Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.
I sistemi informatici del San Raffaele di Milano sono stati depredati a seguito di un “databreach” verificatosi nel marzo scorso. La notizia dell’intrusione fraudolenta arriva dal gruppo italiano LulzSec, noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram.
I tredici archivi di dati personali apparsi sulla piattaforma di condivisione telematica Pastebin e attribuiti al circuito di carte di credito non si sa da dove saltino fuori. La loro genericità (non ci sono dati specifici che ne autentichino la provenienza) può lasciar presupporre che il presunto “data breach” non sia mai avvenuto, ma le dinamiche di diffida alla permanenza online dei file in questione e la soddisfazione nella pronta rimozione garantiscono una boccata d’aria agli immancabili complottisti.
Avevano detto che non era successo nulla. Qualche giornalista rasserenante aveva addirittura titolato “Attacco ransomware blocca Luxottica, ma la reazione è da manuale: ecco perché”. Impietosamente avevo preferito il mio “Luxottica pensi alla sicurezza dei suoi sistemi informatici invece che agli smart glasses”.
La ISO/IEC ha pubblicato una serie di documenti della serie ISO/IEC 27035 all’interno della famiglia ISO/IEC 27000; essi trattano della gestione degli eventi, degli incidenti e delle vulnerabilità della sicurezza delle informazioni, ampliando ed integrando i controlli relativi alla gestione degli incidenti contenuti nella ISO /IEC 27001.2022.
Massiccia fuga di informazioni sensibili dagli archivi dell’Usl 6 Euganea. Nei giorni scorsi sono stati infatti migliaia i padovani che si sono visti recapitare le lettere di esenzione che in realtà erano destinate ad altri pazienti del servizio sanitario dell’Euganea.
Lo studio legale Jones Day è stato vittima di un attacco ransomware e i pirati stanno pubblicando i dati rubati. L’origine potrebbe essere il data breach di Accelion. Anche i documenti riservati sulla battaglia legale portata da Donald Trump per poter sovvertire il risultato delle recenti elezioni presidenziali negli USA sarebbero finiti sul Dark Web.
Sulla gestione dei data breach c'è una conoscenza approfondita, ma limitata a pochi organismi. È quanto emerge da un'indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 Paesi, tra cui l'Italia, e coordinata dall'Autorità neozelandese (Office of the Privacy Commissioner).
Gli interessati possono chiedere i danni immateriali all'impresa che ha subito un cyberattacco con esfiltrazione dei dati personali, anche se non sono stati ancora usati da delinquenti. A sostenere che, per avanzare una richiesta risarcitoria, non c'è bisogno di aspettare un effettivo furto dell'identità è la Corte di Giustizia Ue.
