L’attacco hacker segnalato nei giorni scorsi da Facebook, che ha compromesso oltre 50 milioni di profili, potrebbe costare al social network di Mark Zuckerberg molto più della reputazione – dopo i mea culpa e le promesse seguite allo scandalo Cambridge Analytica: le autorità europee potrebbero rilevare una violazione delle norme della nuova General data protection regulation (Gdpr) e imporre una multa fino a 1,63 miliardi di dollari.
L’attacco hacker a Facebook è stato reso possibile, ha spiegato la società, dallo sfruttamento da parte di “attori esterni” di tre vulnerabilità che riguardano la funzione ‘Visualizza come’ e la nuova versione del caricamento video introdotta a luglio 2017, che a sua volta ha generato in modo errato un token di accesso all’app mobile di Facebook. L’azienda ha già provveduto a rimediare i bug.
Secondo il Wall Stret Journal, la Data protection commission (la commissione irlandese per la tutela dei dati, competente per il controllo di Menlo Park in Ue) chiederà a Facebook ulteriori informazioni su quanto accaduto, non soddisfatta dagli elementi finora forniti. Il regolatore afferma di essere “preoccupato” perché il data breach coinvolge milioni di account e “Facebook non è stata in grado di chiarire la natura della violazione e il rischio per gli utenti in questo momento”.
Se verrà accertata una violazione del Gdpr, il nuovo regolamento europeo sulla protezione dei dati personali entrato in vigore a maggio, potrebbe scattare la sanzione pari al 4% del fatturato annuale globale. La cifra varia in base ad alcuni parametri, come la gravità della violazione e la risposta dell’azienda coinvolta, che ha l’obbligo di informare le autorità competenti entro 72 ore dal rilevamento dell’intrusione. Facebook avrebbe agito con la tempestività richiesta ma, secondo la Data protection commission, il report inviato dall’azienda manca di alcuni dettagli.
Una portavoce di Facebook ha indicato al WSJ che l’azienda risponderà alle domande del regolatore per colmare le lacune rilevate e che terrà le autorità informate di ogni eventuale nuovo sviluppo. Il Ceo di Facebook Mark Zuckerberg ha assicurato che l’azienda non sottovaluta l’importanza dell’accaduto e sta cercando di chiarire ogni elemento sulla natura e l’impatto della violazione.
Il caso infligge un nuovo colpo alla credibilità di Zuckerberg e del social network numero uno al mondo dopo lo scandalo Cambdridge Analytica e l’abuso sui dati di decine di milioni di utenti. Ma questo episodio specifico tocca indirettamente ogni altra azienda che gestisca dati personali di cittadini dell’Unione europea: sarà il banco di prova di come si muoveranno le autorità dell’Ue e quale sarà la portata di un’eventuale multa.
Due gli elementi su cui si concentra l’attenzione, secondo gli esperti legali sentiti dal WSJ. Uno è il rispetto del limite delle 72 ore per informare le autorità. Non fornire fin dall’inizio tutti i dettagli necessari non è di per sé indizio di comportamento scorretto da parte del social network, che, anzi, potrebbe aver scelto di dare subito notizia alle autorità pur se possedeva ancora pochi elementi sull’attacco hacker. La collaborazione dell’azienda colpita viene valutata come fattore positivo dal regolare nel momento in cui valuta un’eventuale sanzione. Secondo elemento sono le misure adottate dall’azienda colpita prima dell’attacco hacker: il Gdpr esige che le imprese pongano in essere tutte le tutele necessarie per preservare la privacy degli utenti e ora i player di mercato attendono di sapere come il regolatore intepreterà questa disposizione.