Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Importante sentenza proveniente dalla California sul tema della cybersecurity

Un uomo del Texas è stato condannato a 145 mesi (12 anni) di carcere per aver fatto irruzione nel sistema informatico della Corte Superiore di Los Angeles (LASC) e per aver inviato e-mail di phishing utilizzando i dati contenuti nel server del Tribunale.

Oriyomi Sadiq Aloba, 32 anni, nel luglio del 2017, utilizzò fraudolentemente il nome utente e le password di un dipendente della LASC per accedere ai loro server ed inviare e-mail di phishing (truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale). L’attacco di phishing prese di mira indirizzi di posta elettronica contenuti all’interno del server del LASC e, presumibilmente, Aloba inviò a se stesso e-mail di prova per verificare che il suo piano ingannevole avesse il pieno accesso degli account violati.

Le e-mail di phishing riproducevano fedelmente le comunicazioni dell’American Express e portavano le vittime a una pagina Web che chiedeva credenziali di accesso. Si presume che le e-mail inviate da Aloba siano state circa 2 milioni.

La Corte Superiore di Los Angeles ha inflitto recentemente una condanna di 12 anni di carcere federale ed inoltre Aloba dovrà anche pagare una somma pari a 47.479 dollari.

Questa sentenza è importante perché ci ricorda che negli Usa si stanno muovendo i primi passi sul fronte privacy: entrerà in vigore nel gennaio 2020 il California Consumer Privacy Act (CCPA)

Il CCPA impone alle aziende di fornire preventivamente, oppure al momento della raccolta dei dati personali, specifiche informazioni mediante privacy policies. Le imprese dovranno dare molte informazioni ai consumatori, come avviene in Europa grazie al GDPR, quali ad esempio l’esistenza e la tipologia dei diritti loro spettanti, le categorie di informazioni personali raccolte e le relative finalità.

Le aziende che vendono i dati dei clienti a terzi saranno obbligate ad informare gli stessi in merito a tale attività, garantendo loro la possibilità di rinunciare alla vendita mediante la predisposizione di un link intitolato “Do Not Sell My Personal Information” sulla homepage del sito web aziendale (opt out). Maggiori tutele per i minori sono state previste nel CCPA, ad esempio le impresa non potranno vendere le informazioni personali di clienti di età inferiore ai 16 anni senza il consenso e, per i clienti di età inferiore ai 13 anni, senza il consenso del genitore o del tutore (opt in).