Seleziona una pagina

Ecco perché il GDPR si è trasformata in un’arma a doppio taglio

di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale

Una normativa finalmente organica per regolare il trattamento dei dati personali. Il GDPR, entrato in vigore nel maggio 2018, ha senza dubbio portato a un miglioramento nel panorama complessivo della cyber security. Attraverso la previsione di obblighi puntuali e, non ultimo, di un sistema sanzionatorio per chi non adegua procedure e policy a quanto previsto, il nuovo regolamento europeo sulla protezione dei dati ha obbligato numerosi soggetti ad adeguarsi a quelle best practice che consentono di tutelare la riservatezza dei dati e la privacy degli utenti.

Negli ultimi mesi, però, gli esperti di sicurezza hanno lanciato un allarme riguardante un “effetto collaterale” del regime sanzionatorio introdotto con il GDPR. A sfruttare la normativa a loro vantaggio sono pirati informatici specializzati negli attacchi alle aziende che, normalmente, utilizzavano per le loro operazioni i cosiddetti crypto-ransomware. Questa tipologia di malware è progettata per agire in chiave estorsiva ai danni della vittima, attraverso la codifica tramite crittografia di tutti i dati e documenti presenti sui computer infetti.

Chi subisce un attacco di questo tipo si trova in una situazione paradossale: tutti i dati sono presenti sui suoi sistemi, ma non può accedervi senza la chiave crittografica che è in possesso dei pirati. Lo schema, ormai adottato da numerosi cyber criminali, prevede poi la richiesta di un “riscatto” (a volte milionario) per ottenere la chiave di decodifica e ripristinare i dati presi “in ostaggio”. Inutile dire che il meccanismo nasconde numerose insidie e che percorrere la via del pagamento del riscatto è estremamente rischioso. La cronaca, infatti, ha registrato numerosi casi in cui i pirati informatici non hanno fornito la chiave crittografica nonostante il pagamento o, addirittura, hanno reiterato l’estorsione. La reazione corretta a un attacco di questo genere, così come confermano forze di polizia ed esperti di cyber security, prevede la denuncia del data breach e il ripristino dei dati attraverso strumenti specializzati o, in assenza di alternative, dei backup di sistema.

Negli ultimi mesi, però, i pirati informatici hanno modificato il loro modus operandi per poter esercitare una pressione maggiore sulle loro vittime. Oltre a crittografare i dati, togliendone la disponibilità al legittimo proprietario, esfiltrano una copia di tutti i documenti. Nel documento che richiede il pagamento del riscatto, a questo punto, viene anche ventilata la minaccia di pubblicare online tutti i dati, innescando un meccanismo per cui l’azienda vittima dell’attacco rischierebbe anche di subire le (salatissime) sanzioni previste dal GDPR.

A inaugurare questa strategia nel dicembre 2019 è stato un gruppo come Sodinokibi, seguito a ruota da altre gang di cyber criminali specializzati in attacchi ransomware. Uno di questi, chiamato Maze, ha addirittura creato un sito sul Dark Web in cui vengono sistematicamente pubblicati i dati rubati alle vittime che non cedono al ricatto. L’invito, in pratica, è quello di pagare il riscatto per poter tenere sotto silenzio l’accaduto ed evitare le indagini sul data breach da parte dell’autorità garante. Inutile dire che, anche in questo caso, il fatto che i cyber criminali rispettino i patti è tutt’altro che garantita. Sono molti i casi in cui, nonostante il pagamento, le informazioni sottratte sono state comunque divulgate, mettendo le vittime in una situazione ancora più complicata di fronte alle autorità. L’intera vicenda conferma la sorprendente creatività dei pirati informatici e, allo stesso tempo, come la linea per contrastarne l’attività possa passare solo da una rigorosa e puntuale esecuzione delle procedure. Qualsiasi “scorciatoia” rischia infatti di trasformarsi in un vero disastro.

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Le competenze digitali in classe, il progetto Re- Educo a Carbonia (Video)

A Digitale Italia una puntata dedicata alla digitalizzazione del comparto scolastico con focus sul progetto Re–Educo, promosso dalla Commissione Europea.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
11/06/2025
Pagano, fondazione Aidr: segnale importante da una professione centrale per il Paese. Contributo concreto anche dal digitale con l’assistente virtuale TributIAmo L’acclamazione rivolta al Presidente del Consiglio dei ministri, Giorgia Meloni, nel corso degli Stati Generali dei commercialisti e degli esperti contabili rappresenta un chiaro riconoscimento da parte della categoria nei confronti dell’impegno riformatore del Governo. Un momento significativo – sottolinea la Fondazione Aidr – che testimonia l’attenzione concreta riservata a una professione strategica per l’economia nazionale, attraverso provvedimenti normativi e innovazioni tecnologiche che mettono al centro il cittadino e il ruolo dei professionisti.
Notizie
09/06/2025
di Mauro Nicastri - Apprendiamo con soddisfazione da ItaliaOggi del 5 giugno, a firma di Giuseppe Brandi, l’imminente arrivo di due importanti decreti che ridisegneranno l’assetto degli Enti del Terzo Settore. Il primo riguarderà i controlli e le funzioni di vigilanza, anche in capo alle Reti associative e ai Centri di servizio per il volontariato (Csv): in questo ambito la Fondazione AIDR (www.aidr.it) si candida a collaborare con il Ministero del Lavoro e delle Politiche Sociali, mettendo a disposizione l’assistente virtuale gratuito TributIAmo come strumento di supporto digitale.
Notizie
06/06/2025
Sostieni il futuro digitale dell’Italia con il tuo 5×1000!Puoi contribuire allo sviluppo digitale del nostro Paese donando il 5×1000 alla Fondazione AIDR – Italian Digital Revolution.Con un piccolo gesto, puoi supportare iniziative concrete per la diffusione della cultura digitale e l’innovazione tecnologica.📌 Inserisci il nostro codice fiscale 96563420585 nella tua dichiarazione dei redditi.Scopri tutti i […]

 

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!