Benvenuto alla puntata numero 78 di Cronache Digitali: puntata speciale, dedicata ad un argomento a me caro. Quando si trova una notizia relativa ad un attacco informatico, come dobbiamo "trattarla"?

Per rispondere a questa domanda ho intervistato un avvocato, esperto di privacy, DPO, ma anche amico e collaboratore: Francesco Cucci.

Potete ascoltare l'intervista sul Podcast cliccando qui!

🙏
Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

Ecco il riassunto di quanto ci siamo detti: se hai commenti, richieste, domande, puoi farle contattandomi oppure commentando il post in fondo.


Oramai è abitudine consolidata per le cyber gang pubblicare i nomi delle loro vittime sui così detti Data Leak Site (DLS), ovvero siti internet (spesso nel dark web, ma non solo) dove annunciano di aver attaccato un determinato bersaglio.

Spesso, allegano anche dei "sample", ovvero una porzione dei dati che hanno esfiltrato, al fine di comprovare quanto affermato. Inoltre, sia le cyber gang ma anche ricercatori indipendenti, condividono la "notizia dell'avvenuto attacco" sui social, specialmente Twitter e Telegram.

Sottolineo che per questi annunci, anche in presenza di sample, ovviamente non c'è la certezza che corrispondano al vero (anche se nel 99% dei casi che ho analizzato è così).

Prima domanda: se la "Sig.ra Maria", si imbatte su uno di questi siti e legge la notizia, può condividerla su altri social? Ad esempio facendo uno screenshot (che contiene solo l'annuncio dell'attacco avvenuto riportando il nome dell'azienda vittima che l'ha subito) e poi pubblicarlo su LinkedIn (o altra piattaforma).

E' una operazione lecita? La Sig.ra Maria rischia qualcosa?

Occorre innanzitutto chiederci come sia qualificabile l’oggetto della notizia che la signora Maria sta diffondendo sui social.

Ci dobbiamo chiedere, quindi, come sia qualificabile il fatto che un’azienda abbia subito un data breach o peggio un data leak.

Sicuramente si tratta di un fatto dannoso direttamente per l’azienda, il che potrebbe suscitare sentimenti di empatia e solidarietà verso l’attaccata, ma è anche un fatto dannoso per i suoi clienti e collaboratori, in realtà per tutti i suoi stakeholder, il che potrebbe suscitare, invece, sentimenti di indignazione verso la stessa, per non aver saputo proteggersi e proteggere i dati dei propri stakeholder.

Risulta, di conseguenza, un fatto non lusinghiero per l’azienda e, diciamolo pure, nella misura in cui può configurare un illecito amministrativo (per violazione della normativa sulla protezione dei dati) risulta un fatto di per sé infamante la cui pubblicazione risulterà corrispondere ad un atto di diffamazione, reato che per consolidata giurisprudenza (v. Cass. Pen. Sez. 5, n. 2886 del 24/01/1992) può essere configurabile anche qualora sia commesso nei confronti di una persona giuridica.

La signora Maria, quindi, si starebbe accingendo a pubblicare una notizia che per l’azienda vittima dell’attacco informatico potrebbe risultare diffamatoria.

L’unico motivo per cui la signora Maria (come chiunque altro, giornali compresi) potrebbe pubblicare ciononostante la notizia infamante, è il diritto di cronaca che, per la nostra costituzione e per la giurisprudenza di legittimità, fa parte dei diritti di espressione, purché esso si traduca nella pubblicazione di una notizia caratterizzata da

  • Verità
  • Continenza nell’esposizione
  • Interesse pubblico
  • Attualità

Diventa, quindi, imprescindibile, accertare la veridicità del fatto e nel caso la signora Maria, o chi per lei, non fosse in grado di arrivare a tale verifica, dovrà astenersi, proprio perché starebbe violando il primo dei requisiti che sottendono il diritto di cronaca: la veridicità della notizia.

E’ da notare che, a questo punto, trattandosi di vicende infamanti non più supportate dal diritto di cronaca, si va a configurare il reato di diffamazione.

Mi si chiede in particolare se la signora Maria potrebbe limitarsi a dare risonanza alla notizia ripostando un articolo fatto da altri anche tramite un semplice screenshot.

Partendo dalla giurisprudenza riguardante l’esperienza dei social network la sentenza n. 24431/2015 della Corte di Cassazione afferma che il post o il commento denigratorio su Facebook integra la fattispecie di cui all’art. 595 c.p. (cioè la diffamazione), che può estendersi, per concorso, a coloro i quali condividano, fomentino, o solo inseriscano reazioni positive (like, cuore, etc.).

Quindi anche il semplice ripostare l’annuncio degli hacker di aver colpito un’azienda, se la notizia degli hacker non fosse fondata, la signora Maria incorrerebbe nel potenziale reato di concorso in diffamazione.

I giudici di altra sezione della Cassazione (Cass., sez. V, 21.9.2015, n. 3981, Quotidiano Giuridico, 2016) hanno precisato che non concorre nel reato chi non ha dimostrato “una volontaria adesione e consapevole condivisione” ai post denigratori e dunque la condotta “non evidenzia oggettivamente alcuna adesione ai medesimi”

Si apre, quindi, la questione del c.d. “rilancio” di una notizia: in definitiva, guardando al contesto della rete e, in particolare, a quella dei social network, determinante sarà la valutazione del singolo comportamento che ha contribuito alla c.d. viralità con uno share, un re-post, un retweet, finanche un like (gesto che fa comparire la notizia sull’altrui homepage).

Prudenzialmente, però, mi sentirei di consigliare alla signora Maria che, se non fosse in grado di verificare con assoluta certezza la verità della notizia, sarebbe meglio che si astenesse dal “rilanciare” alcunché, anche postando un semplice screenshot.

Seconda domanda: la nostra "Sig.ra Maria", una volta intercettata la notizia, può contattare l'azienda vittima informandola che circolano "voci di un attacco subito"? Magari fornendo il link della fonte e lo screenshot.

Certamente sì, perché la signora, nel riferire al solo diretto interessato della presenza di informazioni infamanti sul suo conto, non commette né il reato di ingiurie (peraltro da poco depenalizzato tramite il DECRETO LEGISLATIVO 15 gennaio 2016, n. 7 che ha abrogato l’art. 594 codice penale) né tanto meno quello di diffamazione in quanto comunica direttamente all’interessato ed in assenza di altre persone.

Mi permetto di evidenziare che laddove l’azienda che ha subito l’asserito data breach non rispondesse alla nostra segnalazione e si trattasse, però, di un’azienda che, o in via diretta (ne siamo clienti) o in via indiretta (perché magari, anche in via meramente ipotetica, potrebbe avere in pancia i nostri dati personali per essere parte di un gruppo di cui siamo clienti) commetterebbe violazione del GDPR che obbliga a rispondere alle istanze degli interessati laddove corrispondano all’esercizio di un diritto previsto dal GDPR.
La richiesta di questo tipo di informazioni (cioè: “avete subito un attacco hacker?”, “avete perso dei dati?”, “ve li hanno criptati solamente o ve li hanno anche esfiltrati?”) può configurare l’esercizio del diritto di accesso (avete i miei dati? Se sì, quali e come li trattate), sicché, a fronte del silenzio della nostra interlocutrice, si potrebbe pensare ad una successiva segnalazione dell’intera vicenda al Garante per la protezione dei dati personali, che potrebbe avere questo contenuto, in sintesi: “ho letto su internet che la azienda X ha subito un attacco hacker, ho chiesto all’azienda di confermarmi se stava trattando miei dati personali e come, e anche se essi fossero stati oggetto dell’attacco hacker di cui ho letto, ma questa non mi ha risposto nel termine previsto dei 30 giorni.

Ciò potrebbe innescare una serie di verifiche da parte del Garante – ed eventuali sanzioni - ed un circolo virtuoso di sensibilizzazione/responsabilizzazione delle aziende italiane.

Veniamo ai dati rubati ad una azienda da un attore criminale. Come dicevamo prima e soprattutto in funzione della tecnica della doppia estorsione, le cyber gang ransomware se la vittima non paga, pubblicano sui loro siti tutti i dati che hanno rubato. Si tratta di informazioni riservate e spesso personali, si può trovare di tutto: documenti di identità, buste paga, file excel, certificati medici, e tanto altro.

Qui le domande sono due:

1.    io posso scaricare questi dati per analizzarli, ovvero capire quali informazioni contengono al fine di capire la "portata" dell'attacco oppure verificare se ci sono miei dati personali (pensiamo ad esempio ai dati trafugati ad una ASL)?

Mi verrebbe da dire che il cittadino che consulta (non scarica) i dati direttamente dove sono stati pubblicati (se possibile) e non agisce come professionista, e quindi non gli è applicabile il GDPR (Art. 2, par. 2, lett. c) del GDPR), ma tratta i dati solo per scopi personali e potrebbe essere legittimato a farlo, perché la semplice consultazione, non implicando copie sul proprio pc, non implicherebbe un’appropriazione del dato. Laddove, invece, lo copiasse sul proprio PC si sottoporrebbe all’obbligo di doverne comunque impedire la ri-pubblicazione, perché, al di là dell’applicabilità o meno del GDPR, resta comunque valido a carico di chiunque l’obbligo di non danneggiare gli altri (neminem laedere, art. 2043 c.c.) sicché un’eventuale ripubblicazione o ri-esfiltrazione anche involontaria dal suo PC (magari come frutto di un ulteriore attacco informatico) potrebbe vederlo responsabile di questo danno.

2. I dati rubati possono essere condivisi sui social media se opportunamente anonimizzati? Esempio: trovo una carta di identità e la uso - cancellano foto, nome, cognome, etc - per comunicare che c'è stato un attacco di un certo tipo ad una certa realtà?

Mi verrebbe da dire di sì, sia per il fatto che chi lo fa non agisce per scopi professionali ma per scopi personali, nell’ambito del diritto di cronaca in una normale attività di relazioni sociali (tale è quella che si svolge sui social), sia perché, come dici, dovrebbe aver proceduto ad un’attenta anonimizzazione.

Sul punto, però, richiamo la tua attenzione perché non è così semplice procedere alla vera anonimizzazione.

A volte si ritiene di aver anonimizzato un dato, in realtà lo si è solo mascherato, pseudomizzandolo. L’anonimizzazione non corrisponde ad un mero mascheramento del dato, ma ad un trattamento del dato personale tale per cui di lì in poi sia materialmente ed oggettivamente impossibile risalire all’identità della persona cui quel dato appartiene.

Se cancello nome, cognome, data di nascita, indirizzo e foto dal documento di identità, ma lascio, magari, il Comune ed il numero di documento, siamo proprio sicuri di aver anonimizzato il dato?

Un qualunque dipendente dell’ufficio anagrafico di quel comune, potrebbe agevolmente risalire all’identità del soggetto, quindi non sarebbe stata realizzata quella materiale ed oggettiva assoluta impossibilità di risalire all’identità della persona cui quella carta appartiene.

Mi rendo conto che la notizia avrebbe tutto un altro appeal, perché pubblicare la carta filigranata di una carta di identità della Repubblica Italiana che potrebbe essere di chiunque ha tutto un altro effetto. Ma tant’è!