La notizia del data breach EasyPark è stata ampiamente diffusa da quando la stessa società gerente dei servizi ha comunicato la violazione subita il 10 dicembre ai propri utenti. Alcuni sono stati destinatari di un avviso direttamente in-app tramite una notifica push che ha indicato il link per tutte le informazioni relative alla violazione di dati personali, che sinteticamente possono essere riassunte come di seguito:
- la violazione ha riguardato la confidenzialità di dati non sensibili dei clienti:
- nome, numero di telefono, indirizzo fisico e/o indirizzo email;
- dettagli parziali relativi a numeri di carta di credito o carta di debito, con i quali non è possibile eseguire pagamenti;
- il servizio non ha subito interruzioni.
La stessa società ha contestualmente allertato gli interessati di prestare “particolare attenzione ai tentativi di phishing
Si tratta di una comunicazione di data breach ai sensi dell’art. 34 GDPR?
Dai contenuti non sembra essere una comunicazione ai sensi dell’art. 34 GDPR, la quale è obbligatoria solo qualora sia “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Un dettaglio tutt’altro che trascurabile, dal momento che se lo fosse stata non avrebbe compiutamente descritto i punti richiesti dall’art. 34 par. 2 GDPR, ovverosia le probabili conseguenze della violazione dei dati personali e le misure adottate per porre rimedio ed eventualmente per attenuare i possibili effetti negativi.
Non tutte le comunicazioni relative a delle violazioni di dati personali rivolte agli interessati devono infatti rientrare nei canoni del GDPR, ma certamente gli elementi indicati dalla norma possono fornire spunti molto utili per i contenuti. Anche una comunicazione canonica di violazione ai sensi dell’art. 34 GDPR, infatti, ha come scopo quello di informare gli interessati coinvolti nonché – ovviamente – di gestire comunicativamente la crisi che segue naturalmente ogni attacco o incidente informatico che riguarda dati personali.
Tant’è che, come da manuale, al termine della comunicazione è presente un “ci dispiace”.
Alcuni spunti di riflessione sul data breach EasyPark.
Leggendo la privacy policy di EasyPark, emergono alcuni elementi su cui riflettere.
Innanzitutto, la violazione sembrerebbe aver riguardato solamente i recapiti e dunque sono esclusi tutti gli ulteriori dati identificativi raccolti dalla società. Questo però consente, grazie al contesto, di dedurre almeno due ulteriori informazioni: che sono titolari di un account EasyPass e che hanno registrato un veicolo per il pagamento della sosta.
Questo significa che allertare su un generico rischio di phishing, senza indicare quale tipologia di frode potrebbe essere perpetrata grazie a queste informazioni acquisite, dedotte o deducibili, con riferimento a casi concreti, non consente agli interessati di avere contezza dei rischi cui sono esposti.
E sebbene ai cybercriminali la fantasia non manchi, già essere informati sugli schemi di attacco più comuni e ricorrenti può consentire l’adozioni di maggiori cautele. Alcuni esempi possono consistere in comunicazioni fraudolente aventi ad oggetto:
- la richiesta di conferma dell’account EasyPark con inserimento di dati personali;
- la segnalazione di un mancato pagamento di una sosta e la contestuale esigenza di integrare un pagamento per non incorrere in sanzioni;
- la richiesta di rinnovare i dati di pagamento sull’account EasyPark;
e molti altri ancora.
Per quanto riguarda invece i dettagli parziali delle carte di pagamento, da quanto si può leggere nella privacy policy sembra che la gestione sia rimessa integralmente ai fornitori.
EasyPark non gestisce dati relativi a carte. Gli estremi delle carte vengono gestiti dai nostri fornitori muniti di certificazione PCI.
Non è chiaro dunque se e in che modo tali dati risiedano nei sistemi di EasyPark. Probabilmente l’accaduto fornirà uno spunto per chiarire tale punto.
Insomma: le riflessioni che possono essere svolte non sono di poco conto. Certamente possono sempre rappresentare un’occasione per riesaminare le politiche di gestione dell’incidente, e non solo.