Nonostante la smentita iniziale, l’operatore telefonico Ho.Mobile ha confermato l’avvenuto furto di dati di milioni di utenti: la vicenda risale al 22 dicembre scorso quando, sul market del dark web (normalmente non accessibile dai normali computer), appariva un annuncio di vendita di un database con 2,5 milioni di dati appartenenti all’operatore italiano Ho.Mobile.
Il successivo 28 dicembre, l’account Twitter Bank Security pubblicava sul suo profilo gli screenshot del predetto annuncio, segnalando l’illecito tentativo di vendita. A fronte di quanto accaduto, l’azienda replicava prontamente che dai suoi archivi non risultasse alcun furto di dati. La questione sembrava perciò conclusa.
LA GESTIONE DEL DATA BREACH Senonché, il 4 gennaio 2021 la Ho.Mobile pubblicava un comunicato stampa con il quale ammetteva che il data breach fosse effettivamente avvenuto e notificava la violazione al Garante della Privacy e agli utenti interessati. Questi ultimi, in particolare, venivano informati tramite sms che i loro dati anagrafici e i dati tecnici delle rispettive sim fossero stati illecitamente sottratti a causa dell’intensificarsi dei crimini informatici nel periodo dell’emergenza sanitaria. In ogni caso – specificava l’azienda – la sottrazione non avrebbe riguardato i dati di traffico (telefonate, SMS, attività web) e quelli bancari o comunque relativi ai sistemi di pagamento. Pare, dunque, che la gestione del data breach sia stata “lenta”, ma conforme alle disposizioni di cui agli artt. 33 e 34 del Regolamento Ue 679/2016 (cd. GDPR).
In casi del genere, infatti, l’art. 33 prescrive che la violazione deve essere notificata al Garante Privacy senza ingiustificato ritardo e comunque entro e non oltre 72 ore dalla conoscenza della medesima, potendo essere evitata solo se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Il successivo art. 34 aggiunge, poi, che la notifica va effettuata anche nei confronti degli interessati, allorquando “la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
L’EVENTUALE RESPONSABILITA’ DELL’OPERATORE Dal momento che le indagini del Garante della Privacy e delle altre Autorità sono tuttora in corso, è ancora presto per poter parlare di responsabilità della Ho.Mobile. E’ però evidente che gli utenti interessati dal data breach si trovano esposti al rischio di SIM swapping, phishing e altre forme di frode tipiche del web. Se così non fosse, infatti, non si comprenderebbe perché mai l’operatore telefonico abbia notificato la violazione agli interessati e gli abbia suggerito di sostituire la propria scheda SIM con una nuova a spese dell’operatore.
Ci si chiede, dunque, se si sia possibile ottenere il risarcimento dei danni patrimoniali e non patrimoniali derivanti dalla sottrazione dei propri dati personali. Va detto che il risarcimento deve essere richiesto innanzi agli organi di giustizia ordinari e che, secondo il GDPR e la normativa nazionale di attuazione, la responsabilità del titolare del trattamento dei dati è oggettiva. Così, ad esempio, un utente che abbia patito un pregiudizio patrimoniale a seguito di un attacco sim swap potrà agire in giudizio per ottenerne il risarcimento e l’operatore telefonico potrà liberarsi delle proprie responsabilità soltanto “se dimostra che l’evento dannoso non gli è in alcun modo imputabile” (ai sensi dell’art. 82 GDPR).
Più complessa è la questione della risarcibilità dei danni non patrimoniali. Al riguardo va ricordato che, nei casi di data breach, vi è un rischio elevato del potenziale verificarsi di eventi dannosi in capo ai soggetti esposti. Il che significa che non è detto che gli eventi dannosi di cui si discorre si verifichino realmente. Ecco perché, con la recente sentenza 29982 del 2020, la Suprema Corte ha ribadito che il danno non patrimoniale da lesione della privacy può dar luogo al diritto al risarcimento soltanto quando vengano accertate la gravità e la serietà delle conseguenze patite dall’illegittima circolazione dei propri dati personali.
Avv. Stefano FRANCHI