La scorsa settimana Mercedes-Benz è stata oggetto di un data breach imputabile a cause esterne. La notizia è trapelata direttamente dal sito della nota casa automobilistica tramite una nota stampa. Stando a quanto riportato dalla casa tedesca, l’impatto sembrerebbe essere piuttosto limitato, all’incirca 1000 persone.
Un data breach è una violazione dei dati avvenuta per cause accidentali o in modo illecito. Tuttavia, risulta più rilevante, anche a fini giudiziari, quando fra i dati compromessi risultano esserci dati personali o riconducibili a persone fisiche. Nonostante sia estremamente immediato ricondurre tale evento a cause di natura tecnologica o ad attacchi malevoli, in realtà possono essere molte le motivazioni all’origine di un data breach.
Infatti, ad esempio, l’errore umano può diventare fattore scatenante di una fuga di informazioni. Basti pensare a delle operazioni di manutenzione programmata su parti di una infrastruttura che la lasciano esposta verso Internet. In pochi attimi, potrebbe essere potenzialmente possibile accedere a dati altrui senza i dovuti criteri di autenticazione e controllo degli accessi. Un fatto simile è capitato circa un anno fa al sito dell’Istituto Nazionale della Previdenza Sociale (INPS). Durante l’apertura della procedura per la richiesta del reddito di cittadinanza, per un periodo di tempo il portale ha mostrato dati personali di altre persone in chiaro, causando un data breach.
In modo analogo, anche il personale interno per ricatto o vendetta potrebbe essere l’autore di un data breach, esponendo dati riservati dei clienti di una azienda al pubblico dominio.
Quanto accaduto, invece, alla casa automobilistica tedesca pare essere imputabile a cause esterne e in particolare a un fornitore di servizi cloud che ha inavvertitamente esposto informazioni personali. Sembrerebbe che l’azienda sia corsa subito ai ripari grazie a un audit interno e il supporto di un gruppo di esperti di sicurezza esterni. Dai dati dichiarati sul sito, si tratta di dati personali inseriti dai clienti di Mercedes sui loro portali nel periodo dal 1° giugno 2014 al 19 giugno 2017.
Il fornitore ha garantito che l’incidente di sicurezza non accadrà più e che il motivo è stato definitivamente sanato. Ad ogni modo il data breach di Mercedes-Benz sembra aver fatto fuoriuscire poche patenti di guida e per lo più numeri di assistenza sanitaria, date di nascita e carte di credito. Inoltre, le ulteriori verifiche hanno dimostrato che sulla totalità di oltre 1,6 milioni di dati conservati nei sistemi aziendali, un numero inferiore a mille sia stato quello alla base della fuga.
Le conseguenze possono essere le più varie e dipendono dalla giurisdizione locale alla sede aziendale. A onor del vero l’azienda coinvolta è Mercedes-Benz USA e pertanto sottoposta alle leggi americane in materia di trattamento dei dati personali. A differenza dell’Unione Europea, dove vige il GDPR, negli Stati Uniti non esiste un’unica legge ma ogni stato ha il proprio ordinamento giuridico su questa tematica.
Tuttavia, le leggi in materia si stanno inasprendo in tutto il mondo anche se con livelli diversi. Ad ogni modo, in queste circostanze l’azienda è sempre tenuta a notificare quanto prima l’accaduto alle autorità preposte. Ad esempio, nel caso del General Data Protection Regulation (GDPR) la notifica deve avvenire nell’arco di 72 ore e se in ritardo, deve essere segnalato anche il motivo del ritardo.
Inoltre, sarà anche necessario capire l’origine dei dati trattati perché se l’azienda opera in più nazioni, dovrà sottostare alle leggi dei diversi paesi contemporaneamente. Infine, è probabile (ma questo aspetto varia a seconda delle leggi) che venga imposta anche una sanzione pecuniaria in misura variabile a seconda del tipo di impresa.
Concludendo, i data breach sono eventi sempre più diffusi ma che devono essere limitati quanto più possibile. I regolatori nazionali, inoltre, stanno dando sempre più attenzione a questa tematica garantendo una maggiore tutela dei cittadini potenzialmente vulnerabili.