Consulenti Privacy, il cyber crime a caccia di profilazioni marketing e dati sensibili dei clienti di ogni azienda

Rimini, 14 ottobre 2022 – L’allarme arriva dalla “Privacy Week” di Milano. Nel mirino dei cyber criminali non ci sono solo numeri, password di carte di credito o conti correnti: a loro interessano, anche di più, le profilazioni, marketing delle persone. “I dati sensibili che raccontano chi siamo, cosa facciamo, cosa compriamo e cosa desideriamo. Informazioni raccolte e conservate, non solo dai giganti bigh tech, ma da imprese o studi professionali di ogni dimensione e comparto. I criminali digitali li trasformano in denaro sonante, vendendoli nel dark web, utilizzandoli per truffe commerciali e chiedendo un riscatto a coloro i quali li hanno sottratti”, spiega Paolo Rosetti Chief Excutive Officer & DPO della riminese Consulenti Privacy Srl. Realtà trasformatasi, in soli quattro anni, da semplice start up ad azienda nazionale con sedi a Milano, Roma, Ferrara e Bologna.  

È quanto emerso l durante uno degli appuntamenti della manifestazione milanese, patrocinata del Garante per la protezione dei dati personali e da AssoSoftware: “Privacy 2022: cosa hanno sbagliato le imprese”. Incontro nel quale Paolo Rosetti ha condotto un’intervista/dialogo con i due protagonisti di prevenzione e repressione del crimine informatico in Italia: i colonelli Marco Menegazzo e Gian Luca Berruti del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Al centro della riflessione cosa devono e possono fare tutte le imprese per rispettare norme e protocolli del GDPR.  

Secondo Paolo Rosetti, infatti, la tutela della privacy è ormai centrale nella vita di ogni impresa: “Rispettare il GDPR equivale alla presentazione del bilancio, di una corretta rendicontazione fiscale. Ogni errore nell’adozione degli obblighi e dei protocolli di trattamento e conservazione dei dati sensibili, mette a rischio di indagini e sanzioni da parte di GDF e Garante e apre la porta agli attacchi informatici”. Condizioni che arrivano a oltrepassare il confine penale, visto che quest’anno, prima volta in Italia, è stato contestato il reato di trattamento illecito dei dati sensibili e che il Garante Privacy ha avviato cicli semestrali di controlli sistematici sul pieno rispetto del GDPR 2018 da parte delle imprese. Verifiche random o su segnalazioni svolte dagli specialisti della GDF.   

“Seguiamo verifiche sistematiche come i dati sono trattati e conservati. Constatiamo garnde attenzione da parte delle aziende, ma spesso registriamo delle imperfezioni in particolare sui tempi di conservazione delle informazioni e il pieno rispetto dei protocolli del GDPR. Cosa che espone a sanzioni e multe ha sottolineato il Colonnello Marco Menegazzo - Spesso ricordiamo anche l’importanza della formazione alla sicurezza informatica dei dipendenti. Vediamo che gli attacchi cyber, nel 99% dei casi è dovuto a errori umani. La classica e-mail con allegato aperta per sbaglio e conseguente ingresso di spyware, malaware e ramsomware”.  

Problemi che ormai riguardano ogni attività lavorativa pubblica o privata ha concluso “Può sembrare strano ma anche un’impresa leader nel campo del doppiaggio cinematografico televisivo quale PUMAISDUE, delle sorelle Izzo (Rossella, Simona, Giuppy, Fiamma e Francesco Venditti), ha chiesto la nostra collaborazione. Per loro abbiamo costruito un sistema che coniuga, sicurezza, trattamento e conservazione die dati sensibili, nel pieno rispetto norme e protocolli GDPR. Così sono al sicuro accordi e contratti di copywright, diritti d’autore, licenze nazionali e internazionali e un grande archivio di voci e immagini. Contenuti ultra appetibili, per chi vorrebbe usarli o venderli illegalmente sul web”, continua Paolo Rosetti.  

È invece il Colonello Gian Luca Berruti, a presentare i nuovi protagonisti della sicurezza sul web, gli di ultima generazione della nostra GDF: “Insieme a FBI e polizia informatica UK siamo stati gli unici al mondo ad avere già smantellato tre market criminali di droga, documenti, identità digitali e carte di credito sul dark web. Opera una nuova generazione d’investigatori nativi digitali. Lavorano sotto identità di copertura autorizzate dalla magistratura. Usano avatar e BOT, programmi robot che accedono alla rete attraverso gli stessi canali usati dagli utenti per entrare in contatto con i criminali e colpirne le attività”.  

Proprio da questa attività d’indagine arriva l’allarme sull’appetibilità delle profilazioni marketing dei clienti, fatte e conservate dalle imprese. Pochi mesi fa una grande azienda si è accorto che i suoi clienti erano sottoposti a proposte truffaldine da parete di soggetti che vendevano prodotti analoghi. Le indagini hanno rilevato che cyber criminali si erano impadroniti dei dati legittimamente detenuti dal gruppo e li usavano per vendere prodotti inesistenti e dicevano pure che chiamavano perché i suoi dati sensibili erano stati acquistati legalmente, da liste in vendita on line. 

Accaduto anche a Rimini, in un'impresa seguita da Consulenti Privacy. Si scopre che il software CRM, con dentro i dati dei clienti, girava lento. Degli ex dipendenti, ancora in possesso delle password di accesso, stavano trafugando sottotraccia l'intero CRM, con i suoi migliaia di contatti e i dati ad essi correlati.  Attacchi fallito perché grazie al team Consulenti Privacy e a seguito di un'analisi del sistema informatico utilizzato, era stato a adottato un sistema di business continuity e backup all'avanguardia che ha consentito di riprendere la piena operatività in poche ore,  e recupero di tutte le informazioni esfiltrate illegalmente.