Data breach attraverso un “chat-bot”

Autorità di controllo britannica: Sanzione di 1.250.000 di sterline per mancata protezione dei dati personali dei clienti e ritardata comunicazione
L’autorità di controllo dei dati personali della Gran Bretagna (Information Commissioner’s Office – ICO) ha multato una società per 1,25 milioni di sterline per non aver protetto i dati personali dei propri clienti. L’ICO ha scoperto che la società, operante nel settore della commercializzazione e la vendita a livello internazionale di biglietti per spettacoli dal vivo, musica ed eventi di intrattenimento, non è riuscita a mettere in atto adeguate misure di sicurezza per prevenire un attacco informatico a un chat-bot installato sulla sua pagina di pagamento online.
Ulteriore aspetto tenuto presente in sede sanzionatoria è connesso al fatto che le violazioni, iniziate fin dal febbraio 2018, sono proseguite fino a giugno dello stesso anno. Nonostante molte banche avessero segnalato transazioni fraudolente in varie nazioni, ed un utente Twitter avesse segnalato l’esistenza di file “infetti” e compromessi, l’azienda non è riuscita a identificare tempestivamente il problema ed ha atteso ben 4 mesi prima di informare l’autorità di controllo. Solo dopo alcuni mesi è stato accertato che le frodi erano connesse al monitoraggio del traffico di rete attraverso la sua pagina di pagamento online.
La violazione dei dati ha incluso nomi, numeri di carte di pagamento, date di scadenza e numeri CVV, ha potenzialmente colpito 9,4 milioni di clienti in tutta Europa, di cui 1,5 milioni nel Regno Unito.
Gli investigatori hanno scoperto che, a seguito della violazione, 60.000 carte di pagamento emesse da varie banche erano state oggetto di frodi note. Altre 6.000 carte sono state sostituite dopo aver sospettato un uso fraudolento.
A seguito di una lunga istruttoria l’ICO ha accertato che la società non è riuscita a:
  • Valutare i rischi dell’utilizzo di un chat-bot sulla sua pagina di pagamento
  • Identificare e attuare misure di sicurezza appropriate per annullare i rischi
  • Identificare tempestivamente la fonte dell’attività fraudolenta suggerita
L’indagine dell’ICO ha rilevato che la decisione della società di includere la chat-bot, ospitato da una terza parte, nella sua pagina di pagamento online, aveva consentito a un “aggressore” digitale di accedere ai dettagli finanziari dei clienti. Il malware, che è stato rilevato su un prodotto di assistenza clienti, ha esfiltrato i dati dei clienti e li ha trasmessi a un aggressore sconosciuto. L’”attaccante” ha diretto il suo attacco contro il server di una società fornitrice del file interfaccia del chat-bot e ha inserito codice dannoso in JavaScript che ha raccolto e rinviato i dati all’utente malintenzionato.
L’ICO ha completato il processo dell’articolo 60 prima dell’emissione della sanzione. L’articolo 60 del GDPR prevede che l’autorità di controllo capofila cooperi con le altre autorità di controllo interessate nel tentativo di raggiungere un consenso. Ciò include la presentazione di un progetto di decisione alle altre autorità di controllo interessate per il loro parere e la presa in considerazione delle loro opinioni.
Il chat-bot è un software basato sull’Intelligenza Artificiale, in grado di simulare una conversazione intelligente con l’utente su una chat per cui consente di possibilità di automatizzare alcune operazioni, raggiungere più clienti, e fornire un user experience più fluida e semplice, razionalizzando e ottimizzando i servizi digitali offerti.
La gamma degli impieghi possibili è ampia: dal customer care, alla diffusione di notizie, offerte e promozioni, dal supporto nell’acquisto su e-Commerce, all’attivazione di un servizio. La vera forza dei Chatbot sta nel loro essere autonomi e sempre presenti, attivi 24 ore su 24, per offrire agli utenti aiuto e risposte e allo stesso tempo tracciarne interessi, preferenze, età e gusti. Ad oggi gli sviluppatori sono in grado di creare chatbot capaci di comprendere il linguaggio e di apprendere costantemente dalle interazioni, diventando man mano sempre più intelligenti.
Una volta identificata l’origine del codice malevolo il chat-bot è stato rimosso dal sito web della società. L’autorità di controllo inglese ha avuto modo di sottolineare come l’implementazione di JavaScript di terze parti in un sito Web o in un chatbot è da tempo un noto rischio per la sicurezza. Il rischio per i dati personali è maggiore quando tali JavaScript di terze parti sono implementati in pagine web che elaborano dati personali come una pagina di pagamento.
La violazione si è verificata prima che il Regno Unito lasciasse l’UE, pertanto l’ICO ha indagato per conto di tutte le autorità dell’UE in qualità di autorità di controllo principale ai sensi del GDPR. La sanzione e l’azione sono state approvate dalle altre DPA dell’UE attraverso il processo di cooperazione del GDPR.
Laddove, come in questo caso, il trattamento in questione sia transfrontaliero, l’articolo 56 del GDPR prevede la designazione di un’autorità di controllo capofila. In questo caso, l’ICO ha agito come l’autorità di controllo principale.
 
Gaetano Mastropierro – Consulente Privacy e Antiriciclaggio – DPO