Il recente "Cost of a Data Breach Report 2020" di Ponemon, lo studio che coinvolge oltre 500 organizzazioni che hanno subito violazioni di dati, ha restituito alcuni dati interessanti sul fenomeno e come si è sviluppato quest’anno. Partiamo dai numeri da prima pagina: rispetto allo scorso anno il costo medio per Data Breach non ha subito grosse variazioni, passando da 3,92 milioni di dollari a 3,86.
Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.
Per prima cosa è fondamentale dare un’occhiata a quanto avvenuto l’anno scorso. Oltre alle difficoltà già presenti, il 2020 è stato un anno orribile dal lato “data protection” alla luce del numero record di furti di credenziali e sottrazioni di informazioni personali. Il numero complessivo fa tremare i polsi: 20 miliardi di record sottratti nel solo 2020, con un incremento del 66% rispetto al 2019. Incredibilmente, si tratta di un aumento di 9 volte rispetto al valore “basso” del 2018, in cui erano stati sottratti (solo) 2,3 miliardi di record.
Nel 2017 sono state riscosse sanzioni amministrative per circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016, mentre le comunicazioni di notizie di reato all'autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito. Sono alcuni dei risultati dell’attività del Garante per la protezione dei dati personali diffusi alla Camera in occasione della presentazione della Relazione annuale sull'attività svolta lo scorso anno.
Nell’ultimo anno le notifiche di violazioni dei dati personali richieste dal Gdpr sono aumentate del 66% nei principali paesi dello Spazio Economico Europeo. Ad evidenziarlo, è un’analisi di Linklaters.
Dal 25 maggio 2018, in virtù del disposto degli articoli 33 e 34 del Regolamento UE 2016/679, imprese, enti pubblici e professionisti devono notificare al Garante le violazioni della sicurezza - informatica e non - da cui possano derivare danni per le persone fisiche cui si riferiscono i dati. La Circolare 2/2018 di Federprivacy propone soluzioni ad alcuni casi pratici.
Il Garante privacy ha sanzionato per 80mila euro Poste Vita, la società di investimenti e assicurazioni di Poste Italiane per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati di una cliente. Tardiva anche la comunicazione del data breach all’Autorità, che doveva essere notificato ai sensi del Regolamento europeo, entro 72 ore dall’appresa conoscenza della violazione.
Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.
Al via il modello del Garante per la segnalazione degli incidenti, informatici e no, da cui sia derivata una violazione della privacy: dai virus più o meno sofisticati alle perdite di dispositivi, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Per leggere l'articolo integrale devi effettuare il login!
Lo scorso anno il data breach che aveva colpito la Capital One aveva causato la divulgazione dei dati personali di oltre 106 milioni di clienti e richiedenti carte di credito, e già all’epoca la stessa società bancaria americana aveva previsto che la violazione avrebbe pesato complessivamente con costi a breve termine trai 100 ed i 150 milioni di dollari, ma ora arriva pure la stangata dal Governo e dalla Federal Reserve con una maxi sanzione da 80 milioni di dollari.
