Una sanzione del Garante privacy da 85.000 euro colpisce The European House Ambrosetti SPA, meglio nota come TEHA, per una gestione a dir poco problematica di un attacco hacker subito nel 2024. La vicenda è di quelle che fanno riflettere, non tanto per l’attacco in sé, quanto per tutto quello che è venuto dopo. O meglio, per quello che non è venuto quando doveva venire.
Partiamo dai fatti. La nota società di consulenza e centro studi TEHA si è trovata vittima di una violazione informatica che ha causato la perdita di dati personali appartenenti a ben 61.670 persone. Parliamo di email, username e password di accesso, il tipo di informazioni che nelle mani sbagliate può fare danni enormi. Ma il punto più critico non è nemmeno l’attacco in sé. È il modo in cui quei dati erano conservati. L’Autorità ha infatti scoperto che le informazioni sensibili erano custodite in maniera del tutto inadeguata: in parte protette con algoritmi ormai superati, come MD5, e in parte addirittura salvate in chiaro, senza alcun tipo di protezione. Per chi mastica un minimo di sicurezza informatica, è una situazione davvero difficile da giustificare.
Due mesi di silenzio verso i clienti coinvolti
C’è poi l’altro grande problema che il Garante ha contestato a TEHA: la comunicazione agli interessati non è arrivata in tempi ragionevoli. La società, dopo aver scoperto la violazione dei dati, ritenne i rischi trascurabili e decise di non avvisare le persone coinvolte. Una scelta che si è rivelata un errore pesante. TEHA si è mossa con email, canali social e comunicazioni attraverso la stampa soltanto dopo un ordine esplicito del Garante. E a quel punto erano già passati circa due mesi dalla violazione.
Il problema è evidente: decine di migliaia di persone sono rimaste esposte a rischi concreti per settimane, soprattutto tutti coloro che hanno l’abitudine di utilizzare le stesse credenziali su più servizi. Una pratica sconsigliata da qualunque esperto di cybersecurity, ma ancora diffusissima. Senza una notifica tempestiva, chi era stato colpito non ha avuto modo di cambiare le proprie password o prendere contromisure in tempo utile.
La multa e le misure adottate da TEHA
Dal procedimento avviato dal Garante è emerso comunque che TEHA non è rimasta con le mani in mano dopo aver preso piena coscienza della gravità dell’accaduto. La società ha avviato diverse misure di sicurezza e revisioni delle proprie procedure di cybersecurity, con l’obiettivo dichiarato di rendere molto più difficile il ripetersi di un episodio simile. Questo percorso di adeguamento è stato riconosciuto dall’Autorità, che ha ridotto l’importo della sanzione rispetto a quanto sarebbe potuto essere.
Nonostante ciò, la multa è rimasta: TEHA dovrà versare una sanzione amministrativa di 85.000 euro. Una cifra che, per una realtà di quelle dimensioni, non rappresenta certo un colpo devastante dal punto di vista economico. Ma il segnale è chiaro: conservare dati con algoritmi obsoleti o, peggio, in chiaro, e poi ritardare la comunicazione alle persone coinvolte in una violazione, sono comportamenti che il Garante non è disposto a tollerare. I due addebiti principali restano quelli: la mancata adozione di misure di sicurezza adeguate e la comunicazione non tempestiva agli interessati della violazione informatica subita.
Rimani aggiornato seguendoci su Google News!
