Data breach Marriott hotel – spunti di riflessione

data breachHo deciso di partire dall’analisi del data breach subito dalla catena di hotel Marriott, in quanto il settore alberghiero rispetto ad altri è quello forse che riesce a rendere meglio l’idea di come chiunque di noi possa essere vittima di un data breach, difatti chi non ha mai dormito in albergo?

Premesso ciò il data breach della catena Marriott in esame, definito da alcuni del secolo, dalle ricostruzioni fino ad adesso svolte sembra andasse avanti da qualche tempo e riguarda tutti i dati dei clienti registrati sulle piattaforme della catena quali nome, cognome, documenti d’identità, carte di credito con relativi codici, date di check-in e check-out.

I pericoli potenziali rispetto al furto di questi dati sono diversi, si parte dal furto d’identità vero e proprio, alla clonazione della carta di credito e dei documenti quali ad esempio i passaporti.

Facciamo l’esempio del passaporto, in questo caso il soggetto cui i dati del passaporto sono stati rubati con un data breach si troverà davanti alla scelta (ma direi meglio obbligo) di dover denunciare il fatto e richiedere l’emissione di un documento nuovo, con tutti i problemi relativi non solo ai costi ma ai tempi burocratici per ottenere un documento nuovo. Quanto alle carte di credito? Anche qui i danni possono essere ingenti e il dimostrare di non essere stato colui il quale ha effettuato eventuali pagamenti può essere lungo e costoso oltre che una grande perdita di tempo.

Da questi brevi esempi tratti da un caso reale si evince come l’attenzione alla diffusione dei propri dati personali debba essere ormai un aspetto imprescindibile di ogni transazione on line, qualunque essa sia, come prenotare un albergo o acquistare un prodotto o un servizio. In tutti questi casi bisognerà sviluppare un personale protocollo di sicurezza per tenere al sicuro i propri dati e in definitiva se stessi.

In altre parole bisogna porsi le domande sulla necessità e non ridondanza dei dati richiesti, la loro retention, lo scopo, la loro condivisione, l’affidabilità del soggetto richiedente, ed alla luce di ciò adeguare le misure di sicurezza (come ad esempio munirsi di carta di credito prepagata o utilizzare portafogli elettronici come paypal per evitare di diffondere i dati della propria carta di credito in ogni dove, etc..).

Quanto visto per quel che riguarda il punto di vista user, che ricordiamo essere il punto focale del nuovo GDPR, mentre passando al lato business questo esempio  porta all’attenzione delle imprese i danni che possono provocare le loro mancanze da cui possono derivare oltre le sanzioni dei vari garanti anche le richieste di risarcimento danno dai soggetti vittime dei data breach.

Premesso ciò le imprese non dovranno concentrarsi solo sull’aspetto tecnico per prevenire i data breach, ciò sarebbe un’ottica parziale se non monca di quello che è un buon approccio al trattamento dei dati, ma devono adottare una revisione totale dei processi in atto secondo i dettami del GDPR al fine di mitigare il più possibile i rischi per gli utenti. Detto in altre parole come prescritto dal GDPR oltre l’approccio tecnico sulle famose misure di sicurezza adeguate è necessario svolgere costantemente un mappatura del trattamento dati in essere, ponendosi domande sulla finalità della raccolta dati, sulla sua necessarietà, il tempo di conservazione, la scelta dei partner tecnici, etc..

In definitiva questo esempio come altri che verranno analizzati in futuro dimostra sempre di più come la data protection sia per le imprese un adempimento dinamico e soggetto a revisione da inserire un processo di tipi iterativo mentre dal lato utenti/cittadini un aspetto su cui informarsi e porre sempre più la massima attenzione.