Postel: il conto del ransomware lo pagheranno gli interessati? Tra due giorni lo scopriremo

Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach.

Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda:

ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel.

E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi.

I quali hanno appreso tutto ciò prima dai social, dunque da alcune testate giornalistiche. Testate che poi sono state raggiunte da un comunicato da parte di Postel che ha avuto l’effetto di lasciare più confusi che persuasi.

Anche perchè, ironia della sorte, per leggerlo su alcune delle testate online, si doveva superare un cookiewall versando il gettone dei propri dati personali per avere accesso ad una comunicazione (si spera, almeno teoricamente e nelle intenzioni) dovuta per legge.

Perché quella verso gli interessati è una comunicazione che la stessa Postel deve svolgere per adempiere a quanto prescritto dall’art. 34 GDPR e che va svolta nelle forme definite dall’art. 12 GDPR.

Cosa non va nel comunicato di Postel secondo il GDPR.

Il comunicato di Postel manca però degli elementi fondamentali prescritti per una comunicazione di data breach completa. La quale non è un adempimento formale, bensì ha la funzione di rafforzare la tutela di tutte le persone direttamente e indirettamente coinvolte dall’evento di violazione.

E dunque, volendo considerare l’accaduto, non gioverebbe soltanto gli interessati i cui dati personali sono stati esfiltrati e saranno pubblicati, ma anche tutti coloro che potrebbero subire un danno o un pericolo dall’evento.

La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). (art. 34 par. 2 GDPR)

I requisiti di legge sono chiari.

Altrettanto chiaro è che non sono riscontrabili all’interno della comunicazione inviata. Manca infatti il punto di contatto presso cui ottenere informazioni, così come la descrizione delle probabili conseguenze della violazione dei dati personali.

Per quanto riguarda l’indicazione delle misure adottate o da adottare, tutto si limita ad una generale azione di ripristino dei sistemi.

Può venire il dubbio che il comunicato non sia stato inteso come comunicazione verso gli interessati?

E questo aprirebbe una serie di riflessioni ulteriori. Tale comunicazione, stando alla lettera dell’art. 34 GDPR e alle linee guida dell’EDPB, è un obbligo nel caso in cui sussiste un rischio elevato per gli interessati. Rischio elevato che, stando alle notizie riportate sull’attacco, appare come sussistente in considerazione della natura dei dati oggetto di violazione.

Bisogna infatti ricordare che sono stati oggetto di compromissione i dati dei lavoratori. E questo comprende tutte le comunicazioni per la gestione dei rapporti di lavoro, inclusi documenti di identità e le comunicazioni interne. Viene davvero difficile ipotizzare che non sia uno scenario di rischio elevato.

Purtroppo, nel comunicato sono citati soltanto dati interni. Nessun riferimento a interessati coinvolti o potenzialmente coinvolti. Nulla viene detto sull’imminente pubblicazione minacciata a scopo estorsivo.

La mancata comunicazione, così come una comunicazione intempestiva o incompleta, impedisce all’interessato di adottare delle cautele per proteggersi dalle conseguenze del data breach.

Qualcosa che si pone insomma ben oltre l’avere contezza che “è successo qualcosa”.

Così facendo il rischio (anzi, la certezza) è che il conto da pagare del data breach sarà in parte sulle spalle (e sulle tasche) degli interessati. Dato che si parla della loro vita lavorativa, furti di identità, ricatti o anche truffe che saranno orchestrate più facilmente a loro danno grazie alle informazioni nella disponibilità dei cybercriminali.

Infine, una considerazione per completezza. In tutto questo non stiamo nemmeno considerando gli ulteriori soggetti potenzialmente coinvolti dal data breach, come possono essere tutti coloro eventualmente citati nelle comunicazioni interne e nei documenti. E che ben potrebbero trarre giovamento da una comunicazione di data breach chiara e completa pubblicata su canali istituzionali, in quanto potrebbero adottare comportamenti maggiormente prudenti consapevoli del pericolo cui sono stati esposti in conseguenza dell’evento.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore