Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito.

Al termine di indagini e verifiche condotte per mesi, l’Autorità di controllo è pervenuta non solo alla piena conferma delle doglianze affacciate dagli scriventi, ma ha accertato una compromissione dei sistemi informatici della società di telefonia più preoccupante ed estesa di quella ipotizzata.

Il provvedimento appare di sicuro interesse per chiunque sia stato vittima della violazione o si trovi in situazione similare, anche in contesti diversi da quello delle telecomunicazioni.

Esso offre infatti utili elementi ricognitivi e permette di comprendere meglio profili di responsabilità del titolare del trattamento, omissioni di sicurezza, criticità nella circolazione delle informazioni.

Riteniamo inoltre che la conoscenza della decisione, particolarmente articolata, sia di sicuro pregio anche per il giurista telematico. Fornisce infatti uno spaccato sul modus operandi dell’Autorità di controllo, sulla granularità e coerenza delle verifiche e fornisce indicazioni di metodo (ad esempio su come deve essere condotta una bonifica).

Come si è giunti all’accertamento del Garante

La vicenda alla base del reclamo merita cenno per il suo valore paradigmatico, rappresentativo cioè di un certo genere di casistica, che appare utile riconoscere.

L’esistenza di una situazione fortemente anomala è emersa all’improvviso alcuni anni fa quando il futuro reclamante ha cominciato a essere subissato di solleciti di pagamento per fatture telefoniche insolute da varie società di recupero crediti incaricate da Telecom Italia.

Fatture e solleciti, pur recando i suoi dati personali, erano tuttavia collegati a utenze telefoniche a lui sconosciute, collocate in tutta Italia e in uso a soggetti terzi.

Nonostante le molteplici richieste di chiarimento rivolte alla società, il futuro reclamante solo promuovendo un procedimento penale riusciva ad accertare di essere vittima dell’intestazione illecita a suo nome di ben 826 linee di telefonia fissa.

La situazione, evidentemente fuori controllo, non veniva attribuita dalla società telefonica ad attacchi hacker o ad altri interventi malevoli di terzi o a pratiche illecite di propri rivenditori (dealer) come in passato, ma era ricondotta a ragioni tutte interne ai suoi sistemi informatici, a un non meglio precisato errore informatico, sussistente da oltre nove anni ed evidentemente da allora non corretto.

Evidenza di carenze gravi nella sicurezza dei dati

Già questa si palesa come un’evidente anomalia. È infatti appena il caso di notare che la tempestività di intervento costituisce il minimum atteso e dovuto in materia di sicurezza delle informazioni, mentre una così lunga permanenza della violazione è rivelatrice di inescusabili carenze nelle misure organizzative, che non hanno permesso di individuarla, o di grave inerzia nelle risposte, che non sono pervenute rispetto a una violazione nota. O anche di una combinazione di questi fattori, come ha appunto accertato il Garante nel caso di specie.

Il futuro reclamante veniva anche a scoprire che le intestazioni illecite di utenze erano confluite addirittura nella banca dati in uso alle Forze di polizia per finalità investigative, segno della propagazione della violazione in più sistemi informaci.

Si tratta di uno sviluppo assai insidioso, in quanto la banca dati compromessa rappresenta alla Polizia giudiziaria la sussistenza di relazioni intersoggettive in realtà fittizie, con serio pericolo (lo si vedrà più avanti) di gratuito coinvolgimento di soggetti estranei in indagini penali relative a terzi.

L’esatta individuazione dei sistemi intaccati e del perimetro della circolazione illecita dei dati personali oggetto di violazione riveste grande importanza, perché permette di individuare la portata esatta della compromissione, i meccanismi di propagazione e inoltre di definire il rischio per gli interessati che ne sono vittima, dunque di porre in essere interventi correttivi efficaci e strutturali e di assolvere in maniera corretta all’obbligazione di cui all’art. 32-bis, comma 2 cod. privacy.

Il Garante ha contestato alla società palesi mancanze sotto tali profili, tanto che l’esatta determinazione dei confini soggettivi e oggettivi dell’illecito risultava ancora ignota alla società al momento delle verifiche disposte dall’Autorità (vale a dire, a circa quattordici anni dal supposto momento della sua verificazione).

Vale la pena notare, per fotografare lo stato di inerzia negli interventi nel caso che ci occupa, che nonostante fosse stata ammessa dalla società l’intestazione erronea all’interessato di svariate centinaia e centinaia di linee telefoniche, dunque un’oggettiva compromissione di dati personali, la stessa non provvedeva né spontaneamente né in seguito alle pressanti richieste di quest’ultimo a un’immediata e completa bonifica.

Addirittura, per molti anni l’interessato, con spesa personale, ha cercato senza successo di ottenere la cessazione definitiva dell’illecito, facendo pervenire alla società telefonica numerose contestazioni e segnalazioni, varie diffide commissionate a studi legali, promuovendo un procedimento avanti al Corecom e una procedura ex art. 7 e ss. d.lgs. 196/03.

L’Autorità di controllo ha potuto accertare che, a distanza di oltre cinque anni dalle prime reazioni dell’interessato e di due dall’istanza ex art 7, sussisteva ancora la sua illecita associazione a due recapiti altrui di telefonia residenziale e, incredibile a dirsi, la sua perdurante qualifica nei sistemi informatici della società quale «cliente moroso».

Conta qui evidenziare, come espressamente indicato nel provvedimento del Garante, che identica situazione potrebbe riguardare svariate centinaia di altri interessati, tuttora in fase di identificazione.

L’omissione di misure idonee di sicurezza

Appare pertinente un cenno più concreto alle misure organizzative, invero ovvie e banali, che risultano essere state omesse.

Quella più evidente, ancorché non espressamente contestata dal Garante nel caso che ci occupa, consiste nella mancata attivazione di procedure di rilevamento automatico di intestazioni multiple di linee al medesimo soggetto.

A chi si occupa di protezione dei dati personali, l’omissione appare lampante, considerato che proprio la predisposizione di verifiche sulle intestazioni multiple costituiva misura necessaria espressamente prescritta dal Garante già nel provvedimento datato 6.2.2006 [1242592], in G.U. n. 54 del 6 marzo 2006.

Benché tale atto amministrativo si riferisca al settore della telefonia mobile, ne appare doverosa e autoevidente l’estensione alla telefonia fissa, anche a prescindere da prescrizione espressa dell’Autorità.

Vale la pena notare che le misure imposte nel 2006 a tutti i fornitori di comunicazione elettronica si erano rese necessarie proprio in seguito della scoperta, assieme ad altre tipologie di violazione, di numerosi casi di intestazioni multiple di schede SIM a terzi inconsapevoli.

Peraltro anche successivamente all’adozione di quel provvedimento risulta che Telecom Italia sia stata nuovamente coinvolta in gravi vicende di intestazione multipla di utenze telefoniche mobili, il che conferma evidentemente una certa, diciamo così, fatale ricorrenza di siffatta casistica. Necessario pertanto prevenirne la verificazione in linea generale, anche evidentemente rispetto alle utenze residenziali.

L’omissione di procedure automatiche di verifica sulle intestazioni multiple residenziali non è l’unico esempio di omissione di misure organizzative assolutamente banali e autoevidenti. Per citarne un altro, assolutamente vistoso, si pensi alla discordanza tra il codice fiscale dell’intestatario della fattura e quello dell’intestatario della linea. Essa costituisce un chiaro “evento sentinella” – questa la terminologia del Garante – potenzialmente rivelatore di gravi anomalie a monte.

Ebbene, non risultano predisposte procedure di rilevamento e di gestione di detta difformità, tanto che il Garante si è visto costretto a prescriverle ex novo a Telecom Italia con l’odierno provvedimento n. 176/17, anche per scongiurare gratuite iniziative di recupero del credito nei confronti di soggetti già vittime di violazione dei propri dati personali.

Ad aggravare il quadro delle carenze in materia di sicurezza, vi è stata poi una certificata «inerzia» della società (così alla lettera il Garante nel provvedimento n. 176/17) nell’intervenire sul fronte rimediale.

È stato accertato infatti che la società fosse perfettamente a conoscenza dell’esistenza di violazioni, in seguito a segnalazioni pervenute non solo dal reclamante ma da terzi, e, nonostante ciò, non abbia ritenuto di attivarsi né per comprenderne l’eziologia, il perimetro e le conseguenze né per predisporre interventi correttivi a livello strutturale.

Consapevolezza dell’illecito e inerzia nella reazione

Il Garante ha accertato che la telco in effetti «non ha dato prova di aver posto in essere alcuna idonea misura per definire il perimetro dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli» (p. 11).

La condotta tenuta in termini di sicurezza si è rivelata «negligente e omissiva» (p. 10). «Plurimi appaiono i malfunzionamenti che la Società non è stata in grado di prevenire e quindi, nonostante le reiterate segnalazioni provenienti da soggetti diversi, tempestivamente rilevare, censire e, infine, governare» (p. 10).

«Quanto poi alla diligenza che la Società avrebbe dovuto porre nelle verifiche alla luce dell’avvenuta conoscenza degli eventi lamentati, quantomeno per porre argine al pregiudizio per il reclamante e per gli altri interessati, deve ritenersi che dette verifiche non possono non ritenersi ordinarie per un operatore economico di rilevanza primaria nel settore delle comunicazioni elettroniche. In proposito, basti peraltro considerare che nel corso delle verifiche sono emerse sin da subito una pluralità di anomalie […] che, rilevate a seguito di una ricognizione poco più che attenta da parte degli incaricati della Società, avrebbero consentito di porre in essere forme efficaci di intervento» (pp. 11-12)

In altro passaggio della decisione si legge che «i rappresentanti della società non sono stati in grado di dare conto» delle anomalie (così a p. 7), né di «fornire prova alcuna» dell’eziologia dei malfunzionamenti dei propri sistemi informativi (p. 10).

Ulteriori e gravi negligenze sono state poi accertate dall’Autorità rispetto agli obblighi di segnalazione del data breach ai sensi dell’art. 32-bis codice privacy (p. 18), tanto è vero che, nei fatti, alla comunicazione del data breach dalla società al Garante non erano seguiti interventi dell’Autorità, evidentemente per effetto delle dichiarazioni tranquillizzanti e assolutamente non rispondenti al vero dell’operatore di telefonia.

Solo la ferma posizione del reclamante e le prove documentali presentate nella procedura di reclamo hanno potuto ottenere una riconsiderazione completa della vicenda che ha condotto al totale capovolgimento di esiti che oggi si legge nel provvedimento commentato.

I rischi di una violazione di dati personali per gli interessati

Le conseguenze di una violazione così prolungata, consapevolmente lasciata in essere e non monitorata nei suoi sviluppi sono molteplici e vanno esaminate, sia pure concisamente.

Ovviamente, l’elemento più vistoso è costituito dalla lesione gravissima del diritto fondamentale alla protezione dei dati personali, in effetti una sostanziale negazione del diritto che va molto al di là di una formale inosservanza di norme.

Si vuole tuttavia soffermare qui l’attenzione su profili di primo acchito meno evidenti.

Può trattarsi di conseguenze sul piano civilistico. Il reclamante per esempio è stato sottoposto a procedure stragiudiziali di recupero crediti per debiti non suoi da parte di società «che mai avrebbero dovuto essere poste nella disponibilità di tali dati» (p. 15).

Può trattarsi di conseguenze sul piano penale. In passato si sono già registrati casi di soggetti coinvolti loro malgrado in procedimenti penali per essere stati associati del tutto inconsapevolmente a utenze telefoniche altrui. Cfr. per tutti GPDP, 25.5.2004 [1097676], in relazione a Telecom Italia Mobile s.p.a.

Nel già citato provvedimento 6.2.2006 [1242592] cit., § 1.1, l’Autorità Garante ha tenuto infatti a precisare che «in alcuni casi, questi ultimi [gli intestatari inconsapevoli delle utenze, n.d.a.] si trovano persino sottoposti ad indagini penali che interessano l’intercettazione o il traffico telefonico della scheda falsamente intestata, oppure altre persone che l’hanno utilizzata nel quadro di attività criminose».

La diffusione su molteplici altre banche dati

Nella specie, peraltro, il pericolo di essere coinvolti in indagini è poi stato massimizzato dal fatto che la violazione di dati si è propagata, come ha accertato il Garante, dal sistema di gestione della clientela alla banca dati in uso alle Forze di polizia.

L’inquinamento per tanti anni della banca dati usata per l’attività investigativa con informazioni non corrispondenti al vero è inoltre di per sé idonea a recare pregiudizio all’amministrazione della giustizia.

Quelli indicati non esauriscono il novero degli effetti di una violazione dei dati propagatasi per anni. Occorre, sotto questo profilo, comprendere quale sia stata la circolazione impressa alle informazioni.

Nel caso che ci occupa, risultano, già solo rispetto al solo reclamante, centinaia e centinaia di comunicazioni illecite di suoi dati personali a terzi.

Si tratta non solo delle informazioni inserite nelle fatture e recapitate a un enorme numero di soggetti in tutta Italia, ma anche del flusso – tutto da comprendere – di dati personali verso alcuni indirizzi email (che si ripetono sempre uguali), facenti capo a soggetti ad oggi non identificati.

Quest’ultimo punto apre un notevole fronte di incertezza su chi abbia avuto accesso ai dati personali e su che cosa ne abbia fatto.

Ulteriori comunicazioni illecite sono state fatte infine all’Anagrafe tributaria gestita dall’Agenzia delle entrate, presso la quale risultano infatti numerose intestazioni telefoniche fittizie.

Le misure necessarie prescritte dal Garante

Il Garante ha ordinato alla società di provvedere entro 120 giorni a un’ampia ricognizione sul data breach, volta a individuare nell’intera platea dei clienti tutti gli interessati che ne sono stati vittima, tutti i sistemi informativi in cui si è manifestata, tutti i soggetti destinatari di comunicazione illecita dei dati personali.

In definitiva, vengono così prescritte le attività ricognitive minime che la società avrebbe dovuto spontaneamente porre in essere, ma che ha omesso per anni, in piena consapevolezza.

Sono disposte inoltre specifiche attività di annotazione degli interventi, nel quadro del rispetto di oneri di accountability.

Si è inoltre già fatto cenno alla misura necessaria relativa agli obblighi di verifica su discordanze nei codici fiscali.

Non appaiono invece ordinati approfondimenti volti a chiarire la causa della violazione, elemento che è rimasto oscuro nelle verifiche effettuate e il cui chiarimento potrebbe aiutare a comprendere meglio la violazione e i suoi effetti. Potrebbero in tal modo essere altresì dissipati dubbi, invero del tutto naturali, su possibili collegamenti con pregressi casi riguardanti, anch’essi, vaste intestazioni di utenze (in quel caso mobili) avvenute nel medesimo arco temporale e rispetto alla stessa società, ad insaputa di un vasto numero di interessati.

Ugualmente non risultano essere stati prescritti adempimenti volti a rafforzare pro futuro il rispetto degli obblighi di tempestiva e veritiera comunicazione di violazioni dei dati previsti ai sensi dell’art. 32-bis da parte dei fornitori di comunicazione elettronica.

Neppure è stata espressamente ordinata l’introduzione di procedure automatiche di verifica, quantomeno per il futuro, su intestazioni multiple delle linee residenziali, mentre tale verifica è stata richiesta rispetto all’esistente.

Non può peraltro escludersi il recepimento di tali misure necessarie con l’adozione di un prossimo provvedimento generale da parte dell’Autorità di controllo in materia di telefonia fissa, che riproduca anche alcuni elementi già contenuti in quello del 2006 relativo alle utenze mobili.

Conclusioni

Dalla vicenda possono già trarsi alcune immediate conclusioni.

Il data breach presenta aspetti disarmanti, impietosamente fotografati dall’accertamento del Garante.

Sarebbero già sufficienti i seguenti: esso si è manifestato nel settore, particolarmente delicato, delle telecomunicazioni, che ci si attenderebbe presidiato da stringenti attenzioni. Riguarda una società già in passato coinvolta in vicende per vari profili analoghe, anche di dimensione rilevantissima. Riguarda violazioni che sono risultate perfettamente note alla società.

Tutto ciò apre, evidentemente, fondati interrogativi sulla cultura della sicurezza, sulla qualità dei dati, sulle procedure interne e, non da ultimo, sull’efficacia di prescrizioni e sanzioni.

Si tratta di aspetti che troveranno probabilmente un correttivo sanzionatorio con l’applicazione del Regolamento Generale sulla Protezione dei Dati (RGDP) dal 25 maggio 2018.

Ulteriori e più precise considerazioni potranno invece trarsi all’esito degli sviluppi, tuttora da definire, delle operazioni di perimetrazione dell’illecito ordinate dal Garante alla società.

Occorre altresì attendere le annunciate sanzioni amministrative ai sensi del vigente codice privacy che saranno assunte nei confronti della società.

Sul piano civilistico, il provvedimento costituisce una base fondamentale anche per la promozione di azioni risarcitorie da parte di chi abbia subito pregiudizio in conseguenza dell’illecito. In tal senso, lo stesso Garante fa espresso riferimento all’art. 15 cod. privacy.