1. Il Garante per la Protezione dei Dati Personali ha sanzionato una società finanziaria per aver sollecitato il pagamento al coniuge del debitore
2. Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente
3. Il Garante sanziona una società per non aver riscontrato una Data Subject Request
4. La cyberguerra arriva (nuovamente) in Italia

1. Il Garante per la Protezione dei Dati Personali ha sanzionato una società finanziaria per aver sollecitato il pagamento al coniuge del debitore

In data 7 aprile 2022 l’Autorità Garante per la Protezione dei Dati Personali (“Garante”) ha emesso un’ordinanza nei confronti di una società finanziaria con la quale le ingiungeva il pagamento di una sanzione di euro 10.000 per aver inviato sms al coniuge di un cliente che tardava con i pagamenti.

Il procedimento ha avuto inizio a seguito di un reclamo presentato dal titolare di tre posizioni debitorie nei confronti della finanziaria, il quale lamentava una violazione del Regolamento europeo 2016/678 (UE) (”GDPR”) da parte della stessa.

In particolare, secondo il reclamante, la finanziaria, al fine di tutelare i propri interessi creditori, avrebbe violato la normativa per aver contattato telefonicamente più volte la moglie (garante per un solo rapporto di finanziamento intestato al coniuge) in relazione a un finanziamento per il quale, invece, il reclamante risultava l’unico soggetto obbligato.

A seguito di tali affermazioni, la società ha dichiarato, tuttavia, che si è trattato di un mero errore interno che ha causato l’inserimento nel sistema del numero di telefono della coniuge come recapito principale da contattare per la riscossione del credito.

La finanziaria, al fine di porre rimedio per l’accaduto, ha inoltre precisato che gli operatori che hanno utilizzato il recapito in questione non sono più dipendenti della stessa.

All’esito dell’istruttoria, tuttavia, il Garante “ha ritenuto illecito il trattamento di dati, effettuato dalla società in maniera non conforme ai principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati fissati dal Regolamento Ue”.

Tali principi erano già stati ribaditi dal Garante nel provvedimento generale del 30 novembre del 2005 con il quale aveva stabilito che “ chiunque effettui un trattamento di dati personali nell´ambito dell´attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l´interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta)”.

2.  Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

Il Garante ha nuovamente ribadito che il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Per tale ragione, a seguito di un reclamo, il Garante ha sanzionato una società per 50.000€ per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società, senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, che risultava però ancora attivo.

Infatti, la lavoratrice continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo, e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

3.  Il Garante sanziona una società per non aver riscontrato una Data Subject Request

Il titolare del trattamento è tenuto a riscontrare la richiesta di esercizio dei diritti da parte dell’interessato nei tempi previsti dal GDPR. Infatti, in un recente provvedimento il Garante ha sanzionato una società per 20.000€ per aver trattato i dati di un utente per finalità promozionali senza aver ricevuto il preventivo consenso.

Inoltre, l’utente, durante la prima telefonata, aveva espressamente richiesto all’operatore la propria opposizione a ricevere ulteriori telefonate. Nonostante tale opposizione, l’utente era stato nuovamente contattato dalla stessa azienda per fini commerciali.

La società, oltre a non aver riscontrato la data subject request dell’utente, non ha mai risposto alle email inviate tramite la casella PEC dal Garante, determinando un rallentamento degli adempimenti istruttori.  

Pertanto, visto anche il comportamento dell’azienda, il Garante ha emesso la sanzione ed ha ordinato al titolare di riscontrare le richieste dell’interessato.

4.  La cyberguerra arriva (nuovamente) in Italia

Il collettivo russo noto come Killnet ha nuovamente attaccato diverse istituzioni italiane come confermato dalla Polizia postale.

Lo stesso collettivo ha annunciato tramite il proprio canale Telegram di aver preso di mira oltre 50 obiettivi tra cui il Consiglio Superiore della Magistratura, l’Agenzia delle Dogane, il Ministero degli affari esteri e della cooperazione internazionale e il Ministero dell’Istruzione.

Secondo la prima ricostruzione diversi attacchi sono stati di tipologia Ddos (Distributed Denial-of-Service) e in particolare “Slow http” che non intacca l’integrità e la confidenzialità dei dati ma unicamente rende non disponibili i servizi per la durata dell’attacco.

In particolare, la tipologia di attacco “Slow http” utilizza richieste HTTP GETper saturare le connessioni disponibili di un server web. In particolare, quando un client effettua una richiesta HTTP ad un server web, lo stesso rilascia la connessione esclusivamente quando l’intestazione (header) della richiesta ricevuta risulta essere completa. Inviando numerose richieste con velocità di trasmissione molto bassa, l’attaccante costringe il server web di destinazione a mantenere la connessione aperta, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni. Tale tipologia di attacco risulta più efficace nel caso di utilizzo di richieste POST, in quanto le stesse vengono utilizzate anche per l’invio di considerevoli quantità di dati verso il server web^[1].

Le azioni di mitigazione raccomandate del CSIRT - Computer Security Incident Response Team, il team costituito presso l'Agenzia per la cybersicurezza nazionale - riguardano:

1. rifiutare le connessioni con metodi HTTP non supportati dall'URL;
2. limitare l'intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
3. impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
4. utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
5. definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
6. attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.

^[1] https://www.csirt.gov.it/contenuti/attacchi-ddos-ai-danni-di-soggetti-nazionali-ed-internazionali-avvenuti-a-partire-dall11-maggio-2022-analisi-e-mitigazione-bl01-220513-csirt-ita