Se i ransomware sono stati lo strumento più diffuso dagli hacker per crittografare i dati delle vittime e minacciarle previa richiesta di un riscatto, ora le intimidazioni sono caratterizzate dalla minaccia di segnalazione al Garante della Privacy della mancata adozione delle misure di sicurezza previste dal GDPR.
A segnalare il fenomeno è stato il ricercatore informatico Victor Gevers che ha rivelato come in una campagna di estorsioni online, un singolo hacker sarebbe riuscito ad accedere a 23.000 server tramite internet utilizzando degli strumenti automatizzati per individuare quali di essi non erano dovutamente protetti da credenziali di accesso. A questo punto l’hacker avrebbe fatto una copia dei dati della vittima rivolgendole poi una richiesta di pagamento di un “riscatto” con l’esplicita minaccia di denunciare all’autorità di controllo l’assenza di misure di sicurezza adeguate per la protezione dei dati.
L’essere colti in flagrante senza le dovute misure di sicurezza può costare infatti multe salate che possono arrivare fino a 10 milioni di euro mentre il riscatto richiesto è di soli 0,015 Bitcoin ovvero poco più di 100 euro al cambio attuale. La tentazione di pagare questa somma è quindi decisamente più alta rispetto alle multe del Garante.
L’effetto boomerang che verrebbe a crearsi se la vittima decidesse sbrigativamente di pagare pensando di fare la cosa più giusta potrebbe incorrere lo stesso in una sanzione. Secondo l’art 24 del Regolamento UE 2016/679 quando un titolare viene a conoscenza di un “data breach”, deve esso stesso notificarlo al Garante per la privacy entro 72 ore da quando viene a conoscenza delle vulnerabilità che hanno permesso a terzi non autorizzati di accedere ai dati personali.
Questo significa che se per qualche motivo l’autorità venisse successivamente a conoscenza dell’esposizione a cui sono stati soggetti i dati personali, il titolare, che pensava di farla franca, sarebbe concretamente passibile di sanzioni per la mancata notifica al Garante.
Clicca qui per leggere l’intero articolo
Per avere informazioni sui nostri servizi di protezione dei dati e in materia di GDPR contattaci!