Il Garante della privacy dice basta alle notifiche generiche. In caso di data breach, le comunicazioni agli utenti dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Lo si rileva dal provvedimento dell’Authority adottato nei confronti di Italiaonline, uno tra i principali fornitori nazionali di servizi di posta elettronica, vittima a febbraio di attacco informatico: “Informazione agli utilizzatori non in linea con la normativa sui dati personali”. A febbraio scorso dalle caselle di Libero Mail e Virgilio Mail, gestite dall’azienda Italiaonline, furono sottratte le credenziali di 1,4 milioni di account attraverso la violazione della rete Wi-Fi dell’azienda.
Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail. Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente.
Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione è risultata, secondo l’Authority, carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per“eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.