Data Breach a Wind Tre: un danno “inestimabile” alla reputazione

Il 21 Marzo 2016, Wind Tre (il più grande operatore mobile italiano) ha subito un attacco hacker, cosiddetto Data Breach che ha causato il “dataleak” di informazioni personali di circa 5000 utenti, tra le quali: User id e Password per accesso al profilo online, Nominativo, Codice fiscale, Numero di telefono, Indirizzo Email e altri contenuti soggetti a privacy.DataBreach

Il Primo provvedimento dell’azienda dopo aver rilevato il “Data Breach” è stato informare i 402 clienti per i quali era risultato un accesso sospetto nelle ore seguenti all’incidente, ritenendo che essi potessero essere esposti a un potenziale furto di dati. Per tutti gli altri clienti, vittime del furto delle credenziali di accesso, per i quali non è stato rilevato alcun “accesso sospetto” al profilo, Wind Tre ha solamente avviato una procedura automatica di cambio credenziali, senza però avvisare gli utenti del potenziale rischio i quali stessero correndo.

Qualche mese più tardi, il Garante Privacy ha stabilito, mediante il provvedimento n. 266, che Wind Tre dovrà comunicare per iscritto, a tutti i clienti possibili vittime dell’attacco, di aver subito una violazione ai sistemi di sicurezza interna, con conseguente acquisizione delle loro informazioni personali da parte di “persone non autorizzate”.

Infatti il Garante ha ribadito che la sola acquisizione delle credenziali di accesso è già di per sé fonte di rischio, indipendentemente dal loro immediato utilizzo o meno da parte dei responsabili del furto. Questo perché le medesime credenziali di accesso potrebbero essere utilizzate dai “criminali” per accedere ad altri servizi, per i quali gli utenti (poco consapevoli dei rischi) abbiano deciso di utilizzare le stesse.

Questo “scandalo”, oltre a sanzioni che potrebbero arrivare al 4% del fatturato annuo dell’azienda, secondo il Regolamento europeo GDPR prossimo all’effettiva applicazione, ha sicuramente provocato un danno “inestimabile” alla reputazione della Wind Tre, principale concorrente degli atri colossi della telecomunicazione italiana, quali Vodafone e Tim.

Il colosso della telefonia mobile Wind Tre avrebbe potuto evitare questa “imbarazzante” situazione?

A nostro avviso la risposta sta proprio nei requisiti del nuovo GDPR, che non rappresenterà solo un vincolo e un investimento fine a se stesso, bensì una vera e propria opportunità per le imprese, le quali potranno cogliere l’occasione di ristrutturare i propri processi attraverso gli approcci “by design” o addirittura “by default”.

Nicholas Volta
VM Sistemi – Technical Assistant

Related Posts

Pin It on Pinterest