I clienti ho. Mobile hanno subito un’esposizione dei loro dati personali online a seguito di un attacco hacker subito dall’operatore. Vediamo insieme gli aspetti legali della questione, da come ha reagito l’azienda a quali sono le prospettive legali per i clienti.
I dati del data breach e i contorni della vicenda
Ricordiamo che l’azienda, operatore mobile del gruppo Vodafone, ha confermato il data breach (parziale) e ha dato atto di aver iniziato indagini interne, di aver denunciato l’accaduto e di aver informato il Garante privacy con cui sta “lavorando a stretto contatto”.
I dati coinvolti nel data breach, a detta di ho.Mobile, sono dati anagrafici e tecnici della SIM. L’azienda ha precisato che non risultano sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.
E’ però evidente che i dati anagrafici degli utenti e quelli tecnici della SIM (specie se ci rifacciamo all’estesa lista di dati dell’esempio pubblicato da Bank Security e disponibile a questo link) sono dati che possono far gola a malintenzionati e costituiscono una pericolosa esposizione per gli utenti coinvolti.
Ad oggi non è chiaro come gli hacker siano entrati in possesso dei dati e quindi quali siano le responsabilità di ho. Mobile nell’accaduto (se ve ne sono), è però interessante esaminare la reazione della compagnia telefonica al grave attacco hacker subìto.
La gestione del data breach da parte di Ho Mobile
Sebbene un data breach sia già un fallimento nel perimetro di sicurezza informatica di un’azienda, va anche detto che non esistono sistemi informatici infallibili e proprio per questo ogni azienda dovrebbe predisporre una procedura per gestire efficacemente una perdita di dati.
Nel caso la reazione di ho.Mobile, pur un po’ “lenta” (anche se forse questo si giustifica con il fatto che l’azienda ha dovuto verificare la fondatezza delle notizie provenienti dal web prima di procedere alla denuncia e alla notifica al Garante) è conforme al protocollo.
Implicazioni GDPR
Ai sensi del GDPR, infatti, in una situazione di questo genere due sono gli obblighi dell’azienda.
In primo luogo, va effettuata una notifica al Garante privacy competente entro 72 ore da quando ha avuto conoscenza della violazione (nel caso in cui si ritardi oltre le 72 ore è necessario indicare i motivi del ritardo).
La notifica va fatta sul sito del Garante (che peraltro ha recentemente lanciato un nuovo servizio online per gestire agevolmente la fase di notifica) può essere evitata solo se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il fatto che quindi ho.Mobile abbia effettuato la notifica al Garante (ed ora lavori a stretto contatto con l’Autorità) è indice del fatto che l’azienda ritiene probabile che dalla violazione possa presentare un rischio per gli utenti.
Ma ho.Mobile non si è limitata a inviare una notifica al Garante, ha anche ritenuto necessario comunicare (via SMS) a tutti i clienti coinvolti il problema in cui sono incorsi.
La comunicazione ai soggetti interessati è prescritta dal GDPR solo nel caso in cui “la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Il comportamento di ho.Mobile è indice quindi del fatto che l’azienda riconosce la possibilità che dal data breach derivi un rischio elevato per i diritti degli interessati.
La comunicazione ai clienti può essere evitata anche nel caso in cui l’azienda abbia adottato (successivamente alla violazione) misure “atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”.
Nel caso quindi l’azienda ritiene che l’attivazione di quegli “ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce” di cui parla nel proprio comunicato non sia, di per sé sola, sufficiente a mettere i clienti al riparo da rischi seri per i loro diritti.
L’analisi di ho.Mobile non si può che condividere, la perdita di dati anagrafici dei clienti, accompagnata da dati relativi alle loro schede SIM, si presta infatti a insidiose truffe di tipo sim swap (peraltro facilitate dalla conoscenza dei dati anagrafici e dei recapiti dei clienti).
Cambio sim Ho
Un cambio SIM sembrerebbe quindi la strada più sicura per risolvere in radice la problematica (anche se nemmeno questo è in grado di scongiurare rischi per gli interessati, che potrebbero -anche se con più difficoltà- ad esempio essere oggetto di tipologie di furto di identità diverse da quella del sim swapping grazie ai dati esposti nel data breach) ma ho.Mobile ritiene che questo accorgimento non sia necessario, in forza degli ulteriori livelli di sicurezza implementati (che verosimilmente incideranno sulle procedure di richiesta di cambio SIM).
L’azienda ha comunque consentito agli utenti coinvolti nel data breach che lo desiderano di ottenere gratuitamente un cambio SIM.
In ogni caso nell’ipotesi in esame (con data breach già avvenuto ed esposizione dei dati conclamata) era difficile ipotizzare che le misure di sicurezza ulteriori implementate e in via di implementazione potessero limitare il rischio elevato per i diritti degli interessati. ho.Mobile ha quindi operato correttamente laddove ha comunque comunicato agli utenti coinvolti il data breach.
Misure tecniche adeguate?
Se il comportamento di ho.Mobile è quindi corretto dal punto di vista normativo, rimane da vedere se le misure tecniche a difesa dei dati dei clienti fossero adeguate al tempo dell’attacco e se le misure che ora l’azienda sta implementando per irrobustire la propria sicurezza saranno sufficienti alla tutela dei clienti.
Ai sensi della normativa GDPR l’azienda è infatti tenuta a “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.
L’unico “indice” che abbiamo circa le difese informatiche di ho.Mobile al tempo dell’attacco è ad oggi un indice meramente presuntivo e poco significativo.
L’accesso abusivo ai dati e la loro sottrazione non sembrano infatti frutto dell’attività di un gruppo particolarmente organizzato, in quanto l’hacker evidentemente non aveva un compratore già interessato all’acquisto dei dati o comunque non aveva modo di (o interesse ad) usarli per sé.
Per questo l’hacker ha proposto in vendita i dati sottratti, peraltro senza indicare un prezzo ma chiedendo semplicemente se c’era “qualche offerta?” e precisando che i dati potevano essere utilizzati per attacchi sim swap (almeno stando agli screenshot pubblicati da Bank Security su Twitter) il che fa pensare (ma sono solo supposizioni) ad un attacco non particolarmente complesso da portare a termine o comunque favorito da un colpo di fortuna dell’attaccante.
Questo perché pubblicizzare l’attacco avvenuto (anche se solo sul dark web) può far venire l’azienda a conoscenza dell’avvenuta sottrazione (cosa che infatti è avvenuta) e rendere quindi molto meno appetibile il database (è evidente che oggi un attacco di sim swapping sulle utenze compromesse è molto più difficile dopo che tutti sono stati avvertiti).
Mancano ancora però dati concreti in proposito e non resta quindi che attendere che le Autorità approfondiscano la questione.
Le responsabilità di ho.Mobile e risarcimento utenti
Come già anticipato, è ancora presto per parlare di responsabilità in capo all’operatore di telefonia mobile, che saranno oggetto di indagine (ed eventuale sanzione) da parte del Garante Privacy.
Ma gli utenti ho.Mobile coinvolti nel data breach che ha esposto i loro dati online, potranno ricevere un risarcimento?
La questione è molto complessa e qui ci si può solamente limitare ad alcune affermazioni di principio, ricordando che non tutti i danni da lesione della privacy sono risarcibili.
Abbiamo detto prima che in questo caso c’è un rischio elevato quanto al potenziale verificarsi di eventi dannosi in capo ai soggetti esposti, ma non è detto che questo rischio (e quindi questo danno) si verifichino.
Sul punto da tempo la Cassazione ha fatto proprio un principio sociale di “tolleranza”, secondo cui il danno non patrimoniale è risarcibile solo quando supera una certa soglia di tolleranza (Cass. Civ. SS.UU. sent. 26972/2008).
In tema privacy la Suprema Corte ha da poco avuto occasione di ribadire l’applicazione di questo principio nell’Ordinanza n. 17383/2020 dove si afferma che il danno non patrimoniale da lesione della privacy può dar luogo al diritto al risarcimento solamente quando vengano accertate la gravità della lesione, la serietà e la rilevanza del danno.
Nel caso il danno subìto dagli utenti che hanno visto esposti i propri dati anagrafici e di SIM sul web in sé non sembra potersi dire né grave né economicamente valutabile (consistendo “solo” nell’esposizione online di alcuni dati personali non appartenenti a categorie particolari), ma da questo piccolo danno potrebbero derivare conseguenze gravose in termini economici per le vittime (che potrebbero essere più facilmente oggetto di truffe online o di furti di identità).
Finché però manca il realizzarsi di questo secondo danno potenziale (che ad oggi è solamente ipotetico, pur sè probabile) manca quindi la possibilità di un risarcimento, che dovrà attendere il verificarsi dell’evento.
Danni patrimoniali
Quindi un utente che abbia subìto un danno patrimoniale a seguito di un attacco sim swap occorso nel breve lasso di tempo intercorrente fra l’attacco hacker e la attivazione da parte di ho.Mobile di “ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce”, ovvero abbia subìto un simile attacco nonostante l’implementazione di questi ulteriori livelli di sicurezza, potrà chiedere di essere risarcito e ho.Mobile potrà liberarsi delle proprie responsabilità risarcitorie unicamente “se dimostra che l’evento dannoso non gli è in alcun modo imputabile” (ai sensi dell’art. 82 GDPR) ovvero fornendo una prova non così facile da raggiungere.
Gli altri utenti, semplicemente coinvolti nello spiacevole episodio ma non seriamente danneggiati dallo stesso, non potranno verosimilmente chiedere un risarcimento.
Sim swap e risarcimento
Più complesso è il caso di un soggetto che, anche a causa di questo data breach, dovesse subire ad esempio un furto d’identità diverso dal sim swapping (e quindi non connesso con i dati della propria SIM ho.Mobile).
Nel caso la difficoltà per l’utente sarà quella di dimostrare (specie a distanza di tempo dal data breach) il nesso causale fra il comportamento di ho.Mobile e il danno patito, specie nel caso in cui il crimine non comporti la “spendita” di dati dotati di connotazioni particolari (pensiamo ad esempio a un nickname) in possesso della sola ho.Mobile.