Dopo la maxi violazione ai danni della società di controllo crediti Equifax, la banca Capital One ha annunciato la violazione dei dati personali di circa cento milioni di clienti negli Stati Uniti. E New York si attrezza, ispirandosi anche al modello europeo di tutela della privacy

Un nuovo, imponente data breach riaccende in Nord America i riflettori sulla cyber security del settore finanziario. Capital One, una banca con sede in Virginia, ha annunciato l’hackeraggio dei dati personali di circa cento milioni di clienti negli Usa e di sei in Canada. Ad essere violati sono stati nomi, indirizzi, numeri di telefono e ‘social security’ (simili al nostro codice fiscale) nei sistemi della compagnia popolare per i servizi di emissione di carte di credito.

CHE COSA È SUCCESSO

Le indagini sull’accaduto condotte dagli esperti della società e dal Fbi, ha reso noto il dipartimento di Giustizia Usa, hanno portato all’arresto di Paige Thompson, 33 anni, di Seattle, con l’accusa di frode informatica. Capital One ha spiegato di aver identificato l’hackeraggio – andato a segno sfruttando una vulnerabilità nell’infrastruttura della società – lo scorso 19 luglio e ha stimato un danno compreso tra 100 milioni e 150 milioni di dollari nel 2019 collegato alla notifica ai clienti, al monitoraggio del credito e al supporto legale. Non ci sarebbe stato accesso ai numeri di carta di credito, ma la compromissione di 140mila social security number e di 80mila conti correnti collegati alle carte rende l’attacco di una gravità molto alta.

SETTORE FINANZIARIO NEL MIRINO

Dopo la maxi violazione ai danni di Equifax, quella subita da Capital One è probabilmente uno dei data breach più importanti verificatesi finora negli Usa nel settore finanziario, contro il quale i cyber attacchi sono in costante aumento e, secondo il World Economic Forum, rappresentano ormai la prima preoccupazione per i manager.
Nel 2017 dall’agenzia di controllo dei crediti con sede ad Atlanta, una delle tre più grandi negli Stati Uniti, subì un attacco hacker che espose le informazioni personali di 143 milioni di cittadini statunitensi, quasi la metà dell’intera popolazione.
Una violazione che, a distanza di tempo, ha generato anche conseguente inizialmente non previste ma che secondo gli esperti saranno sempre più da considerare.
Dopo l’hackeraggio subito, la conseguente sanzione di 690 milioni di dollari comminata alla compagnia e gli ingenti investimenti necessari per mettersi in sicurezza (stimati in circa 400 milioni di dollari nel 2019 e nel 2020, andando a diminuire solo nel 2021), la società di rating Moody’s ha tagliato l’outlook di Equifax da stabile a negativo. Un caso che farà scuola, perché, spiegano gli esperti, si tratta della prima volta che un cyber attacco – che ha inciso sulla reputazione dell’azienda oltre che sui suoi conti – diventa un fattore chiave per valutare prospettive di lungo periodo.

IL MODELLO DI NEW YORK

In questo senso, uno dei modelli di riferimento negli Stati Uniti è oggi rappresentato dallo Stato di New York, sede delle principali attività di borsa del Paese, che prima e meglio d’altri si è attrezzato per affrontare la sfida cyber.
Già da marzo 2017 nello stato sono entrate in vigore le prime norme di sicurezza informatica statali degli Usa relative a società di servizi bancari e finanziari. Il regolamento segue le best practice di settore – come le linee guida emanate dalla Securities and Exchange Commission e dalla Financial Industry Regulatory Authority (Finra) – e contiene 23 sezioni che richiedono misure come la crittografia dei dati di tutte le informazioni non pubbliche, la nomina di un Ciso, formazione in materia di sicurezza per i dipendenti, autenticazione a più fattori rafforzata e la presentazione annuale, da parte di un alto funzionario, di una certificazione che afferma che la società è in conformità con i requisiti delle norme.
Ma questi macro-effetti finanziari si coniugano alle singole violazioni a danno della privacy degli utenti. E anche qui la Grande Mela rappresenta un benchmark oltreoceano.
D’ora in poi, è notizia di questi giorni le aziende negli Stati Uniti saranno ora tenute a informare i newyorchesi il più rapidamente possibile quando le loro informazioni vengono compromesse in un incidente di sicurezza, in base a una legge che il governatore Andrew Cuomo ha firmato nei giorni scorsi.
La legge sulla protezione dei dati a misura di consumatore aggiorna le attuali norme della Grande Mela per coprire i dati biometrici e obbliga le imprese ad avvisare i consumatori quando il loro indirizzo e-mail, combinato con le password corrispondenti o domande e risposte di sicurezza, viene compromesso. A giugno, il legislatore statale aveva approvato lo Stop Hacks and Improve Electronic Data Security Act (o Shield Act).
La norma, che entrerà in vigore nel marzo 2020, riporta CyberScoop, impone alle aziende di informare le persone “nel tempo più opportuno possibile e senza ritardi irragionevoli”, un periodo di tempo che generalmente significa 30 giorni ha dichiarato il senatore Kevin Thomas, che ha reintrodotto lo Shield Act dopo che non era riuscito a passare nel 2017.
Se l’incidente colpisce più di 500 residenti a New York, l’azienda interessata è tenuta a fornire una dichiarazione scritta al procuratore generale dello Stato. Un altro atto legislativo richiede inoltre che le agenzie di monitoraggio del credito al consumo offrano servizi di prevenzione del furto di identità ai clienti resi vulnerabili a causa di una violazione di tale società, una chiara reazione alla violazione dei dati Equifax del 2017 che ha colpito oltre 147 milioni di persone.
Lo Shield Act espande anche i requisiti di notifica a qualsiasi persona o entità in possesso di informazioni private sui residenti dello stato di New York, indipendentemente dalla loro posizione. La legge esistente a New York e in altri stati si applica in genere solo alle organizzazioni che operano all’interno dei confini statali. In tal senso, lo Shield prende in prestito alcuni aspetti dal Regolamento generale sulla protezione dei dati dell’Unione europea, il Gdpr, una legge fondamentale sulla privacy che impone alle imprese di notificare alle autorità di regolamentazione dell’Ue un incidente di sicurezza entro 72 ore, indipendentemente dal luogo in cui hanno sede.

Condividi tramite