A quattro mesi dalla piena operatività del Regolamento Generale per la Protezione dei Dati (Gdpr), in Europa è già iniziata la corsa alle segnalazioni che riguardano casi di violazioni dei dati personali. Così anche in Italia, dove dal 25 maggio - giorno zero per l’applicazione del Gdpr - a oggi, sono almeno un milione i cittadini i cui dati sono stati persi, modificati o divulgati senza autorizzazione. Ma la cifra, che fa riferimento solo alla metà delle 305 notificazioni ricevute dall’ufficio del Garante per la protezione dei dati, Antonello Soro, è ampiamente sottostimata. Infatti non c’è obbligo da parte dei titolari di un trattamento di dati di informare l’Autorità sulla quantità di profili coinvolti. Informazione che in alcuni casi loro stessi non sono in grado di conoscere.
L’impressione, a giudicare da come reagiamo noi in qualità di utenti e fruitori e da come stanno iniziando a reagire le imprese coinvolte, è che ci stiamo abituando fin troppo ai Data Breach, trattandoli come “piccoli incidenti di percorso” o “rischi del mestiere”. Spesso un comunicato stampa e qualche parola di scusa sembrano bastare a placare gli animi, magari viene offerto un servizio di monitoraggio del credito agli interessati, giusto per tranquillizzarli.
Maxi-sanzione a Uber, sotto accusa per avere nascosto un attacco hacker. Uber Technologies ha raggiunto un patteggiamento nei 50 Stati americani e nel District of Columbia in base al quale pagherà 148 milioni di dollari per avere intenzionalmente nascosto un’intrusione di hacker nel 2016. Per legge, il gruppo che offre un servizio alternativo al taxi tradizionale avrebbe dovuto comunicarlo.
Hacker in azione contro il sito del Comune di Bologna. Da ieri l'attacco informatico è in corso sulla rete civica Iperbole, con la modifica o la rimozione di alcuni contenuti, tra cui l'home page e alcuni messaggi riconducibili al gruppo 'AnonPlus'.
Violazioni di dati in aumento: il Data Breach Investigations Report 2025 di Verizon lancia un allarme globale, con l’area EMEA tra le aree più colpite. Le intrusioni di sistema sono quasi raddoppiate nell’ultimo anno (+53%) e cresce anche il ruolo delle vulnerabilità sfruttate dai cybercriminali, in uno scenario sempre più complesso e imprevedibile.
Il considerando 88 del GDPR richiede almeno una procedura per la notifica della violazione dei dati personali. Tale richiesta, in una logica sistemica, deve considerare da un lato tutto il processo di gestione di un evento di Data Breach e non solo la gestione del singolo evento, e dall’altro non solo le situazioni di Data Breach ma anche quelle di potenziale evento che mina la sicurezza delle informazioni.
La Coca-Cola Company ha reso noto di aver subìto una violazione dei dati che potrebbe interessare circa 8.000 lavoratori a causa di un ex dipendente in possesso di un hard disk esterno contenente dati personali dei lavoratori.
Nel caso di violazioni dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Una delle citazioni più note e rimbalzate di Mike Tyson, “Everybody has a plan until they get punched in the mouth”, sembra essere perfetta per chiarire quel gap fra l’aver predisposto un ottimo piano ed essere in grado di attuarlo. Così, nel contesto di un data breach, l’adozione di una procedura per la gestione di una situazione naturalmente connotata da crisi ed emergenza qual è una violazione di dati personali rappresenta una condizione necessaria ma non sufficiente per costituire una misura preventiva efficace.
Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica. La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti.
