Quali conseguenze legali dal cyberattacco ransomware alla SIAE?

Il cyberattacco ransomware alla SIAE è su tutti i giornali nelle ultime ore, ma quali conseguenze legali può comportare ai sensi del GDPR? Come deve essere gestito e cosa insegna alle aziende che vogliono evitare di essere le prossime vittime di un ransomware?

La SIAE, la Società italiana degli autori ed editori, ha subito un cyberttacco ransomware che ha apparentemente portato all’esfiltrazione di 60 gigabite di dati degli iscritti, comprendenti circa 28 mila documenti tra carte di identità, patenti, tessere sanitarie e indirizzi degli iscritti.

E, come solitamente accade in queste tipologie di attacchi, alcuni esempi di questi dati sono stati pubblicati sul c.d. dark web, il marketplace dei cybercriminali, chiedendo alla SIAE il pagamento di un riscatto (il c.d. ransom) di € 3 milioni per scongiurare la pubblicazione di altri documenti. Tuttavia, i dati non sono stati criptati, come invece era avvenuto di recente alla Regione Lazio che ha subito la stessa tipologia di attacco con cui – sulla base delle informazioni disponibili – apparentemente i cybercriminali però non erano riusciti ad esfiltrare i dati.

L’avvenuta esfiltrazione comporta che tutti i dati potrebbero essere pubblicati sul web o, ancora peggio, che altri cybercriminali potrebbero acquisire questi dati ed usarli ad esempio per frodi e furti di identità. Queste informazioni possono consentire di accedere ad account perchè informazioni associate ai propri dati anagrafici sono usate spesso come password o possono permettere di ottenere ulteriori informazioni sugli individui per ad esempio accedere ai loro conti bancari.

Questa tipologia di attacchi è diventata sempre più frequente negli ultimi anni. Infatti, la pandemia da Covid-19 e l’aumento del cosiddetto smart working hanno aumentato l’esposizione al cyber rischio perché l’errore umano è la fonte principale dei cyberattacchi e la distanza dal luogo di lavoro rende un possibile errore più probabile.

Fino a pochi anni fa, i cyberattacchi ransomware semplicemente criptavano i dati nei sistemi informatici della vittima, senza che ci fosse un accesso e/o una copia dei dati criptati, una c.d. esfiltrazione. Di recente, gli hacker sono diventati però più sofisticati e hanno capito che con un’esfiltrazione di dati personali, hanno più probabilità di ricevere il pagamento di un riscatto.

La reazione della SIAE è stata conforme al normale “protocollo” di gestione di questa tipologia di cyberattacco ransomware che si qualifica come violazione dei dati personali o, in inglese, data breach ai sensi del GDPR. Sembra infatti che abbia già provveduto alla notifica al Garante per la protezione dei dati personali e a depositare una denuncia alla polizia postale. Immaginiamo poi che la SIAE abbia anche inviato la comunicazione ai sensi dell’articolo 34 del GDPR agli individui i cui dati sono stati sottratti per limitare i rischi di frodi sopra citati.

Non è chiaro come gli hacker siano riusciti ad esfiltrare i dati. Tuttavia, è probabile che la questione tra il Garante privacy e la SIAE non si chiuderà dopo la notifica. Il Garante potrebbe inviare una richiesta di informazioni per comprendere se ci sia stata una violazione della normativa sul trattamento dei dati personali che ha consentito il data breach. Il rischio è di una contestazione quantomeno dell’inadeguatezza delle misure tecniche adottate in violazione degli articoli 5.1, lettera f) e 32 del GDPR. Tuttavia, ci potrebbe essere l’effetto “vaso di Pandora” con un’ispezione del Garante volta ad accertare le circostanze collegate al data breach da cui emergono ulteriori mancate conformità di SIAE alla normativa privacy.

Il verificarsi di un data breach non comporta di per sé una violazione della normativa sul trattamento dei dati personali. Tuttavia, alla luce del principio dell’accountability, la SIAE dovrà affrontare una strada decisamente in salita per dimostrare che – nonostante il verificarsi del data breach – le misure di sicurezza adottate erano in linea con il GDPR.

Questo scenario è decisamente sconfortante e sembra che al danno per la SIAE ora si possa aggiungere la beffa di una sanzione ai sensi del GDPR.

Per essere pronti a ridurre gli effetti negativi di un cyberattacco informatico ransomware, le aziende devono adottare misure organizzative e tecniche per prevenire/mitigare gli impatti di questo genere di data breach.

Tale misure includono un controllo dettagliato dei dati con una mappatura degli stessi, la segmentazione dei database per evitare la diffusione del virus, l’adozione di un modello organizzativo di compliance privacy che crei dei presidi di controllo all’interno dell’azienda e una cultura della compliance privacy, anche tramite la simulazione di attacchi informatici, perchè nella maggior parte dei casi gli attacchi informatici hanno successo a causa di un errore umano, l’esistenza di misure di alert e tracciamento delle operazioni svolte sui sistemi, l’esecuzione regolare di test di vulnerabilità e penetration e la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.

L’adozione delle misure sopra indicate può ridurre il rischio di successo di una cyberattacco e, anche qualora abbia successo, può mitigarne le conseguenze e il rischio di una eventuale sanzione ai sensi del GDPR. Questo richiede una forte integrazione tra gli esperti legali di compliance privacy e di cybersecurity e tecnici.

Annullare il rischio di un cyberattacco è una chimera, ma è nelle mani delle aziende la capacità di ridurne le conseguenze negative.

Su di un simile argomento, è possible leggere l’articolo “Come gestire un data breach da attacco ransomware?“.