Ricevi una notifica di violazione di dati personali? Ecco cosa fare

Di Paola Consonni e Giuseppe Aquino

Cosa è una violazione di dati personali e come avviene

Il mondo digitale offre molte opportunità sia per quanto riguarda gli aspetti personali come social media, portali di shopping online o app di prenotazioni per asporto, ristoranti e strutture ricettive sia per aspetti professionali come strumenti e servizi, anche gratuiti, di elaborazione grafica, suite office o altri programmi volti a migliorare la propria produttività.

Molti di questi servizi e strumenti richiedono però diversi dati personali che possono andare dalla mera anagrafica (nome, cognome, indirizzo di residenza, cellulare ed email) fino a dati molto più sensibili (carta di credito o credenziali per l’home banking, scansioni di documenti di identità o dati sanitari).

Tutti i fornitori di questi servizi dovrebbero essere pienamente adempienti alle prescrizioni del Regolamento Generale sulla Protezione dei Dati (GDPR) e alle basilari (se non avanzate) misure e policy riguardanti la sicurezza informatica.

In alcuni casi può capitare che, per diversi motivi, come vulnerabilità informatiche sconosciute, sistemi non aggiornati, dipendenti infedeli o superficialità nell’applicazione delle misure adottate, degli agenti terzi entrino nel sistema di uno di questi fornitori, violino la confidenzialità delle informazioni e compiano operazioni malevoli come il furto di credenziali o di altri dati sensibili.

Sulla base delle previsioni del GDPR, il fornitore che ha subito una simile violazione è tenuto ad avvisare tempestivamente i propri utenti/clienti dando indicazioni su come procedere. Solitamente tali previsioni sono rispettate, in altri casi la notifica della violazione viene inviata tardivamente, mentre altre volte si viene a conoscenza della violazione tramite passaparola, social media, venendo contattati direttamente dai criminali informatici o tramite app e strumenti che effettuano scansioni e verifiche nel web sommerso o nelle banche dati di precedenti data breach (curate da ricercatori in ambito sicurezza informatica).

Cosa fare in 10 punti

Dopo aver appurato di aver subito una violazione cosa bisogna fare e come bisogna comportarsi?

Ricevere una notifica di violazione dei dati personali può essere preoccupante e generare ansia, ma è importante agire prontamente, con lucidità e senza farsi prendere dal panico, per proteggere le informazioni sensibili e mitigare eventuali danni futuri.

Ecco cosa si può fare dopo essere venuti a conoscenza di una violazione dei propri dati personali:

1. verificare l’autenticità della notifica e del mittente: prima di agire, bisogna assicurarsi che la notifica sia legittima e non sia invece un caso di phishing . I truffatori possono inviare e-mail false per cercare di ottenere informazioni o truffarti, in questo articolo vengono fornite le prime indicazioni su come difendersi dal phishing. Risulta importante cercare indizi di autenticità, come l’indirizzo e-mail del mittente, il logo dell’azienda e controllare se l’e-mail è stata inviata da un indirizzo ufficiale o se contiene errori grammaticali e ortografici. Inoltre, si consiglia di non cliccare mai su un link ma di verificare direttamente alla fonte. Una notifica o un messaggio non dovrebbero contenere inviti all’azione, come cliccare su un link specifico, ma una generica indicazione di effettuare verifiche sulla propria area personale al fine di evitare di essere considerati come falsi positivi di phishing dal destinatario.
2. Non rispondere all’e-mail: se ci sono dubbi sulla legittimità della notifica, come già anticipato nel primo punto, non bisogna rispondere direttamente all’e-mail ma contattare direttamente l’azienda o l’organizzazione coinvolta utilizzando i loro canali ufficiali di comunicazione, come il sito web o il numero di telefono.
3. Cambiare immediatamente le password: se la notifica di data breach è autentica, bisogna cambiare immediatamente le password degli account compromessi e di tutti gli altri account che utilizzano la stessa password o delle sue derivazioni. Si consiglia sempre di utilizzare password complesse e uniche per ciascun account unitamente all’uso di un gestore di password (password manager).
4. Monitorare attentamente i propri account: si consiglia di controllare regolarmente i propri account online per rilevare attività sospette. Molti servizi offrono funzioni di monitoraggio delle attività in tempo reale o notifiche di accesso non autorizzato.
5. Attivare l’autenticazione a due fattori (2FA): abilitare sempre l’autenticazione a due fattori ovunque sia possibile. Questo offre un livello aggiuntivo di sicurezza richiedendo un secondo passaggio di verifica oltre alla password.
6. Contattare l’azienda coinvolta: come anticipato nel punto 2, se la notifica della violazione è legittima, si consiglia di contattare immediatamente e direttamente l’azienda coinvolta per avere ulteriori dettagli sul data breach e sulle misure che sta adottando per proteggere i dati degli utenti.
7. Valutare se segnalare la violazione alle autorità competenti: le aziende sono obbligate per legge a segnalare le violazioni dei dati alle autorità di protezione dei dati, ma è comunque una buona pratica segnalare personalmente la violazione anche alle autorità, in modo che possano indagare ulteriormente e anche a scopo di tutela giuridica in caso di furti di identità o altre spiacevoli situazioni.
8. Monitorare il proprio credito: nel caso di violazioni riguardanti le proprie credenziali bancarie e/o scansioni di documenti di identità, si consiglia di monitorare il proprio credito e il proprio homebanking per verificare la presenza di indizi di attività fraudolente, come l’apertura di nuovi conti o richieste di credito non autorizzate. Ѐ possibile utilizzare servizi di monitoraggio del credito o chiedere la documentazione sulla situazione creditizia personale al proprio gestore.
9. Prendere misure aggiuntive per proteggersi: richiedere il congelamento del credito, l’annullamento/sostituzione della propria carta di credito o debito o altre azioni inerenti alla protezione e alla tutela della propria identità (es. denuncia alle autorità competenti).
10. Informarsi e apprendere dalla propria esperienza: imparare come avviene e cosa fare a seguito di una violazione dei dati è sicuramente utile per affrontare analoghe situazioni future e implementare misure volte a prevenire e mitigare i danni di una violazione dei dati personali.