Attacco hacker al Garante della Privacy

L’attacco Hacker al Garante della Privacy è un evento ancora in fieri, in divenire, nonostante vi sia già chi palesa certezze al riguardo. E destinato a far discutere per una grande domanda che tutti ci stiamo ponendo in questo momento:

Ricostruzione dell’Attacco hacker al Garante della Privacy: Who watches the Watchmen? Chi controllerà i custodi? (Copyright by Harry Partdrige – Saturday Morning Watchmen ed Alan Moore – Watchmen)

Chi controllerà i Custodi?

Come abbiamo già detto al riguardo dell’attacco hacker al provider statisticamente più usato dagli avvocati Italiani, in Italia le regole per il Data Breach sono severe, e comportano che chi ha subito una perdita di dati potenziale prenda contatto coi soggetti interessati dalla perdita dei Dati e col Garante della Privacy.

Anche in questo caso abbiamo una probabile ricostruzione dell’accaduto

“Siamo davanti ad una crisi senza precedenti: mi chiami il Presidente!”
“È lei il Presidente!”
“Bene: allora so già tutto!”

Ma cosa è accaduto?

Ma andiamo con ordine: e torniamo a LulzSec, organizzazione che, non paga di essere entrata in possesso del contenuto delle PEC di diversi avvocati approfittando delle password ottenute dal provider di servizio, ha deciso di replicare alle infuocate promesse del Garante di provvedere ad una corposa istruttoria contro i loro affiliati ed Anonymous gettando netto il guanto di sfida:

La beffarda rivendicazione dell’Attacco hacker al Garante della Privacy

Un Pastebin, contenente una serie di dati e la promessa di tornare a riprendersi gli altri.

Compito, secondo gli esperti del settore, facilitato da una desueta versione del portale

Che conseguenze avrà l’Attacco hacker al Garante della Privacy?

Ma attenzione!

Non abbiamo imparato forse che il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’art 55 senza ingiustificato ritardo e, ove possibile, entro 72 dal momento in cui ne viene a conoscenza, a meno che non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il soggetto violato quindi dovrebbe comunicare anche al Garante ogni dato relativo alla valutazione del rischio: quindi la qualità e quantità dei dati persi, le misure intraprese per evitarne la diffusione ulteriore e rischi concreti che tutto questo comporta.

Nel caso in esame il Garante ha dichiarato di aver ottemperato a tutto questo, e per ora l’analisi del rischio risulta negligibile.

Ci dice il Garante con una nota pubblicata sul suo sito (inizialmente non raggiungibile, ora visibile – aggiornamento del 10 maggio ore 20:51) “Le informazioni oggetto di violazione non riguardano il sito del Garante (www.garanteprivacy.it), bensì un’applicazione esterna, non più attiva a seguito dell’entrata in vigore del Gdpr se non come registro pubblico (il vecchio ‘registro dei trattamenti’, quello – si legge in fonti d’agenzia – dove chi iniziava un trattamento di dati, fino all’entrata in vigore del nuovo regolamento, nel maggio 2018, era tenuto a notificarlo), e quindi contenente dati già accessibili. L’Autorità non sottovaluta in ogni caso l’attacco subito e sta predisponendo adeguate misure”.

Abbiamo quindi sia il risk assessment che l’analisi sulla qualità e quantità dei dati persi: dati negligibli, poco aggiornati e irrilevanti, già resi pubblici e quindi costituenti una piccolezza.

Ma l’attacco hacker continuerà verosimilente nei prossimi giorni, se non già nelle prossime ore.

Una doverosa precisazione

Incidentalmente ci tocca però tirare un po’ (ma sempre bonariamente e con grande cortesia) le orecchie a un bel po’ di gente, tra Facebook, blog di settore e Internet che nel riportare questa notizia hanno compiuto una piccola, ma esiziale imprecisione.

A dispetto di quanto da loro affermato infatti questo attacco hacker non può essere considerato seguito della violazione delle PEC dell’Ordine degli Avvocati, perché tale violazione non è mai avvenuta.

Siamo costretti a precisare l’inesattezza di quanto affermato riportando le parole dell’Avvocatessa Adriana Augenti, Data Protection Officer presso l’Ordine degli Avvocati di Bari su ilprocessotelematico:

Con riferimento a quanto avvenuto in queste ore relativo alle violazioni di alcuni indirizzi PEC (al momento circa 30.000,00) degli avvocati romani è utile precisare quanto segue.

Il sito dell’Ordine degli Avvocati non è stato attaccato in nessun modo. Per essere precisi non sono stati attaccati i Siti degli Ordini di nessun distretto. L’attacco hacker di queste ultime ore è diretto alla categoria degli avvocati: sono state violate mail e PEC dei colleghi, non il sito dell’Ordine.

Non esiste alcun attacco hacker, infatti, al “Sito dell’Ordine”, e neppure la violazione riguarda le “PEC dell’Ordine degli Avvocati”.

Si parla delle PEC individuali di migliaia di avvocati, offerte da un servizio diventato di elezione presso svariati professionisti per le sue qualità e per le convenzioni sovente stipulate dalla casa madre per la concessione di servizi all’Avvocatura (PEC, Firme Digitali e simili), ma senza un diretto collegamento coi siti degli Ordini Professionali, ad oggi neutri e terzi rispetto all’attacco.

Cosa che avevamo già detto a suo tempo…