Stefano Gazzella : 24 Agosto 2023 07:34
La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli utenti lamentano per lo più un ritardo nelle risposte da parte del servizio assistenza.
Nel caso in cui invece è stato compromesso un account dell’organizzazione, o un account lavorativo, in quanto si rientra nell’ambito di applicazione materiale del GDPR. Non ricorre infatti l’ipotesi di eccezione della household exception, ovverosia il trattamento di dati personali svolto a finalità esclusivamente personali e domestiche, meglio chiarito all’interno del considerando n. 18 GDPR:
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per alcune categorie di utenti l’impiego del social network è infatti collegato all’attività professionale: basti pensare ai content creator, ad esempio, o a un professionista che impiega il social per gli scopi di personal branding. Ciò comporta di conseguenza che le attività di trattamento di dati personali attraggono tutte le responsabilità richiamate dal GDPR. Ivi inclusa quella di gestione di una violazione di dati personali.
E se in caso di blocco temporaneo dell’account non c’è compromissione al di fuori dell’indisponibilità dei dati personali trattati e la violazione va dunque documentata ai sensi dell’art. 33 par. 5 GDPR, non si può dire altrimenti nello stesso modo dell’ipotesi di furto dell’account social. In questo caso l’indisponibilità è di carattere potenzialmente permanente (salvo il buon esito dei tentativi di ottenere nuovamente dell’account) e si realizza di conseguenza anche una perdita di confidenzialità della lista di utenti con cui sono stati intrattenute delle conversazioni, così come del contenuto dei messaggi scambiati. Insomma: in questo caso la possibilità che ricorra quel criterio di improbabilità di presentare un rischio per i diritti e le libertà delle persone fisiche è piuttosto esigua. Dopodiché, è chiaro che dovrà essere valutato ciascun contesto anche al fine di determinare se sussistono i fondamenti giuridici per far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali e di comunicazione nei confronti degli interessati.
Bisogna infatti considerare che soprattutto nel caso di account LinkedIn collegati a influencer (come sono i Top Voices), content creator o organizzazioni, la possibilità di impiegare gli stessi come vettore per ulteriori attacchi. Ad esempio per veicolare contenuti malevoli nei confronti di follower, o anche più semplicemente per ottenere informazioni dagli utenti con cui c’è stato uno scambio di messaggi.
E poiché la tutela e protezione dell’interessato ha un carattere prevalente nella gestione del data breach, proprio per queste categorie di soggetti la comunicazione dell’avvenuta compromissione della propria utenza dovrebbe essere (anzi: deve essere) una priorità. Altrimenti ogni eventuale adempimento è destinato ad assumere una veste meramente formalistica. Certo, con tutte le cautele e accortezze per la gestione della crisi reputazionale derivante dall’accaduto.
Esiste infine l’ipotesi, invero piuttosto ricorrente, in cui la gestione dell’account sia stata delegata – in tutto in parte – ad un’agenzia o ad un social media manager. E in questo caso, la tempestività della comunicazione dell’accaduto (che si presume essere stata già contrattualizzata nel contratto di servizi) è fondamentale proprio per gli scopi di tutela richiamati.
Certamente, una violazione di dati personali metterà alla prova anche la tenuta del contratto di servizi con l’agenzia o il professionista e gli eventuali inadempimenti contestabili. Eppure, bisogna ricordare che la responsabilità per la selezione e il monitoraggio dell’adeguatezza di chiunque viene chiamato a svolgere operazioni di trattamento sotto l’autorità del titolare – sia esso un autorizzato ai sensi dell’art. 29 GDPR, o un responsabile ai sensi dell’art. 28 GDPR – è e rimane in capo anche al titolare stesso per quanto riguarda le eventuali violazioni contestabili.
Nell’ipotesi in cui l’organizzazione che ha designato il DPO sia stata compromessa dall’attacco, l’azione reattiva e il coinvolgimento della funzione è fondamentale e fuor di dubbio. Parimenti, nella gestione post-incidente e nell’approccio lesson learned, peraltro previsto dall’art. 32 GDPR, la consultazione del DPO sarà fondamentale e il parere dello stesso deve essere considerato da parte del management dell’organizzazione anche nell’ipotesi in cui la violazione abbia investito dati trattati nel ruolo soggettivo di responsabile del trattamento (ad es. nel caso di un’agenzia).
L’aspetto che invece spesso rischia di essere sottovalutato è l’azione proattiva del DPO stesso nel caso in cui l’organizzazione designante non sia stata coinvolta da un attacco ma sia nota la campagna in corso. Le azioni immediate da svolgere saranno certamente informazione, ma anche e soprattutto un controllo dell’adeguatezza delle misure di sicurezza applicate e il loro riadeguamento, se del caso, in accordo al nuovo contesto esterno. Anche nel suggerire al titolare di fornire nuove istruzioni ai propri addetti o responsabili del trattamento preposti alla gestione dei canali social. O riesaminare i contratti stipulati e le istruzioni operative fornite.
Stefano GazzellaAvevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
