Stefano Gazzella : 24 Agosto 2023 07:34
La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli utenti lamentano per lo più un ritardo nelle risposte da parte del servizio assistenza.
Nel caso in cui invece è stato compromesso un account dell’organizzazione, o un account lavorativo, in quanto si rientra nell’ambito di applicazione materiale del GDPR. Non ricorre infatti l’ipotesi di eccezione della household exception, ovverosia il trattamento di dati personali svolto a finalità esclusivamente personali e domestiche, meglio chiarito all’interno del considerando n. 18 GDPR:
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Per alcune categorie di utenti l’impiego del social network è infatti collegato all’attività professionale: basti pensare ai content creator, ad esempio, o a un professionista che impiega il social per gli scopi di personal branding. Ciò comporta di conseguenza che le attività di trattamento di dati personali attraggono tutte le responsabilità richiamate dal GDPR. Ivi inclusa quella di gestione di una violazione di dati personali.
E se in caso di blocco temporaneo dell’account non c’è compromissione al di fuori dell’indisponibilità dei dati personali trattati e la violazione va dunque documentata ai sensi dell’art. 33 par. 5 GDPR, non si può dire altrimenti nello stesso modo dell’ipotesi di furto dell’account social. In questo caso l’indisponibilità è di carattere potenzialmente permanente (salvo il buon esito dei tentativi di ottenere nuovamente dell’account) e si realizza di conseguenza anche una perdita di confidenzialità della lista di utenti con cui sono stati intrattenute delle conversazioni, così come del contenuto dei messaggi scambiati. Insomma: in questo caso la possibilità che ricorra quel criterio di improbabilità di presentare un rischio per i diritti e le libertà delle persone fisiche è piuttosto esigua. Dopodiché, è chiaro che dovrà essere valutato ciascun contesto anche al fine di determinare se sussistono i fondamenti giuridici per far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali e di comunicazione nei confronti degli interessati.
Bisogna infatti considerare che soprattutto nel caso di account LinkedIn collegati a influencer (come sono i Top Voices), content creator o organizzazioni, la possibilità di impiegare gli stessi come vettore per ulteriori attacchi. Ad esempio per veicolare contenuti malevoli nei confronti di follower, o anche più semplicemente per ottenere informazioni dagli utenti con cui c’è stato uno scambio di messaggi.
E poiché la tutela e protezione dell’interessato ha un carattere prevalente nella gestione del data breach, proprio per queste categorie di soggetti la comunicazione dell’avvenuta compromissione della propria utenza dovrebbe essere (anzi: deve essere) una priorità. Altrimenti ogni eventuale adempimento è destinato ad assumere una veste meramente formalistica. Certo, con tutte le cautele e accortezze per la gestione della crisi reputazionale derivante dall’accaduto.
Esiste infine l’ipotesi, invero piuttosto ricorrente, in cui la gestione dell’account sia stata delegata – in tutto in parte – ad un’agenzia o ad un social media manager. E in questo caso, la tempestività della comunicazione dell’accaduto (che si presume essere stata già contrattualizzata nel contratto di servizi) è fondamentale proprio per gli scopi di tutela richiamati.
Certamente, una violazione di dati personali metterà alla prova anche la tenuta del contratto di servizi con l’agenzia o il professionista e gli eventuali inadempimenti contestabili. Eppure, bisogna ricordare che la responsabilità per la selezione e il monitoraggio dell’adeguatezza di chiunque viene chiamato a svolgere operazioni di trattamento sotto l’autorità del titolare – sia esso un autorizzato ai sensi dell’art. 29 GDPR, o un responsabile ai sensi dell’art. 28 GDPR – è e rimane in capo anche al titolare stesso per quanto riguarda le eventuali violazioni contestabili.
Nell’ipotesi in cui l’organizzazione che ha designato il DPO sia stata compromessa dall’attacco, l’azione reattiva e il coinvolgimento della funzione è fondamentale e fuor di dubbio. Parimenti, nella gestione post-incidente e nell’approccio lesson learned, peraltro previsto dall’art. 32 GDPR, la consultazione del DPO sarà fondamentale e il parere dello stesso deve essere considerato da parte del management dell’organizzazione anche nell’ipotesi in cui la violazione abbia investito dati trattati nel ruolo soggettivo di responsabile del trattamento (ad es. nel caso di un’agenzia).
L’aspetto che invece spesso rischia di essere sottovalutato è l’azione proattiva del DPO stesso nel caso in cui l’organizzazione designante non sia stata coinvolta da un attacco ma sia nota la campagna in corso. Le azioni immediate da svolgere saranno certamente informazione, ma anche e soprattutto un controllo dell’adeguatezza delle misure di sicurezza applicate e il loro riadeguamento, se del caso, in accordo al nuovo contesto esterno. Anche nel suggerire al titolare di fornire nuove istruzioni ai propri addetti o responsabili del trattamento preposti alla gestione dei canali social. O riesaminare i contratti stipulati e le istruzioni operative fornite.
Stefano GazzellaUna recente analisi di Cyber Threat Intelligence (CTI) condotta da DREAM ha svelato i dettagli di una complessa campagna di spear-phishing avvenuta nell’agosto 2025. L’attacco, attribuito a un gru...
La Cina ha presentato KylinOS 11 , il più grande aggiornamento del suo sistema operativo nazionale, che il governo ha definito un importante passo avanti nella creazione di un ecosistema tecnologico ...
A livello di definizione, per wetware si intende quella tecnologia che combina hardware e software per potenziare le forme di vita biologiche. Steve M. Potter, è un professore associato presso il Lab...
Gli Stati Uniti e diversi Paesi alleati hanno lanciato un allarme congiunto sulla crescente offensiva cibernetica condotta da attori sponsorizzati dalla Repubblica Popolare Cinese. Secondo una nuova C...
Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggressori...
