Con un recente provvedimento, l’Autorità Garante per la Protezione dei Dati Personali ha sanzionato Innova Camera (Azienda Speciale della Camera di Commercio di Roma per l’innovazione), nominato Responsabile del trattamento per le attività di gestione del sito istituzione e di sicurezza informatica.
L’Autorità, all’esito di una complessa istruttoria, ha ritenuto Innova responsabile del Data Breach che ha coinvolto la Camera di Commercio, vittima di un attacco informatico che ha comportato la diffusione di dati relativi a ben 22.300 mila utenti contenuti in un file: dati anagrafici, di contatto e credenziali (username e password, hashate con MD5).
Durante l’istruttoria è emerso che il file oggetto dei dati illecitamente diffusi fosse un data base di back up dell’applicativo che gestisce gli appuntamenti.
Il file, non era esposto al web, bensì “dimenticato” su un server a disposizione dei soli amministratori del sistema informatico. Era stato creato anni addietro in occasione di una migrazione su altro server, per motivi di sicurezza e per garantirne l’eventuale ripristino in caso di malfunzionamenti o incidenti; ma, a causa di un errore umano, nessuno aveva pensato di cancellarlo, sebbene la migrazione fosse da tempo terminata, con successo.
L’istruttoria ha anche evidenziato che l’Azienda non aveva fatto ricorso a sistemi di sicurezza delle password ritenuti allineati con lo stato dell’arte, tenendo conto dei rischi per i diritti e le libertà degli utenti coinvolti.
Invero, già all’epoca dei fatti, sarebbero state note gravi vulnerabilità della funzione hashing MD5, ritenuta non robusta, e che avrebbe dovuto essere comunque ormai sostituita con sistemi aggiornati alla luce del processo tecnologico (crittografia), in modo da attenuare i rischi di violazioni, che infine si sono verificati.
L’Autorità ha anche rilevato l’importanza assunta in questo contesto dalla violazione delle password, anche in ragione dell’abitudine di molti utenti a riutilizzare la medesima password per servizi on line diversi.
Anche per tale motivo, l’Autorità ha richiesto che gli utenti, informati della avvenuta violazione dei loro dati con una specifica comunicazione, ne ricevessero una seconda, contenente la raccomandazione di non utilizzare la password compromessa e di procedere alla modifica delle credenziali di accesso coincidenti o simili a quelle oggetto della violazione.
Si ricorda che il responsabile del trattamento deve assumere scelte nell’ambito della sfera di discrezionalità allo stesso riconosciuta su aspetti di dettaglio concernenti le misure tecniche ed organizzative nel rispetto dei principi sanciti dal GDPR, tra i quali si ricorda:
- il principio di limitazione della conservazione (art. 5.1.e GDPR)
- il principio di integrità e riservatezza (art. 5.1.f GDPR);
- obblighi di sicurezza (art. 32 GDPR)
Che nel caso di specie sono stati ritenuti violati.
La sanzione comminata, di ben 25 mila euro, oltre alla pubblicazione del provvedimento non è stata mitigata dalla circostanza che l’evento avverso, cagionato da un atto doloso, fosse avvenuto due anni addietro e nel tempo trascorso non risultassero pervenute segnalazioni, citazioni o richieste di risarcimento del danno da parte degli interessati.