Mese: Ottobre 2018

Il Computer Emergency Response Team per la Pubblica Amministrazione ha pubblicato, di recente, una scoperta dei ricercatori di Qihoo 360: esiste un virus che sta mettendo fuori gioco migliaia di router, soprattutto in Sud America. Ma, cos’è esattamente un router? E cosa ha a che fare con i dati personali?

Un router è un instradatore ovvero è quel dispositivo che si occupa di consegnare al reale destinatario le nostre richieste di accedere ad un sito web oppure di consegnare il nostro messaggio di posta elettronica all’amico che studia dall’altra parte del mondo. Per fare questo, collabora con migliaia di altri apparati simili che dobbiamo pensare distribuiti nel mondo come immaginarie rotatorie che veicolano il traffico nelle loro uscite. Per esempio, mandare un messaggio verso la seconda uscita (quella esatta) anziché verso le altre (quelle sbagliate), è un compito affidato ad apposite tabelle che ogni router possiede e che i tecnici hanno configurato. La manomissione di queste tabelle compromette il corretto funzionamento del router, con due possibili effetti:

• il traffico va in tilt (male minore);

• il traffico viene diretto verso un burrone ovvero verso computer nelle mani dei malintenzionati (male maggiore).

È proprio in quest’ultimo caso che sembrano ricadere gli effetti del virus GhostDNS che, di fatto, consegna molti dati personali agli hacker.

Le strade sbagliate, spesso, sono anche rischiose.

Nel nuovo Codice privacy, dopo il 2‑septiesdecies c’è un vuoto profondo di articoli abrogati che ci porta diritto ad un nuovo Titolo curiosamente chiamato “Titolo 0.1 – (Disposizioni sulla base giuridica)”.

Il primo articolo che incontriamo è il 45‑bis (di nuova introduzione) che, come un professorino di filosofia, precisa che questa parte (forse avrebbe fatto meglio a dire “questo Titolo”) scaturisce da quello che il GDPR lascia alla disciplina di ogni Stato membro negli articoli 6 e 23.

Quindi, molti degli articoli successivi sono esplicitamente diretti a stabilire ulteriori precisazioni, restrizioni e sanzioni. In particolare, l’art. 50 (che, nella nuova versione del Codice, segue immediatamente il 45‑bis) stabilisce l’avvio di uno specifico procedimento penale, con l’applicazione dell’art. 684 c.p., per chi dovesse divulgare o pubblicare notizie o immagini idonee a consentire l’identificazione di un minore.

Cominciano, dunque, a farsi strada le sanzioni penali, non previste dal GDPR, ma inserite nel nuovo Codice per affiancare le sanzioni pecuniarie. Ne bis in idem, direbbe qualcuno: ma, per il momento, questo è.