La storia dei 14 milioni di dollari chiesti come riscatto a ENEL per riavere i propri dati ed evitarne la divulgazione sembra non interessare nessuno.

La questione, invece, dovrebbe stare a cuore a chi trattava quelle informazioni (ENEL), a chi le ospitava sui propri server (Amazon), ai soggetti i cui dati rischiano di essere spifferati ai quattro venti (i clienti di ENEL), all’Autorità che presidia e tutela la riservatezza delle informazioni personali (il Garante della Privacy).

ENEL, nel rispetto del Regolamento Europeo 679/2016, sicuramente ha provveduto ad informare i clienti dell’avvenuto scippo di dati che li riguardano. Conosco parecchi utenti e nessuno di loro ha ricevuto comunicazioni in proposito, ma forse conosco solo quei pochi che chi di dovere ha forse dimenticato di avvisare dell’accaduto.

Gli stessi storici clienti mi dicono di non aver mai saputo che le loro informazioni personali fossero conservate all’estero e per di più da una azienda facente parte della costellazione di Amazon che, notoriamente, ha interessi commerciali che certi dati sono in grado di dissetare.

Il banale consumo elettrico, oltre ad indicare i periodi dell’anno in cui una abitazione è maggiormente “vissuta”, è indizio di capacità di spesa e sono tante altre le deduzioni che scattano nella mente di chi è allenato a macinare dati per i più diversi scopi.

Il Garante, da parte sua, avrà certamente ricevuto la comunicazione dell’avvenuto “data breach” che ENEL ha senza dubbio inoltrato entro le 72 ore dalla scoperta della violazione dei dati (termine che – solo a guardare la prima pubblicazione della notizia su Infosec.News – sarebbe scaduto). L’attività ispettiva permetterà di saperne di più e il provvedimento sarà indiscutibilmente esemplare e proporzionale alla gravità del fatto.

La situazione nel frattempo è poco chiara e grazie alle legittime preoccupazioni per l’escalation dei contagi la vicenda finisce in un angolo come tematica secondaria rispetto la salute della collettività.

Ma il fatto che nessuno abbia voglia di cimentarsi su un episodio che ha dell’incredibile non esclude che se ne possa parlare, magari sollevando qualche questione che è planare risulti fondamentale.

Viene da chiedersi quanto valgano le raccomandazioni del Garante europeo della privacy. L’Authority delle Authority, infatti, ha stabilito che i trasferimenti internazionali di dati – in corso e pianificati per il tratto a venire – siano eseguiti in conformità con il GDPR e sostanzialmente ha sancito di non utilizzare i “cloud provider” statunitensi.

L’impronunciabile Wojciech Wiewiórowski, Garante UE, si è garbatamente permesso di rammentare che – nonostante il solerte impegno degli fornitori di servizi telematici americani ad esser conformi alla disciplina europea in materia di privacy – alcune leggi a stelle e strisce (FISA 702 e EO 12333 ad esempio) stabiliscono casi in cui la riservatezza passi in secondo piano….

La radice è in una sentenza “Scherms II” della Corte di Giustizia europea che ha evidenziato l’inadeguatezza delle regole d’oltreoceano in fatto di privacy.

Sempre il difficile a dirsi Wiewiórowski il 5 ottobre 2020 ha ordinato alle istituzioni comunitarie di procedere alla ricognizione e all’identificazione dei contratti in corso, delle procedure di appalto e di ogni altro tipo di attività che dia luogo a trasferimento di dati extra UE.

Mentre si aspetta anche qualche iniziativa delle associazioni dei consumatori, lo spirito collaborativo ci impone di segnalare a chi di competenza che tra quei contratti c’è quello di ENEL che ha affidato ad Amazon. Visto che prima del “riscatto” da pagare era considerata una “storia di successo”, sarebbe un peccato sfuggisse al censimento…

Fonte: Infosec News