Gdpr, pagare gli hacker per “aggirare” le norme. Scatta l’allerta Europol
Le aziende attive in Europa che subiscono una violazione di dati potrebbero essere tentate di pagare i cyber-criminali per mantenere la violazione segreta e evitare le multe previste dalla General Data Protection Regulation (Gdpr). Lo ha detto l’Europol presentando il suo quinto report “Internet Organised Crime Threat Assessment (IOCTA)” nel corso della Interpol-Europol Cybercrime Conference a Singapore.
Il Gdpr, entrato in vigore a maggio, punisce con multe fino a 20 milioni di euro o il 4% del fatturato globale le aziende che subiscono violazioni di dati e non ne danno comunicazione alle autorità competenti entro i termini previsti. L’agenzia dell’Unione europea che si occupa di lotta al crimine ha messo in guardia sulle implicazioni per le aziende che violano le norme prescritte dal Gdpr e che, pur di evitare le pesanti sanzioni previste, potrebbero cedere alle richieste di estorsione di cyber-criminali che esigono di essere pagati per non portare alla luce i data breach.
L’allarme lanciato dall’Europol si basa su un sondaggio che la polizia europea ha condotto su “partner privati”, senza specificare ulteriormente né rendere pubblico il sondaggio. Un rappresentante della Commissione europea ha riferito a Euractiv che l’esecutivo dell’Ue non è stato consultato su questo sondaggio e ha ricordato che il Gdpr include uno specifico obbligo di notifica delle violazioni di dati.
L’Europol ha anche sottolineato che negoziare con i cyber-criminali vuol dire non solo finanziare nuovi attacchi per sottrarre i dati o altre attività criminali del web, ma anche entrare in un circolo vizioso in cui l’hacker potrebbe continuare a ricattare la sua vittima, senza alcuna garanzia che la violazione non venga svelata o che i dati sottratti non siano sfruttati per ulteriori abusi.
L’Europol ha ribadito che alle forze dell’ordine è ora precluso l’accesso a elementi chiave per lo svolgimento delle indagini sui crimini online.