Oltre alla funzione di social network, Facebook offre diversi servizi business riservati alle aziende, quali servizi di advertising per la creazione di campagne pubblicitarie, la creazione e gestione delle pagine aziendali che permettono l’interazione con clienti, svariati servizi a supporto degli sviluppatori di app che, tramite API, possono utilizzare strumenti di analisi delle abitudini e delle interazioni con le app dei propri utenti e, tra le altre cose, anche il login con Facebook (ormai presente in tutte le app).
Il ruolo di raccoglitore di tutti questi servizi nell’ecosistema di Facebook è ricoperto dal Business Manager ovvero un tool intestato alla propria azienda per gestire la proprietà di account pubblicitari, pagine Facebook, accesso alle api sviluppatori (Facebook app) e account sui servizi Facebook.
Come in ogni altro sistema informatico, a ogni utente che ha accesso al Business Manager viene assegnato un ruolo. In questo modo, ad esempio, l’azienda può decidere che il responsabile marketing sia in grado di gestire in autonomia account pubblicitari e pagine, ma non anche l’accesso alle api di Facebook, la cui competenza è normalmente riservata agli sviluppatori.
Il ruolo più importante nel business manager è ricoperto dall’amministratore. L’amministratore ha la facoltà di assegnare i ruoli agli altri utenti del business manager, creare nuove risorse (quali account pubblicitari, pagine, app, etc.) e soprattutto modificarne o cederne la proprietà nel rispetto dei termini e condizioni e linee guida della piattaforma.
Ovviamente i servizi di Facebook sono a pagamento, pertanto chi ha il ruolo di impostare una campagna pubblicitaria per l’azienda stabilisce il budget giornaliero. Una volta che la campagna sarà attiva, questo budget verrà consumato e fatturato all’azienda titolare del Business Manager.
Accesso abusivo, i danni all’azienda
Come visto, controllando il Business Manager di un’azienda con il ruolo di amministratore, si può disporre del pieno accesso a tutte le risorse. Questa possibilità attira da sempre l’attenzione di criminali informatici che cercano di introdursi abusivamente all’interno dei Business Manager per diversi scopi.
Uno dei motivi di attacco più frequente è quello sfruttare le risorse economiche di altre aziende per attivare campagne pubblicitarie che nulla hanno a che vedere con l’azienda attaccata. Spesso vengono messe in piedi campagne pubblicitarie con budget altissimi, parliamo di migliaia di euro al giorno, che promuovono l’acquisto di prodotti su e-commerce anch’essi fraudolenti. In questi casi, l’azienda, ignara di tutto, si trova a finanziare queste azioni con i propri capitali. La scoperta delle attività fraudolente avviene in molti casi alla ricezione della fattura, quando ormai i criminali hanno già provveduto a cancellare ogni traccia del passaggio.
In altri casi, i criminali non si limitano all’attivazione di campagne, ma scelgono l’azienda target con il preciso obiettivo di rubare la proprietà di alcune risorse come pagine Facebook o App. Questo provoca incalcolabili danni poiché, per riottenerne la proprietà, tempi sono imprevedibili e possono passare addirittura mesi prima di riprendere la gestione delle risorse. Nel frattempo, i criminali agiscono indisturbati proprio perché, in qualità di amministratori, possono (nel caso di una pagina Facebook) disporne a piacimento, promuovendo propri prodotti e/o riassegnando la pagina ad altro scopo, potendo finanche modificare il nome e l’identità della pagina stessa.
Nel caso delle app invece, oltre che sfruttare appieno i servizi di Facebook a nome di altri – così come avviene per le pagine – possono arrecare seri danni disattivando i servizi attualmente attivi (come il login con Facebook) o rivendendo i dati raccolti per le app. E sappiamo bene l’importanza dei dati nei tempi in cui viviamo.
Immaginate che venga presa di mira un’app scaricata da milioni di persone e che su questa sia attivo il tracciamento degli eventi con Facebook analytics. Impossessarsi dell’app Facebook collegata ad essa significa poter accedere a tutti quei dati che costituivano parte del business dell’azienda attaccata.
Gli scopi sono molteplici ma vale la pena considerare anche quello più infimo: arrecare un danno fine a sé stesso senza alcun tornaconto. Infatti non è infrequente che alcuni hacker informatici penetrino all’interno di account pubblicitari con il solo scopo di rimuovere ogni singola campagna pubblicitaria arrecando un danno tanto insensato quanto grave come gli altri finora considerati, sia sotto il profilo economico che sotto il profilo dell’immagine aziendale che viene inevitabilmente lesa.
Le campagne pubblicitarie, e tutto il lavoro ad esse correlato, sono il motore delle vendite e della crescita di tante aziende che si affacciano su internet. Eliminare tutto significa vanificare mesi di lavoro e pianificazione del marketing e ciò implica un importante calo delle vendite per periodi più o meno lunghi.
Come avviene l’attacco al Business Manager e come difendersi
Quando immaginiamo i criminali informatici, spesso pensiamo a geni del computer che riescono a rintracciare falle all’interno dei sistemi delle multinazionali e prenderne il possesso. Nella stragrande maggioranza dei casi il nodo attaccato non è il sistema informatico, bensì l’uomo. Il sistema informatico, se parliamo di una multinazionale come Facebook, è senza dubbio ben controllato e protetto. Per questo motivo l’opzione più semplice è agire con le tecniche di ingegneria sociale, ovvero espugnare le difese appropriandosi delle credenziali di accesso dei profili Facebook che hanno accesso ai Business Manager con il preciso intento di effettuare operazioni a nome di questi. Quindi, presa di mira un’azienda, gli hacker studiano l’intera struttura, i titolari, i dipendenti e i collaboratori per attaccarne i profili Facebook. Le tecniche adoperate da questi hacker ricadono sotto il nome di phishing in quanto, così come per le credenziali bancarie, allarmano l’utente circa l’esistenza di pericoli per il proprio account facebook, invitandolo ad inserire credenziali di accesso in pagine da loro realizzate con il preciso scopo di ingannare ed infiltrarsi.
Sono tecniche ormai note e conosciute da molti, tuttavia continuano ad essere efficaci poiché i criminali hanno a disposizione milioni di indirizzi email su cui tentare la fortuna. Infatti anche riuscire a “bucare” un profilo su milioni, e di conseguenza appropriarsi di un solo Business Manager, può ripagare ampiamente tutti gli sforzi.
Per proteggersi da questi attacchi è bene tenere a mente che Facebook, così come le banche e altri big del settore tecnologico, non chiederà mai l’inserimento delle credenziali via email. Il primo check che occorre effettuare per verificare la genuinità dell’email è guardare gli indirizzi da cui proviene l’invito di inserimento delle credenziali; poi occorre altresì verificare il dominio, in quanto esso deve necessariamente appartenere a quello principale dell’azienda in questione (nel nostro caso facebook.com).
Un’arma fondamentale di cui possiamo avvalerci, oltre al buon senso, è l’autenticazione a due fattori, anche nota come 2FA, che affida l’accesso ad un sistema informatico a 2 o più fattori preposti a certificare la nostra identità. Attivato questo sistema di sicurezza, oltre alle credenziali di accesso, email e password (che rappresentano il primo fattore di autenticazione) viene richiesto anche un passaggio ulteriore, come l’inserimento di un codice inviato tramite un numero di telefono precedentemente autenticato (otp) o la convalida tramite l’app installata su un altro dispositivo in nostro possesso.
Responsabilità del dipendente/collaboratore
Compresi i rischi più diffusi a cui è esposta un’azienda, partiamo subito dal presupposto che l’autenticazione a due fattori è una funzione di sicurezza facoltativa offerta da Facebook e – ancorché non sia una garanzia – è estremamente consigliata per proteggere il proprio Business.
Ebbene, la domanda che emerge spesso è se nel caso di attacco dei profili Facebook dei dipendenti o collaboratori utilizzati per la gestione del Business manager aziendale, possiamo configurare una qualche forma di responsabilità per non avere adottato le misure di sicurezza idonee. La risposta è certamente no se il titolare dell’azienda – titolare anche del Business Manager – non effettua dal principio l’autenticazione a due fattori, essendo egli il primo amministratore dal quale partiranno le altre nomine. Infatti “una volta attivata l’autenticazione a due fattori per Business Manager, anche gli utenti interessati dovranno attivare l’autenticazione a due fattori per il loro account Facebook per accedere a Business Manager”..
Pertanto con l’attivazione da parte del primo amministratore (titolare aziendale) delle misure di sicurezza, un’eventuale leggerezza o, meglio, negligenza, in cui può incorrere il dipendente o collaboratore – e che può comportare una perdita di fiducia nel rapporto di lavoro o di collaborazione – può essere evitato a monte. In questo caso, oltre ad aver posto tutto quanto necessario nell’interesse dei propri affari, il titolare potrà anche assicurarsi, una volta per tutte, che i ruoli assegnati sono a loro volta gestiti da account con il medesimo livello di sicurezza.
Tale accortezza può altresì abbattere il rischio di essere messi nella spiacevole condizione di dover svolgere indagini sul tipo e livello di diligenza assunto dal proprio dipendente o, nel caso di rapporto con Freelance, scongiurare il recesso del contratto.
Diversamente, se l’account amministratore è ab origine il collaboratore esterno (che, dunque, ha aperto e gestito il Business Manager) una responsabilità per inadempimento contrattuale nel caso di precaria sicurezza dei profili Facebook potrebbe configurarsi, con conseguente possibilità per il titolare dell’azienda di avanzare una richiesta di risarcimento dei danni patiti a seguito dell’attacco hacker. Tuttavia, occorre precisare che in questi casi tutta cambia in base alle condizioni contrattuali stipulate dalla parti in seno al rapporto di collaborazione.
L’azione legale
Più che trovare un colpevole, denunciando subito l’accaduto alla Polizia Postale, nel caso di risorse perse occorre agire immediatamente chiedendo a Facebook la riassegnazione delle proprietà sottratte (pagine, app, account); nel caso invece di fatture emesse a seguito di campagne “abusive” bisogna sempre agire contattando l’assistenza di Facebook al fine di ottenere lo storno integrale degli importi. Tuttavia, i tempi di lavorazione di Facebook non sono sempre celeri e i motivi possono essere i più disparati.
Molti clienti si sono rivolti al nostro studio legale anche dopo aver inoltrato a Facebook la richiesta di verifica ufficiale corredata dalla visura societaria con l’intento di accelerare i tempi e ricevere l’autenticazione della proprietà dell’account aziendale e, nei casi di sottrazione del Business Manager, ottenere la riassegnazione dell’account al legittimo proprietario. Non si comprendono ancora le ragioni della prolungata inerzia del social network con conseguente logico aggravio dei danni economici subiti dall’azienda.
Pertanto la soluzione stragiudiziale immediata è diffidare formalmente (dunque legalmente) Facebook, atteso che dopo la segnalazione fatta dall’azienda (tramite il form messo a disposizione dalla piattaforma) non vi è ancora possibilità di adire un mediatore ai sensi del nuovo regolamento europeo P2B n. 1150/2019 che, da luglio 2020, ha introdotto l’obbligatorietà della mediazione per la risoluzione bonaria delle controversie che insorgono tra la piattaforma e il Business account.
Questa normativa si applica anche alle controversie con i social network come quelle finora considerate, ma Facebook all’interno dei suoi termini e condizioni ha un’unica e sola pagina di aggiornamento della piattaforma con le nuove (a nostro parere troppo succinte) prescrizioni. Sebbene la procedura di gestione interna dei reclami sia già presente, Facebook si è limitata solo alla creazione della pagina di “Avviso Platform to Business” e non vi è traccia della nomina dei mediatori. Di fatto manca un vero e proprio aggiornamento alle nuove regole obbligatorie nei termini e condizioni, rimasti fermi al 31 luglio 2019.
Da qui, esperiti tutti i tentativi di risoluzione extragiudiziale, la necessità di intentare un procedimento cautelare (d’urgenza) dinanzi al Giudice competente al fine di ottenere, nel più breve tempo possibile (di solito in tempi estremamente più rapidi e con un’istruzione sommaria rispetto ad un procedimento in via ordinaria) una decisione che, se favorevole, intimerà a Facebook l’immediato ripristino della situazione ex ante.
