Cosa possiamo imparare dalle violazioni dei dati, analizzando, nello specifico, quelle avvenute nel 2023: una panoramica sul fenomeno.
Il termine “data breach” identifica una violazione di sicurezza, che comporta distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati personali. Tali eventi possono avvenire sia per cause accidentali che illecite e riguardano dati trasmessi, memorizzati o trattati in vari modi. Scopriamo, dunque, insieme come è attuata una violazione dei dati, quali sono le sue conseguenze, come agire per arginare i danni, dando uno sguardo ai dati rilevati, in merito, nell’anno 2023, durante il quale gli attacchi informatici hanno raggiunto una importante percentuale, colpendo imprese ed enti di piccole e grandi dimensioni.
Cos’è il data breach e come avviene la violazione dei dati
Tale violazione può minare la confidenzialità, l’integrità e la disponibilità dei dati personali, esponendo gli individui a diversi rischi. Tra i vari esempi di Data Breach ci sono, ad esempio:
- l’accesso o acquisizione illecita di dati da parte di soggetti non autorizzati;
- Furto o smarrimento di dispositivi elettronici contenenti dati personali.
- Manipolazione intenzionale dei dati personali;
- Interruzione dell’accesso ai dati dovuta a cause accidentali o ad attacchi informatici, con virus o malware;
- Danni o distruzione di dati personali a seguito di eventi catastrofici.
In caso di violazione dei dati personali, il titolare del trattamento dati (enti pubblici, aziende, associazioni, professionisti, ecc.) deve notificarlo – senza indebiti ritardi – al Garante per la protezione dei dati personali, preferibilmente entro 72 ore dalla presa di consapevolezza dell’accaduto, a meno che il Data Breach non presenti rischi per i diritti e le libertà delle persone.
Notifiche effettuate oltre le 72 ore devono essere giustificate. Inoltre, se la violazione presenta un alto rischio per i diritti degli individui, il titolare deve informare direttamente gli interessati, a meno che non siano state adottate misure atte a contrastare l’impatto della violazione.
A prescindere dalla notifica al Garante, il titolare del trattamento è tenuto a documentare ogni violazione, ad esempio tramite un registro dedicato, per consentire eventuali ispezioni da parte dell’Autorità competente.
Quali violazioni devono essere notificate?
Devono essere notificate le violazioni che possono causare danni importanti agli individui, quali danni fisici, materiali o immateriali.
Tra questi, ci sono anche la perdita di controllo sui propri dati, limitazioni dei diritti, discriminazione, furto d’identità, frodi, perdita di confidenzialità dei dati protetti, danni finanziari, reputazionali e altri svantaggi economici o sociali di una certa rilevanza.
Dal 1° luglio 2021, le notifiche relative alle violazioni dei dati personali sono da inoltrare al Garante per la Protezione dei Dati Personali attraverso un sistema telematico specifico, disponibile sulla piattaforma online dell’Autorità. Tale strumento è accessibile direttamente al seguente indirizzo web: https://servizi.gpdp.it/databreach/s/, come indicato nel Provvedimento del 27 maggio 2021.
Sul sito è anche possibile consultare un modello esemplificativo, che non deve essere utilizzato per la notifica ufficiale, ma che può servire come riferimento per preparare le informazioni da fornire all’Autorità.
Per facilitare il rispetto delle normative da parte dei titolari dei dati, il Garante ha introdotto uno strumento di autovalutazione, che aiuta ad identificare le misure appropriate da adottare in risposta ad una violazione dei dati legata a un incidente di sicurezza.
In caso di violazioni delle norme del Regolamento UE 2016/679, comprese le disposizioni relative alla sicurezza dei dati, il Garante ha il potere di imporre misure correttive, come specificato all’art. 58, paragrafo 2, del Regolamento. Le sanzioni possono raggiungere anche i 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo globale, a seconda di quale importo sia maggiore.
Analisi delle violazioni dei dati nel 2023
L’anno 2023 si è dimostrato particolarmente critico per la sicurezza dei dati a livello globale, visto che si è regisstrato un incremento allarmante delle violazioni: il numero delle vittime di data breach ha segnato un aumento del 152,5% – nella prima metà dell’anno – rispetto allo stesso periodo del 2022, passando da 62 milioni a 156,6 milioni di individui colpiti.
Questa tendenza è preoccupante e non risparmia nessuno, in quanto coinvolge tanto le piccole e medie imprese, che, spesso, peccano in termini di strumenti di protezione informatica e dei dati, quanto le grandi corporazioni e le istituzioni pubbliche.
Nonostante queste ultime possano contare su una governance della sicurezza informatica più strutturata, la vastità dei dati gestiti diventa – da ciascun ente o azienda – funge, in sostanza, da richiamo per gli hacker, sempre più determinati a sfruttare ogni vulnerabilità per il proprio tornaconto personale.
Gli studi condotti recentemente evidenziano, inoltre, che il costo medio globale conseguente a una violazione dei dati ha raggiunto i 4,45 milioni di dollari nel 2023, registrando un incremento del 15% nell’arco degli ultimi tre anni. I settori più colpiti risultano essere quelli dell’assistenza sanitaria e dei servizi finanziari, seguiti da quello manifatturiero, ma anche dai servizi pubblici e professionali.
I motivi alla base di questi attacchi informatici
L’analisi dei principali attacchi rileva che le violazioni dei dati sono – prevalentemente – dovute a:
- Malware e ransomware, per cui si raccomanda l’implementazione di soluzioni XDR (Extended Detection and Response) all’avanguardia, gestite da Security Operations Center (SOC) altamente qualificati, nonché l’avvio di programmi di sensibilizzazione e formazione per il personale;
- Sfruttamento di vulnerabilità, per il quale è essenziale attivare servizi di gestione delle vulnerabilità che prevedano il rilevamento preventivo e una rapida remediation;
- Violazioni imputabili a terze parti, per le quali si consiglia la definizione di un rigoroso processo di governance che comprenda la valutazione ed il monitoraggio costante di fornitori, partner, sviluppatori software e, più in generale, di tutte le entità esterne coinvolte.
La crescente complessità e frequenza dei data breach nel 2023 ha evidenziato, dunque, la necessità per le organizzazioni di ogni dimensione e settore di appartenenza di rafforzare le proprie difese, adottando strategie di sicurezza informatica proattive e integrate, al fine di salvaguardare i dati sensibili e prevenire conseguenze economiche e reputazionali che potrebbero essere potenzialmente devastanti.
Solo attuando tali azioni, in via preventiva, si può tenere sotto controllo la propria situazione interna ed evitare conseguenze importanti che potrebbero, nei fatti, essere evitate con gli investimenti giusti in formazione e sicurezza.
