Per data breach si intende una violazione dei dati, o meglio un incidente di sicurezza in cui si accede a delle informazioni riservate senza alcuna autorizzazione. Le violazioni dei dati possono danneggiare aziende e consumatori in vari modi, anche sotto il profilo economico, mentre i tempi per la riparazione dei danni possono essere molto lunghi.
Si sente parlare sempre più spesso di problemi legati alle violazioni di dati. Ormai non ci sorprendiamo più di tutto ciò. Del resto, con il progresso della tecnologia, sempre più informazioni si sono spostate nel mondo digitale. Di conseguenza, gli attacchi informatici sono diventati comuni e costosi.
Organizzazioni, governi e aziende di tutto il mondo sono obiettivi estremamente attraenti per i criminali informatici, semplicemente in virtù della grande mole di dati che è possibile acquisire in modo fraudolento in un colpo solo.
Quando si parla di data breach?
Abbiamo visto come un data breach sia un evento in cui un soggetto ruba, ottiene e visualizza informazioni a cui non era autorizzato ad accedere. Ogni volta che vi è il sospetto di una violazione, è necessario avviare una sorta di indagine.
In primo luogo, bisogna accertarsi che la violazione sia avvenuta. In secondo luogo, bisogna capire quali dati personali sono stati violati. La tipologia di dati personali coinvolti nella violazione è importante, perché il modo in cui viene valutato il rischio varierà ampiamente a seconda della situazione specifica.
Ad esempio, quando la violazione coinvolge dati personali sensibili di persone vulnerabili o informazioni finanziarie che possono portare a frodi di identità, ci troviamo dinnanzi a situazioni ad alto rischio. In queste circostanze, la gestione di dati personali sensibili richiede un livello di attenzione ancora più elevato.
Altrettanto importante è provare a capire chi potrebbe essere in possesso dei dati rubati. Ad esempio, l’invio accidentale di un’e-mail al reparto sbagliato della tua azienda è meno rischioso rispetto all’invio della stessa e-mail a una persona sconosciuta ed estranea totalmente all’azienda.
Inoltre, è necessario analizzare quante persone potrebbero essere coinvolte e soprattutto quale potrebbe essere il possibile impatto del data breach sulla vita di queste persone.
Qualora da tutte queste indagini emerga un data breach, la violazione va registrata e, se si ritiene che la stessa possa rappresentare un rischio per i diritti e la libertà delle persone, è necessario notificarla alle autorità di controllo.
Quando avviene il Data Breach?
Un data breach può avvenire nelle circostanze più disparate ed essere causato da diverse ragioni, sia accidentali che volontarie. Ad esempio, i dipendenti di un’azienda, consci del valore delle informazioni che possiedono, potrebbero rubarle e rivenderle oppure utilizzarle per avviare una nuova impresa.
Poniamo il caso che una persona dimentichi il Pc nella hall di un hotel. In casi del genere, una persona potrebbe appropriarsene e violare informazioni che dovrebbero rimanere protette. Tuttavia, un data breach può riguardare non solo documenti cartacei ma anche digitali.
Un’altra circostanza che può causare un data brach è l’attacco DoS (Denial of Service). Si tratta di un’azione criminale informatica finalizzata a rendere inaccessibile una rete o un sistema e che, spesso, colpisce soprattutto grandi organizzazioni.
Esistono, poi, diversi tipi di malware che possono portare ad una violazione dei dati:
- Ransomware: malware che tiene in ostaggio i file del computer fino a quando la vittima non paga per sbloccarli. Anche dopo il pagamento, però, i file potrebbero non essere sbloccati;
- Phishing: attacco di ingegneria sociale in cui il criminale informatico si pone come fonte attendibile e contatta la vittima solitamente tramite e-mail. L’obiettivo è indurre la vittima a installare malware o a condividere informazioni personali, come dati del conto bancario o le password;
- Attacchi alle applicazioni Web: quando ti iscrivi a un’applicazione Web, spesso condividi informazioni personali. Gli hacker rubano dati come nomi, indirizzi e altre informazioni e li usano altrove;
- Skimming: i criminali possono posizionare uno skimmer, dispositivo creato allo scopo di rubare le informazioni contenute su una carta, solitamente nei pressi di bancomat, distributori automatici e pompe di benzina.
I rischi sui dati personali
Un data breach può avere conseguenze molto negative e pericolose sul fronte della privacy e della sicurezza dei dati personali degli utenti. Bisogna, infatti, considerare che i criminali informatici possono trovare molti modi per ottenere un guadagno personale dalle informazioni illecitamente rubate.
All’interno del GDPR si precisa che quando si verifica un incidente di sicurezza, è necessario stabilire rapidamente se c’è stata una violazione dei dati personali. In tal caso, bisogna intervenire e adottare efficaci misure per affrontarla.
Se non affrontato tempestivamente, un data breach può provocare agli utenti danni fisici, materiali o immateriali, come ad esempio:
- perdita del controllo sui propri dati personali;
- Discriminazioni;
- Furti di identità o frodi;
- Perdite di carattere finanziario;
- Danni alla reputazione;
- Perdita del requisito di riservatezza per quei dati personali protetti da segreto professionale;
- Limitazione nell’esercizio dei propri diritti;
- Qualsiasi svantaggio economico oppure sociale.
In base a quanto appena affermato, si comprende che una violazione può avere una serie di effetti negativi sugli individui (disagi emotivi, danni fisici e materiali). È importante, però, precisare che è sempre doverosa una valutazione caso per caso.
Infatti, ci sono violazioni che non comportano gravi rischi, se non dei piccoli disagi. In altri casi, invece, i pericoli sono maggiormente significativi. Va, dunque, fatta un’analisi a 360°, che tenga conto dei principali fattori oggetto della violazione.
