A seguito del vasto blackout informatico globale causato da un malfunzionamento del software di sicurezza CrowdStrike nel luglio 2024, il Garante per la protezione dei dati personali ha avviato un’indagine ufficiale. L’obiettivo è accertare le possibili conseguenze sui dati personali degli utenti italiani, con un’attenzione particolare per l’impatto sui servizi pubblici essenziali. L’intervento dell’autorità mira a fare chiarezza su eventuali violazioni della normativa sulla privacy e a garantire la tutela dei diritti dei cittadini.
Il malfunzionamento di CrowdStrike: cause e impatto globale
L’incidente che ha paralizzato milioni di sistemi informatici in tutto il mondo è stato innescato da un aggiornamento difettoso del software di sicurezza Falcon di CrowdStrike. Questo aggiornamento ha causato un errore critico, noto come “Blue Screen of Death”, su numerosi computer e server che utilizzano il sistema operativo Windows. È importante sottolineare che non si è trattato di un attacco informatico, ma di un errore tecnico interno all’azienda fornitrice del servizio.
Le conseguenze sono state immediate e di vasta portata, colpendo settori cruciali a livello globale. Compagnie aeree hanno dovuto cancellare migliaia di voli, istituti bancari hanno interrotto le operazioni, borse valori hanno subito sospensioni e anche i servizi sanitari e le pubbliche amministrazioni hanno registrato gravi disservizi. L’evento ha messo in luce la fragilità di un ecosistema digitale sempre più interconnesso e dipendente da un numero limitato di fornitori di servizi di sicurezza.
L’indagine del Garante per la Protezione dei Dati Personali
L’iniziativa del Garante Privacy si basa sulle notifiche di violazione dei dati personali (data breach) ricevute dalle organizzazioni colpite dal blocco. Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), un data breach non consiste solo nel furto o nella diffusione non autorizzata di informazioni, ma anche nella loro indisponibilità, distruzione o alterazione accidentale. Il blackout dei sistemi, impedendo l’accesso ai dati, costituisce di per sé un potenziale incidente di sicurezza rilevante ai fini della normativa.
L’indagine si concentra su alcuni aspetti chiave:
- Valutazione della gravità: Verificare l’estensione del disservizio e il numero di cittadini italiani coinvolti.
- Impatto sui servizi pubblici: Analizzare le conseguenze specifiche sull’erogazione di servizi essenziali, come quelli sanitari, anagrafici o fiscali.
- Misure di sicurezza: Accertare se le amministrazioni pubbliche e le aziende private avessero adottato misure adeguate per garantire la continuità operativa e la resilienza dei sistemi.
- Comunicazione agli utenti: Controllare se gli utenti interessati siano stati informati tempestivamente e correttamente dei rischi per i loro dati personali.
L’autorità si è riservata di adottare ulteriori provvedimenti qualora emergessero specifiche violazioni della normativa a danno dei consumatori italiani.
Rischi per i dati e diritti dei consumatori
Un incidente di questa portata solleva importanti questioni sulla sicurezza e la gestione dei dati personali. Anche in assenza di un furto di informazioni, i rischi per i cittadini sono concreti. Il principale è stato l’indisponibilità dei dati, che ha impedito a molti di accedere a servizi fondamentali, come la consultazione di referti medici online, la prenotazione di visite o il completamento di pratiche amministrative urgenti.
Inoltre, l’indagine del Garante mira a escludere altri potenziali rischi, come la perdita o il danneggiamento dei dati a seguito dei ripetuti crash di sistema. Un altro aspetto critico riguarda le procedure di ripristino: in situazioni di emergenza, potrebbero crearsi vulnerabilità temporanee che espongono i sistemi a accessi non autorizzati. I consumatori hanno il diritto di sapere se i loro dati sono stati gestiti in modo sicuro durante tutte le fasi dell’incidente e del successivo recupero.
Cosa possono aspettarsi gli utenti
L’intervento del Garante Privacy è un passo fondamentale per garantire la responsabilità (accountability) delle organizzazioni che trattano dati personali. Al termine degli accertamenti, le aziende e gli enti pubblici che non avessero gestito l’incidente in conformità con il GDPR potrebbero essere soggetti a sanzioni. Per i consumatori, l’esito dell’indagine potrebbe fornire elementi utili per eventuali richieste di risarcimento, qualora fossero in grado di dimostrare di aver subito un danno materiale o immateriale a causa della violazione dei loro dati.
Questo evento sottolinea ancora una volta l’importanza per i consumatori di essere consapevoli dei propri diritti in materia di privacy e di monitorare le comunicazioni ufficiali da parte delle aziende e delle autorità competenti in caso di incidenti informatici.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
