Tecnologia

Ho.mobile, falla nella sicurezza e furto di dati: la Befana ha portato carbone

Una falla nelle misure di sicurezza – come l’iceberg contro lo scafo del Titanic – ha affondato la riservatezza dei dati personali di due milioni e mezzo di utenti della compagnia telefonica ho., la “low-cost” delle comunicazioni mobili posseduta da Vodafone.

Dopo un “non è successo nulla ma ora vediamo” con cui l’operatore ha replicato al ribollir di notizie e di proteste della clientela, HO è stata costretta ad ammettere il naufragio ma ha cercato di minimizzare dicendo che “purtroppo anche HO.Mobile, come numerose altre aziende, è rimasta vittima di attacchi informatici, che si sono intensificati e accelerati durante la pandemia”.

Mancando – non è forse la stagione – le cavallette mitizzate da John Belushi in The Blues Brothers, la colpa è del Covid che invece tutti noi pensavamo fosse un virus non informatico.

L’arrembaggio risalirebbe agli ultimi giorni del mese di dicembre 2020, ma la comunicazione agli utenti tramite sms è arrivata solo nel primo pomeriggio del 4 gennaio 2021, a dispetto di quel che sancisce l’articolo 34 del Gdpr (il Regolamento Europeo in materia di privacy, secondo il quale “il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”).

Il titolare è HO e gli interessati sono i clienti: i dati rubati, infatti sono degli abbonati e non della società di telefonia mobile. Quest’ultima ha invece l’obbligo di adottare tutte le cautele volte ad evitare l’indebito accesso agli archivi in cui custodisce informazioni personali altrui e – ancor più – ad impedire che queste vengano indebitamente diffuse (come, ahinoi, è successo con la pubblicazione nel deep web di elenchi con nomi, cognomi, numero di utenza, indirizzi di casa, email e una serie di dati tecnici che nelle mani sbagliate possono generare non pochi problemi).

I rischi conseguenti a questa disavventura (se la si guarda con gli occhi del cliente) o a questo disastro (se lo si vede con occhio imprenditoriale) sono quelli del cosiddetto sim swapping, di una portabilità non desiderata (ovvero del trasferimento da HO ad altro operatore eseguito da chi fraudolentemente impiega dati altrui e fotocopie di documenti artefatti) e del furto di identità.

Per scongiurare lo swapping l’azienda di Vodafone Italia si è resa disponibile ad attivare un processo di sostituzione sim con riconoscimento fisico del cliente. Gli utenti possono quindi recarsi presso uno dei rivenditori autorizzati e richiedere il cambio della sim gratuitamente portando con sé la sim attuale e un documento di identità valido.

Purtroppo non tutti i rivenditori sono in possesso di un numero di sim corrispondente all’enorme massa di clienti che devono provvedere alla sostituzione e quindi ci si aspetta qualche giorno di ulteriore via crucis per la clientela, che dovrà prenotarsi in negozio e tornare quando ci sarà la sim sostitutiva.

Nel frattempo il clamore della stampa ha allertato l’intero scenario e quindi i rivenditori coscienziosi della concorrenza (qualcuno ipotizza dietro l’attacco hacker una manovra per scippare clienti…) non accetteranno da sconosciuti furbetti la portabilità di un numero ripescato dalla lista rubata.

Il sim swap è scongiurato dalle procedure stabilite da HO (e soprattutto dalla mancanza di sim) e la portabilità è “anestetizzata”. Sul furto di identità restano qualche incognita perché quei dati – che l’interessato avrà comunicato anche tante altre volte chissà dove – rimangono in circolazione.

Ma il non aver adottato cautele idonee, questo scherzo quanto grava sul prossimo bilancio di HO? Considerato che un cambio di sim in precedenza veniva addebitato 5 euro a chi ne faceva richiesta (ma stavolta non è un capriccio del singolo utente ma un pasticcio dell’operatore) e pensando che la sim (tra costo fisico del microprocessore ed oneri di distribuzione) abbia una spesa viva di 1 euro, se si moltiplica quel valore per 2 milioni e mezzo si comincia a delineare l’entità del danno che le poco efficaci misure di sicurezza di HO.mobile hanno determinato.

Se poi si prende in considerazione la lesione dell’immagine commerciale (probabilmente aggravata dal non voler ammettere immediatamente l’accaduto e dal non aver invitato immediatamente i clienti a sostituire la sim), si può facilmente immaginare che la Befana abbia lasciato solo carbone nella calza dei manager della compagnia telefonica.

Chi ha passato queste festività in preda alla legittima apprensione (anche il danno non patrimoniale ha il suo peso) può rivolgersi direttamente al Garante per la Protezione dei Dati Personali oppure ad una delle tante associazioni di consumatori, che hanno già affilato i coltelli per far valere nelle competenti sedi i diritti degli interessati.