- Il data breach prevede la violazione e manomissione di dati sensibili da parte di un soggetto terzo non abilitato, sia se effettuato in modo volontario, sia involontario.
- La normativa di riferimento è l’art 12 del GDPR (General Data Protection Regulation) che definisce il concetto di violazione di dati.
- Nel caso in cui hai subito un data breach, entro 72 ore, dovrai segnalarlo al Garante della Privacy.
Cos’è il data breach? Negli ultimi giorni avrai sentito questa parola collegata alla sottrazione di dati avvenuta sul sito dell’Agenzia delle Entrate, poi smentita. La traduzione letterale di data breach è quella di violazione dei dati o delle informazioni. Si tratta di un evento che può mettere a rischio la riservatezza della privacy di ogni utente e delle imprese, con conseguenze gravi.
Infatti, attraverso la fuga di dati, un hacker ha la possibilità di accedere a informazioni sensibili come il numero di carta di credito, IBAN bancario, password di accesso a conti deposito o a un sito. Come dichiarato da una relazione del Garante nella Privacy, nell’ultimo anno i fenomeni di data breach in Italia sono incrementati del 151%.
Conoscere come funziona e cosa fare in caso di violazione dei dati è indispensabile se disponi di un’attività come un sito, un e-commerce o un’impresa. Ecco tutte le informazioni utili.
Indice
Data breach e GDPR
La definizione di data breach è letteralmente quella di violazione dei dati. È prevista nell’articolo 4 comma 12 del Regolamento Europeo 2016/679 conosciuto anche come GDPR (General Data Protection Regulation). Si considera in questo modo qualunque violazione della sicurezza che porta in maniera accidentale o illecita alla perdita o alla divulgazione non autorizzata di informazioni personali.
Ecco quali sono gli esempi in cui si può verificare un data beach:
- accesso di dati da parte di soggetti terzi non autorizzati;
- perdita di informazioni sensibili;
- alterazione o furto di dati;
- divulgazione non autorizzata delle informazioni;
- impossibilità di accedere ai propri dati;
- accesso involontario a informazioni sensibili.
Quando si verifica un data breach
In base al Regolamento UE 679/2016, tutte le aziende private e pubbliche sono tenute ad adeguarsi in modo da proteggere i dati sensibili tenuti a livello informatico. Questi vengono definiti dall’art 3 del regolamento come quelli che permettono l’identificazione diretta del soggetto.
Ad esempio, se hai aperto una Partita IVA per e-commerce, sarai obbligato ad adeguarti al GDPR, dato che gestirai dati sensibili, come quelli di pagamento. Invece, se disponi di un blog personale non sei tenuto a integrare i tuoi sistemi di sicurezza per la protezione di dati sensibili. Il data breach si verifica quando viene meno almeno uno dei seguenti fattori:
- riservatezza;
- integrità;
- disponibilità dei dati.
Il concetto di riservatezza prevede l’accesso alle informazioni solo da parte di soggetti che sono stati autorizzati a gestirle. Invece l’idea di integrità fa riferimento al principio in base al quale un’informazione non dovrà essere alterata o modificata. Infine, il fattore di disponibilità prevede il tuo diritto ad accedere alle informazioni in qualunque momento.
Come valutare se è avvenuto un data breach
La violazione di sicurezza non è sempre facile da valutare. Infatti, in alcuni casi si è ignari della perdita di dati fino a quando non si determina un danno concreto. In altre situazioni, grazie a un adeguato sistema di sicurezza informatica, è possibile individuare subito la falla nel sistema e intervenire, evitando eventuali fughe di informazioni.
Infine, vi sono delle violazioni che riguardano dati sensibili e che possono causare danni fisici, materiali o immateriali all’utente ignaro. Quando si verifica realmente un data breach? Capirlo è importante, dato che la normativa prevede l’obbligo da parte del soggetto preposto alla tutela e conservazione dei dati di effettuare la segnalazione dell’avvenuta violazione entro un congruo tempo.
A questo fine il sito del Garante Privacy prevede un sistema di autovalutazione delle eventuali violazioni. Compilandolo potrai scoprire subito se i tuoi server sono stati sottoposti a una violazione.
Cosa fare se si è subito una data breach
Come comportarsi se hai subito un data breach? Il Regolamento UE stabilisce una serie di step. In primo luogo, sarà necessario intervenire interrompendo gli effetti della sottrazione dei dati. Questa operazione può essere temporanea, ad esempio sospendendo un determinato servizio, in attesa di trovare la falla nella sicurezza della rete, oppure definitiva. In questa situazione puoi individuare dove vi è stata la violazione e agire eliminandola.
Inoltre, a livello informatico è necessario ripristinare subito la capacità dell’utente di disporre dei suo dati. Un altro passaggio necessario è quello di effettuare la comunicazione del data breach. Il Regolamento UE stabilisce che la segnalazione della violazione deve essere eseguita entro un massimo di 72 ore e dovrà prevedere:
- comunicazione al Garante Privacy;
- comunicazione all’interessato.
1. Come eseguire la comunicazione al Garante della Privacy
Per semplificare e velocizzare le comunicazioni al Garante Privacy, dal 1° luglio 2021 è possibile effettuare questa operazione direttamente online. È presente un modulo telematico che ti aiuterà nella procedura al fine di inserire tutte le informazioni che identificano la violazione della tua sicurezza.
Inoltre, viene messo a disposizione anche un fac simile che ti permette di compilare il documento online in maniera più rapida. Il Garante ha messo a disposizione anche uno strumento di autovalutazione per sapere quali azioni intraprendere successivamente ad una violazione accertata.
2. Comunicazione all’utente interessato
L’art 86 del GDPR stabilisce l’obbligo di effettuare la segnalazione dell’utente di una fuga di informazioni o danneggiamento dei dati. Gli articoli 33 e 34 del Regolamento UE ribadiscono alcuni principi, in base ai quali dovrai eseguire la comunicazione:
- tempistica: dovrà avvenire in maniera repentina;
- condizioni: è necessario indicare qual è la gravità delle violazioni;
- finalità: la comunicazione è necessaria per permettere al soggetto di intervenire e proteggere le proprie informazioni sensibili.
La comunicazione deve avvenire direttamente all’utente interessato, utilizzando uno strumento idoneo. Ad esempio, sarà possibile l’invio di una raccomandata, o una email tramite PEC. In altri casi però, se ad essere interessati sono diversi utenti, sono previste altre forme di segnalazione. Infatti, per non far venire meno la tempestività della segnalazione, il Garante Privacy ammette la possibilità di effettuare una comunicazione pubblica.
Come proteggersi da un data breach
Le soluzioni adottate dagli hacker per violare i dati sono sempre più sofisticate e innovative. Per questo diventa indispensabile adottare una serie di misure che ti permettono di fronteggiare il verificarsi di un data beach. Ecco cosa fare per prevenirlo:
- sviluppare una rete di sicurezza;
- creare un protocollo contro il data beach;
- conoscere quali sono i principali sistemi di violazione utilizzati.
A livello informatico esistono particolari software o protocolli che si possono seguire per garantire la massima sicurezza e protezione per i dati sensibili degli utenti che li inseriscono su siti web e piattaforme online di diverso tipo.
1. Sviluppare una rete di sicurezza
Creare una rete di sicurezza è il primo step per proteggere la tua attività di business da una violazione dei dati. Devi disporre di un sistema che ti permetta di rilevare eventuali malware presenti all’interno della rete, ma anche prevedere una protezione contro attacchi dall’esterno.
Inoltre, al fine di evidenziare quali possono essere eventuali falle nel sistema, dovrai effettuare periodici test e intervenire nelle sezioni più deboli. Per questo può essere utile affidarsi a una società di cybersecurity specializzata nella protezione dei dati.
Per le aziende più grandi, è consigliato informarsi preventivamente per la gestione di dati sensibili e per rispettare le norme GDPR, e avvalersi di un supporto interno all’impresa o esterno.
2. Creare un protocollo contro il data breach
Dovrai sviluppare una serie di procedure da adottare per rispondere a un tentativo di violazione e misure da impiegare nel caso in cui si è verificata la violazione dei dati. Saranno indispensabili strumenti per monitorare eventuali violazioni, ma anche un protocollo per gestirle.
Ad esempio, è utile disporre di un call center che comunichi al cliente la temporanea indisponibilità di un servizio andando a rispondere a tutte le sue domande. Creare un protocollo di questo tipo rientra nella gestione del rischio informatico dell’azienda.
3. Come avviene la violazione: esempi di data breach
Per prevenire un data beach diventa utile conoscere quali sono i principali strumenti che vengono adottati dagli hacker malintenzionati per sottrarre dati:
- punti deboli dei software;
- malware e link di accesso;
- utilizzo di botnet.
Nel primo caso gli hacker sfruttano il fattore tecnologico, ovvero eventuali bug presenti in software attraverso cui avranno la possibilità di accedere alle informazioni sensibili. In altri casi possono fare leva su un altro aspetto, ovvero quello umano.
L’esempio è quello del phishing, un sistema che prevede l’utilizzo di e-mail che contengono malware o link che portano gli utenti a inserire le loro credenziali. Infine, vengono impiegati anche i botnet, ovvero dei computer che sono stati già infettati da malware e che comunicando con i server li trasferiscono alla rete in modo inconsapevole.
Data breach: sanzioni per mancata segnalazione
In caso di mancato rispetto del GDPR, il Garante della Privacy potrà applicare delle sanzioni. In particolare, queste si applicano in caso in cui si evidenzia:
- sicurezza inadeguata;
- mancata segnalazione.
Nella prima eventualità si considerano quelle situazioni in cui un’azienda non ha protetto i dati in maniera adeguata, procurando l’eventuale danno ai cliente. Nel secondo caso si applicheranno sanzioni per non avere effettuato la dovuta segnalazione.
L’importo della multa sarà stabilito in una pena pecuniaria fino a un massimo di 10 milioni di euro, oppure di una percentuale sul fatturato annuo precedente del 2% per la prima violazione, del 4% per quelle successive.
Data breach – Domande frequenti
Il data breach è una violazione dei dati che si verifica ogni volta che vi è una sottrazione e manomissione di informazioni sensibili da parte di soggetti non abilitati.
Il data breach deve essere comunicato al Garante se si determina una violazione dei dati che va a incidere su questi tre elementi: riservatezza, integrità e disponibilità dei dati.
Il possibile data breach deve essere segnalato dal titolare del trattamento dei dati di un’azienda con l’obbligo di comunicazione al Garante Privacy e al diretto interessato. Scopri di più qui.
Gennaro Ottaviano
Esperto di economia aziendale e gestionale