Il gioco dell'oca della nuova legge sulla privacy

Il nuovo regolamento UE n. 2016/679, meglio noto come GDPR, è una legge che rischia di creare un danno ai singoli cittadini. I motivi? Non considera due aspetti importanti:

1. - Le tecniche e le modalità degli attacchi informatici che causano un Data Breach;
2. - Le azioni di tutela e richiesta risarcimenti che verranno attuate dalle stesse aziende che hanno subito un Data Breach.

Prima di tutto è necessario fare due premesse per poter esporre e comprovare la nostra affermazione iniziale.

Premessa 1: GDPR e Data Breach
 

GDPR (GENERAL DATA PROTECTION) è la nuova legge europea per il trattamento e la gestione dei dati personali degli utenti e la tutela della privacy degli utenti stessi. Qualsiasi organizzazione, in qualsiasi paese, che raccoglie, conserva o tratta i dati personali di residenti dell’Unione Europea è obbligata ad adeguarsi. Questa disposizione europea prevede una serie di obblighi per le Aziende e una serie di diritti per gli Interessati.

Tra i doveri delle Aziende segnaliamo il Data Breach.

GDPR: DATA BREACH

Per Data Breach si intende qualsiasi violazione dei dati personali che possa impattare sull’integrità, confidenzialità e disponibilità dei dati stessi. In caso di Data Breach, l’azienda ha il dovere di:

• Notificare al Garante della Privacy il Data Breach, comunicando entro 72 ore qualsiasi violazione dei dati;
• Provvedere ad avvisare anche gli stessi interessati, le persone fisiche a cui si riferiscono i dati personali.

GDPR: Sanzioni Amministrative e Risarcitorio

In caso di Data Breach, il GDPR prevede la possibilità di infliggere sanzioni amministrative che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale dell’anno precedente. Inoltre, l’interessato che si sente danneggiato può rivalersi sul titolare con una richiesta di risarcimento danni (art.79). Quindi ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode previsti dalla GDPR siano stati violati.

In caso di Data Breach, la richiesta di risarcimenti sarebbe possibile poiché l’azienda non ha adempiuto al suo dovere di preservare i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall’accesso e dalla divulgazione non autorizzati.

Dopo questa prima premessa, affrontiamo la seconda.

Premessa 2: Cyberattack Tecniche e Modalità
 

Più volte negli altri articoli di Hacker News abbiamo evidenziato e sottolineato come la modalità e tecnica diffusa per effettuare attacchi informatici sia tramite le Botnet. Una Botnet è una rete controllata da un botmaster (Criminal Hacker) e composta da dispositivi infettati da malware specializzato, detti bot o zombie. Le Botnet sono diventate uno strumento particolarmente apprezzato dai Criminal Hacker. Di fatto sono reti composte da dispositivi infettati (spesso malware) tali da permettere al Criminal Hacker di avere la piena gestione e controllo. Per intenderci, il go to market model del Cybercrime è tramite canali indiretti. Opera solo attraverso Partner (in questo caso inconsapevoli). La Botnet è il canale commerciale dei partner che propongono il “servizio” del Criminal Hacker.

Per dare solo qualche esempio, ci sono Botnet che arrivano ad oltre 500.000 dispositivi come VPNFilter.

Per comprendere la potenza “devastante”: una Botnet di solo 40.000 dispositivi (parlo della Botnet Prowli) ha già colpito oltre 9.000 aziende in solo qualche giorno.

Abbiamo concluso le premesse che erano necessarie per esporre e comprovare che la GDPR rischia di creare un danno ai singoli cittadini.

GDPR: I RISCHI PER GLI UTENTI
 

Ricapitoliamo le premesse salienti:

1. Nessun Criminal Hacker effettuerà un attacco informatico direttamente da un proprio dispositivo;

2. Tutti gli attacchi informatici volti a compromettere integrità, confidenzialità e disponibilità dei dati personali saranno effettuati tramite terze parti;

3. In caso di Data Breach, l’azienda è costretta ad effettuare la notifica al Garante della privacy;

4. In caso di Data Breach, l’azienda deve avvisare tutti gli interessati della violazione;

5. In caso di Data Breach è prevista una sanzione amministrativa all’azienda;

6. In caso di Data Breach gli interessati potranno procedere con un procedimento risarcitorio del danno subito nei confronti dell’azienda stessa.

Prendiamo subito in considerazione gli ultimi due punti: 5 e 6.

L’unico modo per l’azienda che ha subito il Data Breach di poter evitare la sanzione amministrativa e l’eventuale azione risarcitoria è quello di poter dimostrare di aver adottato tutte le misure di sicurezza adeguate rispetto al rischio insito nel trattamento. Per poterlo fare, oltre a dover presentare tutta la documentazione che testimoni di aver adempiuto agli obblighi normativi della GDPR (GDPR assessment, registro dei trattamenti, analisi del rischio, test di sicurezza degli asset tecnologi...) effettuerà sicuramente una Forensic Analysis.

La Forensic Analysis è una attività che ha lo scopo di identificare, preservare, recuperare e analizzare il materiale trovato nei dispositivi digitali. Il tutto seguendo rigide procedure di analisi forense allo scopo di scoprire le prove di un crimine informatico.

Per intenderci, è l’attività investigativa effettuata direttamente sui dispositivi tecnologici con lo scopo di raccogliere prove ed indizi.

La speranza delle Aziende vittime di Data Breach è quella di poter dimostrare che l’attacco informatico è stato estremamente evoluto da bypassare le misure di sicurezza informatica implementate dalle aziende stesse. Se fosse provato, allora l’Azienda, nonostante abbia subito il Data Breach, sarebbe esonerata dalla sanzione e la richiesta di risarcimento da parte degli interessati verrebbe meno.

Adesso arrivano i “ma”.

La stessa attività di Forensic Analysis molto probabilmente identificherà l’attaccante. Come abbiamo indicato nei punti precedenti 1 e 2, i Criminal Hacker usano le Botnet e quindi il lavoro “sporco” viene svolto da un dispositivo di un utente ignaro.

GDPR: Il gioco dell’oca
 

Se il dispositivo che è stato identificato come vettore di attacco è di una Azienda, siamo di fronte a un possibile caso di Data Breach.

Quindi anche questa Azienda dovrà procedere con la solita prassi indicata precedentemente: notifica al Garante, rischio sanzione amministrativa, rischio risarcitorio, Forensic Analysis… nuovo dispositivo attaccante identificato e quindi, come nel gioco dell’oca, si riparte dall’inizio.

Ma dobbiamo aggiungere delle varianti al gioco:

• Teoricamente la prima azienda potrebbe fare una denuncia contro ignoti (allegando i risultati della Forensic Analysis – e quindi anche gli identificativi del vettore di attacco) per accesso abusivo a un sistema informatico o telematico (art. 615-ter del codice penale italiano). A questo punto solo una attività di Forensic Analysis potrebbe dimostrare che la seconda Azienda non era un soggetto attivo ma una vittima di un Criminal Hacker.

• Teoricamente la prima Azienda potrebbe anche rivalersi a livello civilistico e risarcitorio sulla seconda Azienda per il danno subito a causa della sua negligenza.

Viene da sé che se queste varianti valgono per tutta la catena…

GDPR: Tutela gli utenti?
 

Abbiamo parlato di Aziende, ma se il vettore di attacco del Data Breach della prima Azienda fosse il computer o il router di casa di un normalissimo cittadino? Come potrebbe gestire da solo il tutto? Non sto parlando degli obblighi legislativi del GDPR perché non vale per le persone fisiche. Ma un cittadino potrebbe da solo sopportare e gestire tutto il resto?

Dovrebbe gestire da solo gli oneri dei vari procedimenti, indipendente dalla quasi certa e futura soccombenza dei processi.

Il nostro normale cittadino sicuramente dimostrerà l’estraneità ai fatti ma sarà costretto a gestire tutte le pratiche e procedimenti.

La GDPR è una legge importante ed essenziale sotto tanti punti di vista.

Il diritto alla protezione dei dati è garantito dal Trattato sul Funzionamento dell'UE (art. 16) e dalla stessa Carta dei diritti fondamentali dell'UE (art. 8). "Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano". Il GDPR, la nuova legge sulla privacy (noi italiani avevamo anticipato con il d.lgs. 196/2003) sottolinea nuovamente il principio della tutela della privacy di ogni individuo e al contempo è riuscita a responsabilizzare le Aziende sull’importanza e l’obbligo di dover garantire le misure adeguate di sicurezza. Rimangono però molti punti interrogativi su una serie di processi e modalità concrete che se non spiegate ed esplicitate potrebbero trasformare questa legge in un boomerang, creando un danno per gli utenti stessi che invece dovevano essere tutelati.