Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Alessia Antonia D'Alessio
08 Nov 2021

Data Breach e Ransomware: cosa sono e come difendersi

Privacy​

20 ottobre 2021: la Società Italiana degli autori ed editori (SIAE) subisce un furto di circa 60 giga di dati personali degli artisti (data breach) con richiesta di un riscatto agli artisti (ransomware).

Quanto accaduto non è certamente un episodio isolato: ad agosto 2021 lo stesso evento si è verificato nel sistema informatico della Regione Lazio, con un furto massivo di dati personali e la richiesta di un riscatto.

La sempre maggiore importanza del valore economico del dato personale e la sempre più massiccia diffusione del trattamento di tali dati mediante strumenti informatici, sta comportando un notevole incremento di tali eventi, dai quali ci si deve imparare a proteggere.

A tal fine, in tempi non sospetti, la stessa Autorità Garante dei Dati Personali ha diffuso un vademecum da seguire, diretto a conoscere e a prevenire tali tipologie di attacchi informatici. Il primo modo per difendersi, infatti, è essere informati; solo conoscendo quali sono i rischi cui può incorrersi ogni qual volta si rilasciano i propri dati a terzi, autorizzandone, ove previsto, il trattamento, si possono adottare tutte le misure idonee a prevenire le conseguenze dannose di un ipotetico Data Breach.

Ma, esattamente, cos’è un Data Breach?

Il Data Breach (o “fuga di dati”) è una violazione alla sicurezza di dati personali trattati o conservati, che può concretizzarsi nella diffusione non autorizzata degli stessi, nell’accesso indebito a tali dati, oltre che nella loro distruzione, perdita, modifica, intenzionale o non intenzionale.

Qualora si verifichi un Data Breach, il Titolare o Responsabile del trattamento dei dati (colui a cui abbiamo rilasciato i nostri dati per un fine specifico, autorizzandolo al trattamento), entro 72 ore dal momento in cui è venuto a conoscenza della violazione, deve notificare la violazione al Garante per la protezione dei dati personali (GPDP), a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Se la violazione di tali dati comporta un rischio elevato per i diritti delle persone, il Titolare del trattamento deve comunicare quanto accaduto anche a tutti gli interessati.

Ricevuta la comunicazione, il Garante può prescrivere misure correttive (art. 58, par. 2 Regolamento UE 2016/679) qualora la violazione rilevata attenga, per esempio, all’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati personali oggetto di violazione, e se lo ritiene necessario, applica le sanzioni pecuniarie previste dal GDPR.

Cosa è successo nel caso SIAE?

Nel caso SIAE si è verificato un attacco informatico del tipo “ransomware”: un software dannoso ha infettato i devices della Società Italiana degli Autori ed Editori al fine di violare i data base che conservano i dati personali degli autori alla stessa iscritti e presso la stessa conservati; mediante la diffusione del “virus informatico”, i malintenzionati autori dell’attacco si sono appropriati di tali dati, bloccandone l’accesso e criptandone il contenuto. Conseguentemente è stato chiesto all’ente – ma anche ai singoli interessati cui i dati si riferiscono – il pagamento di un riscatto (in inglese “ransom”, appunto), in bitcoin, al fine del rilascio delle chiavi di sblocco finalizzate a decriptare i dati violati.

A quanto pare, il ransomware attack è seguito ad un phishing attack, una particolare tipologia di truffa che si concretizza mediante l’invio di messaggi di posta elettronica ingannevoli: attraverso una email, solo apparentemente proveniente da un mittente affidabile, l’utente è invitato a fornire i propri dati personali, i quali, una volta acquisiti, entrano nella disponibilità dei criminali.

Il modo più comune in cui il ransomware può diffondersi, infatti, sono proprio le email, gli sms o gli altri sistemi di messaggistica, a cui, seppur apparentemente ricevuti da soggetti conosciuti o affidabili, spesso sono contenuti allegati da aprire oppure link e banner da cliccare.

In altri casi, il ransomware viene scaricato direttamente dall’utente sul suo dispositivo, mediante un ingenuo click su link o banner pubblicitari presenti su siti web o social network, o con il semplice download di software e app offerti gratuitamente.

Infettare i devices è molto semplice, e per questo occorre adottare alcune regole per evitare di subire attacchi informatici che, seppur di ristretta portata, per ognuno potrebbero avere conseguenze disastrose.

Le regole da adottare:

  1. La prima regola aurea da seguire per evitare che i propri dispositivi vengano infettati da questi “virus informatici” è evitare di aprire messaggi provenienti da soggetti sconosciuti, verificare che provengano da soggetti affidabili ed evitare, in ogni caso, di cliccare su link, banner e allegati ricevuti a mezzo mail, sms o con altri sistemi di messaggistica, inviati da soggetti di cui non siamo in grado di verificare l’attendibilità.
  2. Preferiamo l’acquisto o il download di app e programmi da siti ufficiali, evitando di cliccare su banner pubblicitari presenti su siti web.
  3. Installiamo su tutti i dispositivi (compresi gli smartphone!) sistemi antivirus ed anti-malware, pianificando gli aggiornamenti periodici di tali software e del sistema operativo stesso, in quanto i virus informatici sono in costante evoluzione.
  4. Pianifichiamo il backup di copie dei nostri dati e di tutto il contenuto dei nostri devices affinché ciò avvenga in maniera automatica e sistematica: in caso di furto o di perdita, i nostri dati ed i contenuti del dispositivo violato potranno essere facilmente ripristinati senza il pericolo di definitività della sottrazione. In tal caso, peraltro, sarà possibile procedere ad una formattazione del dispositivo violato senza alcuna remora.
  5. Non pagare il riscatto: non solo, infatti, non è certo che si ricevano i codici di sblocco, ma è ben possibile che, vista la propensione a “pagare” si venga inseriti in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware.
  6. Rivolgiamoci a tecnici informatici specializzati capaci di sbloccare il dispositivo.
  7. Poniamo la massima attenzione al momento del rilascio dei nostri dati personali: i primi tutori dei nostri dati siamo noi stessi. Nonostante il trattamento dei dati sia informato – per legge – al principio di minimizzazione (devono essere richiesti e rilasciati solo i dati che servono effettivamente per raggiungere lo scopo per cui sono richiesti), molto spesso ciò che ci viene richiesto è evidentemente più di quanto sarebbe necessario. A questo possiamo opporci, ma soprattutto su ciò dobbiamo porre la massima attenzione, rilasciando ed autorizzando il trattamento dei soli dati personali effettivamente necessari.