Le aziende attive in Europa che subiscono una violazione di dati potrebbero essere tentate di pagare i cyber-criminali per mantenere la violazione segreta e evitare le multe previste dalla General Data Protection Regulation (Gdpr). Lo ha detto l‘Europol presentando il suo quinto report “Internet Organised Crime Threat Assessment (IOCTA)” nel corso della Interpol-Europol Cybercrime Conference a Singapore.
Il Gdpr, entrato in vigore a maggio, punisce con multe fino a 20 milioni di euro o il 4% del fatturato globale le aziende che subiscono violazioni di dati e non ne danno comunicazione alle autorità competenti entro i termini previsti. L’agenzia dell’Unione europea che si occupa di lotta al crimine ha messo in guardia sulle implicazioni per le aziende che violano le norme prescritte dal Gdpr e che, pur di evitare le pesanti sanzioni previste, potrebbero cedere alle richieste di estorsione di cyber-criminali che esigono di essere pagati per non portare alla luce i data breach.
L’allarme lanciato dall’Europol si basa su un sondaggio che la polizia europea ha condotto su “partner privati”, senza specificare ulteriormente né rendere pubblico il sondaggio. Un rappresentante della Commissione europea ha riferito a Euractiv che l’esecutivo dell’Ue non è stato consultato su questo sondaggio e ha ricordato che il Gdpr include uno specifico obbligo di notifica delle violazioni di dati.
Europol afferma tuttavia che “Le aziende vittime di attacchi hacker potrebbero preferire pagare una ‘piccola’ ricompensa agli hacker in cambio della segretezza anziché le elevate multe che l’autorità competente potrebbe infliggere” e che i dati del suo sondaggio dovrebbero suscitare una seria riflessione tra le autorità dell’Ue.
L’Europol ha anche sottolineato che negoziare con i cyber-criminali vuol dire non solo finanziare nuovi attacchi per sottrarre i dati o altre attività criminali del web, ma anche entrare in un circolo vizioso in cui l’hacker potrebbe continuare a ricattare la sua vittima, senza alcuna garanzia che la violazione non venga svelata o che i dati sottratti non siano sfruttati per ulteriori abusi.
La polizia europea ha messo in luce anche i problemi tecnici nella compliance al Gdpr riportando all’attenzione la questione del database Whois, che raccoglie e rende pubbliche una serie di informazioni su chi gestisce i siti Internet. Con l’entrata in vigore del Gdpr, molti dei dati raccolti nei registri di Whois sono diventati “privati” in nome della protezione dei dati personali, ma col rischio di oscurare informazioni utili su chi gestisce i siti al fine di bloccare la diffusione di malware, spam, hacker e attività criminali online. L’Europol ha ribadito che alle forze dell’ordine è ora precluso l’accesso a elementi chiave per lo svolgimento delle indagini sui crimini online.
