Un disastro che costa un patrimonio. È il più grande accordo extragiudiziale per un data breach, una perdita dei dati, e serve a chiudere una lunghissima lista di indagini: da quella della Federal Trade Commission alla Consumer Financial Protection Bureau e praticamente tutti i procuratori generali degli Stati americani. E in più chiude anche le class action che stavano per essere presentate in differenti tribunali. Ma pagando 700 milioni di dollari la società americana di rating del credito personale Equifax chiude tutto e mette una pietra sopra alla gigantesca perdita di dati che ha colpito 147 milioni di consumatori americani nel 2017. Dopo l’annuncio il titolo di Equifax ha guadagnato 1,2%.
«L’inettitudine, la negligenza e i pessimi standard di sicurezza di questa società – ha detto il Procuratore generale dello Stato di New York, Letitia James – hanno messo in pericolo le identità di metà della popolazione degli Stati Uniti». In base all’accordo, la società pagherà una multa di 175 milioni di dollari agli Stati e di 100 milioni al CFPB.
La società istituirà inoltre un fondo da 300 milioni per i consumatori danneggiati che potrebbe salire a 425 milioni a seconda del numero di persone che lo utilizzeranno. Mentre circa la metà di tutti gli americani ha visto compromesse le proprie informazioni finanziarie, il fondo di restituzione è disponibile solo per i consumatori che possono dimostrare di aver subito un danno diretto dalla violazione, sia come vittime di frodi sia pagando per servizi alternativi di monitoraggio del credito.
I consumatori interessati potranno inoltre beneficiare di 10 anni di monitoraggio gratuito del credito da parte di Equifax e la società ha convenuto di rendere più semplice per i consumatori congelare il proprio credito o contestare informazioni inesatte nelle relazioni sul credito.
Le authority di vigilanza hanno dichiarato che Equifax ha infranto le leggi che proteggono i consumatori da pratiche ingiuste e ingannevoli non riuscendo a fornire una ragionevole sicurezza per le enormi quantità di informazioni personali sensibili archiviate e ingannando i consumatori sulla effettiva resistenza del suo programma di sicurezza dei dati
Equifax, una delle tre principali società di analisi del credito americane, ha dichiarato nel 2017 che una violazione dei dati aveva compromesso le informazioni personali, compresi i numeri di previdenza sociale, di 143 milioni di americani. Compresi i clienti canadesi, in totale sono stati colpiti circa 147 milioni di consumatori.
Gli hacker dietro la violazione non sono mai stati identificati dalle autorità. Lo scandalo ha portato all’uscita del suo amministratore delegato di allora, Richard Smith, per la lentezza nel rivelare la violazione e le pratiche di sicurezza.
La politica e la pubblica opinione americana intanto hanno messo in discussione il modo in cui le società private possano accumulare così tanti dati personali, cercando invece un modo per trovare soluzioni che consentano ai consumatori di proteggere e controllare le proprie informazioni. La commissione per il settore bancario del Senato americano sta ancora lavorando su una nuova normativa che imponga alle aziende di proteggere meglio i dati dei consumatori.
«Se da un lato – ha dichiarato il senatore democratico Mark Warner – sono felice di vedere che i clienti che sono stati danneggiati a causa delle pessime pratiche di cybersecurity di Equifax vedranno un risarcimento, abbiamo bisogno di riforme strutturali e una maggiore supervisione delle agenzie di segnalazione del credito al fine di garantire che tutto questo non accada mai più».
Il nuovo Ceo di Equifax, Mark Begor, ha dichiarato che l’accordo è stato un “passo positivo” per la società e che le consentirà di concentrarsi sugli investimenti in tecnologia e sicurezza. Equifax ha scritto tra le passività la cifra di 690 milioni nel primo trimestre per coprire l’ammenda prevista.
Come parte dell’accordo, la società ha anche accettato di rafforzare le proprie pratiche di sicurezza e di far valutare periodicamente le proprie politiche di security digitale da un auditor esterno ed indipendente.
