La mail contenente dati sensibili inviata per errore a una moltitudine di destinatari? basta un alert per evitare il data breach
L’indirizzo email di ogni utente internet dal 2004 ad oggi è stato diffuso online (senza autorizzazione) più di due volte. Tre mail su quattro sono trapelate con le password, rendendo facile per gli hacker impossessarsi degli account compromessi.
L’email nasce per sostituire la corrispondenza cartacea, e a suo tempo non era stata progettata per preservare la sicurezza del contenuto, bensì per agevolare le comunicazioni rendendole più veloci e, al contempo, più semplici, come peraltro ricorda l’acronimo SMTP del protocollo di comunicazione utilizzato per l'invio e la ricezione di messaggi di posta elettronica, che significa “Simple Mail Transfer Protocol”.
La progettazione dello strumento della posta elettronica è quindi molto lontana dal rispetto del principio di “privacy by design” successivamente introdotto dal GDPR, tant’è che a tutt’oggi l’email costituisce uno dei mezzi maggiormente utilizzati per condurre gli attacchi informatici.
Chiunque lavori nel campo della compliance in ambito data protection, sa benissimo però che tra le più frequenti casistiche di data breach l’invio di informazioni personali a destinatari errati è in assoluto la più frequente.
E parliamo di perdita di riservatezza rispetto a dati di ogni tipo, compresi i dati sanitari.
Un esempio di data breach simile è stato recentemente preso in esame dall’ Autorità Garante nel provvedimento n. 306 del 23 maggio 2024. Nel caso di specie il data breach veniva causato da un invio, da parte della Asl TO4, a 45 destinatari in “cc” (acronimo di “copia carbone”) di una mail contenente informazioni sullo stato di salute degli stessi 45 pazienti, tutti affetti da sclerosi multipla, che con tale modalità ricevevano così la comunicazione in chiaro, vedendo gli indirizzi email di tutti gli altri destinatari.
Tale caso ricade proprio nell’ipotesi di invio di una mail a destinatario errato in quanto, anche se effettivamente le informazioni sanitarie contenute erano riferite ai destinatari, non è ovviamente rispettoso del principio di riservatezza portare a conoscenza tutti gli altri 44 destinatari dello stato di salute di ciascun diretto interessato.
Prendendo spunto da questo caso, è possibile rendere conforme alla disciplina della protezione dei dati personali l’utilizzo della posta elettronica? Quali possono essere le prassi e i metodi organizzativi da seguire?
In forza dell’art. 32 del Regolamento UE 2016/679 (GDPR) è necessario adottare delle misure di sicurezza adeguate. L’accountability prevede proprio che il Titolare adotti delle misure tecniche adeguate per la tutela del dato, ma che sia anche in grado di dimostrarne l’adeguatezza.
Per quanto riguarda i meri attacchi informatici, una soluzione sicura per la sicurezza della posta elettronica dovrebbe includere una crittografia avanzata e affrontare le vulnerabilità della rete al momento della creazione della stessa. Ci si potrebbe attrezzare anche con l’utilizzo di un sistema S/MIME, che altro non è che uno standard di firma che garantisce sia l’integrità che l’autenticazione del mittente.
Ma, come detto sopra, la maggior parte dei data breach più comuni segnalati non dipendono da attacchi informatici nudi e crudi, bensì da un utilizzo errato/irregolare della posta elettronica.
Questi tipi di eventi sono causati più frequentemente da policy di sicurezza inadeguate, e un esempio purtroppo ancora molto attuale, è la scelta di password troppo semplici, o la mancata adozione di adeguate procedure per il regolare rinnovo periodico delle password.
Ed ancora, una scarsa cultura della formazione molto spesso determina errori facilmente ovviabili, ad esempio il salvataggio delle proprie credenziali nel browser.
Altro punto fondamentale è pertanto la formazione. È quindi essenziale che questa non sia sporadica ed occasionale, ma che tutti gli addetti, specialmente i dipendenti di un’azienda siano coinvolti nei processi di sicurezza con un piano di formazione ciclico sia per i vecchi che, soprattutto, per i nuovi dipendenti.
Per completezza di informazione, anche uno dei rimedi successivamente utilizzati dalla Asl indicati nel provvedimento riportato è utile al riguardo, ovvero in «l’adozione di un “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.”», funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui, per distrazione o per mancanza di verifica prima dell’invio della mail, accade poi che informazioni delicate come sono i dati sanitari vengono comunicate a una moltitudine di soggetti che non sono autorizzate a conoscerle.