Per l’attacco hacker più grande della sua storia e peggiore di Cambridge Analytica, Facebook rischia una multa di 1,4 miliardi di euro dall’Unione europea. È la sanziona massima a cui potrebbe andare incontro il social network per il “security breach” comunicato venerdì scorso, qualora il regolatore europeo accertasse una violazione da parte della compagnia guidata da Mark Zuckerberg del Regolamento generale in materia di protezione dei dati.
Infatti il Gdpr punisce le aziende, che non sono state in grado di tutelare i dati degli utenti secondo le norme del Regolamento Ue, con una multa massima di 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’anno precedente. Si sceglie il valore più alto. E nel caso di Facebook la maxi-sanzione ammonterebbe a 1,4 miliardi di euro.
Secondo fonti del Wall Street Journal la decisione definitiva dell’Ue sul caso potrebbe arrivare nei prossimi mesi.
90 milioni di utenti Facebook coinvolti nell’attacco informatico, cos’è successo
Stiamo parlando di un caso più grande e più grave di Cambridge Analytica. Ce lo dicono semplicemente anche i numeri. L’attacco informatico sferrato a Facebook, per colpa di tre bug della piattaforma (funzione e pagina Visualizza come, e lo strumento usato per caricare i video di Buon Compleanno), ha coinvolto direttamente 50 milioni di utenti e potenzialmente altri 40 milioni. Totale 90. Invece 87 milioni sono stati gli utenti che si sono visti trasferire, impropriamente, i dati sui server della società inglese di analisi di big data a scopi politici. E se anche questo attacco avesse come obiettivo influenzare le prossime elezioni democratiche? Quelle europee si svolgeranno alla fine di maggio 2019.
Gli hacker che si sono impossessati dei token di accesso dei 50-90 milioni di utenti Facebook, a quali dati hanno avuto accesso? Se nel caso di Cambridge Analytica c’è stata una fuga della profilazione, questa volta gli attaccanti hanno avuto la possibilità di avere accesso a tutti i dati personali dei circa 100 milioni di utenti coinvolti. Lettura dei messaggi privati, foto, video, accesso non solo al profilo Facebook, ma anche a Instagram (se collegato all’account Facebook) e a tutti gli altri siti a cui gli utenti accedevano senza digitare la password, ma automaticamente attraverso il token Facebook: la chiave di identità digitale che consente di accedere automaticamente ad un sito e un’app (come Instagram) senza digitare ogni volta le credenziali. Questo scandalo è quindi più grave di Cambridge Analytica perché oltre all’enorme data breach, chi ha sferrato l’attacco informatico ha potuto accedere al nostro profilo Facebook e Instagram come se fossimo noi stessi. Meglio allora andare a fare un controllo sulla pagina delle attività di login di Facebook per vedere, eventualmente, qualcosa di anomalo effettuato a nostra insaputa.
Quanti sono gli europei coinvolti?
Cambridge Analytica ha coinvolto 2,7 milioni di cittadini europei, ma per lo scandalo Facebook non è stata sanzionata perché avvenuto prima dell’entrata in vigore delle sanzioni del Gdpr (25 maggio 2018). Invece il più grande attacco informatico subìto da Facebook rappresenta la prima grande occasione per mettere alla prova il Gdpr, anche se al momento non si conosce ancora il numero esatto di utenti europei interessati. Su questo Věra Jourová, la commissaria europea alla giustizia, chiede con fermezza a Facebook di sapere “il numero esatto degli utenti europei coinvolti e cosa è successo ai loro dati”. Jourová ha quindi esortato la compagnia a collaborare con l’autorità irlandese per la protezione dei dati.
Se il Regolamento Ue non esistesse non saremmo mai venuti a conoscenza dell’attacco più grave nei 14 anni di storia della compagnia, che è stata costretta a comunicarlo pubblicamente e in primis al Garante privacy irlandese (a Dublino c’è la sede europea del social network), perché il Gdpr impone “72 ore di tempo al titolare del trattamento, non appena ne viene a conoscenza, per notificare la violazione dei dati personali all’autorità di controllo competente”.
Il Garante Privacy irlandese si è detto “preoccupato perché la violazione dei dati riguarda molti milioni di account, ma Facebook non è in grado di chiarire la natura della violazione e il rischio per gli utenti”. Una portavoce della società ha dichiarato domenica che Facebook risponderà alle domande di follow-up da parte dell’Autorità irlandese e terrà informati i regolatori sugli ulteriori sviluppi. L’amministratore delegato Mark Zuckerberg ha scritto nel post di venerdì che il social network “sta prendendo molto sul serio la violazione e che sta ancora cercando di determinare molti dettagli sulla portata e l’impatto dell’incidente”.
Come visto Cambridge Analytica non ha insegnato nulla a Facebook. Il social network ogni giorno cerca di escogitare nuovi modi per stimolare le interazioni degli utenti sulla piattaforma, dalla funzione ‘Visualizza come’ al caricamento dei video del compleanno fino a tanti altri tool che, sinceramente, non sono fondamentali per un social. Gli utenti chiedono ora al social solo di tenere al sicuro i dati. Altrimenti scatta il Delete Facebook. Un americano su 4 ha cancellato la app di Facebook dallo smartphone nell’ultimo anno.