Per data breach non deve intendersi soltanto il furto o la perdita di dati personali, la violazione può consistere anche in una condivisione non autorizzata e/o eccessiva di dati con chi, pur avendo rapporti contrattuali con chi li detiene, non dovrebbe accedervi. Più sono gli individui cui i dati indebitamente condivisi si riferiscono, maggiore è la falla di sicurezza. Negli ultimissimi giorni, a riguardo, sono emersi un paio di casi particolarmente esemplificativi.

Un primo è un caso consiste nella condivisione non autorizzata e/o eccessiva di dati con i propri dipendenti. In un comunicato del 21 marzo scorso, Facebook ha dovuto ammettere che le password di milioni di utenti del social network erano liberamente accessibili e consultabili (senza restrizioni e senza crittografia) dallo staff del colosso di Cupertino. Secondo il sito Krebsonsecurity, sarebbero tra i 200 e i 600 milioni le credenziali indebitamente sovraesposte e 20.000 gli operatori Facebook che vi avevano libero accesso (e 2000 di loro avrebbero provato per 9 milioni di volte a digitare le credenziali sui motori di ricerca).

Una violazione di sicurezza può consistere anche nella condivisione non autorizzata e/o eccessiva di dati con un proprio fornitore di servizi. Quanto recentemente accaduto negli USA all’Agenzia Federale per la Gestione delle Emergenze esemplifica questa tipologia di privacy incident. Una condivisione indebita che, anch’essa, ha sovraesposto i dati personali di milioni di individui.

Secondo un documento del 15 marzo scorso stilato dallo U.S. Department of Homeland Security (DHS), la U.S. Federal Emergency Management Agency (FEMA) avrebbe condiviso con un contractor un numero ingiustificato di informazioni, alcune delle quali ritenute “sensibili” dall’ispettorato del DHS . Le informazioni riguardano 2,3 milioni di persone che hanno fruito di programmi di soccorso ed assistenza in seguito agli effetti catastrofici di calamità naturali quali gli uragani Irma, Maria e Harvey nonché gli incendi che hanno devastato la California nel 2017.

La condivisione avrebbe dovuto riguardare solo i dati personali (dati anagrafici e ultime 4 lettere del social security number) indipensabili all’esecuzione del quanto demandato al fornitore, ossia il servizio di verifica del diritto ad accedere al programma di assistenza, in specie ad alloggi temporanei. Ma la FEMA ha reso accessibili anche indirizzi di casa e estremi bancari dei disastrati, dati non necessari al perseguimento della finalità contrattualizzata e  che – fuori contesto – possono esporre al rischio di furto di identità e frode. La comunicazione eccessiva della FEMA costituisce una violazione del Privacy Act del 1974.

Non è dato sapere se le informazioni “fuoriuscite” siano state utilizzate impropriamente da terzi. Il DHS ha imposto alla FEMA diverse prescrizioni tra cui l’audit sul fornitore per accertarsi che i dati in eccesso siano eliminati, l’esecuzione di assessment sui processi di condivisione dei dati, l’innalzamento di procedure e misure di cyber sicurezza.