data breach è l’accesso con mezzi e da parte di persone non autorizzati a sistemi e informazioni in essi contenute. Non vi è quindi una diretta dipendenza con i dati personali ma vi è una diretta dipendenza con l’azione illecita.
A data breach is an incident where information is stolen or taken from a system without the knowledge or authorization of the system’s owner.
Trend Micro
Trend Micro fornisce una descrizione molto chiara del data breach che sembra andare proprio nella direzione appena descritta; non vi è nessun riferimento a “dati personali” ma si parla genericamente di “informazioni”. La società Kaspersky offre una visione leggermente differente:
A data breach exposes confidential, sensitive, or protected information to an unauthorized person. The files in a data breach are viewed and/or shared without permission.
Fonte: Kaspersky
In questo caso la posizione della società russa è un pò meno “lasca” di quella di Trend Micro, poiché parla di informazioni confidenziali, sensibili o protette. Questo ultimo aggettivo permette di annoverare, in realtà, tutti i dati non pubblici di un sistema informativo (come ad esempio le tabelle di un database) a cui si accede senza permessi. In entrambi i casi la discriminante non è la tipologia di dato, ma la modalità (illecita) di accesso.
Questione di flessibilità
Chi lavora nel campo informatico sa che un data breach è composto da 3 momenti ben distinti che possiamo riprendere proprio da Trend Micro: la fase di analisi, quella di attacco e quella di esfiltrazione.
Exfiltrate
Fonte: Trend Micro
Once inside the network, the attacker is free to extract data from the company’s network. This data may be used for either blackmail or cyberpropaganda. The information an attacker collects can also be used to execute more damaging attacks on the target’s infrastructure.
Come è possibile notare si parla genericamente di “dati” e non di “dati personali”. Inoltre, a seguito di un data breach, si potrebbe non esser in grado, fin da subito, di identificare la tipologia di dati trafugati. Nel GDPR è l’articolo 33 deputato a gestire le modalità di notifica al Garante della Privacy per eventuali data breach. Al comma 4 si legge:
Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Fonte: GDPR art. 33 c.4
Ciò significa che nella prima notifica è possibile segnalare il data breach senza aver ancora individuato i dati colpiti e questo è oltremodo importante perchè indipendentemente dalla presenza dei dati personali, il data breach c’è stato. Non a caso, in una traduzione letteraria, data breach significa “breccia nei dati” e non “breccia nei dati personali”.
Da dove nasce l’incomprensione
La “durezza” dell’informatica, che di per sé non annovera al data breach il senso di “dati personali”, si deve coniugare con la figura del Garante della Privacy. Poiché i compiti del Garante sono definiti principalmente dal Regolamento (UE) 2016/679 e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), la sua azione viene specificamente rivolta ai dati personali. Ecco quindi che se parliamo in termini informatici, la violazione di un database senza dati personali è un data breach ma non fa scattare la notifica prevista dall’art.33; in sintesi:
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale
Fonte: Garante della Privacy
Conclusione
In conclusione un data breach può non essere di interesse per il Garante della Privacy quando non coinvolge dati personali degli utenti. Ciononostante, in ambito informatico, esso rimarrà definibile data breach poiché eseguito da personale e con metodologie non autorizzate.