NEWS

Ransomware, se la vittima è il commercialista per i clienti addio privacy

Studio di commercialisti di Battipaglia viene colpito da un virus "ransomware" che prende in ostaggio tutti i dati delle denunce dei redditi di 157 clienti. I professionisti si rimboccano le maniche e rifanno daccapo tutte le dichiarazioni dei redditi per rispettare le scadenze fiscali. A permettere il contagio, la segretaria dello studio, che avrebbe ricevuto ed aperto una mail con allegato un file pdf con la dicitura “spese mediche” che celava in realtà il virus.

Dopo l'epidemia di "WannaCry", che lo scorso maggio ha imperversato per mezzo pianeta colpendo oltre 230mila computer in 150 paesi, ormai dovrebbero saperlo tutti, specialmente i professionisti, che esistono i cosiddetti “ransomware”, pericolosi virus informatici che sono in grado di criptare i dati contenuti in un computer o in un server, e renderli inaccessibili a chi ne sarebbe legittimo titolare, e che in questi casi la vittima può sperare di rientrarne in possesso solo dietro pagamento di un riscatto in bitcoin, la valuta elettronica che permette agli hacker di intascare i soldi e dileguarsi poi mantenendo l'anonimato.

ransomware

Nonostante la larga diffusione del fenomeno, sono stati evidentemente presi però alla sprovvista dei commercialisti di Battipaglia, che sono caduti in pieno nel tranello del famigerato “cryptolocker”, e proprio nel periodo delle dichiarazioni dei redditi si sono visti prendere in ostaggio tutti i dati dei tre computer dello studio.

Anche se in genere il riscatto per riavere i dati ammonta a 500/600 euro, i commercialisti campani non hanno reso noto quanto è stato effettivamente richiesto loro dai cybercriminali, fatto sta che questi impavidi professionisti hanno chiuso la porta in faccia agli estorsori, decidendo di non pagare e rimboccarsi piuttosto le maniche per reinserire daccapo tutti i dati dei 157 clienti, sottoponendosi così ad un vero e proprio tour de force che li ha costretti a fare turni straordinari, lavorando anche di notte per completare le dichiarazioni entro la scadenza stabilita dal fisco.

A permettere il contagio, pare sia stata la benintenzionata (ma forse non adeguatamente formata) segretaria dello studio, che avrebbe ricevuto ed aperto una mail con allegato un file pdf con la dicitura “spese mediche”, apparentemente quindi riferita proprio alle attività fiscali, ma che in realtà celava il virus rivelatosi poi fatale, sfruttando probabilmente anche delle vulnerabilità presenti nel sistema informatico dello studio.

Anche se sono già scattate le indagini della Polizia Postale, e dato il numero rilevante di interessati coinvolti non è escluso che alla luce di quanto accaduto il Garante per la Privacy possa intervenire per fare degli accertamenti, peggio ancora sarebbe stato se tutto ciò fosse avvenuto con il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, che sarà applicabile dal 25 maggio 2018:

il nuovo testo richiederà infatti che in ogni caso in cui si verifichi un “data breach”, come nel caso dello studio commerciale di Battipaglia, il titolare del trattamento debba farne notifica entro 72 ore all’Authority, e nei casi più gravi darne comunicazione anche a ciascun diretto interessato. Non solo una situazione del genere potrebbe portare a pesantissime multe, ma al danno potrebbe aggiungersi la beffa con un grave impatto sulla reputazione dell'azienda coinvolta, che rischierebbe di perdere in un sol colpo la fiducia dei clienti, i quali potrebbero decidere di rivolgersi altrove per trovare un fornitore più affidabile.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Violazioni dei siti web italiani: senza la richiesta di consenso si rischia il penale
Next Droni, con il GDPR necessario rispettare precise regole sulla privacy

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy