Cinquanta milioni di utenti colpiti e altri quaranta disconnessi preventivamente dalla piattaforma perché potenzialmente coinvolti. Sono questi i numeri del cyberattacco denunciato nei giorni scorsi da Facebook. Il più grande data breach della storia del social network di Zuckerberg. Ma la vera storia nella storia accende i riflettori su Bruxelles. Perché da qualche mese è entrato in vigore il nuovo regolamento europeo sul trattamento dei dati personali (Gdpr) e, considerate le misure stringenti e l’impianto sanzionatorio molto più rigoroso, la vicenda rischia di essere – a tutti gli effetti – la prima grande storia di attacco informatico soggetto alla nuova normativa. Un test molto significativo anche per le autorità europee, dunque.

Giovanni Buttarelli, garante europeo della protezione dei dati, racconta al Sole24Ore che quello di Facebook «è il caso più grande» anche se «ci sono stati altri eventi, come quello di British Airways, che vanno considerati». Il garante conferma che la società di Menlo Park ha rispettato le regole previste nel Gdpr, e ha avvisato le autorità europee entro le fatidiche 72 ore (da quanto è stata accertata la violazione): «Come previsto dalla legge, Facebook ha dovuto non semplicemente informare, ma avvertire circa le prime misure che ha ritenuto di dover adottare». Buttarelli chiarisce anche che, secondo i primi accertamenti, sui novanta milioni di profili interessati, «almeno il 10% è soggetto alla legge europea».

Ma cosa succede adesso? «A seguito di questo sarà aperta un’indagine, non solo per verificare se le procedure iniziali siano state rispettate, ma anche per vedere se le misure di sicurezza precedentemente adottate erano idonee. Grazie al Gdpr, la logica europea è quella di far emergere queste vicende affinché serva come lezione». Per il garante europeo, «se non si conoscono le conseguenze e i rischi di un incidente informatico, non se ne trae profitto per innalzare la sicurezza. Dovremmo fare i conti con sempre maggiori e incisive violazioni di sistemi. E credo che la cosa importante non è l’accesso abusivo. Il problema è l’integrità dell’informazione. Perché se si paralizza il sistema informatico di un voto elettronico, o magari degli sportelli postali o dell’Inps, è chiaro che si genera un danno collettivo enorme. Il bene più importante, ora, non è tanto la privacy, ma la disponibilità dell’informazione e la sua integrità. E questa deve essere una lezione anche per le PA, soprattutto per quelle titolari delle infrastrutture strategiche». Sulle sanzioni, infine, Buttarelli non ha dubbi: «L’ottica non è quella di bastonare le imprese. Poi è chiaro che a un gigante come Facebook chiediamo di investire di più in sicurezza, visto che hanno quasi l’anagrafe dell’intero pianeta, e di non spendere solo soldi per profilare le persone e migliorare le loro capacità di profitto».

© Riproduzione riservata