Un Data breach – in italiano: violazione di dati – è una violazione della sicurezza di dati o informazioni avvenuta accidentalmente o in modo volontario e illecito.
Si tratta, in sostanza, di un evento voluto (es: attacco informatico) o casuale (es: smarrimento o danneggiamento di un device) a cui consegue una perdita di riservatezza, integrità o disponibilità di informazioni o dati personali.
Quando un Data breach coinvolge dati personali (informazioni relative a persone fisiche identificate o identificabili), in particolare, si applica la normativa nazionale ed europea in materia di tutela dei dati personali, e in particolare gli artt. 33 e 34 del Regolamento Europeo 679/2016 (c.d. GDPR).
Contrariamente alla convinzione di molte persone, si considera Data breach non solo la violazione di dati informatici, ma anche un incidente di riservatezza che abbia ad oggetto dati contenuti in supporti cartacei (es: invio di bollette a un destinatario errato) o la condivisione verbale di informazioni riservate (es: condivisione di informazioni mediche con un parente del paziente, non precedentemente autorizzato).
I Data breach possono avere un impatto significativo sia su società, enti e pubbliche amministrazioni che sui singoli individui direttamente o indirettamente coinvolti.
Per le società, gli enti e le pubbliche amministrazioni i rischi principali sono da individuarsi nei danni all’immagine e alla reputazione (spesso irrimediabili), nelle possibili sanzioni amministrative (talvolta molto elevate), nella perdita di proprietà intellettuale e nei potenziali danni economici causati a terzi. C’è inoltre il rischio di subire danni finanziari a lungo termine e perdita di fiducia da parte di clienti, utenti e partner commerciali.
Per gli individui interessati, invece, i rischi principali includono il furto di identità (che può portare a frodi finanziarie), l’apertura di nuovi account a loro nome e l’utilizzo delle informazioni per scopi illeciti, anche solo diffamatori.
Tra le conseguenze, peraltro, vanno annoverati altresì la violazione della riservatezza dei dati – con rischio di divulgazione e di utilizzo illecito degli stessi – e la possibilità di essere bersaglio di spam e phishing, che possono portare a ulteriori violazioni dei dati o alla perdita di ulteriori informazioni personali.
In alcuni casi i dati ottenuti con un Data breach possono essere resi pubblici online, esponendo gli individui a un vasto pubblico con conseguente imbarazzo, possibile discriminazione o danni alla reputazione degli interessati.
In altri casi i dati personali compromessi, laddove includano informazioni come indirizzi di casa o luoghi di lavoro, possono esporre gli interessati a rischi per la loro incolumità, con aumento di rischio di intrusioni o stalking.
In altri casi ancora i dati vengono utilizzati come merce di scambio per avanzare richieste di riscatto (v. ransomware).
Per mitigare questi rischi, è essenziale che le organizzazioni implementino adeguate misure di sicurezza informatica, come l’adozione di protocolli di autenticazione robusti, la crittografia dei dati e la formazione dei dipendenti sulla sicurezza informatica. Le organizzazioni dovrebbero anche rispondere tempestivamente agli incidenti di sicurezza per minimizzare i danni e notificare le persone interessate se il Data breach comporta un rischio elevato per i loro diritti e le loro libertà.
Gli interessati, dal canto loro, dovrebbero adottare misure per proteggere la propria identità, come la protezione dei propri dispositivi con password e cifratura e la vigilanza periodica sui propri conti corrente, sui propri canali di contatto (in primis l’email) e sui propri account.
È importante inoltre seguire le indicazioni fornite dalle organizzazioni coinvolte nel Data breach, atteso che la conoscenza diretta dei fatti nel dettaglio permette all’organizzazione coinvolta di elargire i consigli più mirati ed efficaci per ridurre il possibile impatto del sinistro.
Per saperne di più, leggi nel mio Blog: Data breach: dati personali a rischio