Anonymous attacca ministeri, enti pubblici e partiti; Settimana Nera del mondo digitale, 5 novembre: i dati dell’attacco online, questi i titoli ricorrenti su molte testate giornalistiche e di informazione nazionale degli ultimi giorni. La Dott.ssa Claudia Cofini ci porta nel mondo della giurisprudenza illustrandoci con particolare chiarezza gli eventi e le responsabilità conseguenti gli attacchi.
Inquadriamo lo scenario
Abbiamo assistito inermi e anche un po’ indignati agli avvenimenti che hanno fatto vittime in diverse istituzioni ed enti italiani. Le diverse incursioni perpetrate da Anonymous, Anonplus, LulzSecIta e Antisec in siti e data base hanno portato alla luce un’importante mole di dati divulgati illegittimamente. Nel materiale pubblicato, ultimamente, ritroviamo nomi, cognomi, numeri di telefono e-mail e password di diversi istituti come il Cnr, il data base di Equitalia e quello del Mise.
Sono stati diffusi i dati sensibili di tesserati della Lega Nord del Trentino, di Fratelli d’Italia, del PD di Siena, i nomi e cognomi di Assopolizia da Roma a Belluno e paradossalmente dell’Istituto Centrale per gli Archivi che si occupa della realizzazione di sistemi informativi e linee guida per la realizzazione di data base digitali, evidentemente senza prestare troppa attenzione alla sicurezza. Tra i breach più importanti e disastrosi vi è sicuramente la pubblicazione di ben 4 Gb di materiale proveniente dalla Siae ossia la Società Italiana degli Autori e degli Editori. Ed ancora l’Università e il Dipartimento di Informatica della Sapienza.
E il Garante?
Sull’ argomento il Garante della protezione dei dati si mantiene piuttosto generico, affermando che sicuramente la cyber security è un tema prioritario che non può essere più ignorato, ma come la mettiamo con l’attuale normativa in vigore sulla data protection, il Gdpr?
A tal proposito giova ricordare che il Regolamento UE 679/2016, che il 25 maggio si è abbattuto come una palla di cannone sulle persone giuridiche, prevede importanti sanzioni per chi non ne rispetta i principi e gli obblighi derivanti dall’applicazione di misure di sicurezza minime previste dall’art 32 e best practices tra cui, ad esempio, l’utilizzo di password sicure su cui tutti i soggetti hackerati, stando ai fatti, sono carenti.
Nonché il rispetto del principio/obbligo di privacy by default e by design per ridurre al minimo il perimetro degli attacchi subiti e limitare i danni, come riportato in un’intervista al Garante Italiano Antonello Soro.
Ancora, sono previsti dall’ art. 33 Gdpr severi e rigorosi obblighi di notifica di data breach che devono essere effettuati dalle vittime entro 72 ore dalla scoperta della violazione nei confronti del Garante e nel caso in cui ledano i diritti e le libertà dell’interessato, i cui dati sono coinvolti nel breach, anche nei confronti di quest’ultimo. Saranno stati rispettati?
Tornando all’art 83 Gdpr, esso prevede, al comma 1, che le sanzioni amministrative pecuniarie inflitte devono essere “in ogni singolo caso effettive, proporzionate” ma soprattutto “dissuasive”. Inoltre, al comma 2 definisce i criteri utilizzati per fissare l’ammontare delle suddette sanzioni, da valutare in ogni singolo caso, tenendo conto di:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Il comma 3, dettagliato dall’art 166 del D. Lgs 101/2018 di armonizzazione al Gdpr, prevede sanzioni che oscillano tra i 10.000.000 e i 20.000.000 di euro.
Quando, come ed in quale misura il Garante terrà conto di questi criteri nel momento in cui decidesse di irrogare la sanzione?
Il problema è che a circa 5 mesi dal 25 maggio 2018 il Garante, sembra essere impreparato ad affrontare una situazione che ha sicuramente avuto un impatto devastante sui target e influenzando la stessa opinione pubblica in fermento, a volte in maniera confusa, sicuramente stupita dalla facilità e superficialità con cui i dati sono messi a rischio da chi in realtà dovrebbe proteggerli più di chiunque altro, esponendo al rischio i cittadini italiani.
Lampante è il fatto che il Garante, come istituzione amministrativa indipendente, si trova davanti ad una situazione di negligenza di cui non può non prendere atto, una situazione che colpisce con maggior vigore la Pa, una situazione per la quale non si può chiudere un occhio e girarsi dall’altra parte. Dunque, la domanda è: le sanzioni tanto temute colpiranno i malcapitati target dagli attacchi? Probabilmente no, esponendo il nostro Paese all’ennesima figuraccia.
È necessaria una risposta al più presto senza lasciare, di nuovo, che tutto passi inosservato, nel rispetto del più generale e solenne principio che si legge a caratteri cubitali in ogni palazzo di giustizia: la legge è uguale per tutti.
A conclusione di questa breve riflessione si può affermare che: i gruppi hacker che hanno messo a segno gli attacchi, da alcuni vengono appellati come terroristi, la Presidentessa di Fratelli d’Italia Giorgia Meloni, in un post li chiama “figli di papà pseudo-rivoluzionari”, al quanto fuori contesto a parere di chi scrive, altri ancora li osannano a paladini della giustizia, io preferisco definirli rivelatori di una scomoda verità ossia che, almeno in Italia, siamo ancora molto lontani dal concetto base di data protection.