Il silenzio degli innocenti
Il silenzio degli innocenti?
No, meglio dire il silenzio e gli innocenti.
Chi sta in silenzio innocente non è dato che, per il GDPR, è illecito tacere quando si ha il dovere di informare le vittime di un data breach - Il caso Synlab
Del caso Synlab si è parlato tanto, ed è sufficiente una veloce ricerca online per trovare centinaia di articoli e contributi che sostengono ogni tesi possibile e immaginabile. Leggendo si trova di tutto, come nelle peggiori tifoserie calcistiche: chi insulta Synlab, chi la giustifica a priori, chi maledice gli hacker (che è assurdo perché non sono criminali informatici), chi criminalizza le vittime, chi ignora completamente le persone coinvolte, chi se la prende con loro, chi inveisce contro il Garante e l’assenza di misure preventive, chi dà tutta la colpa alla tecnologia… un caleidoscopio di fenomeni da baraccone.
Dopo il polverone restano i fatti che, nella loro brutale semplicità, ci mettono di fronte ad uno scenario deprimente:
- La rivendicazione del data breach Synlab risale al 04.05.2024 (https://ransomfeed.it/index.php?page=post_details&id_post=15161 );
- I dati sono tutti pubblicati online sia sul dark web che sul web “normale”, a disposizione di chiunque;
- I dati sono tantissimi, 1,5 Tera;
- I dati sono stati scaricati già 12.000 volte (and counting);
- I criminali o i malintenzionati hanno scaricato tutto senza troppi scrupoli e in totale sicurezza;
- Le persone coinvolte (ricordiamolo, le vere vittime del data breach) sono state diffidate da tutti tranne che da Babbo Natale per cercare di evitare che andassero a curiosare tra i contenuti pubblicati;
- Senza bisogno di acquisire dati personali altrui, chiunque può fare una breve ricerca nell'indice dei contenuti trafugati e andare alla ricerca del proprio nome. Basta usare la funzione Control-F nel file di testo. Trovare il proprio nome ci dà la certezza di essere stati coinvolti;
- Se il proprio nome non compare espressamente, diventa necessario approfondire la ricerca tra i file che non hanno una indicazione nominativa diretta ma che contengano dati personali espliciti al loro interno come le scansioni o “aaab44454.doc”;
- Purtroppo questa lunga ricerca comporterebbe la presa visione dei dati di altre persone oltre ai propri, vittime anch’esse dell’incapacità di custodire adeguatamente i dati che sono stati perduti;
- Per evitare di dover cercare in autonomia tra i dati oggetto di ransomware, in tanti hanno scritto sia al Garante che a Synlab con richieste di vario genere e tutte formulate in relazione ai propri dati personali;
- Ad oggi, tutto tace.
Lo ripeto perché potrebbe sembrare un refuso: ad oggi, tutto tace.
Non una sola risposta, non un comunicato, non una pec, non un’email è stata inviata per dare riscontro a chi, preoccupato per la propria sorte, ha formalmente lamentato una intollerabile carenza di informazioni. Ovviamente posso sbagliare, sarei felice se così fosse ma di risposte, ad oggi, non ne ho intercettate né ricevute.
A proposito di silenzio, partirei da una considerazione crudele:
NELLO SPAZIO NESSUNO PUÒ SENTIRTI URLARE
Ho già scritto un articolo dedicato a cosa accade quando il data breach è talmente grave da rendere inservibili tutti i sistemi di posta. In pratica, l’azienda resta irraggiungibile e non sa nemmeno che c’è qualcuno che sta disperatamente tentando di contattarla. Non riuscire a gestire le richieste dei clienti può trasformarsi in un problema economico per mancata fatturazione, ma non riuscire a gestire le richieste di persone coinvolte nel data breach è un vero e proprio inadempimento ed è esattamente ciò che è accaduto a Synlab.
Male, molto male… colpevolmente male!
Qui il pezzo dedicato a questo aspetto della vicenda: https://bernieri.blogspot.com/2024/05/ce-no-meglio-ci-sarebbe-posta-per-te.html
Provo a mettere a fattor comune le domande inviate a Synlab.
SE “MAL COMUNE MEZZO GAUDIO”, IN SYNLAB GODONO COME RICCI
Un data breach va comunicato entro 72 ore al Garante. È un atto formale e costituisce un adempimento importante.
Synlab ha sicuramente inviato la propria notifica ma si è dimenticata un pezzo del puzzle: l'azienda colpita non è solo Synlab in veste di Titolare del trattamento, ma anche Synlab in veste di Responsabile del trattamento.
Eh, già… Synlab opera anche per conto di altre aziende, altri Titolari che avrebbero dovuto fare la stessa identica notifica al Garante perché il data breach le riguarda direttamente.
Per fare alcuni esempi concreti, lo scenario riguarda le aziende che hanno affidato a Synlab la sorveglianza sanitaria dei propri dipendenti, tutte le aziende che hanno effettuato gli esami diagnostici in convenzione, quelle che hanno appaltato servizi e persino la Pubblica Amministrazione che eroga prestazioni del SSN tramite le strutture Synlab.
Sono centinaia gli enti e le aziende coinvolte, ciascuna delle quali si domanda da mesi se è stata coinvolta nel data breach. La situazione è kafkiana perché la notifica di data breach va inviata entro 72 ore da quando si ha notizia del data breach, Synlab non ha informato i suoi clienti che, pertanto, potrebbero anche sostenere di non sapere nulla. Purtroppo gli organi di stampa, i siti specializzati come Ransomfeed, ogni DPO del reame e tutti i tecnici informatici in età militare sanno benissimo che il data breach c’è stato e ha coinvolto le aziende clienti di Synlab. Diciamo che esiste una flebile speranza che i criminali informatici abbiano scaricato tutto tranne i dati della propria azienda… più che una speranza sarebbe un miracolo.
Non credo che il Garante potrà accontentarsi di un laconico “non ce l’hanno detto” per giustificare il mancato invio della notifica di data breach.
O meglio:
“Non lo sapevamo.
Non ce l’hanno detto
ma poi… chi ce lo doveva dire?”
Synlab ce lo doveva dire e non ci ha detto nulla.
Come me, centinaia di DPO hanno scritto a Synlab chiedendo informazioni al riguardo e ponendo una semplice e breve domanda: “la mia azienda, in qualità di Titolare del trattamento, è stata coinvolta dal data breach che vi ha interessati in veste di Responsabili del trattamento?”.
Silenzio.
Per chi vuole approfondire, qui tratto più diffusamente il punto del “ma chi ce lo doveva dire?”
https://bernieri.blogspot.com/2024/05/extinction-event.html
LE VITTIME - CORNUTI E MAZZIATI
Le persone che si sono avvalse dei servizi di Synlab non hanno ricevuto alcuna informazione e non sanno se sono state coinvolte nel data breach oppure se, per qualche caso fortuito, sono stati solo sfiorati dalla tragedia.
Chi è coinvolto è preoccupato perché nei database di Synlab ci sono i dati più delicati e più preziosi di cui disponiamo, quei dati per i quali la normativa prevede cautele particolari, divieti tassativi e misure di prevenzione adeguate al loro valore. Il valore, peraltro, non va inteso in senso economico nella prospettiva del criminale, anche perché i dati sono abbastanza inflazionati. Il loro valore va misurato nella prospettiva della persona alla quale si riferiscono: una persona cosa può perdere a causa dell’abuso dei suoi dati? Può perdere la reputazione? Il lavoro? La famiglia? I clienti? La gioia di vivere?
Il GDPR prevede che “tempestivamente” e senza ritardo siano date informazioni a tutte le persone coinvolte affinché possano proteggersi, tutelarsi, mitigare i danni. A volte basta cambiare una password ma altre volte occorre prepararsi ad affrontare situazioni molto complesse e rischiose.
Nel caso più banale, si deve poter riconoscere una telefonata o una email truffa, escogitata e basata proprio sulle informazioni rubate e pubblicate online.
Nei casi più complessi ci si deve riorganizzare e affrontare un cambio di vita.
Le vittime sono quindi state danneggiate dall’incapacità di custodire adeguatamente i dati e, in più, vengono trattate come persone che non hanno alcun diritto e non meritano di ricevere informazioni su ciò che sta accadendo loro.
Voglio sperare che il Garante sia pronto a sanzionare questo silenzio che, a tutti gli effetti, si configura come una violazione di un importante precetto del GDPR.
RISVOLTI OCCULTI
A proposito di danni, in molti si sono trovati di fronte alla necessità di rimediare e, come prima cosa, occorre rifare i documenti di identità compromessi dal data breach. Con la scansione della CIE si possono fare tante cose online, rubare identità, sottoscrivere abbonamenti telefonici, acquistare merci, effettuare prenotazioni, chiedere il ripristino di credenziali di accesso per conto della persona alla quale si riferiscono i documenti. Il costo materiale necessario per rifare la carta di identità non è trascurabile e, moltiplicato per il numero di persone coinvolte, è decisamente una cifra rilevante. Nessuno pagherà per questo se non le vittime, le persone che si trovano a dover affrontare da sole e senza informazioni le conseguenze del data breach.
Ho la triste sensazione che si stia insinuando un fosco pensiero, sia nelle persone che negli stessi soggetti deputati a tutelarci: se una persona può avere dei problemi a causa della diffusione di propri dati personali, in fondo in fondo, se lo merita; una persona per bene può permettersi di essere completamente trasparente; un bravo ragazzo non dovrebbe avere problemi a condividere la propria cartella clinica o il proprio esame del sangue con il resto del mondo; ben venga una norma a tutela dei dati personali ma, se capitasse di perdere la riservatezza, gli unici ad avere problemi sarebbero le persone che hanno qualcosa da nascondere.
Mi astengo dal commentare questa posizione perché rischierei di diventare scurrile, offensivo con persone che hanno la sola colpa di non disporre di un cervello funzionante. Non è una scelta, purtroppo.
Ogni regime totalitario ha sempre provato ad introdurre questo stesso concetto che ci allontana dalla natura dell’essere umano.
L’unica cosa che desidero condividere al riguardo è questa breve considerazione: i bravi ragazzi di oggi non è detto che saranno giudicati bravi ragazzi anche domani. I comportamenti virtuosi di oggi possono diventare lo stigma sociale di domani. Ciò che non suscita alcuna vergogna qui, può facilmente essere un reato altrove.
Un’altra triste sensazione riguarda le cause di questo silenzio. Temo che a Synlab siano arrivati dei consigli sbagliati. Secondo una certa scuola di pensiero, giurassica e formalista, il non sapere conviene a tutti. Ho sentito personalmente elargire questo tipo di consiglio in diverse occasioni, suggerendo alle imprese di porsi nella condizione di massima ignoranza e massima cautela e mantenere questo status il più a lungo possibile.
Secondo alcuni, la notifica agli interessati deve necessariamente seguire l’esito di un’analisi tecnica completa che accerti ogni minimo dettaglio sui dati coinvolti. Finché questa non è completa, meglio non dire nulla perché si potrebbe sbagliare, c’è il rischio di creare allarme, di falsi positivi, ecc.
Questo approccio ci allontana da ciò che prevede il GDPR che, in modo molto pratico, chiede di non ritardare le comunicazioni per non vanificare la loro vera funzione: permettere alle vittime di tutelarsi, avvisarle che potrebbero esserci tentativi di truffa ai loro danni, utilizzi di credenziali non autorizzati, ecc.
Come DPO avrei consigliato a Synlab di fare una campagna informativa a più step, a tappeto su tutti i clienti e utenti per avvisare dell’accaduto (e non è stato fatto), successivamente, di contattare le persone più facilmente riconoscibili i cui nomi appaiono all’interno dei nomi dei file compromessi; infine, dopo adeguate verifiche, avrei suggerito di contattare individualmente le persone coinvolte ma meno visibili, i cui nomi sono, per esempio, all’interno di file scansionati o nelle immagini della videosorveglianza.
Nulla di tutto questo è avvenuto.
Aspettiamo… è arrivato persino Godot, ma Synlab non ancora.
L’ALEPH
Per quanto mi riguarda, il caso Synlab mi ha scioccato ma per un motivo inaspettato. Sì, i miei dati sono nel data breach, sì, sono anche il DPO di diverse aziende coinvolte come Titolari del trattamento… ma il motivo è un altro: grazie a Synlab ho trovato l'”Aleph” descritto da Borges nell’omonimo racconto.
Ogni DPO riflette spesso sul concetto di dato personale, sulla sua natura, su come evitare di doverlo trattare, sulle differenti tipologie, su come trasmutarlo in un dato non personale, ecc. Il Dato è quasi un’ossessione come lo potrebbe essere la pietra filosofale per un alchimista, se solo esistesse.
Nel database trafugato a Synlab è presente una tipologia di dato che non avevo ancora né incontrato né immaginato, il peggio del peggio, qualcosa di raccapricciante che mi ha fatto orrore al solo pensiero: un dato, personale, particolare cioè sensibile, relativo alla salute, giudiziario, di minore, coinvolto in un data breach, che ha perso riservatezza e disponibilità, diffuso online ad insaputa della persona alla quale si riferisce. Non esiste nulla di peggio nel mondo della data protection.
Come ogni altra, anche questa tragedia nasce da una sfortunata combinazione di circostanze: alcuni provveditorati regionali all’amministrazione penitenziaria hanno commissionato la sorveglianza sanitaria prevista per i propri lavoratori proprio a Synlab. Nei penitenziari ci sono detenuti che hanno ottenuto il beneficio di poter lavorare e, quindi, sono sottoposti a sorveglianza sanitaria come ogni altro lavoratore. Alcuni penitenziari sono riservati ai minori. Tra i detenuti si registra un’alta concentrazione di malattie sessualmente trasmissibili, di quelle con lo stigma sociale peggiore immaginabile e, in alcuni casi, sono presenti nelle anamnesi… Ecco l’”Aleph”, il punto di incontro di tutto, dove ogni cosa converge e dove ogni cosa ha la sua origine.
Nel data breach subìto da Synlab è presente questa incredibile tipologia di dato, per il quale non esiste nemmeno un nome appropriato.
L’INDIFFERENZA UCCIDE
Ecco un pensiero per chi non ha alcuna intenzione di mandare nulla a Synlab.
Alcune persone, coinvolte dal data breach, hanno manifestato un atteggiamento scettico, rassegnato, e tale da giustificare perfettamente una quiete immobile che generalmente si esplica sul divano con la TV accesa.
Più o meno l’approccio è: “anche se sono presente nel data breach, sono una persona comune mischiato a tante altre, nessun criminale informatico mi beccherà mai lì dentro”.
Io rimango sempre basito dai danni che l’esperienza ci procura. Quando è troppa ci lascia segni indelebili, quando è poca non ci permette di cogliere la complessità del mondo che ci circonda.
Ho scritto al riguardo in un recente articolo (La sanità deve fare a meno dei dati personali. ) e cercherò di non ripetermi.
Purtroppo la realtà non fa sconti alle persone comuni e i criminali sono metodici, attrezzati, pazienti e inesorabili. Qualsiasi persona, annegata in un elenco di migliaia di altre persone ordinarie, sarà oggetto dell’attenzione del criminale, anzi, dei criminali, dato che i dati sono a disposizione di chiunque. Magari non accadrà subito ma fra sei o sedici mesi, appena la memoria dei recenti eventi si sarà affievolita e tutti saremo meno sospettosi. Ecco l’identikit della vittima perfetta: quella che non si sente a rischio.
Se sei nella lista delle persone coinvolte, aspettati che qualcuno bussi alla porta e, ti garantisco, non sarà una buona giornata.
FOR THOSE ABOUT TO ROCK…
Come accennato, il GDPR prevede che ad ogni richiesta di accesso ai dati (acronimo inglese DSAR) il Titolare del trattamento debba dare riscontro formale entro 30 giorni. È un adempimento, non una concessione, non è bontà d’animo e nemmeno un regalo. È proprio obbligatorio e solo in casi eccezionali la risposta può essere ritardata, motivandone le ragioni.
Se decorrono i termini senza alcuna risposta, la persona che ha inviato la DSAR può rivolgersi al Garante che provvederà a sollecitare una risposta e sanzionare per la violazione.
Inoltre, chi è coinvolto nel data breach, se non informato, può inviare una richiesta al fine di potersi tutelare. Questa non è tecnicamente una DSAR ma corrisponde all’esercizio di un altro diritto. Anche di questo è bene informare il Garante in caso di mancata risposta.
Circa un mese fa ho condiviso online una bozza per l’esercizio di entrambi questi diritti: (https://x.com/prevenzione/status/1790137659563647400 )
Chi ha effettuato l’invio, con qualunque mezzo (pec, posta ordinaria, posta tradizionale, telefonicamente), può procedere ora con un ulteriore passaggio a propria tutela: scrivere al Garante.
Denunciare i comportamenti illeciti è necessario per dare al Garante la possibilità di misurare i fenomeni. Se nessuno denuncia, per le autorità va tutto bene, la gente sta bene e non ci sono problemi. Anche per questo, per poter dimensionare correttamente le risorse a disposizione degli Enti coinvolti è necessario denunciare.
Ecco come fare:
Modo puccioso e coccoloso: Segnalazione al Garante
La segnalazione è un atto informale che il Garante può prendere in considerazione o ignorare. In entrambi i casi fa statistica e permette al Garante di agire in modo appropriato.
https://cryptpad.fr/file/#/2/file/Iw4UDQ8XXDJm5Q1glUgty7+J/
Modo rude e maleducato: Reclamo al Garante
Il Reclamo è una vera e propria denuncia alla quale il Garante deve far seguire una istruttoria ed un provvedimento (di archiviazione o sanzione)
https://cryptpad.fr/file/#/2/file/o8TH7Ls5lodH0pC6MeOqDEfB/
Ciascuno decida come meglio crede, io metto qui entrambe le bozze che, idealmente, costituiscono il secondo passaggio rispetto al primo atto di esercizio dei diritti, già pubblicato qui:
https://x.com/prevenzione/status/1790450327172325601
Prosit