Home Prodotti Sicurezza LegalTech: furto di identità, valutazione del rischio e contromisure

LegalTech: furto di identità, valutazione del rischio e contromisure

Con le Linee Guida pubblicate nel mese di gennaio del 2021, l’European Data Protection Board (Edbp) ha fornito una serie di indicazioni su come gestire l’evento più temuto in ambito GDPR: il data breach.

Dopo aver affrontato il tema del ransomware, ci dedichiamo ora a un’altra declinazione del data breach: il furto di identità, o identity theft secondo la terminologia dell’Edbp.

Un caso di furto di identità

Il furto di identità (identity theft) è un fenomeno in grande crescita nell’ambito delle varie tipologie di data breach e si distingue per la sua estrema pericolosità per le persone fisiche e la loro vita privata.

Per capire meglio di cosa si tratti può essere utile fare ricorso a un esempio tratto dalla quotidianità.

Il call center di una compagnia telefonica riceve il contatto di un sedicente cliente, il quale chiede che le fatture del traffico e dei servizi vengano inviate per il futuro a un nuovo, diverso, indirizzo di posta elettronica.

L’operatore certifica positivamente l’identità del chiamante attraverso le domande idonee a verificare alcuni dati personali del medesimo, così come previsto dalle procedure allo scopo messe a punto; con la precisazione che esse non prevedono la notificazione di tale mutamento al precedente indirizzo email.

In seguito all’autenticazione dell’identità del chiamante, l’operatore procede alla modifica dell’indirizzo di posta elettronica cui inviare le fatture.

Il mese successivo il vero cliente contatta la compagnia chiedendo spiegazioni in ordine al motivo del mancato invio della fattura mensile al suo indirizzo di posta elettronica della fattura mensile, consentendo così di scoprire che la fattura era stata inviata ad un indirizzo email non valido.

Valutazione del rischio, mitigazione e contromisure

Il controllo dei dati di fatturazione è assai pericoloso perché consente di acquisire altre informazioni sulla vita privata del soggetto titolare e può mettere a rischio l‘incolumità personale o esporre a stalking.

Inoltre i dati ottenuti con il furto di identità possono consentire di controllare malevolmente i conti correnti e/o di acquisire altri dati personali.

La rilevante gravità della minaccia impone pertanto misure di sicurezza e contromisure di alto livello.

Ne discende che il data breach deve essere notificato sia all’autorità di regolazione, sia al titolare dei dati, mentre della violazione deve essere documentato ogni aspetto.

Le procedure di autenticazione inoltre devono essere riviste evitando l’utilizzo di dati di pubblico dominio (come il codice fiscale) per la validazione dell’identità.

A loro posto devono essere utilizzati dati altamente confidenziali e segreti.

È assai consigliabile introdurre la notificazione del mutamento di indirizzo alla precedente email,

Un ulteriore procedura da adottre è l’utilizzo di domande intese a verificare dati presenti solamente nelle precedenti fatturazioni e dunque intrinsecamente ignoti a chi pone in essere l’attacco.

Chi è l’autore

legale

Classe 1968, maturità classica, laurea in giurisprudenza presso l’Università statale di Milano, relatore prof. Alberto Santamaria (tesi sul diritto antitrust comunitario in ambito radiotelevisivo) Giovanni Ricci, iscritto all’albo degli avvocati dal 2002, è partner dello studio legale Edoardo Ricci Avvocati, fondato dall’avv. prof. Edoardo Ricci, professore emerito di diritto processuale civile all’Università statale di Milano sino al 2010. Giovanni Ricci, è responsabile del dipartimento di responsabilità civile dello studio, ha approfondito la responsabilità sanitaria e i temi correlati (medical malpractice) e maturato significative competenze in tema di protezione dei dati personali e sulla normativa e sul Regolamento n. 679/2016/UE (GDPR)

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php