Data Breach: gli obblighi non riguardano solo il Titolare

Lo scorso 8 febbraio, il Garante per la protezione dei dati personali ha emanato due distinti provvedimenti con cui ha sanzionato X. S.p.A. e Y. S.p.A. Le due pronunce si riferiscono al medesimo evento di data breach. In particolare, Banca X., in qualità di Titolare del trattamento, è stata sanzionata per 2,8 milioni di euro per violazione dell’art. 32 del GDPR (Provvedimento n. 65 dell’8 febbraio 2024); mentre, a Y., che trattava i dati per conto del titolare, è stato imposto il pagamento di una multa pari a 800mila euro, per non aver ottemperato correttamente agli obblighi di notifica del data breach e per aver nominato un sub-responsabile del trattamento senza autorizzazione (Provvedimento n. 66 dell’8 febbraio 2024).

Gli elementi di maggior interesse desumibili dal caso di specie riguardano il rapporto tra responsabile del trattamento e titolare del trattamento in caso di data breach; pertanto, nel presente contributo il focus sarà indirizzato su tale tema, accennando solamente ai profili tecnici della vicenda, per cui si rimanda ai provvedimenti menzionati.

GDPR e Normativa Privacy Commentario, A cura di: Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il Commentario GDPR E NORMATIVA PRIVACY offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018). Scarica gratuitamente l'estratto

1. Ricostruzione dei fatti: il data breach e i rapporti tra X. e Y.

Dalla lettura dei due provvedimenti si evince che, in data 21 ottobre 2018, si è verificato un attacco informatico (di tipo brute force, ossia quella tipologia di attacchi informatici che ha l’obiettivo di individuare credenziali di autenticazione valide per l’accesso a un determinato sistema o servizio online) al sistema di online banking – per il canale web mobile – di X. L’attacco – realizzato di domenica, come spesso accade in questi casi – ha determinato l’acquisizione illecita di alcuni dati personali di un amplia platea di interessati, clienti ed ex clienti della Banca.

In data 22 ottobre 2028, X. ha notificato al Garante il data breach, dichiarando che i primi tentativi di accesso indebito sono stati effettuati nel periodo compreso tra l’11 e il 20 ottobre 2018 e che solo il 21 ottobre l’attacco è stato condotto massivamente, comportando l’acquisizione illecita di nome, cognome, codice fiscale e codice identificativo interno della banca di più di 700mila interessati.

La Banca, non ravvisando il rischio elevato per i diritti e le libertà delle persone fisiche, ha deciso di non comunicare la violazione dei dati personali a tutti gli interessati, limitandosi, in un primo momento, a pubblicare un comunicato sul proprio sito web e ad avvisare quei clienti (che ammontavano a 6.859) ai quali era stato necessario bloccare la password, perché in quanto debole era stata individuata dagli attaccanti.

Il Garante, ritenendo, diversamente dalla banca, che il data breach fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ha ingiunto a X., ai sensi dell’art. 58, par. 2, lett. e) del GDPR, di comunicare la violazione dei dati personali a tutti gli interessati che non fossero già stati destinatari della comunicazione iniziale.

Dalla lettura dei provvedimenti si evince inoltre che Y. era stata incaricata di svolgere Penetration Test sul sistema mobile Site (sito e APP per dispositivi mobili). In particolare, tale attività era stata affidata sulla base di un contratto stipulato tra la stessa Y. e X. W. Solutions, avente ad oggetto la fornitura di servizi “banking application penetration test & vulnerability assessment” che Y. si impegnava a svolgere nei confronti delle società del gruppo X. (compresa, quindi la Banca). X. ricostruisce che, nell’ambito di tale agreement, Y. era stata designata dalla stessa X. quale responsabile del trattamento – ai sensi dell’allora vigente art. 29 del Codice Privacy.

Nell’esecuzione delle attività di cui sopra, Y. ha ritenuto di doversi avvalere della collaborazione di un altro soggetto K. S.r.l., designato sub-responsabile del trattamento con atto di nomina del 17 settembre 2018, ma senza autorizzazione scritta, specifica o generale, da parte del titolare.

Tra il 1° e il 12 ottobre 2018, K. svolgeva i test (PT e VA) e individuava alcune vulnerabilità, tra cui quelle di tipo “User Data Disclosure” (rinvenuta in data 10 ottobre 2018) e di “Lack of Reverse Bruteforce Protection” (rinvenuta in data 11 ottobre 2018), categorizzate come “high risk”. Così, in data 19 ottobre 2018 inviava una bozza di report a Y. Quest’ultima, dopo aver concluso le verifiche finalizzate ad assicurare che il report di K. fosse corretto, informava X. W. Solutions delle vulnerabilità trovate solamente in data 22 ottobre 2018, quando X. ne aveva già autonomamente avuto conoscenza, in quanto i suoi sistemi di monitoraggio avevano rilevato l’attacco informatico del giorno precedente e di conseguenza aveva adottato un primo insieme di misure tecniche ed organizzative per porre rimedio al data breach.

2. Le valutazioni del Garante

Con riferimento alla condotta di X., il Garante ha ritenuto che la “mancata adozione, nell’ambito della procedura di autenticazione informatica degli utenti del Portale di mobile banking, di alcun meccanismo in grado di contrastare efficacemente attacchi di tipo brute force condotti mediante l’utilizzo dei c.d. bot […], l’Autorità rileva che il sistema di autenticazione informatica all’epoca adottato da X. – che prevedeva l’utilizzo di credenziali di autenticazione costituite solamente da un User ID ed da un PIN, entrambi composti da 8 cifre decimali – si prestava a essere oggetto di attacchi di tipo brute force […]. Ciò, anche in considerazione del fatto che, al momento della violazione, X. non aveva adottato alcuna misura tecnica che impedisse agli utenti di utilizzare PIN semplici, quali, ad esempio, quelli composti da ripetizioni o sequenze di numeri oppure coincidenti con la data di nascita o con lo User ID”.

Invece, in merito a Y., il Garante ha accertato la violazione dell’art. 28, par. 2 del GDPR, prendendo atto che la stessa avesse commissionato l’esecuzione dei VA e dei PT a K. senza aver ottenuto la necessaria preventiva autorizzazione scritta da parte del titolare e prendendo atto che lo stesso atto di designazione di Y. quale responsabile del trattamento contenesse il divieto espresso di affidare a terze parti l’esecuzione, parziale o totale, di tali attività.

Inoltre, sempre con riferimento a Y., il Garante richiamando le Linee Guida dell’EDPB in materia, afferma che “sebbene il titolare conservi la responsabilità generale per la protezione dei dati personali, il responsabile del trattamento svolge comunque un ruolo fondamentale per consentire al titolare di adempiere tempestivamente e adeguatamente agli obblighi previsti dagli articoli da 32 a 36 del Regolamento, compresi quelli in materia di notifica delle violazioni dei dati personali”. Il Garante ricostruisce anche che “l’obbligo di informare il titolare del trattamento previsto dall’art. 33, par. 2, rimane in capo al responsabile iniziale, il quale non è tenuto a valutare il rischio derivante dalla violazione, prima di darne comunicazione al titolare del trattamento; al responsabile spetta soltanto stabilire se si è verificata una violazione dei dati personali e, in tal caso, informare tempestivamente il titolare; grava su quest’ultimo il compito di effettuare la predetta valutazione, nel momento in cui sia venuto a conoscenza della violazione”. Pertanto, secondo il Garante, “Y. avrebbe dovuto informare il titolare del trattamento della violazione dei dati personali, senza ritardo, ovvero sin dall’11 e 12 ottobre 2018, data in cui ne aveva avuto contezza per il tramite di K.”.

3. Conclusioni

Al netto delle valutazioni summenzionate, dai provvedimenti ivi sinteticamente ricostruiti si desume che, in caso di violazione dei dati personali, il responsabile del trattamento è tenuto ad informare il titolare senza ingiustificato ritardo dopo aver stabilito se si è verificata una violazione dei dati personali, non dovendo anche valutare il rischio da essa derivante.

Il principio di diritto (espresso anche dall’EDPB, da ultimo nelle Linee Guida 9/2022) pare assolutamente condivisibile; tuttavia, nel caso di specie, non è chiaro come Y. avrebbe potuto avere contezza del data breach avvenuto in data 21 ottobre 2023, essendo stata designata responsabile per il mero svolgimento di attività di VA e PT. Infatti, Y. poteva esclusivamente rilevare le vulnerabilità in essere (risultato correttamente realizzato, anche per il tramite di K.) e non anche rilevare i tentativi di attacchi da parte di criminali informatici.

Dunque, il principio di diritto previamente espresso non pare essere completamente aderente al caso di specie, dovendosi distinguere tra violazione dei dati personali e rilevazione di vulnerabilità che, potenzialmente, possono essere sfruttate da terzi per configurare un data breach.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!