g-docweb-display Portlet

Provvedimento del 20 ottobre 2022 [9828092]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9828092]

Provvedimento del 20 ottobre 2022

Registro dei provvedimenti
n.  338 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica preliminare di violazione dei dati personali e le successive integrazioni trasmesse ai sensi dell’art. 33 del Regolamento, con le quali il gruppo societario Davide Campari Milano-NV (di seguito DCM) ha dichiarato di essere stato oggetto di un attacco di tipo ransomware;

VISTO che, a seguito delle analisi di sicurezza svolte, DCM ha accertato che l’attacco subito aveva determinato la violazione della disponibilità dei dati e dei sistemi e che gli attaccanti avevano illecitamente estratto un volume di circa 260 GB di dati, contenente anche dati personali;

CONSIDERATO che DCM è un gruppo societario multinazionale con sede legale nei Paesi Bassi ma con stabilimento principale in Italia, e dunque il Garante per la protezione dei dati personali è competente a trattare la violazione dei dati personali;

VISTO che il titolare del trattamento ha dichiarato che i dati oggetto di violazione hanno riguardato interessati di diversi Paesi membri dell’Unione e, in particolare, in Austria, Belgio, Francia, Germania, Grecia e Spagna, oltre ad altri paesi extra UE;

VISTO che DCM ha dichiarato di aver provveduto, tramite le singole società del gruppo presenti in ciascun Paese membro coinvolto, a notificare la violazione a tutte le altre competenti Autorità di protezione dei dati;

VISTO che DCM ha dichiarato che le categorie dei soggetti coinvolti dalla violazione sono: dipendenti della società e loro familiari, ex dipendenti, clienti, azionisti, fornitori, partner commerciali (compresi giornalisti), e che i dati personali compromessi sono: nome, cognome e dati di contatto e, limitatamente ai dipendenti ed ex dipendenti anche i dati trattati durante il rapporto contrattuale di lavoro (come, ad esempio, documenti di identità, iscrizione a sindacati, dati relativi alla salute);

VISTO che dalle analisi di sicurezza della violazione trasmesse al Garante, è emerso che l’attacco è stato organizzato e condotto da un gruppo criminale ben organizzato e di elevato profilo offensivo, capace di aggirare le misure di sicurezza predisposte. Nello specifico, l’analisi delle registrazioni degli accessi ha dimostrato che l’accesso alla rete di DCM è stato effettuato avvalendosi di legittime credenziali per collegamento VPN (virtual private network) sottratte a un consulente di una società esterna, e che l’accesso illegittimo e non rilevato ha consentito di individuare e sfruttare una vulnerabilità non sanata di un sistema server avente funzione di controller di dominio, e di ottenere privilegi amministrativi sull’intera rete informatica di DCM;

VISTO che le analisi hanno rilevato che al server violato non erano state applicate alcune correzioni di sicurezza (c.d. patch), lasciandolo pertanto in stato di esposizione a eventuali attacchi informatici;

CONSIDERATO che la mancata applicazione delle patch di sicurezza non è stata cagionata da inadeguatezza delle misure di sicurezza tecnico-organizzative predisposte dal titolare del trattamento, essendo piuttosto riconducibile a un errore umano (gli altri server, analoghi a quello violato in termini di configurazione e funzioni, recavano le necessarie correzioni di sicurezza);

VISTO che sono stati estratti circa 260 GB di dati e che i sistemi (macchine virtuali) e i dati sono stati sottoposti a cifratura malevola a fine di estorsione nei confronti di DCM;

VISTO che il titolare del trattamento ha dichiarato che il numero di persone “potenzialmente” interessate dalla violazione è stato pari a circa 10.000, ma che tale numero “è stato stimato […] in via prudenziale, per eccesso”, specificando che “alcuni dati numerici sono difficilmente individuabili, in quanto la tipologia di attacco subito […] rende possibile solamente quantificarne le stime”, ma non è stato possibile “accertare quali e quanti dati siano stati oggetto dell’attacco sia in termini di violazione della confidenzialità a seguito di esfiltrazione che della temporanea perdita di disponibilità degli stessi a seguito di criptazione, non potendosi rapportare quale dato sia stato eventualmente colpito dall’una e/o dall’altra”;

VISTO che il titolare del trattamento, non appena avuta consapevolezza dell’attacco in corso, ha operato la disattivazione e l’isolamento dei sistemi coinvolti, allo scopo di bloccare la violazione in corso, procedere alle necessarie analisi di sicurezza e intraprendere le operazioni di recupero dei dati e dei sistemi;

RILEVATO che il titolare del trattamento, reagendo all’attacco, ha predisposto ulteriori misure di irrobustimento (hardening) dei sistemi e delle policy di sicurezza e che si è avvalso di assessment di sicurezza operati da società terze specializzate in sicurezza informatica;

VISTO che il titolare del trattamento ha dichiarato di aver operato, al contempo, anche un’attività di ricerca volta a verificare l’eventuale diffusione in Internet dei dati illecitamente estratti;

VISTO che, con riguardo all’impatto derivante dalla temporanea perdita di disponibilità, DCM ha dichiarato che “circa la totalità dei dati personali coinvolti nella violazione sono stati recuperati e ripristinati: solo in un numero residuale di casi, infatti, non sono stati recuperati i dati, comunque riferiti alle sole 24h precedenti all’incidente”;

VISTO che, con riguardo all’impatto derivante dalla violazione di riservatezza dei dati, DCM ha riferito che “i criminali hanno pubblicato [sulla homepage del loro sito web] le informazioni di contatto estratte dall'Active Directory […], nonché alcuni screenshot di file sottratti, tra cui documenti di identità, documentazione finance e qualche contratto”, e alcuni link a file ubicati nel c.d. dark web, di cui “non è stato possibile effettuare il download […] e analizzarne il contenuto”, ma per lo più estratti “da un server collocato negli Stati Uniti d’America […] attinente alle attività della subsidiary americana [in relazione alla quale] i dati riferibili a cittadini europei [sono] comunque limitati”;

RILEVATO che, alla data del presente provvedimento, la pagina web su cui sono state pubblicate porzioni dei dati illecitamente estratti dai sistemi di DCM non è più direttamente raggiungibile, e che i tentativi di effettuare il download dei dati asseritamente pubblicati dal medesimo gruppo criminale nel dark web sono risultati infruttuosi;

RILEVATO, tuttavia, che il servizio Internet Archive (biblioteca digitale non profit dedita alla raccolta di fermi immagine del Word Wide Web allo scopo di documentarne l’evoluzione) alla data del presente provvedimento consente ancora di visualizzare una copia della pagina web sulla quale era stata pubblicata parte dei dati illecitamente estratti dai sistemi di DCM  (tra cui figurano dati personali quali nome e cognome, posizione lavorativa ricoperta, indirizzo email aziendale e, in alcuni casi, numero di telefono aziendale di 191 interessati di nazionalità tedesca, di cui circa una decina consulenti esterni, 135 interessati di nazionalità francese, di cui circa una decina consulenti esterni, 1122 interessati di nazionalità italiana, di cui circa 115 consulenti esterni, la copia del documento di identità di un cittadino italiano, e altri documenti di tipo contabile, contrattuale o finanziario non  rilevanti dal punto di vista della protezione dei dati personali);

* * *

VISTE le comunicazioni agli interessati inviate attraverso diversi canali: un comunicato stampa inviato via email il 6 e il 10 novembre 2020 a ciascun dipendente del gruppo e comunicati pubblici disponibili nel portale del sito del gruppo e in una sezione dedicata per fornitori, azionisti, ex dipendenti e clienti;

RITENUTO, quindi, che la Società abbia ottemperato a quanto previsto dagli artt. 33 e 34 del Regolamento in tema di notificazione al Garante e di obblighi di comunicazione agli interessati;
VISTE le dichiarazioni di DCM di aver notificato la violazione dei dati avvenuta a ciascuna Autorità competente presente in ciascun Paese membro coinvolto nella violazione e le relative comunicazioni agli interessati redatte nelle lingue di ciascun Paese coinvolto;

* * *

VISTA la procedura avviata dalla Spagna nel sistema di informazione del mercato interno (IMI A56ID n. 177779), ai sensi dell’art. 56 del Regolamento, il 3 febbraio 2021 per l’identificazione dell’autorità di controllo capofila (LSA) e delle autorità di controllo interessate (CSA) a seguito di una notificazione avvenuta da parte di Davide Campari SA (società spagnola del gruppo) riguardante la medesima violazione;

RILEVATO che l’Italia, nell’ambito di tale procedura, in base alle considerazioni sopra esposte relative allo stabilimento principale, si è dichiarata Autorità capofila (LSA) il 19 febbraio 2021;

CONSIDERATO che il Garante aveva già avviato una istruttoria in merito alla notificazione dei dati personali ricevuta nel mese di novembre 2020;

VISTI il case register 193170 aperto dall’Italia e la procedura di consultazione informale all’interno del sistema IMI avviata ai sensi dell’art. 60 del Regolamento il 14 aprile 2021 (IMI A60IC n. 193181) con le quali il Garante ha comunicato a tutte le altre Autorità interessate gli esiti dell’istruttoria condotta;

VISTA la bozza di decisione sottoposta alle Autorità interessate il 5 novembre 2021 (IMI A60DD 337611);

CONSIDERATI i commenti sollevati dalla SA del Baden-Wurttemberg il 25 novembre 2021 riguardo alla necessità di inserire nel provvedimento un richiamo alla opportunità di un fattore di autenticazione a due livelli;

RILEVATO che il Garante aveva già considerato anche tale aspetto nella bozza di decisione e che, pertanto, ha replicato a tutte le SA spiegando le considerazioni svolte, senza modificare in alcuna parte il presente provvedimento, attraverso la consultazione informale IMI A60IC 373958 del 2 marzo 2022;

CONSIDERATO che è stato necessario attendere il tempo di chiusura della consultazione informale per poter procedere alla approvazione definitiva del presente provvedimento, chiusura avvenuta il 2 settembre 2022;

* * *

CONSIDERATO che il titolare del trattamento ha adottato misure tecniche e organizzative adeguate a interrompere la violazione di sicurezza in atto, e ha agito per attenuarne i possibili effetti in danno degli interessati;

CONSIDERATO che il titolare del trattamento ha adottato ulteriori misure tecniche e organizzative in grado di accrescere il livello complessivo di sicurezza della propria infrastruttura informatica e di diminuire, pertanto, la probabilità che possano verificarsi ulteriori violazioni in futuro;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità, degli elementi acquisiti e delle considerazioni svolte, la violazione dei dati personali è stata trattata dal titolare in maniera adeguata e che non sussistono ragioni per effettuare un ammonimento o comminare una sanzione ai sensi del Regolamento;

CONSIDERATO dunque che la condotta di DCM nell’affrontare la violazione dei dati personali è stata responsabile ed efficace, e ritenuto che non siano emersi profili di illiceità né nella gestione della violazione di dati personali (cfr. artt. 33 e 34), né sul profilo della sicurezza informatica (cfr. artt. 5(1)(f) e 32);

RILEVATO, tuttavia che, seppur in forma residuale, alcuni dati personali sono ancora visibili in Internet, in particolare tramite il servizio Internet Archive;

RITENUTA, quindi, la necessità di prescrivere che venga intrapresa da DCM ogni possibile iniziativa volta ad assicurare che le eventuali copie residuali dei dati trafugati in Rete siano rimosse dalla pubblica disponibilità, dandone riscontro al Garante entro 30 giorni dalla ricezione del presente provvedimento;

RITENUTO necessario comunicare alle altre Autorità interessate la presente decisione, tramite il sistema IMI, ai sensi dell’art. 60 del Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

prescrive al titolare Davide Campari Milano NV (con principale stabilimento individuato in Italia, Via F. Sacchetti, 20 – 20099 Sesto San Giovanni (MI)

a) di intraprendere ogni possibile iniziativa volta ad assicurare che le copie residue dei dati personali illecitamente estratte e tuttora accessibili in Internet siano rimosse dalla pubblica disponibilità;

b) di dare riscontro al Garante delle attività di cui alla lettera a) entro 30 giorni dalla ricezione del presente provvedimento.

Per tutti gli altri aspetti il Garante intende chiudere la procedura IMI senza alcuna conseguenza per il titolare, considerato che, in base a quanto sopra, gli interessati sono stati tempestivamente informati e che l’attacco informatico è stato arginato e nessuna negligenza può essere attribuita al titolare.

Avverso la presente decisione può essere proposta, ai sensi dell’art. 78 del Regolamento (UE) 2016/679 nonché dell’art. 152, comma 1-bis del Codice, opposizione all’Autorità giudiziaria ordinaria entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi