Phishing: come gestire un caso di furto di identità digitale?

Il phishing è una frode perpetrata tramite diversi canali online (mail, chat, instant messaging, social network), attraverso il quale un cyber criminale, o un altro mittente malintenzionato, invia una comunicazione, tentando di ingannare la vittima e convincendola a fornire informazioni personali, dati finanziari o codici di accesso, o inducendola a scaricare un malware, fingendosi un soggetto affidabile in una comunicazione digitale.

Lo spear phishing è lo stesso tentativo di frode, tuttavia diretto ad un soggetto specifico, persona o gruppo di utenti della stessa organizzazione.
Sebbene abbia spesso l’obiettivo di sottrarre dati per scopi dannosi, i cybercriminali potrebbero anche voler installare malware sul computer dell’utente preso di mira o condurre il destinatario ignaro a un sito Web fittizio, pieno di malware o a piattaforme di messaggistica

Questi incidenti di sicurezza possono comportare una violazione di riservatezza, integrità e disponibilità delle informazioni o tradursi in un vero e proprio furto delle credenziali di autenticazione dell’interessato.
In quest’ultimo caso, grazie all’accesso alla casella di posta elettronica, possono essere non solo lette le informazioni, ma anche modificate, o può essere modificata la configurazione, ad esempio inserendo regole di forward.

Questi comportamenti possono tradursi in una distruzione, perdita, modifica, divulgazione non autorizzata o di accesso ai dati personali comportando una violazione di dati personali (data breach) tali da comportare anche rischi per i diritti e le libertà degli interessati.

Una violazione dei dati personali (data breach) è definibile come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, così come indicato dall’art. 4, punto 12 del Regolamento (UE) 2016/679 (“GDPR”).
Tale definizione permette di comprendere che un data breach è una tipologia di incidente di sicurezza che determina la compromissione di dati personali.

Una violazione di dati personali, a meno che sia improbabile che la stessa presenti un rischio per i diritti e le libertà delle persone fisiche, deve essere notificata all’Autorità di Controllo ai sensi dell’art. 33 del GDPR e, in caso di rischio elevato per i diritti e le libertà degli interessati, deve essere comunicata anche agli interessati.

Per evitare incidenti di sicurezza che possono tradursi in violazioni di dati personali, è pertanto fondamentale che il Titolare del trattamento adotti tutte le misure di sicurezza ai sensi dell’art. 32 del GDPR che lo stesso ritiene adeguate al rischio per i diritti e le libertà degli interessati e finalizzate a prevenire tali eventi o quantomeno contenerne le possibili conseguenze.

Quali siano le misure di sicurezza da ritenersi adeguate al rischio non è un aspetto disciplinato puntualmente dalla normativa vigente in materia di protezione dei dati personali.
Infatti, con l’entrata in vigore del quadro normativo europeo vigente, è stato abrogato il vecchio Allegato B – Disciplinare tecnico contenente l’indicazione delle misure tecniche di sicurezza minime della previgente versione del D.Lgs. 196/2003 (“Codice Privacy”).

L’art. 32, par. 1, del GDPR infatti dispone che tra le misure di sicurezza adeguate possono essere ricomprese a titolo esemplificativo “tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Per identificare, inoltre, le misure di sicurezza adeguate occorre tener conto di diversi fattori sempre ai sensi dell’art. 32, par. 1, del GDPR ossia “tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

Nel valutare le misure di sicurezza adeguate il Titolare del trattamento deve collaborare con il fornitore o il terzo che tratta per suo conto dati personali ed è stato appositamente nominato quale responsabile del trattamento ai sensi dell’art. 28 e istruito.
Per tale ragione, è necessario ricorrere unicamente a responsabili del trattamento che sia dotati di esperienza, competenza e comprovate qualifiche tecniche e organizzative per garantire la protezione dei dati personali.

Tra le misure volte a prevenire fenomeni di phishing e spear phishing, quindi, vanno per certo implementate le più diffuse misure tecnologiche, ma non vanno per certo trascurati gli aspetti organizzativi.
Sicuramente occorre menzionare una sensibilizzazione di tutto il personale su questi temi sempre più diffusi, che indichi allo stesso come individuare un fenomeno di phishing o di spear phishing (quali, imitazione di marchi affidabili, errori di battitura, utilizzo di tecniche intimidatorie, provenienza da un indirizzo non ufficiale), come agire e a chi rivolgersi per gestire e contenere l’evento prima che possa provocare conseguenze dannose e pregiudizievoli.
Inoltre, analoga importanza riveste l’adozione e implementazione di policy e procedure volte alla gestione delle proprie credenziali di autenticazioni e all’utilizzo degli strumenti e sistemi informatici, all’incident management e alla gestione di violazione di dati personali, nonché alla conoscenza e al controllo dei canali internet e online.
Anche quali procedure adottare per gestire le segnalazione e come gestire eventuali furti di credenziali o infezioni diventano fondamentali per la corretta gestione del possibile incidente.

Non è pensabile, infatti, basarsi esclusivamente su firewall, antivirus, antispam e strumenti simili, in mancanza di consapevolezza e competenza degli utilizzatori.

Condividi

Condividi

Foto di Flavia Terenzi

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche