Blog

Databreachfinito.png

Dati personali e data breach, i punti fondamentali del GDPR

Uno dei temi principali su cui si focalizza il GDPR, è il concetto di dato personale e la sua eventuale violazione, il cosiddetto data breach.

Il General Data Protection Regulation definisce il dato personale come qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc...

Negli ultimi anni è cresciuta la sensibilità delle aziende italiane nei confronti dei dati. Questa sensibilizzazione è ricaduta non solo sui dati interni aziendali ma anche su quelli esterni, normalmente non strutturati, che permettono di arricchire il patrimonio informativo aziendale, andando ad aiutare a comprendere i comportamenti di acquisto dei consumatori o le tendenze di mercato.

Nell’ultimo anno però, più del 25% delle aziende ha subito un attacco informatico, con malware presenti nell’infrastruttura aziendale per diversi mesi, portando a un aumento delle violazioni, difficilmente controllabili. Questa statistica non riguarda solo aziende di grandi dimensioni, con un numero corposo di dati in loro possesso, perché qualsiasi impresa, di qualsiasi dimensione, può essere oggetto di un attacco informatico mirato a rubare informazioni sensibili. Non è quindi la quantità di dati disponibili a mettere a rischio un’azienda piuttosto che un’altra.

Ma dopo che un’azienda ha subito un data breach, dove finisco le informazioni rubate?

Dopo un episodio di hacking, i dati rubati vengono spesso utilizzati come merce di ricatto o venduti sul dark web da ladri d’identità che cercano di guadagnare soldi sulle informazioni delle persone e qualsiasi dato loro associato.

Le tipologie d’informazioni acquistabili sul dark web sono differenti e di diversa natura, alla quale è associato il relativo prezzo: dalle singole informazioni bancarie, mediche o d’istruzione, alle cosiddette informazioni Fullz, un pacchetto d’informazioni completo su un determinato soggetto.

Esistono tre principali modi in cui le informazioni personali sono comunemente vendute sul dark web: acquisizione una tantum dei dati personali, d’interi lotti di informazioni della stessa tipologia, oppure di interi dati pacchettizzati. Il valore della vendita di questi dati varia in base alla natura stessa del dato, in base al principio economico della domanda e dell’offerta su una determinata tipologia di informazioni e la sua capacità di riutilizzo.

Quindi uno degli obiettivi base del GDPR, è quello di tutelare i dati personali degli utenti di cui le aziende sono in possesso, fornendo una disciplina uniforme e superando le differenze finora esistenti tra gli Stati dell’Unione Europea.



Pubblicato da Riccardo Brambilla in data 04/04/2018