Home News Estorsioni online: gli hacker puntano sul GDPR

Estorsioni online: gli hacker puntano sul GDPR

-

Tempo di lettura: 3 minuti

Fino a poco tempo fa gli hacker usavano classicamente i ransomware per crittografare i dati delle vittime minacciandole di non restituirne l’accesso se non dietro il pagamento di un riscatto, ma ora le estorsioni online stanno vedendo un’evoluzione ancora più meschina in cui i cybercriminali minacciano di segnalare al Garante della Privacy la mancata adozione delle misure di sicurezza prescritte dal GDPR.

Ora gli hacker minacciano di denunciarvi al Garante per la privacy

A segnalare questo fenomeno è stato il ricercatore informatico Victor Gevers, che ha rivelato come in una campagna di estorsioni online un singolo hacker sarebbe riuscito ad accedere a ben 23.000 server tramite internet utilizzando degli strumenti automatizzati per individuare quali di essi non erano dovutamente protetti da credenziali di accesso, facendosi poi una copia dei dati che vi erano memorizzati e rivolgendo alla vittima una richiesta di pagamento di un “riscatto” con l’esplicita minaccia di denunciare all’autorità di controllo l’assenza di misure di sicurezza adeguate per la protezione dei dati.

Ovviamente l’efficacia psicologica della leva utilizzata in questi casi dal pirata informatico è notevole, perché essere colti in flagrante senza idonee misure di sicurezza può costare pesanti multe, che per questo tipo di violazioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato annuo, mentre il “riscatto” richiesto è di soli 0,015 Bitcoin (poco più di 100 euro al cambio attuale), e la tentazione di pagare per chiudere la questione è forte per qualsiasi azienda che abbia timore di finire nel mirino del Garante con il rischio di ricevere sanzioni dall’autorità.

Un ransomare minaccia di denunciarvi al Garante per la privacy

D’altra parte, la vittima che decidesse sbrigativamente di pagare pensando di mettere tutto a tacere potrebbe incorrere in un effetto boomerang, perché proprio l’art. 24 del Regolamento UE 2016/679 prescrive che quando un titolare viene a conoscenza di un “data breach”, deve esso stesso a notificarlo al Garante per la privacy entro 72 ore da quando viene a conoscenza delle vulnerabilità che hanno permesso a terzi non autorizzati di accedere ai dati personali.

Questo significa che se per qualche non remoto motivo, l’autorità venisse successivamente a conoscenza dell’esposizione a cui sono stati soggetti i dati personali, (ad esempio nel caso in cui gli interessati coinvolti fossero presi di mira da campagne di phishing, oppure il database trafugato fosse messo in vendita nel Dark Web), allora il titolare che pensava di farla franca sarebbe concretamente passibile di sanzioni per la mancata notifica al Garante, e a quel punto oltre al danno si aggiungerebbe quindi la beffa.

Da non trascurare inoltre, che quando si ha a che fare con un criminale non si può contare troppo sulla sua “onestà” , e non vi è perciò garanzia che questo mantenga effettivamente la promessa di tacere o di non utilizzare i dati di cui è venuto in possesso semplicemente perché ha ricevuto un modesto compenso in denaro: come vi ha ricattato una volta, potrebbe farlo anche una seconda volta, specialmente se ha capito che siete di quelli che cedono facilmente.

A cura di Nicola Bernardi, Presidente di Federprivacy

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Digital twin e supply chain: la frontiera della logistica

    Digital twin e supply chain: la frontiera della logistica

    Designer e project planner possono visualizzare ciò che il cambiamento di una variabile comporta per l'output
    Accelera l'adozione dell'AI per il monitoraggio infrastrutturale

    Covid: accelera l’adozione dell’AI per il monitoraggio infrastrutturale

    Nel 2020 il mercato vale 240 milioni di euro, il 20% in più rispetto al 2019
    Numeri record per la PEC: attive 11.5 milioni di caselle

    Numeri record per la PEC: attive 11.5 milioni di caselle

    Sempre più utenti hanno compreso che PEC e firma digitale sono strumenti semplici, utili ed economici
    Apre a Milano la sede italiana di QuantumBlack

    Apre a Milano la sede italiana di QuantumBlack

    La società di advanced analytics e intelligenza artificiale, acquisita da McKinsey nel 2015, conta ora 13 uffici nel mondo
    Pensiero sistemico: dati real time per un approccio olistico alla gestione

    Pensiero sistemico: dati real time per un approccio olistico alla gestione

    Ogni parte di un’organizzazione, inclusi partner e clienti, deve utilizzare dati di alta qualità e affidabilità