Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 24 Agosto 2023 07:34
La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli utenti lamentano per lo più un ritardo nelle risposte da parte del servizio assistenza.
Nel caso in cui invece è stato compromesso un account dell’organizzazione, o un account lavorativo, in quanto si rientra nell’ambito di applicazione materiale del GDPR. Non ricorre infatti l’ipotesi di eccezione della household exception, ovverosia il trattamento di dati personali svolto a finalità esclusivamente personali e domestiche, meglio chiarito all’interno del considerando n. 18 GDPR:
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Per alcune categorie di utenti l’impiego del social network è infatti collegato all’attività professionale: basti pensare ai content creator, ad esempio, o a un professionista che impiega il social per gli scopi di personal branding. Ciò comporta di conseguenza che le attività di trattamento di dati personali attraggono tutte le responsabilità richiamate dal GDPR. Ivi inclusa quella di gestione di una violazione di dati personali.
E se in caso di blocco temporaneo dell’account non c’è compromissione al di fuori dell’indisponibilità dei dati personali trattati e la violazione va dunque documentata ai sensi dell’art. 33 par. 5 GDPR, non si può dire altrimenti nello stesso modo dell’ipotesi di furto dell’account social. In questo caso l’indisponibilità è di carattere potenzialmente permanente (salvo il buon esito dei tentativi di ottenere nuovamente dell’account) e si realizza di conseguenza anche una perdita di confidenzialità della lista di utenti con cui sono stati intrattenute delle conversazioni, così come del contenuto dei messaggi scambiati. Insomma: in questo caso la possibilità che ricorra quel criterio di improbabilità di presentare un rischio per i diritti e le libertà delle persone fisiche è piuttosto esigua. Dopodiché, è chiaro che dovrà essere valutato ciascun contesto anche al fine di determinare se sussistono i fondamenti giuridici per far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali e di comunicazione nei confronti degli interessati.
Bisogna infatti considerare che soprattutto nel caso di account LinkedIn collegati a influencer (come sono i Top Voices), content creator o organizzazioni, la possibilità di impiegare gli stessi come vettore per ulteriori attacchi. Ad esempio per veicolare contenuti malevoli nei confronti di follower, o anche più semplicemente per ottenere informazioni dagli utenti con cui c’è stato uno scambio di messaggi.
E poiché la tutela e protezione dell’interessato ha un carattere prevalente nella gestione del data breach, proprio per queste categorie di soggetti la comunicazione dell’avvenuta compromissione della propria utenza dovrebbe essere (anzi: deve essere) una priorità. Altrimenti ogni eventuale adempimento è destinato ad assumere una veste meramente formalistica. Certo, con tutte le cautele e accortezze per la gestione della crisi reputazionale derivante dall’accaduto.
Esiste infine l’ipotesi, invero piuttosto ricorrente, in cui la gestione dell’account sia stata delegata – in tutto in parte – ad un’agenzia o ad un social media manager. E in questo caso, la tempestività della comunicazione dell’accaduto (che si presume essere stata già contrattualizzata nel contratto di servizi) è fondamentale proprio per gli scopi di tutela richiamati.
Certamente, una violazione di dati personali metterà alla prova anche la tenuta del contratto di servizi con l’agenzia o il professionista e gli eventuali inadempimenti contestabili. Eppure, bisogna ricordare che la responsabilità per la selezione e il monitoraggio dell’adeguatezza di chiunque viene chiamato a svolgere operazioni di trattamento sotto l’autorità del titolare – sia esso un autorizzato ai sensi dell’art. 29 GDPR, o un responsabile ai sensi dell’art. 28 GDPR – è e rimane in capo anche al titolare stesso per quanto riguarda le eventuali violazioni contestabili.
Nell’ipotesi in cui l’organizzazione che ha designato il DPO sia stata compromessa dall’attacco, l’azione reattiva e il coinvolgimento della funzione è fondamentale e fuor di dubbio. Parimenti, nella gestione post-incidente e nell’approccio lesson learned, peraltro previsto dall’art. 32 GDPR, la consultazione del DPO sarà fondamentale e il parere dello stesso deve essere considerato da parte del management dell’organizzazione anche nell’ipotesi in cui la violazione abbia investito dati trattati nel ruolo soggettivo di responsabile del trattamento (ad es. nel caso di un’agenzia).
L’aspetto che invece spesso rischia di essere sottovalutato è l’azione proattiva del DPO stesso nel caso in cui l’organizzazione designante non sia stata coinvolta da un attacco ma sia nota la campagna in corso. Le azioni immediate da svolgere saranno certamente informazione, ma anche e soprattutto un controllo dell’adeguatezza delle misure di sicurezza applicate e il loro riadeguamento, se del caso, in accordo al nuovo contesto esterno. Anche nel suggerire al titolare di fornire nuove istruzioni ai propri addetti o responsabili del trattamento preposti alla gestione dei canali social. O riesaminare i contratti stipulati e le istruzioni operative fornite.
Stefano Gazzella“Se non paghi per il servizio, il prodotto sei tu. Vale per i social network, ma anche per le VPN gratuite: i tuoi dati, la tua privacy, sono spesso il vero prezzo da pagare. I ricercatori del ...
Kali Linux 2025.2 segna un nuovo passo avanti nel mondo del penetration testing, offrendo aggiornamenti che rafforzano ulteriormente la sua reputazione come strumento fondamentale per la sicurezza inf...
Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...
Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...
Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
