Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Violazione di dati personali nel settore dei servizi telefonici - 11 maggio 2017 [6431926]

[doc. web n. 6431926]

Violazione di dati personali nel settore dei servizi telefonici - 11 maggio 2017

Registro dei provvedimenti
n. 226 dell'11 maggio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il Regolamento (UE) n. 611/2013 della Commissione del 24 giugno 2013 (di seguito, Regolamento) sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche;

VISTO il provvedimento del Garante in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (cd. data breach) del 4 aprile 2013 (pubblicato in G.U. n. 97 del 24 aprile 2013 e in www.garanteprivacy.it, doc. web n. 2388260);

VISTA la comunicazione di avvenuta violazione dei dati personali inoltrata il 21 marzo 2017 ai sensi dell'art. 32-bis del Codice da Wind Tre s.p.a. con la quale si è informato il Garante della "violazione [che] è avvenuta sul sistema informatico di selfcare tre.it di proprietà di Wind Tre s.p.a., già H3G s.p.a.", con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti a 5118 clienti (di cui 683 non più attivi) rilevato il 20 marzo 2017 da un proprio fornitore di servizi, a tal fine designato responsabile del trattamento (cfr. verbale 10.4.2017, p. 3 e all. 1);

VISTO che in tale comunicazione è stato altresì precisato che per 402 dei 5118 clienti poteva anche essersi verificato un accesso non autorizzato all'area personale del sistema "Selfcare" di Tre (area clienti) nella quale è presente, tra l'altro, l'anagrafica della clientela (cfr. verbale 11.4.2017, p. 2);

VISTA la comunicazione integrativa pervenuta il 24 marzo 2017 con la quale la Società ha chiarito che:

- con riguardo ai menzionati 402 clienti, il potenziale pregiudizio era stato valutato sulla base dell'avvenuto accesso all'area riservata registrato contestualmente al periodo dell'incidente;

- l'attacco è stato effettuato sfruttando una vulnerabilità ‒ illustrata nel dettaglio nel corso degli accertamenti e solo in tempi recenti resa nota al pubblico dal National Institute of Standards and Technology (NIST), per la quale erano già stati pianificati da parte della Società interventi correttivi ‒ che ha consentito l'accesso, con successiva copia, alle credenziali di autenticazione (user-id e password) di 5118 clienti;

- il 23 marzo u.s. i 402 clienti per i quali risultava un accesso all'area personale, sono stati informati ai sensi dell'art. 32-bis, comma 2, del Codice mediante telefonata outbound e successiva comunicazione scritta (cfr. comunicazione al Garante del 22 marzo 2017);

- dopo aver rilevato l'incidente di sicurezza, è stato inibito l'accesso al sistema da parte di tutti gli utenti ed è stata avviata la procedura di cambio password per tutti i 5118 interessati;

VISTI gli esiti dell'accertamento ispettivo condotto presso la Società nei giorni 10 e 11 aprile 2017 dal quale è emerso che (cfr. i rispettivi verbali):

- il sopra ricordato fornitore di servizi ha rilevato, in data 20 marzo 2017, alle ore 8.45, tentativi di accesso anomali al sistema con traffico in uscita che ha comportato l'acquisizione di un file di testo contenente le credenziali di accesso in chiaro di 5118 clienti (user-id e password);

- le misure correttive approntate, descritte nella comunicazione dettagliata inviata al Garante il 24 marzo 2017, sono state ultimate alle ore 17.20 dello stesso 20 marzo;

- dei 5118 utenti interessati, 683 non sono più clienti della Società (e non erano, per tale motivo, abilitati all'accesso all'area riservata al momento dell'incidente) e 402 risultano aver effettuato un accesso, di cui non è comprovata la natura malevola, nella giornata del 20 marzo;

- il file di testo, oggetto di violazione, è stato generato nel corso di un intervento sistemistico, eseguito dal fornitore di servizi e conclusosi a settembre 2016, volto a migliorare le performance (cd. tuning) dei sistemi di tracciatura degli accessi alla applicazione "Selfcare" esposta sul portale della Società, e, per cause legate ad un'errata impostazione delle regole di denominazione dei file (cd. naming) generati dal sistema di tracciatura (definite dalla Società accidentali: cfr. verbale 10.4.2017, p. 4), non è stato automaticamente cancellato al termine dell'intervento (cfr. verbale cit., p. 4; v. pure Incident Report del fornitore, all. 1 alla comunicazione del 21.4.2017, p. 6);

- l'accesso all'area personale del sistema di "Selfcare" della Società consente di visualizzare alcuni dati personali (nominativo, codice fiscale, recapito telefonico e mail, indirizzo di residenza e, solo per i clienti che ne hanno fatto richiesta, fatture degli ultimi sei mesi con il dettaglio del traffico in uscita parzialmente oscurato) e di effettuare alcune modifiche (cfr. verbale 11.4.2017, p. 2);

CONSIDERATO che, in occasione delle verifiche, è stato altresì accertato che la Società ha predisposto, ai sensi dell'art. 32-bis, comma 7, del Codice, l'inventario delle violazioni di dati personali, nel quale è riportato il solo caso in esame essendo, in base a quanto dichiarato, il primo evento allo stato rilevato; la Società inoltre dispone di un'apposita procedura per la gestione di eventuali data breach mediante la quale ha formalizzato il processo di rilevazione e analisi degli eventi potenzialmente pregiudizievoli (cfr. verbale 10.4.2017, p. 5);

VISTA altresì la documentazione consegnata il 21 aprile 2017 a scioglimento delle riserve formulate nel corso dell'accertamento ispettivo, con la quale sono stati forniti chiarimenti in merito alle specifiche modalità di accadimento dell'incidente nonché informazioni di carattere statistico sulla navigazione dello spazio web ("Selfcare") dedicato ai clienti;

TENUTO conto che, sulla base delle informazioni complessivamente acquisite, la violazione ha comportato l'accesso non autorizzato e la copia di user-id (predefinita dalla Società per ciascun cliente: cfr. verbale 10.4.2017, p. 3) e password;

CONSIDERATO altresì che la violazione si è verificata, in base a quanto dichiarato, in conseguenza di un attacco fraudolento ai sistemi verificatosi il 20 marzo 2017 che, ancorché prontamente rilevato e arginato, ha permesso che fossero acquisiti dati personali sfruttando una vulnerabilità da poco nota;

RILEVATO che la Società, a fronte di una violazione che ha interessato 5118 utenti, ha provveduto ad informare solo i 402 clienti per i quali è risultato un accesso all'area personale nelle ore in cui l'incidente era in corso ritenendo, anche in considerazione delle misure correttive approntate (tra cui il blocco degli accessi al portale ed il reset delle password), che solo per essi potesse configurarsi un potenziale pregiudizio coincidente con l'accesso alle numerose informazioni contenute nell'area clienti;

CONSIDERATO tuttavia che la sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate, in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell'utente. Al riguardo, il Garante ha chiarito nel provvedimento del 4 aprile 2013 (cfr. punto 7, ultimo cpv.) che «devono essere sempre comunicate immediatamente ai contraenti le violazioni che riguardano le credenziali di autenticazione (nome utente e password, ancorché quest'ultima sia cifrata)». Nel caso di specie, peraltro, la Società ha dichiarato in sede di accertamento ispettivo che le credenziali di autenticazione presenti nel file violato erano riportate in chiaro e che la user-id, costituendo un dato di per sé direttamente e univocamente identificativo (cfr. verbale 10.4.2017, p. 3), alla luce delle tecnologie disponibili, può essere utilizzato come chiave per individuare in rete l'utente e conseguentemente accedere anche ad altre informazioni allo stesso correlate;

CONSIDERATO che l'art. 32-bis del Codice prescrive ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di comunicare senza ritardo un'avvenuta violazione dei dati personali anche agli interessati, oltre che al Garante, se da tale violazione possa derivare ad essi un pregiudizio specificando, al comma 3, che tale comunicazione non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato, nel caso specifico, misure tecnologiche di protezione che rendono i dati inintelligibili;

CONSIDERATO che l'art. 3 del Regolamento (UE) n. 611/2013, emanato per assicurare l'applicazione uniforme a livello europeo di adeguate misure applicabili alla notificazione di violazioni di dati personali, indica le circostanze di cui tener conto per valutare l'eventualità che una violazione possa arrecare pregiudizio ai dati o alla vita privata degli interessati, rendendo la notificazione dovuta anche nei confronti di questi ultimi, e che tale valutazione deve essere effettuata tenendo conto, tra l'altro, delle probabili conseguenze della violazione e delle circostanze in cui questa si è verificata;

RILEVATO altresì che, più puntualmente, ai fini della comunicazione agli interessati, devono essere prese in considerazione, tra le altre, le probabili conseguenze della violazione di dati personali per l'interessato, in particolare nel caso in cui «la violazione possa comportare furto o usurpazione di identità» (art. 3, par. 2, lett. b), del Regolamento (UE) n. 611/2013) nonché «le circostanze della violazione di dati personali, in particolare nel caso in cui i dati siano stati rubati» (art. 3, par. 2, lett. c), del Regolamento (UE) n. 611/2013);

CONSIDERATO che alla luce di un complessivo esame delle circostanze tempestivamente portate all'attenzione dell'Autorità e delle considerazioni svolte non possono escludersi ripercussioni negative della violazione in capo a tutti gli interessati (art. 32-bis, comma 4, del Codice), con particolare riferimento al rischio di furto d'identità e all'accesso non autorizzato a dati personali;

CONSIDERATO che già il Garante, con il menzionato provvedimento del 4 aprile 2013, ha individuato gli elementi da considerare per valutare il rischio che rende necessaria la comunicazione agli interessati, e, tra questi, l'attualità dei dati oggetto di violazione, la tipologia di violazione verificatasi e gli effetti della stessa per i dati e la vita privata dell'interessato (cfr. punto 7.3 del provvedimento), evidenziando che la comunicazione non è dovuta se viene dimostrata l'adozione di specifiche misure di protezione per rendere i dati inintelligibili;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) prescrive a Wind Tre s.p.a., con sede in Trezzano sul Naviglio, via Leonardo da Vinci n. 1, ai sensi degli artt. 32-bis, comma 4, e 154, comma 1, lett. c), del Codice, di informare con comunicazione scritta, senza ritardo e comunque entro e non oltre 15 giorni dal ricevimento del presente provvedimento, tutti gli interessati che non siano già stati destinatari della comunicazione del 23 marzo 2017 dell'avvenuta violazione dei dati, indicando gli elementi di cui all'allegato II del Regolamento;

b) ai sensi dell'art. 157 del Codice, invita, altresì, entro i successivi sette giorni, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell'art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 maggio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia