NEWS

28/10/2020

Caso Morgan Stanley: 60 milioni di dollari di sanzione per la banca per non aver cancellato correttamente i dati sui server dismessi

Tutti gli stati che hanno riconosciuto il diritto alla privacy come diritto individuale dei singoli cittadini hanno previsto obblighi di protezione dei dati più o meno rigidi, ma comunque validi anche nel momento in cui il supporto sul quale tali dati sono disponibili, viene dismesso o destinato ad altro uso. Per il GDPR, valido sul territorio dell'Unione Europea, non procedere alla corretta cancellazione dei dati personali comporta sanzioni amministrative che possono arrivare fino a 10 o 20 milioni di Euro oppure al 2% o al 4% del fatturato mondiale annuo dell'esercizio precedente, in relazione al tipo di violazione. La legislazione statunitense non è così rigida in materia, ma prevede obblighi precisi e, anch'essa, salatissime multe: quanto è successo alla famosissima banca Morgan Stanley, una tra le più potenti e ricche del mondo, lo ribadisce. Ben 60 milioni di dollari è l'ammontare della sanzione che l'Office of the Controller of the Currency ha deciso di comminare a causa di dismissioni non adeguate di alcuni server in uso nell'istituto bancario.

Le violazioni riscontrate sono avvenute, in un primo momento, nel 2016, quando una società terza affidataria della cancellazione dei dati dai data center in via di dismissione, aveva informato Morgan Stanley del rischio che alcune informazioni di clienti potessero essere rimaste, in forma non criptata, su alcuni server dismessi. Nel 2019 si è poi verificato un secondo episodio: in questo caso il produttore di un server sostituito in una delle filiali della banca, aveva avvisato del fatto che sul disco rigido della macchina dismessa potevano essere rimasti alcuni dati dei clienti, a causa di un difetto del software usato per la proceduta di "data wiping". Data la situazione, la banca aveva deciso di avvertire i clienti e il Procuratore Generale della California dei passibili data breach, ma pochi mesi dopo i clienti hanno deciso di avviare una class action contro Morgan Stanley. Trascinata in tribunale, la banca si è difesa spiegando di avere monitorato lo status dei dati e di non aver rilevato alcuna attività non autorizzata, né accesso né utilizzo improprio dei dati personali dei clienti.

Evidentemente la difesa non ha convinto l'Office of the Comptroller of the Currency, che ha optato per la sanzione record di 60 milioni di dollari. Morgan Stanley è stata ritenuta colpevole di non aver verificato adeguatamente la dismissione dei data center, ottenendo solo una cancellazione parziale e fallace dei dati ed esponendo così i clienti a rischio frodi, furto d'identità, rivendita dei propri dati personali e sensibili sul dark web. Insomma, la condanna a Morgan Stanley indica chiaramente come, anche nel caso in cui si decida di avvalersi di soggetti terzi, resti in vigore la responsabilità dei titolari di vigilare sulla corretta esecuzione delle procedure di smaltimento, sia dal punto di vista ambientale che della protezione dei dati.

In Europa il GDPR è estremamente chiaro e severo sul punto, prevedendo nei fatti l'obbligo di procedere alla cancellazione irreversibile dei dati in caso di dismissione o destinazione ad altra attività/ proprietario di un dispositivo contenente dati.

Zerodati è la soluzione per cancellare correttamente e in maniera definitiva i dati, proteggere la privacy ed evitare il sanzionamento. Zerodati permette una distruzione certificata di dati tramite possibilità di scelta tra 6 diversi algoritmi a seconda della sensibilità del dato. In caso di controllo, i certificati saranno disponibili in pdf e consultabili tramite piattaforma in cloud per una durata di 10 anni. Basterà disporre di una usb avviabile da pc e procedere all'avvio dell'operazione di cancellazione. Ad un piccolo prezzo, avremo salvaguardato noi stessi ed i nostri clienti da situazioni come quella sopra citata.

Lisa Montanari Brand Manager Zerodati.



09/09/2020

Perche è necessario cancellare i dati in modo sicuro?

Cancellare i file da un supporto di memoria non significa eliminarli in maniera definitiva, così come non è sufficiente formattare il disco per eliminare i dati al suo interno. Infatti, quando un disco rigido viene formattato, viene cancellato solo il FAT, cioè la tabella di allocazione dei file. Questo vuol dire che le informazioni sono ancora presenti sul disco rigido, anche se non più visibili dall'utente. Per questa ragione è necessario avvalersi di software di cancellazione sicura e certificata dei dati (es. wiping program o file shredder), cioè programmi informatici che provvedono a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre, in modo tale da ridurre al minimo le probabilità di recupero delle informazioni dopo la cancellazione fatta dall'utente. Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell'unità di memoria è un obbligo ripetutamente indicato dal GDPR:

1. Art. 4 del GDPR 2016/679 Nella definizione di "trattamento" sono incluse la cancellazione o la distruzione dei dati.

2. Art. 5 del GDPR 2016/679 Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

3. Art. 17 del GDPR 2016/679 Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all'oblio).

Il Garante Privacy ha definito le modalità di cancellazione dei dati con Provvedimento del 13 ottobre 2008 (G.U. n.287 del 9 dicembre 2008) "Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali" secondo cui:

1. Ai sensi dell´art. 154, comma 1, lett. h), viene richiamata l´attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l´ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure
b. smaltite, anche seguendo le procedure Quindi anche tutti coloro che procedono al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti sono tenuti ad assicurarsi dell´inesistenza o della non intelligibilità dei dati personali presenti sui supporti. In questo caso è opportuno specificare che la memoria deve essere cancellata in maniera certificata prima di procedere allo smaltimento del dispositivo elettronico.

Tutte le imprese e gli studi professionali che non rispettano l'obbligo di cancellazione certificata dei dati si espongono a sanzioni amministrative pecuniarie che possono arrivare fino a 10 o 20 milioni di euro oppure al 2% o 4% del fatturato mondiale annuo dell'esercizio precedente, in relazione al tipo di violazione.


Zerodati è la risposta ideale per adempiere in modo semplice ed economico all'obbligo di legge che impone la cancellazione certificata dei dati dai dispositivi dismessi o che cambiano destinazione d'uso. Utilizzando il software ZERODATI per la cancellazione dei dati si evitano i costi di spedizione a un centro specializzato, si ha la possibilità di recuperare e riutilizzare successivamente l'unità di memoria, evitando così prevedono la demagnetizzazione o la distruzione fisica come avviene con gli altri metodi tradizionali.

Lisa Montanari Brand Manager Zerodati.

S-MART.BIZ

Web: s-mart.biz
Email: richieste@s-mart.biz  
Telefono: +39 055 430 352  
Fax: +39 055 4249 982
P.IVA: 05345670482