Houston, abbiamo un problema. Il nostro conto… di Umberto Rapetto , 22 settembre 2017

La storica frase sembra pronunciata da un astronauta (correntista di un importante gruppo bancario) che – pur in orbita – ha appena appreso dell’incursione ai forzieri in cui l’istituto di credito conservava i dati personali della clientela e spera di trovare conforto nella base di controllo delle attività spaziali

Poco prima di andare in vacanza la nostra attenzione è stata bruscamente richiamata da un episodio di data breach, ovvero una significativa violazione della riservatezza dei dati personali che è stata determinata da un accesso non autorizzato a un corposo database e dalla successiva estrazione di informazioni che non erano destinate alla divulgazione. E’ la tipica fattispecie per la quale il nuovo Regolamento europeo in materia di privacy di imminente entrata in vigore ha previsto due specifiche segnalazioni. Chi subisce una simile fregatura deve segnalarlo all’Autorità di controllo, ovvero al Garante, e deve informare i soggetti cui si riferiscono i dati che hanno costituito il bottino dei mascalzoni virtuali.

Anche se l’espressione inglese “data breach” è apparentemente strana e qualcuno inciampa nel pronunciarla, la questione è ben nota nel contesto informatico e qualche volta ha meritato ampi spazi nelle cronache di quotidiani e radiotelegiornali. Alcuni di questi arrembaggi sono addirittura rimasti nella memoria collettiva per la vastità della platea delle persone catapultate in imbarazzanti situazioni in cui tutta la rispettiva quotidiana cautela non ha potuto sortire alcun effetto. Eh già, siamo tutti pronti a ricordare le precauzioni da adottare per non farci rubare la password (figuriamoci poi l’identità digitale…) o a suggerire chissà quale accortezza per non incappare in sconfortanti disavventure, ma poi certi disastri si verificano ugualmente. Possibile? Possibilissimo. Purtroppo. La spiegazione è molto più elementare di quanto non si possa pensare. Il cyber-mariuolo non sta lì ad aspettare il passaggio di qualcuno nei vicoli elettronici, nutrendo la speranza di poterlo scippare come un tempo succedeva con le vecchiette appena uscite dall’ufficio postale dopo aver ritirato la pensione. I moderni banditi non si mettono certo a spiluccare singole parole chiave con estenuanti attese che potrebbero risultare infruttuose. Se si deve sgraffignare un qualsivoglia patrimonio informativo, i malintenzionati sanno perfettamente dove andare a cercare.

La bussola dei briganti di oggigiorno punta dritta verso quelle realtà in cui i dati più appetibili si ammucchiano, accatastati magari senza nemmeno preoccuparsi delle più banali cautele tecniche e organizzative che invece avrebbero dovuto essere implementate. L’episodio dei quattrocentomila clienti di Unicredit è a dir poco emblematico. La banca ha annunciato di essere stata vittima di un attacco informatico, invitando i propri interlocutori a mantenere la calma perché la situazione è sotto controllo. Gli hacker non sono arrivati adesso e quindi c’è poco da temere. Le prime dichiarazioni dell’istituto di credito, infatti, evidenziano che le scorribande erano cominciate all’incirca un anno prima. L’intrusione più recente – avvenuta tra giugno e luglio – avrebbe consentito di portar via dati anagrafici e Iban di 400mila clienti che avevano chiesto prestiti personali. Non si sa altro, ma la banca tiene a sottolineare di aver particolarmente a cuore la sicurezza tanto da aver pianificato investimenti miliardari sullo specifico fronte. Meno male. Ma lo stanziamento è anteriore o successivo le prime avvisaglie dell’anno scorso? E soprattutto in cosa si andrà a tradurre?

Sarei curioso di sapere cosa potrà mai succedere in quelle organizzazioni (e sono tante) dove la sicurezza informatica è davvero l’ultimo dei pensieri. Mi piacerebbe anche conoscere l’opinione del Garante per la protezione dei dati personali che a proposito della sgradevole evenienza non ha proferito verbo, mentre magari le vittime di questo “incidente” si sarebbero aspettati almeno un segnale di conforto. I più cattivi tra i soggetti involontariamente coinvolti in questo furto di dati avrebbero sperato di veder apparire il Garante armato di intenzioni draconiane, pronto a sanzionare rapidamente chi non ha adottato le dovute misure di sicurezza che sono state rese obbligatorie nel 1997 con la legge 675 e poi ribadite dal decreto legislativo 196/2003. Ma non bisogna essere cattivi e tocca portar pazienza, come suggeriva il pirata Salomone nel Carosello dell’Amarena Fabbri a chi insisteva con il refrain “Lo possiamo torturare?”

2017-09-23T16:50:28+00:00 23 Settembre, 2017|Press|