Vi ricordate il mega data leak da Facebook, scoperto ad aprile 2021, con 533 milioni di dati di profili rubati e resi disponibili gratuitamente in Rete? 36 milioni erano di utenti italiani e 12.700 erano dati di sammarinesi. Per “gravi responsabilità nel comportamento di Facebook”, il giudice d’Appello di San Marino Valeria Pierfelici ha condannato la società a pagare una multa di 4 milioni di euro. Ecco la motivazione della sentenza: “la grande mole dei dati acquisiti da terzi ed il volume del traffico generato doveva essere immediatamente riconosciuta come pericolosa anomalia e avrebbe dovuto innescare meccanismi di prevenzione e di difesa atti ad evitare il perpetrarsi di qualunque azione potenzialmente lesiva della riservatezza dei dati delle persone che aderiscono al sodalizio virtuale”.
In sostanza, per il giudice Facebook “avrebbe dovuto prendere le opportune misure di sicurezza per prevenire il prelievo dei dati personali degli utenti”.
La replica di Facebook: “Delusi dalla decisione di San Marino. Modifiche già nel 2019”
“Siamo delusi da questa decisione e la stiamo esaminando. Abbiamo apportato modifiche ai nostri sistemi già nel 2019, come rimuovere la possibilità di effettuare scraping dei dati degli utenti utilizzando i numeri di telefono. Lo scraping non autorizzato dei dati è inaccettabile e contrario alle nostre regole. Continueremo a lavorare con le altre aziende del settore a questa sfida comune“, così un portavoce di Meta ha commenta la sentenza.
Ricordiamo che Facebook, sin da subito, aveva cercato di minimizzare l’accaduto, dicendo che è connesso ad una “vecchia” vulnerabilità risolta, appunto, nel 2019 e non aveva denunciato il data leak al Garante Privacy irlandese, perché “si è verificato prima dell’entrata in vigore del GDPR a maggio 2018”.
Facebook aveva anche precisato in un post sul blog che i dati erano stati presi utilizzando il suo strumento di importazione dei contatti qualche tempo prima di settembre 2019.
Che tipo di dati sono stati violati?
- Insieme ai numeri di telefono, sono stati prelevati i seguenti dettagli personali:
- ID dell’account Facebook
- Nome e cognome
- Genere
- Situazione sentimentale
- Indirizzo di casa e luogo di nascita
- Posto di lavoro
I rischi
L’utilizzo più probabile dei dati sottratti e poi pubblicamente accessibili sarà stato per operazioni di phishing di massa. Infatti, il numero di telefono potrebbe essere stato utilizzato per una serie di condotte illecite, che vanno da chiamate e messaggi indesiderati sino a serie minacce come il cosiddetto “SIM swapping”, una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione.
Per lo stesso data leak, Facebook già multata con 265 milioni dal Garante privacy irlandese
Ma la sentenza sammarinese potrebbe costituire un pericoloso precedente per il social network? Ricordiamo che Il Garante Privacy irlandese per lo stesso motivo aveva sanzionato Facebook con 265 milioni di euro proprio per violazione del GDPR.
“Se la sanzione di 4 milioni di euro comminata da San Marino (che certo non preoccupa il bilancio di Facebook) viene applicata proporzionalmente negli altri Stati, l’importo totale della pena pecuniaria per i complessivi 533 milioni di interessati arriva aritmeticamente a 166 miliardi di euro”, ha calcolato Umberto Rapetto, presidente del Garante Privacy della piccola Repubblica, che, appunto, non esclude un effetto domino del genere.