Ho Mobile è finita nelle grinfie degli hacker ed i dati personali dei suoi 2 milioni e mezzo di clienti circa è nelle mani dei criminali informatici. Il 28 dicembre l’account Twitter Bank Security, ha rilevato su un forum del dark web, la parte nascosta di internet, l’annuncio di vendita del database completo dei clienti della compagnia telefonica Ho Mobile, sorella minore della Vodafone.

Mentre fioccavano le smentite dalla casa madre, il Riformista ha anticipato l’indiscrezione che l’attacco fosse vero consigliando, tramite l’intervista al data journalist Livio Varriale, di richiedere il cambio della scheda SIM.

Nel frattempo, il registro clienti dell’azienda è stato messo in vendita nel dark web al prezzo di 25mila euro come base d’asta, nel sito CryptBB, accreditato da molti come mercato di prodotti di hacking, di proprietà di un italiano che non ha nascosto le sue intenzioni “commerciali” forte del possesso di dati di circa due milioni e cinquecentomila utenti.

Chi è stato a violare effettivamente l’archivio e come, resta un mistero, ma l’attacco risale allo scorso mese di maggio e sarebbe durato 5 giorni secondo indiscrezioni raccolte in rete. Andrebbero quindi indagate le responsabilità del data breach subito dalla compagnia Ho Mobile.

Dopo giorni di silenzio con un comunicato sul proprio sito web la compagnia telefonica ha ammesso pubblicamente la falla ed ha invitato gli utenti a recarsi nei negozi per il cambio SIM, inviando due messaggi differenti ad utenti attivi ed obsoleti.

La differenza tra i due messaggi sta nel fatto che in tutti e due seppur venga notificato il rischio effettivo di essere stati violati in rete e di trovare i propri dati personali esposti, mentre per i primi si fa presente la possibilità di cambiare la SIM gratuitamente nei rivenditori autorizzati, i secondi possono solo prendere atto della fuga dei propri dati personali.

Ho Mobile nella sua comunicazione ufficiale si giustifica citando “altri attacchi simili avvenuti ad altre aziende” ed individua le origini dell’attacco “nel momento pandemico del COVID, che ha visto registrare un incremento dei cyberattacchi nello spazio virtuale della Penisola”. Sembrerebbe un paradosso se immaginiamo che la soluzione tecnica, in un periodo di limitazioni alla circolazione aventi lo scopo di evitare gli assembramenti, sia quella di invitare le persone ad affollarsi nei negozi per il cambio di SIM.

Il Garante della Privacy, contattato dal Riformista, non ha aggiunto dichiarazioni in merito se non confermare di aver ricevuto in tempo la notifica del rischio di danno subito da HoMobile.

Per quanto riguarda la tempestività della notifica al Garante può dirlo solo il Garante stesso. Per quanto riguarda la comunicazione agli interessati, prevista dal GDPR nei casi in cui la violazione possa presentare un rischio elevato per i diritti e le libertà delle persone, considerati le tempistiche per i dovuti accertamenti, si può ritenere sia stata effettuata nei termini di legge e senza ingiustificato ritardo”, dice al Riformista l‘avvocato Enrico Ferraris specialista nel campo della privacy che solleva un dubbio sulla procedura adottata dall’azienda. “Anche se la comunicazione pubblicata sul sito internet e quella inviata via sms agli utenti coinvolti NON contiene le informazioni richieste dall’art 33 lettere b) c) d) del GDPR: il nome e i dati di contatto del DPO (responsabile protezione dati aziendale) o di altro punto di contatto presso cui ricevere informazioni; le probabili conseguenze della violazione di dati personali; la descrizione delle misure adottate o di cui ci si propone l’adozione per porre rimedio alla violazione e attenuare i possibili esiti negativi (sul punto è solo indicata la possibilità – e non la necessità – di sostituire gratuitamente la SIM)”.

Avvocato Ferraris, cosa devono fare gli utenti quindi?
“Come precisato da Ho, e da quel che si è potuto vedere nei sample pubblicati, si tratta di dati personali comuni (dati anagrafici, indirizzo, numero di telefono, dati tecnici della sim) e non di dati c.d. “sensibili”, o meglio “appartenenti a particolari categorie” con i quali si intendono esclusivamente i dati relativi alla salute, i dati genetici, i dati biometrici, quelli relativi alla vita sessuale o all’orientamento sessuale, alle opinioni politiche, all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, o all’appartenenza sindacale. – illustra l’avvocato Ferraris che aggiunge – In situazioni come queste, dove la violazione di dati è già nota all’autorità, non è utile che gli interessati propongano singolarmente reclami al Garante. Nel caso in cui possano provare di aver subito un danno (specifico, non essendo la violazione in sé un danno) potranno agire nei confronti dell’azienda per il risarcimento. Per il resto è bene che facciano la massima attenzione alle comunicazioni ricevute attraverso i canali oggetto di diffusione per evitare di essere vittime di truffe e che procedano alla sostituzione della SIM per scongiurare un possibile (ma improbabile visto il numero di soggetti coinvolti) SIM swap”.

Per l’azienda invece quali sono gli scenari che si aprono?
“L’azienda provvederà al più presto alla messa in sicurezza dei sistemi. Si troverà coinvolta in un procedimento avanti al Garante il quale, dopo aver valutato le modalità con cui sono effettuati i trattamenti e le responsabilità per il data breach, emetterà un provvedimento con l’indicazione di azioni correttive ed, eventualmente, con l’irrogazione di una sanzione. Non aspettiamoci – conclude l’avvocato Ferraris – che questo avvenga nel breve termine perché saranno sicuramente necessari accurati approfondimenti”.

Nel frattempo Ho Mobile, da quanto si apprende in rete, pare abbia bloccato la portabilità dei numeri telefonici verso altri gestori. Seppur questa sembri un’azione unilaterale nel contesto contrattuale tra la parte erogatrice di un servizio e quella beneficiaria, ha una sua logica. In questo momento dove tutti effettuano richieste, gli hacker potrebbero mischiarsi agli utenti e portare a segno il sim swapping intestandosi impropriamente delle utenze telefoniche per fini criminosi.

IL COMUNICATO DI HO MOBILE