Nel mese di febbraio 2019 ha avuto particolare risalto sulla stampa nazionale il data breach che ha coinvolto la società Italiaonline.
Con un provvedimento del 30 aprile 2019 e di cui è stata data notizia nella sua periodica newsletter, il Garante Privacy ha intimato alla Società Italiaonline SpA, vittima del data breach di effettuare una nuova comunicazione agli utenti nella quale dovranno essere fornite maggiorni indicazioni in particolare a proposito di: natura della violazione, conseguenze del data breach, indicazioni agli utenti su come evitare ulteriori rischi fra i quali il non utilizzo delle credenziali compromesse e la modifica della password fino a qui usata per accedere ai vari servizi.
Il caso era nato da un accesso fraudolento mediante hotspot della rete wi-fi e che aveva permesso di violare circa 1,5 milioni di account di posta elettronica di Virgilio e Libero alle quali gli utenti avevano avuto accesso tramite webmail.
A seguito di tale violazione, segnalata al Garante dalla Società Italiaonline come da normativa vigente, la medesima Società si era attivata attraverso una comunicazione sul sito rivolta ai propri utenti e ad una mail, inviata in data successiva, nella quale tuttavia l’Autorità ha riscontrato, a seguito di una ispezione in tal senso, il mancato rispetto delle norme sui dati personali in quanto la mail era abbastanza generica e non rispondeva ai criteri previsti per tale tipo di comunicazioni a seguito di data breach.
La Società dovrà adempiere entro trenta giorni dalla ricezione del provvedimento attraverso i mezzi di comunicazione più idonei per raggiungere il maggior numero di interessati e dovrà fornire poi riscontro all’Autorità su quanto messo in atto per adempiere a quanto prescritto dal Garante stesso.
Il provvedimento per il data breach nei confronti di Italiaonline
Il provvedimento in questione, anche se è diretto nello specifico ad una Azienda ben precisa, può tuttavia costituire un importante precedente affinché altre Società che eventualmente dovessero essere colpite da data breach pongano in essere le iniziative più idonee fra cui, oltre alla segnalazione all’Autorità, anche le modalità di comunicazione del data breach medesimo ai propri utenti che devono ricevere informazioni non generiche ma bensì circostanziate, unitamente ad indicazioni su come proteggere i propri dati da tutti i rischi derivanti da tale evento.
Il Garante ha inoltre comminato pesanti sanzioni nei confronti di una Società per telemarketing indesiderato, di un sì condizionato alla riforma del Ministero dello Sviluppo Economico sul Registro Pubblico delle Opposizioni e del parere favorevole del Garante stesso alla bozza di decreto del Ministero Interno per la gestione del CED del Dipartimento di Pubblica Sicurezza.
di Alfonso Buccini