Data Breach: il rischio violazione dei dati personali spiegato punto per punto

Data Breach: il rischio violazione dei dati personali spiegato punto per punto

Data Breach significato, tipologie e conseguenze

Viviamo in un mondo in cui i dati sono sempre più preziosi e importanti. I dati personali vengono raccolti da aziende, istituzioni e organizzazioni di ogni tipo per scopi commerciali, amministrativi o di ricerca. Ogni giorno ne generiamo miliardi: basti pensare alle informazioni che condividiamo sui social network, agli acquisti online, ai siti web che visitiamo.

Questa enorme quantità di dati sensibili ha un valore inestimabile perché possono rivelare molto sulla nostra vita privata e sulla nostra identità. Per questo motivo, in un panorama in cui i cybercriminali sono in continuo agguato, la loro protezione è fondamentale perché il rischio di Data Breach è una minaccia sempre più concreta. 

Un data breach cos’è e come si verifica? Un Data Breach, ovvero una violazione dei dati, è un attacco informatico che ha come obiettivo la sottrazione di dati sensibili o informazioni riservate, come numeri di carte di credito, segreti commerciali o notizie relative alla sicurezza di un’azienda. 

Queste violazioni, oltre ad essere incidenti di cyber security tra i più comuni e costosi, colpiscono aziende di ogni dimensione, settore e area geografica, con un conseguente danno alla reputazione a causa della percezione di un “tradimento della fiducia”. 

I danni di un Data Breach possono essere molto gravi sia per le vittime dirette che per l’azienda colpita. I dati sensibili rubati, infatti, possono essere utilizzati per compiere atti illeciti come frodi, phishing o altri crimini informatici. In alcuni casi, i cybercriminali possono anche chiedere un riscatto per non diffondere il materiale rubato o utilizzarlo per ricattare le vittime.

Le violazioni dei dati possono avvenire in diversi modi: il più comune è la cosiddetta “forza bruta”, ovvero l’utilizzo di software che tentano di indovinare le password degli utenti per accedere ai loro account. In altri casi, i criminali informatici utilizzano tecniche di social engineering per ingannare le vittime e convincerle a fornire loro dati sensibili come password o numeri di carta di credito. Ad esempio, possono utilizzare email o messaggi di testo fasulli (phishing) che sembrano provenire da aziende legittime come banche o e-commerce, oppure possono rubare dati sensibili attraverso i cosiddetti “punti di accesso Wi-Fi non protetti”. 

Secondo le stime della ricerca Cost of a data breach 2022, condotta dal Ponemon Institute, Il costo medio di una violazione dei dati è aumentato del 2,6%, passando da 4,24 milioni di dollari nel 2021 a 4,35 milioni di dollari nel 2022. Le credenziali rubate o compromesse sono state responsabili del 19% delle violazioni. Il phishing è stato responsabile delle violazioni nel 16% dei casi. L’errata configurazione del cloud ha causato il 15% di violazioni.

Le violazioni dei dati sono di vario tipo, tra cui:

  • Esposizione accidentale sul web: dati sensibili o credenziali vengono esposti su Internet a causa di una errata configurazione del sistema o di un errore umano;
  • Accesso non autorizzato: i malintenzionati sfruttano le vulnerabilità dei sistemi di controllo per ottenere l’accesso a dati sensibili;
  • Dati in movimento: gli autori accedono a dati sensibili trasmessi in chiaro tramite HTTP o  o altri protocolli non sicuri;
  • Attacco mirato: i cybercriminali utilizzano tecniche di social engineering per ingannare le vittime e convincerle a fornire loro dati sensibili come password o numeri;
  • Hacking: quando un aggressore esterno ruba dati riservati tramite phishing, malware, ransomware, skimming o altri tipi di attacchi;
  • Fuga di dati: la perdita involontaria o dolosa di dati da parte di dipendenti, fornitori o altri terze parti;
  • Injection: l’attacco consiste nell’inserimento di codice malevolo all’interno del database di un sito web per estrarre dati sensibili;
  • Dati in movimento: i criminali informatici accedono a dati sensibili trasmessi in chiaro tramite HTTP o altri protocolli non sicuri;
  • Intercettazione delle comunicazioni: gli autori di attacchi intercettano le comunicazioni tra due o più parti, sfruttando la debolezza della crittografia utilizzata.

Un Data Breach può avere diversi effetti negativi sull’azienda, tra cui:

  • Diminuzione del valore del marchio;
  • Calo delle vendite;
  • Perdita di clienti;
  • Danno economico;
  • Danni alla reputazione;
  • Mancanza di fiducia da parte dei dipendenti e dei consumatori.

Prevenzione e mitigazione del Data Breach

Prevenire un Data Breach è possibile, ma occorre adottare delle precauzioni e seguire delle buone pratiche di sicurezza informatica. Innanzitutto, è importante utilizzare una password forte e unica per ogni account e abilitare l’autenticazione a due fattori (Two Factor Authentication – 2FA), Inoltre, bisogna dottare una strategia di sicurezza Defense In Depth (DiD) implementando più livelli di difesa per proteggere e mitigare un’ampia gamma di violazioni dei dati. 

Una strategia di sicurezza a più livelli comprende:

  • Sensibilizzare i dipendenti sulle minacce informatiche e sui rischi di violazione dei dati per evitare che cadano vittime di phishing o social engineering;
  • Proteggere i dati sensibili crittografandoli quando necessario e utilizzando strumenti di Data Loss Prevention (DLP); 
  • Monitorare continuamente il sistema per rilevare eventuali anomalie e attività sospette;
  • Eseguire regolari backup dei dati per evitare la perdita irreversibile di informazioni importanti in caso di incidente.
  • Utilizzare una VPN per proteggere le comunicazioni e nascondere il traffico dati dagli occhi indiscreti;
  • Utilizzare strumenti di rilevamento e risposta alle minacce sugli endpoint per identificare e ridurre automaticamente malware, phishing, ransomware e altre attività dannose che possono portare a una violazione dei dati;
  • Installare un software di sicurezza sul computer e sugli smartphone al fine di proteggere i dati da virus, malware e altri attacchi.

Seguire queste buone pratiche di sicurezza informatica può aiutare a prevenire o mitigare efficacemente un Data Breach, tutelando la reputazione dell’azienda e riducendo i danni economici.

Data Breach GDPR: come rispondere alla violazione dei dati?

Se dovesse avvenire un Data Breach, è importante attenersi alle linee guida del Regolamento UE 2016/679, meglio noto con l’acronimo GDPR (General Data Protection Regulation), per la notifica dell’incidente. 

La notifica deve essere effettuata dal titolare del trattamento (ad esempio: soggetto pubblico, impresa, associazione o professionista)  al Garante per la protezione dei dati personali entro 72 ore dalla constatazione della violazione a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione dati personali comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Devono essere notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, come il furto d’identità o il rischio di frode.

Come inviare la notifica di Data Breach al Garante? A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità. In aggiunta, per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante mette a disposizione anche un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

Quali sono le sanzioni previste dal GDPR in caso di mancato rispetto della normativa?

Esistono due livelli di ammende applicabili in caso di non conformità al GDPR da valutare in base agli elementi previsti dall’art. 83:

  • Violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per le imprese (da intendersi come gruppo) che, ad esempio, non comunicano un Data Breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
  • Violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

In più, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioni.

Articolo precedenteNovità Tessera sanitaria senza microchip: cosa puoi fare e cosa non puoi fare
Articolo successivoGuida all’uso di FAW Legal, il software per l’acquisizione forense delle pagine web