Ordine professionale e Data Breach: sanzioni del Garante per vulnerabilità dei sistemi

Con un recente provvedimento il Garante Privacy ha sanzionato un Ordine professionale per violazione della normativa sui dati personali connessa ad un data breach; il Garante ha infatti rilevato la  vulnerabilità dei sistemi e delle misure di sicurezza adottate e in particolare ha accertato che l’accesso non autorizzato ai sistemi informatici è avvenuto a causa di una vulnerabilità dell’infrastruttura dell’Ordine che ha consentito l’esfiltrazione (e la successiva pubblicazione on line) di circa 7 GB di dati particolari, inclusi documenti relativi a procedimenti disciplinari e dati personali di dipendenti, collaboratori e iscritti.

Violazione e rilievi del Garante

A seguito delle proprie attività ispettive, il Garante ha rilevato un trattamento dei dati in difformità dei principi di integrità e riservatezza  (cfr. art. 5, par. 1, lett. f) e art. 32 del Regolamento (UE) 2016/679) con particolare riferimento all’insufficienza delle misure tecniche e organizzative idonee predisposte che non hanno consentito all’Ordine di garantire un livello di sicurezza adeguato al rischio sotteso. Specificatamente, il Garante ha rilevato le seguenti inadempienze da parte dell’Ordine:

• Mancata adozione di misure idonee a rilevare tempestivamente la violazione dei dati personali: l’Ordine non ha rilevato tempestivamente l’attacco, nonostante vi fossero segnali anomali (accessi notturni via RDP, traffico in uscita, disattivazione processi); la violazione è stata scoperta solo dopo la ricezione di alcune segnalazioni da utenti esterni stante la carenza di strumenti e misure interne di monitoraggio idonee a rilevare tempestivamente le violazioni dei dati personali. A nulla è valsa la difesa dell’Ordine fondata sulla natura sofisticata dell’attacco informatico, posto che i meccanismi automatici di rilevazione -se posti in essere- sono finalizzati proprio alla rilevazione di eventi che, per le particolari accortezze impiegate dagli attaccanti, possono sfuggire al controllo umano, mettendo in rilevo determinati eventi (es. traffico in orario notturno o in giorni festivi, in giorni in cui non sono previsti interventi di manutenzione programmati);
• Utilizzo di sistemi vulnerabili ed obsoleti: il sistema configurato dall’Ordine era basato su un sistema operativo obsoleto che non rispettava i criteri minimi di sicurezza; tale sistema, unitamente all’omesso aggiornamento, ha facilitato l’accesso da parte di soggetti esterni. In conformità all’art. 32 del GDPR l’Ordine avrebbe dovuto tarare i propri sistemi di sicurezza sulla base dei rischi derivanti dal trattamento dei dati quali perdita, distruzione, modifica, divulgazione e accesso non autorizzato delle informazioni ed in particolare conseguenze sulle relazioni economiche e sociali degli interessati;
• Inadeguatezza del sistema di sicurezza rispetto al rischio effettivo: la circostanza che l’Ordine ha adottato misure di sicurezza in linea con la Circolare AgID conformandosi al livello standard non è sufficiente a garantire l’adeguatezza delle misure; le stesse devono essere aggiornate rispetto all’attuale contesto tecnologico, all’evoluzione del rischio e della natura dei dati trattati (dati disciplinari, sanitari, giudiziari, su minori). Conseguentemente, la mancata rivalutazione periodica delle misure ha reso queste ultime minimali ed obsolete rispetto alle esigenze e ai più gravi rischi attuali, anche alla luce dell’aumento significativo degli attacchi informatici. Infatti, l’obbligo del titolare del trattamento di adottare misure tecniche e organizzative idonee non si esaurisce con l’asserita conformità alle misure indicate nelle linee guida che invero costituiscono le misure minime di sicurezza, ma richiede revisioni e aggiornamenti;
• Mancata adozione dell’autenticazione a più fattori (MFA): l’Ordine non aveva implementato l’autenticazione a più fattori per gli accessi remoti (RDP), nonostante gestisse dati particolari; soltanto a seguito dell’attacco è stato previsto l’uso di autenticazione doppia con certificati e blocchi orari. La mancata adozione dell’autenticazione a più fattori ha facilitato l’attacco, avvenuto tramite brute force su RDP esposto pubblicamente. Il Garante sottolinea che il costo di attuazione di tali misure -evidenziato dall’Ordine- non può giustificare la mancata adozione di misure elementari ma efficaci posto che l’autenticazione a più fattori è considerata ormai una misura di base;
• Mancata protezione crittografica delle credenziali: l’Ordine non ha adottato misure idonee a garantire la protezione crittografica delle credenziali consentendo il recupero delle stesse, associate al dominio esterno, nel dark web che di fatto hanno facilitato l’accesso;

Il Garante ha ritenuto, tra le altre cose, che i costi connessi alle implementazioni informatiche non costituiscono una giustificazione accoglibile e non rappresentano una scriminante per la responsabilità dell’Ordine. L’Ordine ha infatti invocato carenze di bilancio ed eccessivi costi a supporto della mancata adozione di misure di sicurezza più evolute ma il Garante ha ribadito che i titolari del trattamento devono essere in grado di gestire i costi complessivi per poter attuare efficacemente tutti i principi e tutelare i diritti. I costi di attuazione delle misure costituiscono solo uno dei fattori da considerare ai fini della loro individuazione e non giustificano l’adozione di misure inadeguate o un motivo per astenersi dalla loro attuazione. Da tale riflessione discende che l’individuazione di misure tecniche e organizzative meno costose deve sempre garantire la protezione dai rischi a cui sono sottoposti i dati non autorizzando il titolare ad abbassare il livello di protezione. Peraltro, il Garante ha sottolineato che la circostanza che le stesse misure siano state adottate dopo l’attacco dimostra che queste non fossero inaccessibili economicamente, ma semplicemente che non fossero state valutate con sufficiente consapevolezza del rischio.

Valutazione della sanzione

In considerazione di quanto ricostruito, il Garante ha concluso che la mancata adozione da parte dell’Ordine delle misure tecniche e organizzative adeguate a garantire la sicurezza dei sistemi di trattamento dei dati personali configura una violazione degli artt. 5, par. 1, lett. f), e 32, par. 1, del Regolamento UE 2016/679.

L’Autorità ha considerato negligente la condotta dell’Ordine valutandola come violazione grave ed ha comminato una sanzione pecuniaria nella misura di euro 30.000,00 tenuto conto che:

• l’Ordine, pur non avendo adottato sistemi di alert in tempo reale per l’identificazione tempestiva di eventuali anomalie, aveva implementato un firewall in grado di rilevare i log e i tentativi di connessione RDP dall’esterno, inclusi eventuali tentativi di accesso indebito alla rete, affidando a taluni propri dipendenti il controllo periodico degli stessi;
• l’esfiltrazione dei dati è avvenuta in maniera progressiva, ovvero generando quantità di traffico di dimensioni tali da non generare sospetti, in orario notturno e in giorni festivi, senza mai superare la soglia di traffico media;
• la violazione non ha compromesso la disponibilità e l’integrità dei dati personali trattati dall’Ordine; tuttavia, ha riguardato un elevato numero di dati personali (dati anagrafici, di contatto, di pagamento, relativi a documenti d’identità/riconoscimento, appartenenti a categorie particolari, relativi a condanne penali e reati, e coperti dal segreto professionale) che ha esposto i soggetti interessati, tra cui anche soggetti vulnerabili, a potenziali rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale;
• l’Ordine ha notificato al Garante la violazione dei dati personali ai sensi dell’art. 33 del GDPR ed ha offerto una buona cooperazione all’Autorità nel corso dell’istruttoria e che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento.

Tale provvedimento valorizza fortemente il principio di “accountability” ai sensi del quale il titolare del trattamento adotta politiche e attua misure adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso GDPR; tale valutazione deve essere effettuata periodicamente per consentire un aggiornamento e adeguamento costante delle misure ai rischi attuali.