Seleziona Pagina

La sottrazione di banca dati: un pericolo da non sottovalutare

La sottrazione di banca dati: un pericolo da non sottovalutare

La sottrazione fraudolenta di un archivio automatizzato (“banca dati”) contenente dati personali oggetto di trattamento su larga scala costituisce, senza dubbio, una delle condotte illecite più gravi in materia di protezione dei dati personali.

Perché?

Per capirlo, è necessario stabilire anzitutto in quali casi la sottrazione di un database costituisce un reato; per farlo, ci serviremo di alcuni esempi. Una volta esaminata brevemente la fattispecie, vedremo quali soluzioni possono adottare le imprese per impedire che le informazioni custodite in una propria banca dati vengano rubate, in tutto o in parte.

Ipotesi di sottrazione fraudolenta di banca dati. Il caso Ho.Mobile

Il furto di una banca dati contenente dati personali oggetto di trattamento su larga scala potrebbe sembrare un’ipotesi remota, che raramente si verifica nella realtà di tutti i giorni.

Così non è. Pensiamo alle seguenti ipotesi:

  • acquisizione fraudolenta del database di un ospedale contenente i dati personali dei pazienti, trattati in relazione alle ordinarie attività svolte dell’istituto di cura;
  • sottrazione fraudolenta di una banca dati contenente le informazioni relative agli spostamenti degli utenti di un servizio di trasporto pubblico locale;
  • acquisizione illegittima dell’archivio creato da una compagnia di assicurazioni o da un istituto di credito contenente i dati personali dei clienti, trattati in relazione alle attività svolte dalla società.

Si tratta di casi – non certo infrequenti – in cui vengono rubati degli archivi automatizzati contenenti dati personali oggetto di trattamento su larga scala: si tratta esattamente della fattispecie di reato di cui stiamo parlando.

Un noto caso di acquisizione illegittima di archivi automatizzati si è verificato recentemente anche in danno dei clienti di Ho.Mobile. Come abbiamo spiegato anche in questo articolo, nel dicembre 2020 la Compagnia telefonica ha subito un attacco hacker in conseguenza del quale i cyber-criminali hanno sottratto una buona parte dei dati personali dei clienti conservati negli archivi digitali.

Oggetto di furto sono stati i soli dati anagrafici degli utenti (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e i dati tecnici delle Sim card. Stando a quanto riferito dalla società, non sono stati sottratti invece i dati di traffico (telefonate, SMS, attività web, etc.) e quelli relativi ai sistemi di pagamento utilizzati dagli interessati.

Questi esempi ci permettono di capire quanto effettivamente il reato di sottrazione fraudolenta di archivi automatizzati contenenti dati personali oggetto di trattamento su larga scala si verifichi con frequenza.

Introduzione al reato

La ragione per cui è necessario riflettere sulla fattispecie del furto di database sta nel fatto che tale reato può dar luogo a conseguenze particolarmente negative sul piano della protezione dei dati personali (data protection), le quali possono propagarsi in maniera rapidissima proprio in ragione della grande mole di dati conservati nella banca dati violata.

Per questa ragione, con il D.Lgs. 101/2018, il legislatore italiano ha voluto punire tale comportamento introducendo nel nostro ordinamento una nuova fattispecie di reato prevista dall’art. 167-ter D.Lgs. 196/2003 (“codice Privacy”).

Seguendo la classificazione proposta nella Guida ai reati informatici in azienda, possiamo qualificare il delitto di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala come una minaccia sia esterna sia interna all’impresa.

La prima ipotesi ricorre quando il furto venga commesso da soggetti estranei all’organizzazione aziendale. La seconda ipotesi ricorre quando il reato sia compiuto grazie alla collaborazione di uno o più dipendenti. Questi ultimi potrebbero concorrere con gli hackers nella commissione del fatto, oppure rubare autonomamente i dati personali conservati nell’archivio aziendale e successivamente rivenderli ai criminali o nel dark web.

In qualità di titolari del trattamento, le imprese devono prestare la massima attenzione e fare tutto ciò che è in loro potere per evitare la commissione di queste spiacevoli condotte.

Non ogni sottrazione di banca dati costituisce reato

È importante evidenziare che non ogni sottrazione di banca dati integra il reato previsto dall’art. 167-ter, D.Lgs. 196/2003. Al contrario, è necessario che ricorrano tutti i presupposti tassativamente previsti dalla legge affinché il comportamento sia qualificabile come acquisizione fraudolenta di archivi automatizzati contenenti dati personali oggetto di trattamento su larga scala.

Il primo comma dell’art. 167-ter prevede infatti che:

Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.

La norma richiede la “acquisizione con mezzi fraudolenti” della totalità o di parte di un database, ossia, in sostanza, il furto dell’archivio. La norma punisce la sottrazione abusiva in sé e per sé, a prescindere dal fatto che le informazioni rubate siano poi effettivamente utilizzate dal reo per scopi ulteriori.

Non integra invece il reato citato la condotta di colui il quale semplicemente riceva tali informazioni senza aver in alcun modo collaborato, direttamente o indirettamente, alla sottrazione dei dati personali.

La sottrazione deve essere compiuta infine per uno scopo determinato, ovverosia “al fine trarne profitto per sé o altri ovvero di arrecare danno” (cd. dolo specifico). Detto altrimenti, solo se la persona che vuole impossessarsi di un database lo faccia con lo scopo specifico di trarre un profitto per sé o di causare un danno agli interessati o al proprietario della banca dati commetterà il reato di cui stiamo parlando.

Gli ulteriori requisiti stabiliti dall’art. 167-ter, D.lgs. 196/2003

Il legislatore richiede anche degli ulteriori requisiti, ossia:

  • che la sottrazione sia effettuata con l’impiego di mezzi fraudolenti.

Nel silenzio della norma, intendiamo come tali gli artifici, i raggiri e ogni azione o strumento in grado di alterare i sistemi informatici, ovvero di trarre in inganno il soggetto a cui la condotta fraudolenta è diretta.

  • che la condotta abbia ad oggetto un archivio automatizzato.

Sostanzialmente sovrapponibile alla nozione di “banca dati”, esso è definito dall’art. 4 GDPR come «qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico che sia trattato in forma elettronica».
L’archivio deve contenere dati personali, ossia «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4 GDPR).
Esempi di dato personale sono il nome, il cognome, il codice fiscale, il numero del documento d’identità, l’indirizzo di casa o l’impronta digitale di una persona fisica.

  • che la sottrazione abbia ad oggetto, in alternativa, una parte sostanziale dell’archivio.

Il concetto non è definito chiaramente dalla legislazione italiana o europea in materia di protezione dei dati personali. Non è chiaro, in particolare, se tale requisito debba essere inteso in senso quantitativo, ossia in base al volume di dati conservati, o qualitativo, ossia in base alla natura dei dati sottratti.

La questione non è di poco conto. Pensiamo all’ipotesi di sottrazione una piccola quantità di dati personali che però svolgono un ruolo chiave nel trattamento effettuato su larga scala. A seconda dell’interpretazione offerta al concetto di “parte sostanziale” del database, la stessa condotta integrerà o meno il reato a seconda che si valorizzi la quantità o la natura dei dati rubati.

Questa incertezza pone dei problemi sul piano della tassatività della norma penale: la legge deve sempre indicare chiaramente quali condotte siano ritenute contrarie alla legge e quali no.

Il concetto di larga scala

Tra gli elementi costitutivi della fattispecie di reato, quello che riveste indubbiamente l’importanza maggiore è la nozione di “larga scala”.

Anche in tal caso il concetto non trova una corrispondenza specifica nelle definizioni contenute nel Regolamento europeo (GDPR) o nella normativa italiana in materia di protezione dei dati personali.

Alcune indicazioni utili possono essere ricavate dal Considerando 91 del GDPR, che ricomprende nei trattamenti di dati su larga scala quelli aventi ad oggetto “una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”.

Possono venire in aiuto anche le Linee guida elaborate in materia di DPO dal WP29 (ora EDPB), le quali suggeriscono di tenere in considerazione fattori quali:

  • il numero di soggetti interessati dal trattamento, in termini assoluti o in percentuale rispetto alla popolazione di riferimento;
  • il volume e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Il concetto di “larga scala” è quindi elastico, non determinabile a priori. È necessario verificare caso per caso se la sottrazione fraudolenta di una banca dati – o di una parte sostanziale di essa – integri il reato di cui stiamo parlando, a seconda che l’archivio abbia o meno ad oggetto dati personali oggetto di trattamento “su larga scala”.

Chi può commettere il reato di sottrazione fraudolenta di banca dati e qual è la pena prevista.

Una volta descritta la fattispecie di reato è necessario stabilire anche chi possa commettere il reato di sottrazione fraudolenta di banca dati. L’individuazione del presunto autore della condotta delittuosa (cd. agente) è un aspetto non certo secondario nella disciplina della fattispecie offerta dall’art. 167-ter.

La norma prevede che “chiunque” possa compiere la condotta illecita sopra descritta. Conseguentemente, non è necessario che l’autore del reato possieda alcuna specifica qualifica né ricopra alcun ruolo specifico per commettere tale condotta (reato comune).

La platea dei potenziali autori del delitto è quindi molto ampia e questo comporta un’estensione dell’area delle condotte penalmente rilevanti. Il legislatore ha voluto allargare l’ambito di applicazione della norma al fine di assicurare una maggior tutela ai diritti degli interessati.

Per quanto concerne il regime sanzionatorio, il delitto è punito con la pena della reclusione da uno a quattro anni.

La sanzione applicata è quindi inferiore nel massimo rispetto a quella stabilita, ad esempio, per il reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala di cui all’art. 167-bis. La scelta di sanzionare meno gravemente colui che acquisisca furtivamente un database contenente dati personali rispetto a colui che comunichi o diffonda illecitamente tali dati è determinata dal fatto che, nell’ottica del legislatore del 2018, la prima condotta sarebbe meno lesiva dei diritti degli interessati rispetto alla seconda.

La pena può anche essere diminuita qualora venga comminata, per i medesimi fatti, anche una sanzione amministrativa, come stabilito dal comma VI dell’art. 167 a cui l’art. 167-ter rinvia espressamente.

Come può proteggersi l’azienda?

Alla luce di quanto detto, è molto importante che l’azienda adotti tutte le misure necessarie ad assicurare protezione ai dati personali conservati nei propri archivi automatizzati.

Per capire come potersi tutelare, è necessario che l’impresa comprenda anzitutto quali sono i rischi connessi alla sottrazione abusiva di una banca dati contenente dati personali oggetto di trattamento su larga scala.

Il pericolo maggiore è rappresentato certamente dalla perdita di confidenzialità, cioè di riservatezza dei dati personali conservati nei database. Tale pericolo può verificarsi in conseguenza di diversi fattori di rischio:

  • cause tecniche legate alla cybersecurity. Esempi di fattori di rischio tecnico sono la vulnerabilità dei sistemi informatici, il mancato utilizzo di tecniche di cifratura, l’impiego di keylogger (hardware o software in grado di “leggere” le lettere e le cifre battute sulla tastiera di un pc).
  • cause fisiche, ossia dipendenti dal luogo in cui sono collocati gli archivi elettronici. Esempi di fattori di rischio fisico sono l’accesso non controllato alle sale server o agli altri ambienti aziendali in cui sono custoditi i database, l’assenza di vigilanza.
  • cause organizzative legate alla configurazione aziendale. Esempi di fattori di rischio organizzativo sono la scarsa attenzione nell’uso degli strumenti informatici da parte dei dipendenti e l’assenza di formazione specifica degli autorizzati.

Le contromisure che possono essere adottate sono varie e dipendono in buona parte dai fattori di rischio esistenti nello specifico contesto aziendale. La scelta delle misure di mitigazione del rischio va pertanto effettuata tenendo conto della realtà concreta in cui tali rimedi dovrebbero operare.

Tra le varie soluzioni possibili si ricordano:

  • rispetto ai rischi tecnici: la cifratura dei supporti di memorizzazione e della banca dati, ovvero l’attuazione di procedure di pseudonimizzazione e anonimizzazione dei dati conservati;
  • rispetto ai rischi fisici: procedure di controllo degli accessi alle sale server e di vigilanza;
  • rispetto ai rischi organizzativi: la formazione specifica del personale autorizzato al trattamento dei dati e l’implementazione di sistemi di identificazione informatica dei soggetti autorizzati ad accedere alla banca dati.

Lo sviluppo delle nuove tecnologie, l’utilizzo di big data e la creazione di vasti archivi informatici contenenti dati personali, spesso raccolti per finalità statistiche o di profilazione, ha reso necessaria la tipizzazione del reato di sottrazione furtiva di banca dati, ora previsto dall’art. 167-ter del codice privacy.

In assenza di efficienti misure di contrasto della minaccia da parte delle aziende, tuttavia, gli sforzi compiuti dal legislatore a nulla saranno valsi e i diritti degli interessati continueranno ad essere esposti a questo grave pericolo. In assenza di contromisure adeguate, adottate sulla base di un ragionamento preventivo calato nel singolo contesto aziendale, gli interessati potranno ambire unicamente ad una tutela ex post dei propri diritti assicurata dalla legge penale.

 

Guida ai reati informatici in azienda

Gli attacchi informatici ai danni di un'azienda possono provenire dall'esterno ma anche dal suo interno. Ecco tutte le minacce da cui difendersi, e come farlo

Guida ai reati informatici in azienda

Gli attacchi informatici ai danni di un’azienda possono provenire dall’esterno ma anche dal suo interno. Ecco tutte le minacce da cui difendersi, e come farlo

Circa l'autore

Sveva Ianese

Laureata a pieni voti all'Università di Padova, avvocato dal 2020, mi occupo principalmente di diritto dei contratti, responsabilità civile, protezione dei dati personali e diritto del web, svolgendo attività di consulenza e assistenza a favore di privati e imprese.

Archivi mensili

ISCRIVITI ALLA NEWSLETTER