La sigla General data protection regulations (Gdpr) che identifica la nuova disciplina europea in materia di privacy è stata beffardamente reinterpretata. L’acronimo è stato rivisitato in “Generally disclosing pretty rapidly” che lascia intendere che i nostri dati personali sono destinati a diventare pubblici abbastanza rapidamente.

E’ lo spiacevole caso dei 380 mila passeggeri di British Airways (in mezzo ci sono anche tanti nostri connazionali) che qualche giorno fa hanno appreso la triste sorte delle proprie informazioni – comprese quelle relative alla carte di credito – finite nelle mani di chissà chi.

Gli hacker che hanno arrembato i sistemi informatici della compagnia aerea hanno aperto una “breccia” che ha consentito loro di acquisire un patrimonio informativo di inestimabile valore. Questo genere di violazioni sono prese in considerazione dal regolamento europeo in tema di protezione dei dati, che contempla una serie di azioni volte a comunicare agli interessati e al Garante l’avvenuta azione criminale e a mitigare le inevitabili conseguenze negative di simili “incidenti”.

C’è chi non ha esitato ad applaudire la tempestività con cui British Airways è riuscita ad allertare le vere vittime dell’assalto cibernetico: la vasta platea della clientela è stata avvisata entro 24 ore dalla presa di coscienza di quanto fosse accaduto. Utilizzando Twitter e messaggi di posta elettronica il vettore aereo ha effettivamente stabilito una sorta di record nel processo di comunicazione puntualmente previsto dal Gdpr.

In realtà l’efficienza andrebbe valutata prendendo in considerazione anche altri parametri come – ad esempio – il tempo intercorso tra l’assalto e il momento in cui ci si è accorti della sgradita visita dei pirati informatici.

Nel caso specifico l’attacco avrebbe avuto inizio il 21 Agosto alle 22.58 ora locale mentre la constatazione (e il contestuale stop ai briganti telematici) è arrivata alle 21 e 45 del 5 settembre. Calendario alla mano – ma anche facendo senza – è evidente che i tecnici di British Airways hanno impiegato 15 giorni per accorgersi del saccheggio in corso.

Quindici giorni sono una eternità se si pensa quanti minuti siano sufficienti per utilizzare fraudolentemente le informazioni di una carta di credito appena sgraffignata. Sicuramente sono stati più bravi gli esperti della compagnia telefonica tedesca T-Mobile che – trafitti da una analoga incursione – hanno impiegato solo quattro giorni per appurare la scorribanda in corso e mettere subito i propri utenti al corrente dell’emergenza.

L’anno scorso l’episodio più drammatico nella categoria “data breach” era stato quello di Equifax, la realtà finanziaria americana cui vennero rubati i dati di 143 milioni di clienti. Il management di Equifax, venuto a conoscenza dell’increscioso frangente il 29 luglio, si preoccupò di dare la notizia solo il 7 settembre assicurando ai malfattori un inestimabile vantaggio e pregiudicando irrimediabilmente la serenità (e le tasche) dei malcapitati presenti nei propri database.

Il regolamento europeo fissa in 72 ore – dalla scoperta del “buco” – il tempo massimo per provvedere ad informare i soggetti cui si riferiscono i dati e le Autorità competenti. E’ legittimo chiedersi cosa potrebbe accadere se una disgrazia del genere avesse luogo in Italia. E’ ancor più legittimo domandarsi – visto che da noi Italia certe cose capitano eccome – come e quando chi gestisce la piattaforma Rousseau abbia provveduto alle comunicazioni relative al nuovo raid (il primo dalla piena operatività del Gdpr e dei corrispondenti obblighi) e alla conseguente razzia di dati.

La tempestività c’è stata, ma forse il merito è dell’autore che ha sbandierato la sua prodezza e della stampa che non ha esitato ad infierire sull’ennesima beffa. Ma quella tempestività non vale.

@Umberto_Rapetto