TLC: scoperta un’estesa violazione di dati. Il provvedimento del Garante

Il 6 aprile 2017 il Garante per la protezione dei dati personali ha adottato il provvedimento n. 176/2017 in materia di violazione di dati personali (data breach) e sicurezza informatica nei confronti di Telecom Italia.

La decisione, intervenuta ad esito di una procedura di reclamo, è pregevole per granularità ed estensione (22 pagine) e presenta molteplici elementi di interesse. Preannuncia inoltre nuovi sviluppi.

Il reclamante – questo hanno rivelato le verifiche dell’Autorità – costituisce in effetti solo una tessera, per quanto macroscopica, di un ben più esteso mosaico di interessati, svariate centinaia, ugualmente attinti dalla violazione e tuttora in fase di identificazione.

All’interprete non sfuggirà la naturale collocazione del provvedimento nel solco già tracciato dal provvedimento GPDP, 16.2.2006 [1242592] (in G.U. n. 54 del 6.3.2006) e dal nutrito gruppo di ordinanze ingiunzioni del febbraio-aprile 2013, cfr. per tutte GPDP, ord. ing. 18.4.2013 [2691090].

La vicenda

Innanzitutto un cenno alla vicenda.

La scoperta dell’illecito è dovuta, come già in passato, alla sua propagazione all’esterno dei sistemi informatici della società di telefonia, allorché il futuro reclamante veniva fatto oggetto di numerosi solleciti di pagamento da svariate società di recupero crediti incaricate da Telecom Italia.

Nulla di strano, se non fosse che le morosità riguardavano contratti telefonici a lui sconosciuti.

È poi risultato che fosse intestatario a sua insaputa di ben 826 linee di telefonia fissa variamente distribuite sull’intero territorio nazionale.

I precedenti nella casistica del Garante

La situazione costituisce un déjà vu per chi si occupa di privacy.

Dall’esame dei precedenti del Garante emergono infatti evidenze di intestazioni abusive di linee telefoniche a terzi ignari, già risalendo agli anni 2002-2004.

Anche sulla base di questa casistica, limitata per vero alla telefonia mobile, è stato adottato nel 2006 il provvedimento sopra ricordato, pubblicato in Gazzetta ufficiale.

Successivamente, nel 2010, è venuta alla luce, con rilievo su varie testate giornalistiche, un’altra vicenda di intestazioni abusive di linee mobili Telecom Italia, straordinariamente ramificata e grave, che ha interessato diverse migliaia di utenze e ha dato luogo nel 2013, come accennato, a numerosi interventi sanzionatori del Garante.

Il caso odierno presenta elementi in parte nuovi, poiché riguarda linee residenziali e non sembra coinvolgere terzi rivenditori (cd. dealer) ma in modo diretto la società di telefonia, e in parte evidenti profili di continuità: identico il titolare del trattamento, sovrapponibile l’arco temporale della violazione attualmente all’esame con quelle precedenti (ved. oltre), sostanzialmente analogo l’illecito.

Colpisce invero che ancora nell’anno 2017 risultino omesse per le reti fisse quelle misure, banali ed elementari, già prescritte dal Garante nel 2006 per le reti mobili, ma tanto più ovvie per le utenze residenziali, vale a dire l’obbligo di:

«1) Predisporre […] specifiche procedure che permettano di rilevare più tempestivamente intestazioni multiple di schede ad una medesima persona, almeno superiori a quattro […], autorizzando l’attivazione delle nuove schede con una procedura più accurata di verifica che accerti l’effettiva volontà dell’intestatario dal quale raccogliere direttamente un’idonea dichiarazione di conferma;

2) Con riferimento alle attivazioni effettuate in passato, verificare l’esistenza di attivazioni multiple e definire una procedura per i casi di superamento delle soglie indicate al precedente punto 1)».

Il data breach odierno

L’Autorità di controllo, ad esito di scrupolose indagini durate mesi, è giunta a confermare in pieno le doglianze del reclamante, qui omesse per brevità, fotografando la seguente situazione di compromissione della sicurezza informatica:

− il data breach ha intaccato sistemi che costituiscono «i gangli vitali» della struttura informativa di Telecom Italia (così letteralmente a p. 10). Almeno i seguenti: il sistema di gestione della clientela, la banca dati in uso alle Forze di polizia e alla Magistratura, il sistema di fatturazione;

− la violazione è in essere addirittura dal 2003 o dal 2001, secondo dichiarazioni a verbale, dunque da oltre quattordici anni;

− la società ne era perfettamente edotta, da anni, come è risultato da evidenze documentali, eppure non ha posto in essere idonee misure di sicurezza né interventi per contrastarla e neppure per determinarne il perimetro;

− la società non è stata in grado di fornire il numero esatto degli interessati coinvolti nel data breach. Sono almeno 644, per complessive 7.000 linee telefoniche, numero, secondo il Garante, destinato a «un significativo incremento» (p. 8)

− nonostante la società abbia attribuito la compromissione a un non meglio specificato errore informatico di migrazione avvenuto nel 2003, essa non è stata in alcun modo in grado di spiegarne né l’eziologia né la propagazione a più sistemi informatici.

Si legge per esempio a p. 10 del provvedimento: «Deve essere inoltre segnalata la condotta negligente e omissiva tenuta dalla Società la quale, durante un assai ampio arco temporale, anche in tempi successivi alla segnalazione dell’erroneità delle predette assegnazioni, in violazione del principio di correttezza del trattamento (art. 11, comma 1, lett. a), del Codice), non ha svolto le necessarie verifiche che avrebbero potuto assicurare l’approntamento di rimedi nei confronti del reclamante anzitutto e, quindi, di quanti si trovano in una situazione analoga».

«Plurimi appaiono i malfunzionamenti che la Società non è stata in grado di prevenire e quindi, nonostante le reiterate segnalazioni provenienti da soggetti diversi, tempestivamente rilevare, censire e, infine, governare».

Le anomalie – evidenzia l’Autorità – apparivano ictu oculi: «Nel corso delle verifiche sono emerse sin da subito una pluralità di anomalie […] che, rilevate a seguito di una ricognizione poco più che attenta da parte degli incaricati della Società, avrebbero consentito di porre in essere forme efficaci di intervento» (p. 12).

Spicca l’inerzia rispetto a una compromissione così vasta e in essere da così lungo tempo: «La suddetta responsabilità non è venuta meno, ed anzi si è aggravata, con l’inerzia tenuta dalla Società dopo che, pur avendo avuto, in più occasioni, notizia dell’accaduto dal reclamante nonché da altri clienti […], non ha dato prova di aver posto in essere alcuna idonea misura per definire il perimetro dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli» (p. 11).

Non si vuole tediare il lettore con l’impietosa trascrizione degli estratti in cui il Garante censisce l’inosservanza di disposizioni del codice privacy, basti dire che sono numerosi e riguardano altresì gli obblighi di comunicazione del data breach al Garante ex art. 32-bis cod. priv., adempimento la cui rilevanza, come ben si comprende, è centrale, anche in termini di cultura della sicurezza.

Ugualmente non risulta idonea documentazione delle operazioni svolte dalla società, dunque vi è un’evidente carenza sul versante dell’accountability.

Le conseguenze per gli interessati

La vicenda appare utile anche per una riflessione sulle conseguenze della violazione per gli interessati.

Accanto a quella più evidente e immediata, ossia alla profonda incisione del diritto fondamentale alla protezione dei dati personali, protratta per circa tre lustri, ve ne sono altre.

L’associazione illecita ad utenze in uso ad altri determina per esempio un concreto rischio di coinvolgimento a propria insaputa in procedimenti penali. Che il rischio sia concreto è provato dall’evidenza che ciò appunto è già avvenuto in passato in casi analoghi, più volte, cfr. ex multis GPDP, 25.5.2004 [1097676].

Nel caso che ci occupa, il Garante ha addirittura accertato la compromissione della banca dati recante le informazioni relative alle intestazioni telefoniche, in uso all’Autorità inquirente e alla Polizia giudiziaria.

Sotto diverso profilo, giova notare che l’alimentazione di suddetta banca dati con informazioni non rispondenti al vero e mai corrette determina intralcio all’attività di ricerca e repressione dei reati.

Inoltre, risulta compromesso anche il sistema di fatturazione della società, il che ha determinato l’invio di dati personali degli interessati a un numero rilevantissimo di terzi soggetti in tutta Italia.

È emerso altresì che informazioni sugli interessati siano state illecitamente comunicate ai titolari di alcuni account di posta elettronica, sempre gli stessi, ricorrenti più e più volte, facenti capo a soggetti non identificati. Il che desta ulteriore preoccupazione sui canali di circolazione in tal modo impressi ai dati personali.

Sono inoltre state attivate, quantomeno nel caso del reclamante, plurime iniziative di recupero crediti, chiaramente pretestuose ma coltivate per anni.

Vi è stata anche comunicazione di dati personali non corrispondenti al vero a soggetti istituzionali, ad esempio all’Agenzia delle entrate, che gestisce l’Anagrafe tributaria.

Il Garante ha poi espressamente paventato che in futuro analoga comunicazione possa avvenire verso il costituendo S.I.Mo.I.Tel., ossia la banca dati dei cattivi pagatori in materia di utenze telefoniche, cfr. GPDP, 8.10.15 [4349760].

Insomma, le conseguenze pregiudizievoli ai danni degli ignari interessati appaiono molteplici e significative.

Le misure necessarie prescritte

L’Autorità ha prescritto alla società di censire entro 120 giorni:

− l’intera platea dei propri clienti attinti dalla violazione;

− tutti i sistemi informatici della società raggiunti dalla violazione;

− tutti i terzi destinatari di comunicazione.

Inoltre, ha imposto obblighi di accountability e tracciabilità con annotazione degli interventi e segnalazione dell’erroneità delle linee assegnate, estesi anche al sistema a disposizione delle Forze di polizia e della Magistratura.

Ancora, è stato previsto l’obbligo di notiziare, con cadenza mensile, i terzi destinatari di comunicazione illecita di dati, via via individuati, dell’erronea assegnazione di linee telefoniche, al fine di consentire le necessarie rettifiche, dandone quindi informazione agli interessati e al Garante. E altresì è stato prescritto di informare gli interessati con cadenza mensile di quali siano i terzi destinatari via via individuati.

Ulteriormente, in chiave preventiva, l’Autorità ha disposto idonee misure organizzative, che si sommano dunque a quelle già previste nel 2006 per le utenze mobili, volte a verificare l’eventuale discordanza tra il codice fiscale indicato in fattura e quello associato alla linea, prima di intraprendere azioni di recupero crediti, discordanza giustamente considerata dall’Autorità evento «sentinella» di una compromissione a monte.

Ha infine prescritto, nelle ipotesi di discordanza, l’obbligo del personale di Customer care di provvedere alla tempestiva segnalazione alle funzioni interne della società.

Conclusioni

Molto di quanto può osservarsi appare in effetti autoevidente. Ad esempio, non c’è dubbio che, specialmente nel settore delle telecomunicazioni, l’omissione di misure di sicurezza assolutamente banali, la certificata inerzia negli interventi pur rispetto a una violazione nota, l’incapacità di governo dei malfunzionamenti, il disinteresse per la loro eziologia e per le modalità di propagazione del data breach, la mancata identificazione degli interessati colpiti, la sussistenza di un illecito per oltre quattordici anni espongano gratuitamente una vastissima platea di soggetti a un pregiudizio grave e del tutto ingiustificabile, ancor più ingiustificabile considerati i numerosi precedenti.

I confini esatti della violazione emersa sono peraltro ancora in fase di determinazione.

Pregevole e puntuale l’intervento ispettivo del Garante, meticolosi gli approfondimenti, ampio e imponente il quadro delle misure prescritte per circoscrivere i confini dell’illecito.

Può solo osservarsi, a parere di chi scrive, che avrebbe completato efficacemente il disegno delle misure organizzative l’estensione anche alle linee residenziali di quanto indicato nel citato provvedimento GPDP del 2006, specialmente ai punti 1 e 5 delle prescrizioni finali.

Sarebbe stata inoltre desiderabile, a ben guardare, l’individuazione di misure stringenti volte a evitare pro futuro le riscontrate carenze nella comunicazione ex art. 32-bis d.lgs. 196/03.

Avrebbe inoltre offerto interessanti prospettive la ricerca di eventuali nessi tra le vicende pregresse e quella attuale, in special modo se si considera che di quest’ultima appaiono ben poco nitide le cause e la successiva dinamica, aspetti la cui individuazione è centrale per scongiurare repliche future.

Allegati

documenti/notizie/GPDP_6-4-17_n._176_Con_omissis.pdf;;

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Allegati

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"