Ho.mobile: possibile il data breach

EDITORIALE – Ieri avevamo dato conto dell’istruttoria avviata la scorsa settimana dal Garante Privacy nei confronti di TikTok.


Sempre nella stessa giornata, Bank Security ha divulgato su Twitter la notizia che i dati dei 2 milioni e mezzo di clienti dell’operatore italiano Ho.mobile del gruppo Vodafone sarebbero in vendita sul Dark Web.
Il condizionale è chiaramente d’obbligo.


Infatti, con una nota trasmessa al Corriere della Sera, Ho.mobile nega decisamente sia il furto che qualsiasi accesso illecito ai suoi sistemi.


Testualmente: «Con riferimento ad alcune indiscrezioni pubblicate da organi di stampa, Ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti».


“Se fosse confermato, questo leak avrebbe certamente proporzioni di rilievo per diversi motivi. In primo luogo, perché contiene dati legati a utenze telefoniche, che oggi vengono utilizzate da servizi, portali e persino banche come strumento d’identificazione e recupero codici di accesso”, spiega l’esperto Paolo dal Checco, consulente informatico forense.


“Tra tali dati ci sarebbe anche il codice ICCID, che è una sorta di “numero di telaio” della scheda SIM, elemento essenziale per poter richiedere la migrazione o portabilità dell’utenza soprattutto se in combinazione con i dati anagrafici del proprietario come indirizzo, codice fiscale, email e altri dati di rilievo”.
Se e quando Ho e Vodafone dovessero riscontrare anomalie nei propri sistemi sarebbero tenuti a notificare la circostanza al Garante per la Privacy nell’arco di 72 ore; si tratterebbe, a questo punto, di un vero e proprio data breach conclamato.


Avvisare i clienti diventerebbe obbligatorio nel caso in cui la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche.


Se confermato, insomma, “l’eventuale incidente risulterebbe tra i più importanti in Italia dall’entrata in vigore del regolamento europeo sulla privacy GDPR che prevede importanti sanzioni qualora fosse accertata una responsabilità dell’operatore di telefonia mobile”, precisa Pierluigi Paganini, docente al master cybersecurity presso la Luiss di Roma. “Ci sarebbero ripercussioni importanti anche sotto il profilo della sicurezza degli utenti che potrebbero essere esposti ad attacchi di sim swapping”.


Le tematiche relative alla privacy e all’integrità dei dati diventano sempre più importanti e decisive per la protezione dei diritti dei cittadini.