Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Lo ha affermato il Garante della privacy nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda (uno tra i principali fornitori nazionali di servizi di posta elettronica). Nella notificazione dell’incidente di sicurezza, la società dichiarava che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Al fine di arginare le possibili conseguenze, la società coinvolta aveva sollecitato gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali.
La violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.
La società in questione dovrà pertanto procedere ad effettuare una nuova comunicazione sul data breach subito nei mesi scorsi. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. In particolare, nel caso specifico, dovrà ad esempio essere spiegato agli utenti di non utilizzare più le credenziali compromesse nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata (Garante privacy, Nota n. 453/2019).
