Fino a poco tempo fa gli hacker usavano i ransomware per crittografare i dati e chiedere un riscatto. Ora i cybercriminali minacciano di segnalare al Garante della Privacy la mancata adozione delle misure di sicurezza prescritte dal Gdpr.

Da Federprivacy.it

A  segnalare questo fenomeno è stato il ricercatore informatico Victor Gevers, che ha rivelato come in una campagna di estorsioni online un singolo hacker sarebbe riuscito ad accedere a ben 23.000 server tramite internet utilizzando degli strumenti automatizzati per individuare quali di essi non erano dovutamente protetti da credenziali di accesso, facendosi poi una copia dei dati che vi erano memorizzati e rivolgendo alla vittima una richiesta di pagamento di un “riscatto” con l'esplicita minaccia di denunciare all'autorità di controllo l’assenza di misure di sicurezza adeguate per la protezione dei dati.

Ovviamente l'efficacia psicologica della leva utilizzata in questi casi dal pirata informatico è notevole, perché essere colti in flagrante senza idonee misure di sicurezza può costare pesanti multe, che per questo tipo di violazioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato annuo, mentre il "riscatto" richiesto è di soli 0,015 Bitcoin (poco più di 100 euro al cambio attuale), e la tentazione di pagare per chiudere la questione è forte per qualsiasi azienda che abbia timore di finire nel mirino del Garante con il rischio di ricevere sanzioni dall'autorità.

D'altra parte, la vittima che decidesse sbrigativamente di pagare pensando di mettere tutto a tacere potrebbe incorrere in un effetto boomerang, perché proprio l'art. 24 del Regolamento UE 2016/679 prescrive che quando un titolare viene a conoscenza di un "data breach", deve esso stesso a notificarlo al Garante per la privacy entro 72 ore da quando viene a conoscenza delle vulnerabilità che hanno permesso a terzi non autorizzati di accedere ai dati personali.

Questo significa che se per qualche non remoto motivo, l'autorità venisse successivamente a conoscenza dell'esposizione a cui sono stati soggetti i dati personali, (ad esempio nel caso in cui gli interessati coinvolti fossero presi di mira da campagne di phishing, oppure il database trafugato fosse messo in vendita nel Dark Web), allora il titolare che pensava di farla franca sarebbe concretamente passibile di sanzioni per la mancata notifica al Garante, e a quel punto oltre al danno si aggiungerebbe quindi la beffa.

Da non trascurare inoltre, che quando si ha a che fare con un criminale non si può contare troppo sulla sua "onestà" , e non vi è perciò garanzia che questo mantenga effettivamente la promessa di tacere o di non utilizzare i dati di cui è venuto in possesso semplicemente perché ha ricevuto un modesto compenso in denaro: come vi ha ricattato una volta, potrebbe farlo anche una seconda volta, specialmente se ha capito che siete di quelli che cedono facilmente.

Cosa fare allora?

1. Il consiglio è sempre di non cedere al ricatto e non pagare, anche se si tratta di "soli" 100€. 

2. Poi, il rispetto della normativa è d'obbligo; quindi fare la segnalazione al Garante, come previsto dal GDPR.

3. Sempre nel rispetto della normativa, occupatevi di fare una piccola verifica di sicurezza del vostro server o della infrastruttura che contiene i dati che trattate. Il vostro fornitore di servizi informatici sarà, sicuramente in grado di consigliarvi un sistema di protezione senza che questo comporti degli investimenti esagerati. Ricordate che la normativa vi chiede di fare ciò che è nelle vostre possibilità, tenuto conto del contesto e dello stato delle tecnologie e delle minacce, e non di diventare inviolabili.

4. Si tratterà quindi di essere in grado di dimostrare (compliance) che si è fatto ciò che era possibile, dopo analisi e valutazione approrpiate, per la protezione dei dati. Per fare ciò, il consiglio è di affidarvi a consulenti esperti ed affidabili. 

Se avete bisogno di ulteriori informazioni, non esitate a chiedere: aspettare o sottovalutare potrebbe essere fatale!