Come ha reagito SIAE al data breach che, qualche settimana fa, ha portato alla pubblicazione di numerose anagrafiche sul dark web (si parla di circa 60 GB di informazioni)?
Quella che ci siamo posti è, purtroppo, una domanda a cui, tuttavia nessuno è in grado di fornire risposta. Il motivo?
Semplice, SIAE non ha divulgato alcuna notizia, ma non solo nei confronti della stampa (assolutamente legittimo), ma anche nei confronti degli interessati, circostanza questa non molto in linea con il GDPR.
Data breach nel GDPR: cos’è e come fare segnalazione e prevenzione
Ora, pur partendo dalla consapevolezza che ormai il rischio zero non esiste, quindi, chiunque potrebbe subire un data breach, questa non deve essere considerata una scriminante in quanto, a parere di chi scrive, ciò che fa la differenza è spesso il modo in cui si reagisce all’imprevisto.
I casi Regione Lazio e patatine San Carlo
Per capirci, basta fare un rapido confronto tra due situazioni molto simili: il caso di Regione Lazio e il caso delle patatine San Carlo. In entrambe le situazioni, la criticità si è concretizzata in una violazione (in un caso un malware e, in un altro, un attacco diretto) che ha permesso di rendere indisponibili una importante mole di informazioni. Ebbene, a fronte di un problema simile (ma non del tutto identico, si ribadisce) la reazione è stata del tutto differente. Mentre Regione Lazio ha brancolato letteralmente nel buio, trovando una asserita soluzione solo dopo diversi giorni (lasciando peraltro molti dubbi sull’effettivo recupero di un fantomatico “backup di ultima generazione”), San Carlo ha risposto prontamente dichiarando a poche ore dal data breach “non pagheremo il riscatto in quanto tutti i nostri dati sono in backup a noi accessibili”.
Insomma, come si diceva, può succedere a tutti di incontrare ostacoli, ciò che conta è come si reagisce.
La reazione di Siae al data brech
Torniamo, quindi, alla domanda iniziale: come ha reagito SIAE?
L’unica comunicazione fornita è presente nei meandri del sito e risale al 21 ottobre.
Leggiamo nella “news” di SIAE che la società titolare del trattamento, sulla base delle evidenze raccolte, ha avuto la certezza che un gruppo criminale ha effettuato la copia di taluni file presenti nel sistema documentale della Società, prevalentemente file pdf.
Non appena possibile SIAE avrebbe bloccato l’utenza che operava a danno della Società e dei soggetti interessati dalla violazione, notificando per tempo al Garante l’avvenuta violazione.
Sono poi state messe in atto altre misure rafforzative di sicurezza con il coinvolgimento di primarie società di Cyber Security ed è stata depositata denuncia presso la polizia postale.
Si deve peraltro segnalare che purtroppo l’aggressione ha interessato file relativi a tipologie diverse:
- dati anagrafici;
- dati di contatto (mail, numeri telefonici);
- dati bancari (IBAN);
- dati riportati su documenti di identità;
- dati riportati sui moduli di adesione a SIAE relativi prevalentemente agli anni 2019 e 2020.
Detto questo, SIAE chiude promettendo a tutti gli interessati che riceveranno maggiori dettagli in seguito.
Da quel momento, tuttavia, gli interessati sono stati del tutto abbandonati a loro stessi, potendo contare solo su quanto ivi scritto in modo poco chiaro.
A peggiorare la situazione, anche alcune interviste rilasciate, ad esempio, al TG1 dove si afferma l’esatto contrario di quanto indicato nella comunicazione di cui sopra “per fortuna non sembrerebbero esserci dati economici, cioè relativi a iban bancari, iban e cose di questo genere, solo dati anagrafici relativi a carte d’identità, codici fiscali e dati di molti nostri dipendenti…”.
I molti (troppi) motivi di inadeguatezza
Ora, a parte il goffo tentativo televisivo di sminuire il breach riguardante i “soli dati anagrafici relativi a carte d’identità, codici fiscali e dati di molti nostri dipendenti”, c’è da segnalare come, mentre nel sito si segnalava la perdita di dati bancari, nelle dichiarazioni pubbliche ciò era fermamente escluso.
Questo, naturalmente non può essere accettato in quanto trattasi di comportamento capace di creare molta confusione fra gli interessati i quali, forti di tali dichiarazioni, potrebbero decidere di non allertare la banca di non tenere sotto controllo il proprio conto in cerca di movimenti anomali. È un errore grave questo, anche se dovuto a semplice distrazione, che può portare anche a conseguenze molto rilevanti.
Sono molti i motivi per cui possiamo affermare che questa comunicazione è quantomeno inadeguata, cerchiamo di illustrarli brevemente.
Il primo, il più banale, può essere individuato anche da un non esperto. In nessuna parte della comunicazione, infatti, viene indicato il fatto che i dati sono in realtà già stati oggetto di diffusione sul dark web. Non quindi una mera sottrazione, con pericolo potenziale di divulgazione, ma una effettiva pubblicazione del materiale sottratto, pericolo questo attuale e non ipotetico.
Non è del resto un caso se alcuni artisti, come conferma la stampa italiana, sarebbero già stati contattati direttamente chiedendo riscatti di vari importi. Si parla di Al Bano, Samuele Bersani, Elio e Le Storie Tese ed altri, circostanze non confermate dai diretti interessati ma verosimilmente non false.
Proseguendo, come ricorda il board dei garanti nelle sue linee guida sul data breach “L’obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che questi possono prendere per proteggersi”.
La comunicazione, quindi, oltre a spiegare bene l’accaduto, dovrebbe fornire qualche indicazione su come limitare i danni.
Ora, come abbiamo visto, SIAE ha già peccato nella descrizione dei fatti, saltando poi del tutto la parte relativa ai consigli su come limitare il danno, circostanze queste che, considerate in combinato, sono molto gravi.
Di fatto, gli interessati non sono stati messi in condizione né di conoscere il pericolo, né di difendersi adeguatamente.
Sono del resto passate circa due settimane dalla pubblicazione della comunicazione, un tempo vastissimo quando si parla di data breach, eppure nulla è ancora stato comunicato agli interessati in tal senso.
Si ricorda, a tal proposito, che la comunicazione all’interessato deve avvenire tempestivamente (proprio per consentirgli di limitare i danni), ma così non è stato nel caso di SIAE.
I danni di una comunicazione poco trasparente
Tornando al contenuto, EDPB prevede che la comunicazione contenga almeno i seguenti elementi:
- una descrizione della natura della violazione;
- il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto;
- una descrizione delle probabili conseguenze della violazione;
- una descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
Ebbene, come visto, ad eccezione della descrizione della natura violazione (peraltro assolutamente parziale), nessuno dei suddetti requisiti è stato rispettato da SIAE.
Non sono state spiegate le conseguenze. Non sono state spiegate le misure adottate nel dettaglio e, cosa davvero incredibile, non è stato indicato il punto di contatto del DPO.
Non solo, la comunicazione risulta carente anche sotto il profilo della trasparenza. Come visto, difatti, è possibile pervenire alla stessa solo andando nella sezione “news e iniziative”, come se si trattasse di un interessante evento. Tuttavia, come affermato in modo chiaro da EDPB “Una semplice comunicazione all’interno di un comunicato stampa o di un blog aziendale non costituirebbe un mezzo efficace per comunicare una violazione all’interessato”, motivo per cui, tendenzialmente, questo tipo di comunicazioni dovrebbe essere pubblicato in home page.
Conclusioni
Insomma, è evidente come ci siano quantomeno degli importanti margini di miglioramento nella gestione di questo breach. Non c’è quindi da stupirsi se Privacy Network si sia già mossa al fine di segnalare l’accaduto al Garante Privacy in nome e per conto di diversi interessati, con lo scopo di fornire all’Autorità ogni più opportuno elemento al fine di individuare le responsabilità della Società Artisti ed Editori Italiani nella gestione del data breach.
