Stefano Gazzella : 24 Agosto 2023 07:34
La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli utenti lamentano per lo più un ritardo nelle risposte da parte del servizio assistenza.
Nel caso in cui invece è stato compromesso un account dell’organizzazione, o un account lavorativo, in quanto si rientra nell’ambito di applicazione materiale del GDPR. Non ricorre infatti l’ipotesi di eccezione della household exception, ovverosia il trattamento di dati personali svolto a finalità esclusivamente personali e domestiche, meglio chiarito all’interno del considerando n. 18 GDPR:
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per alcune categorie di utenti l’impiego del social network è infatti collegato all’attività professionale: basti pensare ai content creator, ad esempio, o a un professionista che impiega il social per gli scopi di personal branding. Ciò comporta di conseguenza che le attività di trattamento di dati personali attraggono tutte le responsabilità richiamate dal GDPR. Ivi inclusa quella di gestione di una violazione di dati personali.
E se in caso di blocco temporaneo dell’account non c’è compromissione al di fuori dell’indisponibilità dei dati personali trattati e la violazione va dunque documentata ai sensi dell’art. 33 par. 5 GDPR, non si può dire altrimenti nello stesso modo dell’ipotesi di furto dell’account social. In questo caso l’indisponibilità è di carattere potenzialmente permanente (salvo il buon esito dei tentativi di ottenere nuovamente dell’account) e si realizza di conseguenza anche una perdita di confidenzialità della lista di utenti con cui sono stati intrattenute delle conversazioni, così come del contenuto dei messaggi scambiati. Insomma: in questo caso la possibilità che ricorra quel criterio di improbabilità di presentare un rischio per i diritti e le libertà delle persone fisiche è piuttosto esigua. Dopodiché, è chiaro che dovrà essere valutato ciascun contesto anche al fine di determinare se sussistono i fondamenti giuridici per far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali e di comunicazione nei confronti degli interessati.
Bisogna infatti considerare che soprattutto nel caso di account LinkedIn collegati a influencer (come sono i Top Voices), content creator o organizzazioni, la possibilità di impiegare gli stessi come vettore per ulteriori attacchi. Ad esempio per veicolare contenuti malevoli nei confronti di follower, o anche più semplicemente per ottenere informazioni dagli utenti con cui c’è stato uno scambio di messaggi.
E poiché la tutela e protezione dell’interessato ha un carattere prevalente nella gestione del data breach, proprio per queste categorie di soggetti la comunicazione dell’avvenuta compromissione della propria utenza dovrebbe essere (anzi: deve essere) una priorità. Altrimenti ogni eventuale adempimento è destinato ad assumere una veste meramente formalistica. Certo, con tutte le cautele e accortezze per la gestione della crisi reputazionale derivante dall’accaduto.
Esiste infine l’ipotesi, invero piuttosto ricorrente, in cui la gestione dell’account sia stata delegata – in tutto in parte – ad un’agenzia o ad un social media manager. E in questo caso, la tempestività della comunicazione dell’accaduto (che si presume essere stata già contrattualizzata nel contratto di servizi) è fondamentale proprio per gli scopi di tutela richiamati.
Certamente, una violazione di dati personali metterà alla prova anche la tenuta del contratto di servizi con l’agenzia o il professionista e gli eventuali inadempimenti contestabili. Eppure, bisogna ricordare che la responsabilità per la selezione e il monitoraggio dell’adeguatezza di chiunque viene chiamato a svolgere operazioni di trattamento sotto l’autorità del titolare – sia esso un autorizzato ai sensi dell’art. 29 GDPR, o un responsabile ai sensi dell’art. 28 GDPR – è e rimane in capo anche al titolare stesso per quanto riguarda le eventuali violazioni contestabili.
Nell’ipotesi in cui l’organizzazione che ha designato il DPO sia stata compromessa dall’attacco, l’azione reattiva e il coinvolgimento della funzione è fondamentale e fuor di dubbio. Parimenti, nella gestione post-incidente e nell’approccio lesson learned, peraltro previsto dall’art. 32 GDPR, la consultazione del DPO sarà fondamentale e il parere dello stesso deve essere considerato da parte del management dell’organizzazione anche nell’ipotesi in cui la violazione abbia investito dati trattati nel ruolo soggettivo di responsabile del trattamento (ad es. nel caso di un’agenzia).
L’aspetto che invece spesso rischia di essere sottovalutato è l’azione proattiva del DPO stesso nel caso in cui l’organizzazione designante non sia stata coinvolta da un attacco ma sia nota la campagna in corso. Le azioni immediate da svolgere saranno certamente informazione, ma anche e soprattutto un controllo dell’adeguatezza delle misure di sicurezza applicate e il loro riadeguamento, se del caso, in accordo al nuovo contesto esterno. Anche nel suggerire al titolare di fornire nuove istruzioni ai propri addetti o responsabili del trattamento preposti alla gestione dei canali social. O riesaminare i contratti stipulati e le istruzioni operative fornite.
Stefano GazzellaUn’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...
