In un provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica, il Garante privacy ha sancito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Nel caso specifico, la società oggetto del provvedimento dovrà diffondere un nuovo avviso sul data breach subito, che si è concretizzato nell’accesso fraudolento alle caselle email di circa un milione e mezzo di utenti. La nuova comunicazione dovrà contenere una descrizione della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Quindi, ad esempio, occorrerà avvisare gli utenti di non utilizzare più le credenziali compromesse e di modificare la password incriminata qualora fosse utilizzata anche per l’accesso ad altri servizi.
La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach inviata dall’azienda. Nella notifica, la società ha dichiarato che il 20 febbraio 2019 era stato rilevato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti della webmail.
Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione. In seguito aveva inviato una email a tutti agli interessati colpiti dall’incidente che, dagli atti acquisiti dal Garante, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.