Bollettino Legale n. 76 – Ottobre 2024.  

Attacchi informatici: un rischio crescente e un quadro giuridico in continua evoluzione.

 Il numero di attacchi informatici contro aziende o servizi pubblici in Francia quest'autunno è incalcolabile.

Dopo Boulanger, Cultura, Truffaut, Grosbill e SFR, ora è il turno di Free di subire un grave attacco informatico, proprio mentre si conclude il mese dedicato alla sensibilizzazione sulla sicurezza informatica.

In un'e-mail inviata ai propri clienti, l'azienda ha dichiarato che l'attacco ha comportato l'accesso non autorizzato ad alcuni dati personali associati agli account degli abbonati, tra cui le credenziali di accesso, le informazioni di contatto, i dettagli contrattuali e, in alcuni casi, l'IBAN. Si stima che la violazione abbia interessato oltre 19 milioni di clienti.

Free ha notificato la violazione dei dati alla CNIL e all'ANSSI.

Se consideriamo anche gli attacchi su larga scala che hanno colpito due importanti società di pagamento di terze parti e France Travail all'inizio del 2024, alcune stime indicano che oggi i dati di oltre 40 milioni di francesi sono in vendita sul dark web.

L'aumento di questi attacchi ha indotto la CNIL a pubblicare un opuscolo informativo per aiutare le persone interessate a proteggersi.

In particolare, consiglia di controllare i movimenti del conto bancario, di prestare attenzione ai rischi di furto d'identità e phishing, di cambiare le password e di utilizzare procedure di autenticazione a più fattori.

Finora, a differenza delle sue controparti europee, la CNIL raramente ha sanzionato le aziende vittime di attacchi informatici per non aver protetto adeguatamente i dati.

Tuttavia, ha appena sanzionato la società di sicurezza per criptovalute Ledger per non aver protetto adeguatamente i dati dei suoi clienti.

Secondo quanto riportato da La Lettre, che ha diffuso la notizia il 23 ottobre, la multa inflitta ammonterebbe a 750.000 euro. La CNIL non ha confermato tale importo.

Nel 2020 l'azienda ha subito diverse violazioni di dati personali, che hanno interessato numerosi clienti e potenziali clienti.

Nuove norme vengono ora aggiunte alle disposizioni del GDPR, imponendo ai titolari del trattamento dei dati di proteggerli.

Questi sono gli obblighi previsti dalla direttiva europea NIS2, entrata in vigore il 17 ottobre.

La presente direttiva mira a mitigare le minacce alle reti e ai sistemi informativi che forniscono servizi essenziali nei settori chiave, al fine di rafforzare la sicurezza dell'Unione europea.

Il testo amplia il proprio ambito di applicazione rispetto alla direttiva NIS1 e si rivolge specificamente alle infrastrutture e agli enti essenziali per il corretto funzionamento delle attività economiche e sociali nel mercato interno: pubbliche amministrazioni, infrastrutture di telecomunicazione, servizi di informazione e comunicazione, fornitori di servizi digitali, ma anche settori come quello alimentare, chimico, sanitario e del trattamento delle acque reflue.

I requisiti riguardano in particolare le misure di governance e di gestione del rischio informatico, la compartimentazione dei sistemi informativi amministrativi, l'obbligo di segnalare qualsiasi incidente e la sicurezza delle catene di approvvigionamento.

La direttiva prevede, come il GDPR, la notifica degli incidenti e sanzioni pecuniarie.

Sebbene sia previsto un periodo di tre anni per la piena conformità, è necessario predisporre rapidamente un minimo indispensabile, ovvero la registrazione presso l'ANSSI dell'entità regolamentata sul portale "monespaceNIS2", la notifica degli incidenti e la dimostrazione degli investimenti in soluzioni di sicurezza.

A prescindere da regole e sanzioni, è bene ricordare le conseguenze umane delle violazioni della sicurezza.

Ecco cosa ha fatto il Garante britannico per la protezione dei dati personali (ICO) in una pubblicazione del 28 ottobre.

L'autorità sottolinea, in un avvertimento ai responsabili del trattamento dei dati, gli effetti talvolta devastanti delle violazioni dei dati.

Sottolinea che il 55% degli adulti nel Regno Unito ha subito la perdita o il furto dei propri dati, il che rappresenta quasi 30 milioni di persone.

Le conseguenze personali ed emotive di questa situazione vengono troppo spesso trascurate: 301.000 vittime dichiarano di aver subito un danno emotivo, mentre 25.000 di loro non ricevono alcun aiuto dalle organizzazioni competenti.

Inoltre, il 32% delle persone coinvolte ne viene a conoscenza tramite i media anziché direttamente dall'organizzazione, il che accentua il loro senso di tradimento.

L'ICO sottolinea che troppe organizzazioni non valutano appieno i danni e trascurano la protezione dei dati personali.

"Quando si verifica una violazione dei dati, non si tratta semplicemente di un errore amministrativo, ma di una mancata protezione di qualcuno."

 

        

Il 26 settembre, la CNIL (Autorità francese per la protezione dei dati) ha multato Cosmospace e Telemaque, fornitori di servizi di cartomanzia, rispettivamente di 250.000 e 150.000 euro, per non aver ottenuto il consenso esplicito delle persone interessate. prima del trattamento dei dati sensibili nel contesto delle sessioni di consultazione registrate.

Ha inoltre annunciato di aver emesso undici nuove sanzioni semplificate a partire da giugno 2024, relative a reati connessi a raccolta eccessiva di dati, mancanza di registro, mancato rispetto dei diritti delle persone o mancanza di cooperazione.

Infine, il 17 ottobre 2024, ha richiamato all'ordine il Ministero dell'Interno e dei Territori d'Oltremare e il Ministero della Giustizia per la loro cattiva gestione del fascicolo relativo all'elaborazione dei precedenti penali.

Il 19 novembre, la CNIL organizza un evento intitolato "Air", dedicato alla sorveglianza e alle sue implicazioni etiche.

I dibattiti saranno organizzati congiuntamente con la Commissione nazionale per il controllo delle tecniche di intelligence (CNCTR).

La Procura di Parigi ha annunciato che il 18 ottobre 2024, durante una riunione di Eurojust, le autorità giudiziarie belghe e francesi hanno costituito una squadra investigativa congiunta (JIT) in merito alle indagini su Telegram.

In Francia, nel febbraio 2024 è stata aperta un'indagine preliminare, che ha portato all'avvio di un'inchiesta giudiziaria e al successivo arresto di Pavel Durov quest'estate.

La sezione crimini informatici della Procura di Parigi si era precedentemente consultata con diverse procure e servizi investigativi, nonché con i suoi partner stranieri nell'ambito di Eurojust, in merito alla difficoltà di ottenere risposte alle richieste.

Il 3 ottobre, la Corte di Cassazione ha ribaltato una sentenza della Corte d'Appello di Caen, ribadendo che un tribunale deve rispettare il principio di minimizzazione dei dati quando ordina a un datore di lavoro di produrre prove di una possibile discriminazione salariale nell'ambito di un procedimento civile.

I dati personali richiesti a titolo di prova devono essere limitati a quanto strettamente necessario per il procedimento.

Il 22 ottobre, l'ONG Noyb ha presentato una denuncia alla CNIL contro la piattaforma di social media Pinterest..

Noyb afferma che, nonostante una sentenza della Corte di giustizia dell'Unione europea (CGUE) del 4 luglio 2023 che condanna tale pratica, la piattaforma utilizza i dati personali degli utenti senza richiederne il consenso, sulla base del proprio legittimo interesse, e che il tracciamento è attivato di default.

La piattaforma è inoltre criticata per non aver fornito informazioni sulle terze parti con cui condivide i dati.

 

istituzioni e organismi europei

Il 9 ottobre la Commissione europea ha pubblicato la relazione relativa alla sua prima valutazione sull'adeguatezza del quadro di protezione dei dati (DPF) tra l'UE e gli Stati Uniti.

La Commissione conclude che le autorità statunitensi "hanno messo in atto tutti gli elementi costitutivi del quadro".

Ciò include l'attuazione di misure di salvaguardia per limitare l'accesso dei servizi di intelligence statunitensi ai dati personali a quanto necessario e proporzionato per proteggere la sicurezza nazionale, e l'istituzione di un meccanismo di ricorso indipendente e imparziale.

Il rapporto contiene raccomandazioni per garantire che il quadro normativo continui a funzionare efficacemente, come ad esempio lo sviluppo di linee guida comuni sui requisiti chiave del DPF.

Durante la sua sessione plenaria dell'8 e 9 ottobre, il Comitato europeo per la protezione dei dati (EDPB) ha adottato un parere sui responsabili del trattamento e sui responsabili successivi, linee guida sull'interesse legittimo, una dichiarazione sulle norme procedurali aggiuntive per l'applicazione del GDPR e il programma di lavoro del Comitato europeo per la protezione dei dati (EDPB) per il periodo 2024-2025.

Il 4 novembre, il Comitato ha inoltre adottato la sua prima relazione sul quadro UE-USA in materia di protezione dei dati, nonché una dichiarazione sull'accesso ai dati da parte delle forze dell'ordine.

Egli prende atto dei progressi compiuti e incoraggia le autorità statunitensi a elaborare nuove linee guida, nonché la Commissione europea a monitorare il meccanismo di ricorso per i cittadini dell'UE.

Nella sentenza C-507/23 del 4 ottobre, la Corte di giustizia dell'Unione europea ha stabilito che le scuse possono costituire un rimedio adeguato per il danno non patrimoniale ai sensi dell'articolo 82, paragrafo 1, del GDPR, in particolare quando è impossibile tornare alla situazione precedente al danno, purché tale forma di rimedio sia idonea a compensare pienamente il danno subito dall'interessato.

 

Notizie dai paesi membri dell'Unione europea.

Il 9 ottobre l'Autorità belga per la protezione dei dati (DPA) ha pubblicato online i documenti relativi alla giornata di studio sulle "città intelligenti".

L'obiettivo era quello di fornire una piattaforma di discussione in cui le parti interessate potessero condividere le proprie esperienze, le migliori pratiche, le sfide, le soluzioni e le visioni per il futuro delle "città intelligenti".

Il resoconto della giornata di studio, gli interventi dei partecipanti e le sequenze video sono disponibili sul sito web dell'APD.

In una decisione dell'11 ottobre riguardante RTL Belgio, l'APD ricorda inoltre al titolare del trattamento dei dati che deve rendere altrettanto semplice per i visitatori del suo sito web rifiutare l'installazione dei cookie quanto accettarli, costituendo così un'applicazione concreta delle condizioni per la validità del consenso.

L'APD approva anche il design dei pulsanti presentati al visitatore e fa riferimento in particolare al lavoro dell'EDPB in materia.

In questo caso specifico, il pulsante arancione brillante "Accetta e chiudi" spiccava particolarmente rispetto al resto del banner sui cookie e, per l'APD, "questo è il pulsante su cui si concentrerà principalmente l'attenzione degli utenti".

In risposta all'argomentazione di RTL sulla "libertà artistica", l'APD ribatte che "I titolari del trattamento dei dati devono garantire che l'uso di un colore non incoraggi in modo evidente gli utenti a dare il consenso all'installazione dei cookie nel loro browser."

Tuttavia, nulla impedisce ai titolari del trattamento dei dati di utilizzare un colore del pulsante che incoraggi analogamente gli utenti a rifiutare l'installazione dei cookie.

Si noti che l'Autorità austriaca per la protezione dei dati (APD) ha adottato una decisione analoga il 28 ottobre nei confronti dell'emittente pubblica Österreichischer Rundfunk: ha ordinato all'azienda di modificare il banner relativo ai cookie sul proprio sito web, poiché l'evidenziazione grafica dell'opzione "accetta tutti i cookie" invalida il consenso dell'interessato ai sensi dell'articolo 6, paragrafo 1, lettera a), del GDPR.

Questi due casi rientrano in una serie di denunce presentate dall'ONG Noyb in diversi paesi dell'UE, e si prevedono a breve ulteriori decisioni in merito.

L'Agenzia irlandese per la protezione dei dati (DPA) ha annunciato la sua decisione definitiva il 24 ottobre, a seguito di un sondaggio condotto su LinkedIn., indagine avviata a seguito di una denuncia presentata inizialmente alla CNIL da La Quadrature du net nel 2018.

Il ricorso si è concentrato sul trattamento dei dati personali da parte di LinkedIn a fini di analisi comportamentale e pubblicità mirata degli utenti, sollevando questioni di legalità, correttezza e trasparenza di tale trattamento.

La decisione comprende un rimprovero, l'obbligo per LinkedIn di adeguare le proprie procedure di trattamento dei dati alle normative vigenti e sanzioni amministrative per un totale di 310 milioni di euro.

L'Autorità Garante per la protezione dei dati personali (APD) ha multato Postel SpA, il principale servizio postale italiano, di 900.000 euro per non aver reagito, per quasi un anno, a una vulnerabilità nota e segnalata nei suoi sistemi.Ciò ha reso possibile una violazione dei dati personali: nell'agosto del 2023, l'azienda è stata bersaglio di un attacco ransomware che ha portato al blocco dei suoi server e di alcune postazioni di lavoro.

Le informazioni, pubblicate sul dark web, riguardavano dati identificativi e di contatto, dati di pagamento, nonché dati relativi a condanne penali e reati, dati sanitari e informazioni sull'appartenenza a sindacati.

L'Autorità olandese per la protezione dei dati (APD) ha annunciato il 23 ottobre di aver indagato su otto villaggi turistici che utilizzano il riconoscimento facciale per accedere a piscine e aree gioco, riscontrando che tutti questi parchi violavano le leggi sulla privacy a causa di una mancanza di informazioni e dell'assenza di un consenso valido.

Sotto la pressione dell'APD, sette parchi hanno modificato i propri metodi di elaborazione dei dati.

 

Un file Excel ha permesso la divulgazione delle informazioni personali di 9.483 agenti e dipendenti della polizia dell'Irlanda del Nord.

In risposta a due richieste di accesso ai dati, il servizio di polizia ha fornito il file con i dati oscurati ma non cancellati. Ritenuta responsabile della fuga di dati, la polizia è stata multata per la cifra record di 900.000 euro dall'Autorità britannica per la protezione dei dati (DPA).

In un contesto analogo, l'ICO ha sanzionato anche il consiglio comunale di Southend-on-Sea: in risposta a una richiesta di accesso a documenti amministrativi, il consiglio ha fornito un foglio di calcolo che conteneva ancora dati personali.

Le autorità per la protezione dei dati di 16 giurisdizioni, tra cui Australia, Canada, Cina, Spagna e Regno Unito, hanno adottato una dichiarazione congiunta sulle tecnologie di "scraping" a margine della conferenza internazionale delle autorità per la protezione dei dati.

La dichiarazione sottolinea che le organizzazioni devono rispettare le leggi sulla protezione dei dati quando utilizzano informazioni personali, comprese quelle provenienti dalle proprie piattaforme, per sviluppare modelli linguistici di intelligenza artificiale su larga scala (LLM).

La dichiarazione, pubblicata il 28 ottobre, delinea altre aspettative, tra cui che le organizzazioni:

• Implementano una combinazione di misure di sicurezza, le rivedono e le aggiornano regolarmente per stare al passo con i progressi nelle tecniche e tecnologie di scraping; e
• Garantiscono che l'estrazione autorizzata dei dati per scopi commerciali o di utilità sociale avvenga nel rispetto della legge e di rigorose condizioni contrattuali.

A metà ottobre si è tenuto in Italia il G7, il vertice delle autorità garanti della protezione dei dati, con l'obiettivo di rafforzare la collaborazione tra le autorità a livello globale.

È stata adottata una dichiarazione sul ruolo delle autorità per garantire un utilizzo responsabile dell'intelligenza artificiale.

È stata inoltre rilasciata una dichiarazione che sottolinea l'importanza di un meccanismo solido per i flussi di dati transfrontalieri, in grado di proteggere i dati personali a livello globale.

Il 20 ottobre, l'Agenzia australiana per la protezione dei dati (DPA) ha pubblicato due documenti guida sulla protezione della privacy e l'intelligenza artificiale:

• Una guida sull'utilizzo dei prodotti di intelligenza artificiale disponibili in commercio;
• Una guida allo sviluppo e all'addestramento di modelli di intelligenza artificiale generativa.

Tra i punti chiave riguardanti la prima guida, l'APD sottolinea che

• Gli obblighi in materia di privacy si applicano a qualsiasi informazione personale inserita in un sistema di intelligenza artificiale, nonché ai dati di output generati dall'IA (quando contengono informazioni personali).
• Se i sistemi di intelligenza artificiale vengono utilizzati per generare o dedurre informazioni personali, comprese le immagini, ciò costituisce una raccolta di dati personali che deve essere conforme ai principi di protezione dei dati.

Come buona prassi, l'APD raccomanda alle organizzazioni di non inserire informazioni personali, e in particolare informazioni sensibili, negli strumenti di intelligenza artificiale generativa disponibili pubblicamente, a causa dei rischi significativi e complessi per la privacy che ciò comporta.

Alcune comunicazioni interne di TikTok, rese pubbliche a ottobre, hanno dimostrato che l'azienda non era preoccupata per gli effetti dannosi dell'app sugli adolescenti americani, nonostante le sue stesse ricerche avessero evidenziato numerose criticità.

Questi documenti riservati fanno parte di un'indagine durata oltre due anni e condotta da 14 procuratori generali degli Stati Uniti.

La causa sostiene che TikTok sia stato progettato con l'esplicito intento di creare dipendenza nei giovani e che l'azienda abbia ingannato il pubblico sui rischi connessi all'utilizzo dell'app.

Secondo NPR, che ha avuto accesso ai documenti, TikTok ha determinato il numero preciso di visualizzazioni (260) necessarie affinché una persona possa sviluppare una dipendenza dalla piattaforma.

Secondo gli inquirenti statali, "sebbene possa sembrare significativo, i video di TikTok possono durare anche solo 8 secondi e vengono riprodotti dagli utenti in rapida e automatica successione. (...) Pertanto, in meno di 35 minuti, l'utente medio rischia di sviluppare una dipendenza dalla piattaforma."

Internet Archive sta attualmente subendo una serie di attacchi informatici.

La prima serie di attacchi, resa pubblica a metà ottobre, consisteva in diversi attacchi DDoS. Gli hacker hanno anche rivelato di aver ottenuto l'accesso ai dati di 31 milioni di utenti.

Alla fine di ottobre, l'organizzazione è stata nuovamente vittima di un'intrusione, questa volta sulla sua piattaforma di supporto via e-mail Zendesk, dopo essere stata ripetutamente avvertita del furto di token di autenticazione.