In caso di data breach le comunicazioni agli utenti da parte di un fornitore di servizi non devono essere generiche, ma devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Lo afferma Garante per la privacy nel provvedimento adottato nei confronti di Italiaonline.
In seguito al provvedimento il provider dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di utenti.
Secondo quanto stabilito dal Garante della Privacy la nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi.
Esplicitare le contromisure agli utenti
Nel caso specifico di Italiaonline dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.
Nel notificare l’incidente di sicurezza la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Per contenere le conseguenze del data breach la società aveva forzato gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una email a tutti agli interessati colpiti dall’incidente.
Tale email è stata poi inviata, ma come riporta una nota del Garante, dagli atti acquisiti nel corso di un’ispezione è risultata carente e non in linea con quanto previsto dalla normativa Gdpr sulla tutela dei dati personali.
La società aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti.
A chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”.
Queste informazioni sono state ritenute insufficienti dal Garante della Privacy a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.