Polonia, società di e-commerce subisce furto di dati di 2 milioni di utenti e riceve multa da 660mila euro
Il Garante per la privacy polacco (UODO) ha inflitto una multa per un importo corrispondente a circa 660mila euro alla società Morele.net, perchè quest'ultima non aveva adottato misure organizzative e tecniche adeguate al rischio connesso al trattamento dei dati personali di oltre due milioni di utenti.
Nel dicembre del 2018 la Morele.net aveva infatti comunicato di essere stata vittima di un crimine informatico in cui il proprio database di 2,2 milioni di clienti era stato oggetto di una violazione, a seguito della quale gli hacker avevano usato i dati rubati in un attacco di phishing in cui era stata inviata ai clienti una email con un link ad una falsa pagina web dello shop online di Morele.net, nella quale veniva richiesta una presunta somma residua da pagare su un precedente acquisto sul sito di e-commerce.
I dati trafugati includevano in particolare nomi e cognomi degli interessati, numeri di telefono, e-mail, indirizzi di consegna, e nel caso di circa 35.000 persone le informazioni riguardavano anche richieste di finanziamenti per pagamenti rateali. Fra questi dati vi erano il numero di identificazione personale (PESEL), la serie e il numero del documento di identità, il titolo di studio, la fonte e l'importo di reddito, i conti del bilancio familiare, lo stato civile, nonché gli importi relativi alle posizioni debitorie o ad obbligazioni per assegni di mantenimento dovuti dagli interessati ad ex coniugi.
Secondo quanto affermato dal presidente dell'UODO Jan Nowak, la Morele.net ha violato, tra l'altro, il principio di riservatezza, come stabilito all'articolo 5, paragrafo 1, lettera f) ) del GDPR, e a causa di ciò si è verificato un accesso non autorizzato con l'ottenimento dei dati dei clienti.
Le conclusioni dell'Autorità polacca sono state che la Morele.net non è stata in grado di dimostrare di disporre di adeguate procedure per monitorare e gestire efficacemente le potenziali minacce informatiche, in particolare quelle relative agli insoliti comportamenti online che si erano verificati nel caso dell'attacco di phishing, e peraltro la società aveva implementato le proprie misure di sicurezza tecniche solo dopo aver la violazione.
Nell'imporre la sanzione, l'autorità di controllo ha sottolineato che la violazione verificatasi in questo caso era di notevole gravità, anche per l'elevato numero di persone coinvolte, sulle quali ricade un'ulteriore rischio di ripercussioni negative come quelle legate al furto di identità.