Fino a poco tempo fa gli hacker usavano classicamente i ransomware per crittografare i dati delle vittime minacciandole di non restituirvene l’accesso se non dietro il pagamento di un riscatto, ma ora le estorsioni online stanno vedendo un’evoluzione ancora più meschina in cui i cybercriminali minacciano di segnalare al Garante della Privacy la mancata adozione delle misure di sicurezza prescritte dal GDPR.
A segnalare questo fenomeno è stato il ricercatore informatico Victor Gevers, che ha rivelato come in una campagna di estorsioni online un singolo hacker sarebbe riuscito ad accedere a ben 23.000 server tramite internet utilizzando degli strumenti automatizzati per individuare quali di essi non erano dovutamente protetti da credenziali di accesso, facendosi poi una copia dei dati che vi erano memorizzati e rivolgendo alla vittima una richiesta di pagamento di un “riscatto” con l’esplicita minaccia di denunciare all’autorità di controllo l’assenza di misure di sicurezza adeguate per la protezione dei dati.
Ovviamente l’efficacia psicologica della leva utilizzata in questi casi dal pirata informatico è notevole, perché essere colti in flagrante senza idonee misure di sicurezza può costare pesanti multe, che per questo tipo di violazioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato annuo, mentre il “riscatto” richiesto è di soli 0,015 Bitcoin (poco più di 100 euro al cambio attuale), e la tentazione di pagare per chiudere la questione è forte per qualsiasi azienda che abbia timore di finire nel mirino del Garante con il rischio di ricevere sanzioni dall’autorità.
D’altra parte, la vittima che decidesse sbrigativamente di pagare pensando di mettere tutto a tacere potrebbe incorrere in un effetto boomerang, perché proprio l’art. 24 del Regolamento UE 2016/679 prescrive che quando un titolare viene a conoscenza di un “data breach”, deve esso stesso a notificarlo al Garante per la privacy entro 72 ore da quando viene a conoscenza delle vulnerabilità che hanno permesso a terzi non autorizzati di accedere ai dati personali.
Questo significa che se per qualche non remoto motivo, l’autorità venisse successivamente a conoscenza dell’esposizione a cui sono stati soggetti i dati personali, (ad esempio nel caso in cui gli interessati coinvolti fossero presi di mira da campagne di phishing, oppure il database trafugato fosse messo in vendita nel Dark Web), allora il titolare che pensava di farla franca sarebbe concretamente passibile di sanzioni per la mancata notifica al Garante, e a quel punto oltre al danno si aggiungerebbe quindi la beffa.
Da non trascurare inoltre, che quando si ha a che fare con un criminale non si può contare troppo sulla sua “onestà” , e non vi è perciò garanzia che questo mantenga effettivamente la promessa di tacere o di non utilizzare i dati di cui è venuto in possesso semplicemente perché ha ricevuto un modesto compenso in denaro: come vi ha ricattato una volta, potrebbe farlo anche una seconda volta, specialmente se ha capito che siete di quelli che cedono facilmente.
Fonte: Federprivacy