L'Irlanda infligge a Meta una multa di 91 milioni di euro per la massiccia violazione della password

Meta, la società madre di Facebook, è stata multata di 91 milioni di euro dalla Data Protection Commission (DPC) irlandese per una grave violazione della sicurezza delle password che ha interessato 36 milioni di utenti di Facebook e Instagram nello Spazio economico europeo (SEE).

La violazione, scoperta all'inizio del 2019, ha comportato che Meta memorizzasse inavvertitamente le password degli utenti in testo normale, esponendoli a significativi rischi per la sicurezza.

La sanzione evidenzia l'incapacità di Meta di implementare adeguate misure di sicurezza e il ritardo nel segnalare la violazione alle autorità di regolamentazione.

Meta colpita da una multa salata per gravi violazioni della sicurezza

Nell'aprile 2019, Meta ha notificato al DPC irlandese di aver "inavvertitamente memorizzato alcune password degli utenti dei social media" in un formato non protetto e leggibile sui suoi sistemi interni.

Questa scoperta ha spinto il DPC ad avviare un'indagine, scoprendo che le pratiche di archiviazione di Meta rappresentavano un rischio significativo per la sicurezza degli utenti.

Le password, memorizzate in formato testo normale, hanno reso milioni di account vulnerabili a potenziali abusi da parte di soggetti non autorizzati che avrebbero potuto accedere a informazioni riservate.

L'indagine del DPC ha rivelato che la violazione ha interessato 36 milioni di utenti nello Spazio economico europeo (SEE), che comprende UE, Islanda, Liechtenstein e Norvegia.

Sebbene Meta abbia dichiarato che non vi erano prove che le password fossero state violate o utilizzate in modo improprio, l'autorità di regolamentazione ha ritenuto che le azioni dell'azienda non fossero sufficienti a proteggere i dati degli utenti e ha emesso una pesante multa in risposta alla violazione.

Il ritardo di Meta fa aumentare la multa

Un altro fattore critico nella decisione del DPC è stata la tardiva segnalazione della violazione da parte di Meta.

Sebbene l'azienda abbia scoperto il problema nel gennaio 2019, non ha avvisato l'autorità di regolamentazione fino a marzo dello stesso anno, lasciando i dati personali di milioni di utenti esposti per mesi senza intervenire.

Il DPC ha subito sottolineato che il ritardo nella segnalazione costituisce una violazione delle normative GDPR, che impongono alle aziende di informare le autorità entro 72 ore dall'identificazione di tali incidenti.

Questo ritardo non ha fatto che aggravare la gravità della violazione, poiché ha dato ai malintenzionati più tempo per sfruttare potenzialmente la vulnerabilità.

Il DPC ha ritenuto inadeguata la gestione della situazione da parte di Meta, rilevando che la mancanza di misure di sicurezza adeguate da parte del gigante dei social media ha contribuito direttamente all'esposizione dei dati.

La reazione di Meta e i prossimi passi

A sua difesa, Meta ha spiegato che il problema con la password si è verificato a causa di un errore interno e che il problema è stato risolto prontamente dopo la sua scoperta.

L'azienda sostiene che l'errore ha interessato solo un numero limitato di utenti e ha proattivamente informato il DPC una volta identificato il problema.

Meta ha inoltre affermato che non vi erano prove che suggerissero che le password fossero mai state consultate o utilizzate per scopi dannosi.

Nonostante queste rassicurazioni, il DPC ha sottolineato che archiviare le password in chiaro costituisce una grave violazione dei principi fondamentali della sicurezza informatica.

La Commissione ha sottolineato che le migliori pratiche impongono che i dati sensibili, comprese le password, siano sempre conservati in un formato crittografato per impedirne l'uso improprio in caso di accesso non autorizzato.

Implicazioni finanziarie e reputazionali per Meta

La multa di 91 milioni di euro rappresenta una sanzione finanziaria significativa per Meta, ma il danno alla reputazione potrebbe essere ancora più costoso.

Con l'aumento dei controlli sul modo in cui i giganti della tecnologia gestiscono i dati personali, in particolare alla luce delle normative GDPR, l'incidente si aggiunge alla crescente lista di sfide che Meta deve affrontare nell'UE.

La violazione è un duro promemoria dell'importanza di solide misure di sicurezza informatica, soprattutto quando si tratta di gestire informazioni sensibili degli utenti.

Questa ultima multa si aggiunge a una serie di azioni normative intraprese contro Meta dalle autorità europee.

Considerata l'ampia base di utenti e la notevole influenza dell'azienda, incidenti come questi alimentano ulteriormente le preoccupazioni sul modo in cui gestisce i dati personali affidatile da milioni di persone in tutto il mondo.

Rafforzamento della vigilanza normativa

La decisione del DPC di imporre una sanzione elevata a Meta invia un messaggio chiaro alle altre aziende che operano nell'UE: il mancato rispetto degli standard del GDPR comporterà gravi conseguenze.

Oltre alla sanzione pecuniaria, la gestione della violazione da parte di Meta sottolinea la necessità di una maggiore vigilanza normativa nel settore tecnologico.

Poiché gli attacchi informatici e le violazioni dei dati diventano sempre più comuni, le autorità di regolamentazione di tutto il mondo stanno intensificando gli sforzi per ritenere le aziende responsabili delle carenze in termini di sicurezza e trasparenza.

Per Meta, la multa da 91 milioni di euro potrebbe essere solo l'inizio, poiché l'azienda continua a essere sottoposta a controlli sulle sue pratiche in materia di privacy dei dati in più giurisdizioni.