Fonte: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10070917
Con Provvedimento n. 293 del 9 maggio 2024 (doc. web n. 10070917) il Garante per la protezione dei dati personali ha accertato la responsabilità della società che gestiva il servizio PEC e i portali di diversi Ordini degli Avvocati, per non aver adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione del principio di "integrità e riservatezza" ex art. 5, par. 1, lett. f) del GDPR e degli obblighi in materia di sicurezza del trattamento dei dati personali ex art. 32 del GDPR.
Vediamo come si è verificata la violazione e quali dati sono stati violati.
I fatti del procedimento
L'Autorità Garante per la protezione dei dati personali ha avviato una complessa istruttoria a seguito della segnalazione di un attacco informatico avvenuto nel 2019 ad opera di alcuni gruppi di attivisti in danno dei portali istituzionali di diversi Ordini degli avvocati e della successiva diffusione online di parte dei dati personali esfiltrati da tali portali.
Nel corso dell'istruttoria è emerso che l'attacco informatico si è verificato presso la Società che,
- in relazione a taluni Ordini degli avvocati agiva quale Responsabile del trattamento per conto del gestore del servizio PEC,
- per altri numerosi ordini professionali agiva quale Responsabile del trattamento per le attività di gestione dei portali istituzionali, degli albi e dei registri.
L'attacco posto in essere è stato un attacco informatico di tipo SQL injection, ossia una tecnica di hacking che, sfruttando alcuni errori nella programmazione di pagine HTML, consente di inserire ed eseguire un codice malevolo (codice SQL - Structured Query Language), all'interno di applicazioni web che interrogano un database al fine di manipolare il database stesso e accedere alle informazioni ivi contenute.
A seguito del suddetto attacco informatico sono stati effettuati accessi non autorizzati ai dati memorizzati all'interno dei portali istituzionali e sono stati diffusi online buona parte dei predetti dati personali riferiti a diverse migliaia di interessati, tra i quali:
- i dati anagrafici e di contatto, gli indirizzi PEC di migliaia di iscritti agli Ordini degli avvocati,
- le credenziali di autenticazione rilasciate in fase di attivazione delle caselle PEC e di quelle utilizzate per l'accesso alle aree riservate dei portali degli Ordini;
- i messaggi contenuti nelle caselle PEC.;
- altre informazioni curriculari di avvocati che hanno presentato le domande di inserimento nell'elenco degli avvocati abilitati a essere delegati alle vendite e alla custodia dei beni pignorati;
- informazioni trattate ai fini della pubblicazione e dell'iscrizione all'albo (ad es. numero di iscrizione all'albo, data iscrizione sospensione; data decorrenza sospensione; data fine iscrizione; descrizione delle ragioni della cessazione; e così via).
È stato constatato che all'interno del database server oggetto dell'attacco informatico, tra gli altri dati, erano memorizzate in chiaro un elevato numero di credenziali di autenticazione e che l'attacco si è verificato spesso in relazione a portali che benché dismessi, fossero comunque raggiungibili da rete pubblica.
Il Garante ha, altresì, accertato che, a fronte della violazione, la Società si è limitata, in un primo momento, a inviare alcune comunicazioni con cui ha informato i Consigli dell'Ordine degli avvocati che il servizio PEC rivolto ai propri iscritti era stato temporaneamente sospeso al fine di "scongiurare eventuali accessi indebiti da parte di ignoti, diretti ad acquisire e utilizzare in modo illecito le informazioni ivi contenute".
Successivamente ha informato sugli elementi della violazione dei dati personali trattati nei portali degli Ordini degli avvocati in maniera non idonea a consentire al titolare del trattamento di valutare in modo adeguato i rischi derivanti dalla stessa, con particolare riguardo alle circostanze in cui si è verificata, alla natura e alla portata della violazioni in termini di numero di interessati coinvolti e di categorie di dati personali oggetto di violazione.
Il provvedimento del Garante
Sulla base delle risultanze dell'istruttoria, l'Autorità Garante ha rilevato che la Società, sia in qualità di titolare del trattamento che di responsabile del trattamento per conto del gestore del servizio PEC, ha posto in essere talune violazioni del Regolamento GDPR, in quanto
- non ha messo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dei principi di "integrità e riservatezza" di cui all'art. 5, par. 1, lett. f), e dell'art. 32 GDPR. Ad es. la società ha utilizzato software di base obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza; ha omesso di utilizzare tecniche crittografiche per la conservazione delle password degli utenti; non ha adottato misure per la modifica obbligatoria delle password al primo utilizzo o, comunque, periodicamente, e meccanismi di blocco automatico delle utenze e così via;
- ha provveduto a una tardiva e incompleta informazione ad alcuni ordini professionali, titolari del trattamento, della violazione occorsa, pur essendovi tenuta, in qualità di responsabile, ai sensi dell'art. 33, par. 2, RGPD, sì da consentire un rapido intervento.
Il Garante, pertanto, ha avviato il procedimento per l'adozione dei provvedimenti correttivi di cui all'art. 58, par. 2 GDPR. Il provvedimento del Garante è stato impugnato, con la conseguenza che, in pendenza del giudizio di opposizione, non è stata applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione.