La Hellenic Bank aveva affittato dei locali per una propria filiale di Nicosia, ma quando nel 2015 decideva di trasferirsi dimenticava letteralmente un vecchio caveau dotato di chiusura a chiave che era stato costruito in un muro dell’edificio. Successivamente, dal 2015 al 2019 il negozio era rimasto sfitto, ma quando finalmente i locali erano stati nuovamente affittati dal suo proprietario, i nuovi inquilini scoprivano con sorpresa l’esistenza del caveau abbandonato, e perciò decidevano prontamente di avvertire la banca, ma qundo i funzionari dell'istitituto si recavano sul posto per aprire i locali blindati non vi trovavano all’interno lingotti d'oro o mazzette di banconote, bensì vecchie pratiche e file di clienti ed ex clienti che vi erano stati riposti all'epoca.
Il cliente aveva chiesto una copia della polizza che aveva stipulato attraverso la banca, ma del documento non vi era più traccia. L’istituto si era giustificato con il fatto che il conto del cliente era stato trasferito da un’altra città molti anni prima, e che non era possibile accedere al contratto originale perché questo era stato archiviato in luogo lontano e per questo risultava troppo dispendioso da recuperare, limitandosi a consigliare al cliente di annullare la polizza.
Qualche settimana fa, alcuni ricercatori hanno iniziato a segnalare la presenza di un database di credenziali rubate liberamente scaricabile dal servizio di download Mega. Una paziente opera di riorganizzazione e analisi del contenuto compiuta da Troy Hunt ha rivelato che si trattava di un enorme database da oltre 770 milioni di indirizzi di email, accompagnati da una ventina di milioni di password. Il nome dato a quel database, Collection #1, era di cattivo auspicio perché lasciava intravedere la possibilità che ne arrivasse una seconda e, magari, una terza.
Se a scuola capita un data breach, l'evento deve essere gestito senza perdere tempo. Come desumibile da alcune sentenze della Corte di Giustizia Ue, la scuola deve riflettere se mandare una lettera di scuse o se rivedere i procedimenti interni, rinnovare le istruzioni al personale o sensibilizzare i dipendenti con eventi formativi.
Per leggere l'articolo integrale devi effettuare il login!
Il personale medico di un centro ospedaliero universitario è stato costretto ad abbandonare i computer per una settimana perchè un attacco ransomware li aveva resi inutilizzabili. Ma pur registrando "ritardi molto lunghi nelle cure", i sanitari non si sono dati per vinti e hanno proseguito le loro attività tornando al vecchio metodo "carta e matita", fino a quando i problemi tecnici non sono stati progressivamente risolti.
Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone. Lo ha ricordato il Garante per la privacy nel sanzionare due ospedali e una Asl per le violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.
La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).
Imprese ostaggio dei cyberattacchi; numero delle sanzioni schizzato in su; solo tre codici di condotta; in sala d'attesa le semplificazioni per le piccole e medie imprese. È quanto risulta dalla relazione per il 2021 del Garante per la protezione dei dati personali, che ha fatto il punto sull'attività svolta dall'autorità di settore e sullo stato di applicazione del Gdpr e del codice della privacy.
Per leggere l'articolo integrale devi effettuare il login!
Il crescente numero di attacchi hacker ed incidenti informatici, specialmente quando si ricorre a sistemi di intelligenza artificiale, richiede alle aziende di farsi trovare pronte e organizzate a gestire i data breach in modo efficace. Organizzato il Corso "Il Data breach: pianificazione e gestione operativa anche per le applicazioni di AI" patrocinato da Federprivacy con la docenza di Monica Perego.
Il "data breach" è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
