Avv. Giuseppe Croari – Dott.ssa Ilenia Lanari
Negli ultimi anni, le minacce alla sicurezza informatica sono diventate sempre più sofisticate, mettendo a dura prova le difese delle aziende e delle istituzioni. Un caso emblematico ha recentemente coinvolto InfoCert, una delle principali società italiane operanti nel settore dei servizi digitali. Sul finire dello scorso anno, l'azienda ha rivelato di aver subito un grave attacco informatico.
Lo scorso 27 dicembre 2024, un utente identificato come "PieWithNothing" ha messo in vendita sul dark web, per la somma di 1.500 dollari, 5,5 milioni di record di dati appartenenti a InfoCert. Secondo le prime ricostruzioni, la violazione sarebbe stata causata dalla compromissione dei sistemi di un fornitore terzo, sfruttando una vulnerabilità nel sistema di assistenza e ticketing online, come dichiarato nel comunicato stampa di InfoCert del 30 dicembre 2024.
Non si è fatto attendere l’intervento del Garante per la protezione dei dati personali, che ha richiesto a InfoCert una serie di informazioni a seguito della notifica del data breach, al fine di valutare se la violazione abbia effettivamente compromesso la riservatezza dei dati personali di un numero elevato di interessati.
Se vuoi sapere come gestire un data breach in azienda ti segnaliamo questo articolo sull’argomento.
Le criticità nella comunicazione di InfoCert
L’art. 33 del GDPR prevede che il titolare del trattamento notifichi l’avvenuta violazione all’autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza. Inoltre, l’art. 34 stabilisce che, qualora la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione debba essere effettuata “senza ingiustificato ritardo” direttamente agli interessati.
Nel caso di InfoCert, l'azienda ha optato per una comunicazione pubblica della violazione, nonostante il data breach abbia coinvolto dati sensibili come numeri di telefono e indirizzi e-mail, potenzialmente in grado di causare un rischio elevato per i diritti e le libertà delle persone fisiche. Questa scelta ha suscitato critiche, con molti utenti che hanno lamentato la mancanza di un avviso diretto e personalizzato del data breach.
Dal punto di vista legale, questa scelta solleva interrogativi sull’effettivo rispetto delle disposizioni del GDPR, in particolare per quanto riguarda l’obbligo di informazione diretta agli interessati e la tempestività della comunicazione. Inoltre, l’azienda potrebbe essere soggetta a sanzioni amministrative significative qualora venisse riscontrata una violazione delle normative europee in materia di protezione dei dati.
Le solite problematiche e una normativa disomogenea
La divulgazione di questi dati ha riportato l’attenzione sull’importanza di una sicurezza informatica integrata, che dipenda anche dalla solidità delle partnership e dei fornitori coinvolti. Le aziende devono farsi carico dei costi necessari per implementare sistemi di audit preventivi e adottare strumenti di monitoraggio continuo del rischio informatico.
Dal punto di vista normativo, l’assenza di una legislazione settoriale specifica contribuisce a creare disomogeneità nell’applicazione delle regole, complicando ulteriormente la gestione delle violazioni. Questa frammentazione può portare a interpretazioni diverse da parte delle autorità di controllo nazionali, generando incertezza per le aziende. L’adozione di normative più precise e orientate alla prevenzione potrebbe favorire una maggiore uniformità e una più efficace tutela degli interessati.
Oltre alle inevitabili ripercussioni economiche, eventi di questa portata compromettono la reputazione aziendale e minano la fiducia dei clienti. Inoltre, l’assenza di una normativa specifica per il settore ha favorito un’applicazione disomogenea delle regole, alimentando la percezione che queste siano state concepite più per soddisfare requisiti burocratici che per garantire una reale sicurezza informativa.
In questa prospettiva, la migliore strategia per limitare il rischio di attacchi informatici rimane quella di:
- Investire in politiche stringenti, anche nei rapporti con soggetti terzi;
- Garantire una formazione continua dei dipendenti;
- Affidarsi a personale altamente specializzato per la gestione delle tematiche sensibili;
- Mantenere un dialogo costante con le autorità di controllo per garantire la conformità alle normative e prevenire eventuali sanzioni.
Solo un approccio proattivo e integrato può ridurre efficacemente il rischio di violazioni e tutelare le aziende da danni economici, reputazionali e legali.
Se hai bisogno di una consulenza legale informatica per comprendere come tutelarsi e prevenire un attacco informatico, oppure hai già subito una violazione e vuoi tutelare i tuoi diritti e soprattutto i tuoi dati, affidati a professionisti qualificati, come i nostri partner delloStudio Legale FCLEX trovi i loro servizi legali di prevenzione, gestione e conformità dei data breach a questo indirizzo.