Il CNIL ha emesso una sanzione di €220.000 contro il titolare di un sito web e il relativo responsabile del trattamento per per la assenza di misure di sicurezza adeguate a contrastare gli attacchi informatici che hanno coinvolto i dati di circa 40.000 utenti del sito.La Commission nationale de l’informatique et des libertés (CNIL), il garante privacy francese, ha comunicato di aver sanzionato un titolare di un sito web di e-commerce e il relativo responsabile del trattamento rispettivamente per €150.000 ed €75.000 per non aver adottato misure di sicurezza adeguate ai sensi dall’articolo 32 del Regolamento UE 2016/679 (GDPR), tali da contrastare gli attacchi di credential stuffing sul sito.
In base alle informazioni riportate sul sito ufficiale della CNIL, tra il giugno del 2018 ed il gennaio 2020, l’autorità sul trattamento dei dati personali francese “ha ricevuto dozzine di notifiche di violazioni dei dati personali” relative ad un sito web di e-commerce da cui diversi milioni di clienti effettuano regolarmente acquisti.
Il CNIL ha quindi deciso di attivarsi e, nel corso delle sue indagini, è emerso che il sito web in questione aveva subito numerose ondate di attacchi di c.d. “credential stuffing”, ossia quella particolare tipologia di attacchi informatici che si realizza recuperando delle liste di credenziali di accesso in chiaro pubblicate su Internet (generalmente a seguito di data breach), ed effettuando poi molteplici tentativi di accesso a diversi siti mediante l’utilizzo di bot, partendo dal presupposto che generalmente gli utenti utilizzano la stessa password e lo stesso identificatore (tipicamente, l’indirizzo e-mail) per diversi servizi. Nel caso di specie, tramite tali tentativi sistematici e automatizzati, tra marzo 2018 e febbraio 2019, era stato consentito l’accesso non autorizzato alle informazioni di circa 40.000 clienti del sito, quali il nome, il cognome, l’indirizzo e-mail e la data di nascita dei suddetti clienti, nonché il numero e il saldo della loro fidelity card e le informazioni relative ai loro ordini.
Ciò era stato possibile in quanto sia il titolare che il responsabile del trattamento non avevano agito prontamente al fine di mettere in atto misure di sicurezza adeguate ed idonee a contrastare tali accessi non autorizzati. Infatti, questi ultimi avevano optato per l’implementazione di uno strumento per rilevare e bloccare gli attacchi automatizzati, la cui realizzazione ha richiesto tuttavia tempi lunghi e ha lasciato il sito esposto agli attacchi per circa un anno. Pertanto, nonostante fosse stato individuato uno strumento di per sé adeguato, quest’ultimo non era sufficiente a garantire tempestivamente la sicurezza delle operazioni effettuate sul sito e, nel frattempo, le due società avrebbero dovuto implementare diverse altre misure, con effetti più rapidi, per prevenire ulteriori attacchi o per mitigare gli effetti negativi di quelli occorsi, quali (i) la limitazione del numero di richieste permesse per indirizzo IP sul sito web, che avrebbe potuto rallentare il ritmo degli attacchi; e (ii) la comparsa di un CAPTCHA fin dal primo tentativo di autenticazione degli utenti al loro account, molto difficile da bypassare per un robot.
Le analisi che precedono hanno quindi portato il CNIL a concludere nel senso che sia il titolare che il responsabile del trattamento fossero venuti meno al loro obbligo di preservare la sicurezza dei dati personali dei clienti, previsto dall’articolo 32 del GDPR. Difatti, se da una parte il titolare del trattamento deve decidere l’attuazione delle misure e dare istruzioni documentate al proprio responsabile, dall’altra anche il responsabile è tenuto ad individuare le soluzioni tecniche e organizzative più appropriate per garantire la sicurezza dei dati personali, e offrirle al titolare del trattamento.
Alla luce di tutto quanto precede, il CNIL ha emesso due sanzioni pecuniarie separate per assenza di misure di sicurezza adeguate, di €150.000 a carico del titolare del sito e di €75.000 a carico del responsabile. L’Autorità ha precisato che, nonostante i provvedimenti non verranno pubblicati, ha ritenuto comunque opportuno informare di tali decisioni, per avvertire i titolari dei siti web della necessità di rafforzare la loro vigilanza sugli attacchi di credential stuffing e di sviluppare, in collaborazione con i propri responsabili, misure sufficienti per garantire la protezione dei dati personali.
Su di un simile argomento, è possibile leggere l’articolo “Il garante privacy inglese infligge una sanzione per assenza di misure di sicurezza adeguate”.