L’11 aprile 2024, il Garante per la protezione dei dati personali ha emesso un significativo provvedimento riguardante una violazione dei dati personali presso la Camera di commercio di Roma. L’incidente è avvenuto a causa di un attacco informatico di tipo SQL Injection, che ha permesso ai cybercriminali di accedere ai dati di circa 22.300 utenti. Questo attacco ha sollevato importanti questioni riguardo alla responsabilità e alla conformità con il Regolamento UE sulla privacy n. 2016/679 (GDPR).

L’Incidente

Durante l’attacco, i malintenzionati hanno caricato virus e file malevoli, estraendo dati sensibili come nomi, cognomi, codici fiscali, indirizzi email e numeri di telefono. I dati sono stati ottenuti da una copia di backup non correttamente cancellata, situata su un server accessibile solo agli amministratori del sistema informatico. La copia era destinata alla cancellazione, ma per una dimenticanza, era ancora presente al momento dell’attacco.

Analisi Tecnica

Il SQL Injection è una tecnica di attacco che sfrutta vulnerabilità nei sistemi di gestione dei database per eseguire comandi SQL non autorizzati. In questo caso, l’attaccante ha probabilmente utilizzato input malformati per ottenere accesso ai dati archiviati nel database della Camera di commercio di Roma. Questo tipo di attacco sottolinea l’importanza di utilizzare pratiche di codifica sicure e di eseguire regolari verifiche di sicurezza per identificare e correggere vulnerabilità nei sistemi informatici.

Responsabilità e Sanzioni

Il Garante ha sottolineato che, secondo il GDPR, l’attacco premeditato da parte di terzi non esonera l’ente dalla responsabilità. Le sanzioni amministrative possono arrivare fino a 20 milioni di euro, indipendentemente dall’assenza di danni per gli interessati. La Camera di commercio di Roma è stata sanzionata con una multa di 25.000 euro. Questo provvedimento riflette tre aspetti principali della severità del GDPR:

1. Responsabilità per Violazioni della Sicurezza: Anche quando la violazione è causata da terzi, l’ente è responsabile se ha commesso una lieve colpa agevolatrice dell’attacco.
2. Adeguatezza dei Sistemi di Sicurezza: Le misure di sicurezza devono essere continuamente aggiornate in base allo sviluppo tecnologico.
3. Assenza di Danni per gli Interessati: Anche in assenza di danni effettivi, le sanzioni sono applicabili.

Implicazioni per la Sicurezza Informatica

Questo caso evidenzia l’importanza di mantenere elevati standard di sicurezza per la protezione dei dati personali. Le organizzazioni devono investire continuamente in sicurezza informatica e aggiornare le proprie misure di protezione in risposta ai rapidi cambiamenti tecnologici. Inoltre, la valutazione dell’adeguatezza delle misure di sicurezza non può essere basata solo sul momento della loro adozione, ma deve essere un processo continuo.

Conclusioni

Il provvedimento del Garante rappresenta un forte monito per tutte le organizzazioni riguardo all’importanza della conformità con il GDPR. Anche in presenza di attacchi dolosi da parte di terzi, le organizzazioni sono tenute a garantire la sicurezza dei dati personali e a rispondere delle violazioni. Questo caso sottolinea la necessità di un approccio proattivo e continuo alla sicurezza informatica, per minimizzare il rischio di sanzioni e proteggere i dati degli utenti in modo efficace.

Per maggiori dettagli, consulta il provvedimento completo.