Il Garante europeo per la privacy ha pubblicato, nelle linee guida dello scorso gennaio, 18 case study di data breach aziendali

Dopo l’incendio del datacenter dell’OVH, il tema del data breach è salito nuovamente alle cronache, sia se causato da incidenti fisici che da attacchi informatici. Lo scorso gennaio, l’EDPB, ossia il Garante europeo per la privacy, ha pubblicato un vademecum per le aziende intitolato “Examples regarding Data Breach Notification”. All’interno del documento, l’Autorità ha riportato 18 case study di data breach. Per ognuno di essi, è stato definita la classificazione, il livello di rischio e gli obblighi di notifica, comunicazione e documentazione al Garante nazionale. Le linee guida passano in rassegna alcune violazioni tipiche, con l’obiettivo di mettere in guardia le organizzazioni sul tema privacy e cyber security.

I primi quattro case study riguardano l’utilizzo del ransomware, che secondo l’ultima edizione del Rapporto Clusit compare tra le tecniche più utilizzate dagli hacker. Altri esempi di data breach coinvolgono le app aziendali, lo stuffing attack e il social engineering. Nell’elenco, trovano spazio anche violazioni causate da errori umani e negligenza, come l’invio di un allegato sbagliato o di una fattura a una persona sbagliata. Dall’errore si passa poi al reato. Esempi in tal senso riguardano il furto di dati aziendali da parte di un dipendente o il furto (talvolta anche la perdita) di documenti cartacei e strumenti di lavoro quali notebook o tablet aziendali.

Il Garante per la privacy ha sottolineato inoltre la scarsa propensione da parte delle organizzazioni italiane di comunicare l’avvenuta violazione dei dati all’Autorità. In merito allo stesso periodo, i numeri dicono che in Germania le notifiche sono state prossime alle 100 mila, mentre in Italia sono state poco più di 4 mila. La motivazione risiede probabilmente nella tendenza (tutta italiana) di non notificare il data breach, oltre a una generale mancanza di cultura sul tema. Guido Scorza, componente dell’Ufficio del Garante, ha evidenziato l’importanza di un approccio collaborativo, sottolineando che “l’assenza di una forbice stringente fra un minimo e un massimo per ogni infrazione, offre al Garante una discrezionalità massima e i fattori attenuanti potrebbero divenire straordinariamente importanti in termini di riduzione della sanzione di cui sono certi solo i massimali”.