La sera di lunedì 20 marzo, la nota società di Maranello comunica di aver subito un attacco hacker: dagli articoli di stampa emerge che l’attacco è avvenuto attraverso un ransomware con richiesta di riscatto.
N.B. Il ransomware è un virus informatico che, infettando i sistemi, blocca l’accesso ai dati.
Tecnicamente si tratta di un data breach, una violazione dei dati personali che, nel caso specifico, pare abbia riguardato i dati personali dei clienti (dati di contatto, email, numeri di telefono), con forti ripercussioni sia in ambito privacy e GDPR, sia per quanto riguarda l’operatività aziendale e la reputazione del brand.
La normativa privacy impone alcuni adempimenti in caso di data breach: entro 72 ore dalla conoscenza del fatto, qualora la violazione presenti un rischio per i diritti e le libertà delle persone, l’azienda dovrà notificarlo al Garante Privacy. Quando invece il rischio per i diritti e le libertà delle persone è elevato, la violazione deve essere comunicata anche agli interessati (le persone a cui si riferiscono i dati personali).
Bisogna poi considerare che, quando avviene un attacco informatico come quello subito da Ferrari, oltre al “danno”, vi è anche il rischio della “beffa”: la società vittima dovrà dimostrare di non essere stata negligente e, qualora non ne sia in grado, incorrerà nelle salate sanzioni del Garante Privacy.
Il GDPR, infatti, impone che i dati debbano essere trattati in maniera da garantire “un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (integrità e riservatezza) (art. 5 GDPR, let. F).
Cosa devono quindi fare le aziende per essere a norma?
È fondamentale adottare misure di sicurezza adeguate, sia dal punto di vista tecnico (adottando delle soluzioni IT idonee) che da quello organizzativo, formando il personale sulla materia, introducendo policy conformi sull’uso degli strumenti aziendali e stabilendo precise procedure, ruoli e responsabilità in caso di data breach.
Si precisa che, pur non essendo illecito pagare il riscatto chiesto dagli hacker, è bene non considerare tale opzione.
