Campagna di attacchi verso gli account LinkedIn: alcune precisazioni secondo il GDPR.

Stefano Gazzella : 24 Agosto 2023 07:34

La campagna di attacchi in corso verso gli account LinkedIn è stata segnalata dal blog di Cyberint il 14 agosto scorso, ma ci sono conseguenze da dover considerare tenuto conto del GDPR? Fin qui gli scenari di attacco sono abbastanza chiari, così come le probabili cause che sono riconducibili per lo più a attacchi di password guessing andati a buon fine (ringrazio per la conferma a riguardo Giovanni Battista Caria) dunque al momento non ha alcun senso parlare di un data breach di LinkedIn. Non c’è alcuna prova che sia coinvolta infatti alcuna vulnerabilità della piattaforma, e le segnalazioni da parte degli utenti lamentano per lo più un ritardo nelle risposte da parte del servizio assistenza.

Nel caso in cui invece è stato compromesso un account dell’organizzazione, o un account lavorativo, in quanto si rientra nell’ambito di applicazione materiale del GDPR. Non ricorre infatti l’ipotesi di eccezione della household exception, ovverosia il trattamento di dati personali svolto a finalità esclusivamente personali e domestiche, meglio chiarito all’interno del considerando n. 18 GDPR:

Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.

Per alcune categorie di utenti l’impiego del social network è infatti collegato all’attività professionale: basti pensare ai content creator, ad esempio, o a un professionista che impiega il social per gli scopi di personal branding. Ciò comporta di conseguenza che le attività di trattamento di dati personali attraggono tutte le responsabilità richiamate dal GDPR. Ivi inclusa quella di gestione di una violazione di dati personali.

E se in caso di blocco temporaneo dell’account non c’è compromissione al di fuori dell’indisponibilità dei dati personali trattati e la violazione va dunque documentata ai sensi dell’art. 33 par. 5 GDPR, non si può dire altrimenti nello stesso modo dell’ipotesi di furto dell’account social. In questo caso l’indisponibilità è di carattere potenzialmente permanente (salvo il buon esito dei tentativi di ottenere nuovamente dell’account) e si realizza di conseguenza anche una perdita di confidenzialità della lista di utenti con cui sono stati intrattenute delle conversazioni, così come del contenuto dei messaggi scambiati. Insomma: in questo caso la possibilità che ricorra quel criterio di improbabilità di presentare un rischio per i diritti e le libertà delle persone fisiche è piuttosto esigua. Dopodiché, è chiaro che dovrà essere valutato ciascun contesto anche al fine di determinare se sussistono i fondamenti giuridici per far scattare l’obbligo di notifica all’Autorità Garante per la protezione dei dati personali e di comunicazione nei confronti degli interessati.

Bisogna infatti considerare che soprattutto nel caso di account LinkedIn collegati a influencer (come sono i Top Voices), content creator o organizzazioni, la possibilità di impiegare gli stessi come vettore per ulteriori attacchi. Ad esempio per veicolare contenuti malevoli nei confronti di follower, o anche più semplicemente per ottenere informazioni dagli utenti con cui c’è stato uno scambio di messaggi.

E poiché la tutela e protezione dell’interessato ha un carattere prevalente nella gestione del data breach, proprio per queste categorie di soggetti la comunicazione dell’avvenuta compromissione della propria utenza dovrebbe essere (anzi: deve essere) una priorità. Altrimenti ogni eventuale adempimento è destinato ad assumere una veste meramente formalistica. Certo, con tutte le cautele e accortezze per la gestione della crisi reputazionale derivante dall’accaduto.

E se l’account è gestito da un’agenzia o da un SMM?

Esiste infine l’ipotesi, invero piuttosto ricorrente, in cui la gestione dell’account sia stata delegata – in tutto in parte – ad un’agenzia o ad un social media manager. E in questo caso, la tempestività della comunicazione dell’accaduto (che si presume essere stata già contrattualizzata nel contratto di servizi) è fondamentale proprio per gli scopi di tutela richiamati.

Certamente, una violazione di dati personali metterà alla prova anche la tenuta del contratto di servizi con l’agenzia o il professionista e gli eventuali inadempimenti contestabili. Eppure, bisogna ricordare che la responsabilità per la selezione e il monitoraggio dell’adeguatezza di chiunque viene chiamato a svolgere operazioni di trattamento sotto l’autorità del titolare – sia esso un autorizzato ai sensi dell’art. 29 GDPR, o un responsabile ai sensi dell’art. 28 GDPR – è e rimane in capo anche al titolare stesso per quanto riguarda le eventuali violazioni contestabili.

Account LinkedIn sotto attacco: quale azioni deve svolgere il DPO da GDPR

Nell’ipotesi in cui l’organizzazione che ha designato il DPO sia stata compromessa dall’attacco, l’azione reattiva e il coinvolgimento della funzione è fondamentale e fuor di dubbio. Parimenti, nella gestione post-incidente e nell’approccio lesson learned, peraltro previsto dall’art. 32 GDPR, la consultazione del DPO sarà fondamentale e il parere dello stesso deve essere considerato da parte del management dell’organizzazione anche nell’ipotesi in cui la violazione abbia investito dati trattati nel ruolo soggettivo di responsabile del trattamento (ad es. nel caso di un’agenzia).

L’aspetto che invece spesso rischia di essere sottovalutato è l’azione proattiva del DPO stesso nel caso in cui l’organizzazione designante non sia stata coinvolta da un attacco ma sia nota la campagna in corso. Le azioni immediate da svolgere saranno certamente informazione, ma anche e soprattutto un controllo dell’adeguatezza delle misure di sicurezza applicate e il loro riadeguamento, se del caso, in accordo al nuovo contesto esterno. Anche nel suggerire al titolare di fornire nuove istruzioni ai propri addetti o responsabili del trattamento preposti alla gestione dei canali social. O riesaminare i contratti stipulati e le istruzioni operative fornite.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.