Swisscom rinforza le misure di sicurezza sui dati dei clienti che la legge definisce come «non degni di particolare protezione». Ciò avviene a seguito di un impiego abusivo dei diritti di accesso ai dati verificatosi a carico di un partner di distribuzione. Swisscom non ha comunque rilevato attività lesive a discapito dei propri clienti.
Nell’autunno 2017 sconosciuti si sono illecitamente impossessati dei diritti di accesso di un partner di distribuzione abusandone per accedere a informazioni quali nome, indirizzo, numero di telefono e data di nascita. Ai sensi della Legge sulla protezione dei dati si tratta di «dati personali non degni di particolare protezione».
Dopo questo episodio, Swisscom ha rafforzato le misure di sicurezza anche per questi dati dei clienti. I dati oggetto dell’abuso sono nome e cognome, indirizzo di domicilio, data di nascita e numero di telefono di clienti Swisscom. Si tratta quindi in gran parte di dati di contatto disponibili pubblicamente o tramite ditte specializzate nel commercio di indirizzi.
Swisscom è obbligata per legge a raccogliere questi dati dei clienti: sono infatti necessari per la sottoscrizione degli abbonamenti. I partner di distribuzione possono accedere a questi dati solo limitatamente agli scopi di accertamento dell’identità, di consulenza e sottoscrizione o modifica di contratti con i clienti. L’accesso al sistema necessario a tal fine è protetto da login e password personali. Questo episodio ha riguardato i dati di contatto di circa 800 000 clienti Swisscom – per la maggior parte di rete mobile, e in misura molto minore di rete fissa. Swisscom è venuta a conoscenza dell’episodio durante un controllo di routine sulle attività operative e lo ha sottoposto a una verifica interna dettagliata.
L’azienda sottolinea che il sistema non è stato violato e che l’episodio non ha interessato dati degni di particolare protezione come ad esempio password, tabulati e dati di pagamento. Questi sono tutelati già da tempo con meccanismi di protezione più severi.
Controllo degli accessi più severo anche per i dati dei clienti, blocco delle consultazioni più estese Anche se i dati sottratti sono definiti «non degni di particolare protezione» ai sensi della Legge sulla protezione dei dati, Swisscom attribuisce la massima priorità all’accertamento di questo episodio. Gli accessi della ditta partner oggetto dell’abuso sono stati immediatamente bloccati. In più, Swisscom ha apportato diversi cambiamenti interni per proteggere meglio l’accesso delle ditte terze ai dati personali non degni di particolare protezione. Le misure, in particolare, sono le seguenti:
Gli accessi delle ditte partner sono più sorvegliati e, in caso di attività anomale, viene generato automaticamente un allarme con conseguente blocco degli accessi.
Le consultazioni più estese che interessano la totalità dei dati dei clienti saranno tecnicamente impossibili.
In più, nel 2018 verrà introdotta un’autenticazione a due fattori su tutti gli accessi necessari per i partner di distribuzione.
Queste nuove misure rendono impossibile il ripetersi di un episodio simile.
Swisscom ha messo al corrente dell’avvenuto l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). In più, Swisscom sta valutando tutte le azioni legali e si riserva il diritto di sporgere denuncia.
In che modo i clienti possono informarsi e proteggersi Ad oggi, Swisscom non ha registrato alcun aumento delle chiamate pubblicitarie o di altre attività a discapito dei clienti interessati. Non ci sono indizi di alcun danno per questi clienti. Tuttavia, per ragioni di trasparenza, per Swisscom è importante informare i suoi clienti in merito all’impiego abusivo dei diritti di accesso del partner di distribuzione, nonché alle possibilità disponibili per proteggersi in futuro da simili episodi. Swisscom offre in tal senso la seguente assistenza:
I clienti di rete mobile possono spedire un SMS con il testo «Info» al 444 per scoprire se i propri dati (nome, numero di telefono, indirizzo e data di nascita) sono tra quelli oggetto dell’abuso.
In generale, a tutti i clienti che ricevono contatti inconsueti o telefonate di marketing, Swisscom consiglia di attivare preventivamente il Callfilter sui collegamenti di rete fissa e mobile per proteggersi da chiamate pubblicitarie indesiderate.
Naturalmente, i clienti possono segnalare a Swisscom eventi anomali come una maggior frequenza delle telefonate da chiamanti sconosciuti.