Violazione dati Ho.Mobile. Quali rischi e cosa fare.
Ho. Mobile ha confermato di aver subito il furto di dati personali di circa 2,5 milioni di utenti.
Nonostante le comunicazioni di Ho. Mobile, i clienti non hanno ricevuto istruzioni e informazioni concrete circa la realtà della violazione e i rischi a cui vanno incontro.
Molte persone ci hanno chiesto informazioni su cosa fare e cosa aspettarsi.
Per questo abbiamo deciso di chiedere l’aiuto dell’ing. Luca Mella, esperto di cybersicurezza e membro executive di Privacy Network.
Se sei una delle vittime della violazione di Ho. Mobile, continua a leggere!
Luca, puoi spiegare ai lettori cosa è successo ad Ho. Mobile?
Pare che la compagnia telefonica Ho. Mobile sia stata vittima di un “hackeraggio” che ha permesso a malintenzionati di trafugare dati personali riferibili ad un numero elevato di clienti.
I dati coinvolti sono anagrafiche, residenza, dati di contatto, codice fiscale – e dati tecnici delle SIM card.
Questi dati sono già stati messi in vendita nel deep web, ed è il motivo per cui molti professionisti del settore conoscevano questa violazione ancora prima del comunicato di Ho. Mobile.
Purtroppo non è possibile sapere dove siano finiti, ma sicuramente nessun cliente tra quelli coinvolti è al sicuro.
Quali potrebbero essere le conseguenze di questo furto e vendita di dati dei clienti Ho. Mobile?
Oltre alle tipiche conseguenze derivanti dal furto di dati anagrafici, come l’uso fraudolento dei dati per l’attivazione di servizi non richiesti, o furto d’identità, ci sono anche degli aspetti collegati al furto dei dati tecnici delle SIM.
Questi dati sono comunemente usati dagli operatori telefonici per effettuare il cambio SIM e la portabilità del numero.
Questi dati tecnici, tuttavia, insieme ai dati anagrafici, possono anche essere usati dai criminali per mettere in piedi frodi con tecniche di “SIM Swapping“.
Per capirci: i criminali si spacciano per te e contattano la tua compagnia telefonica – o un’altro operatore – chiedendo di portare il tuo numero su di una nuova SIM in loro possesso. Il criminale è in possesso di ogni dato utile per convincere l’operatore di essere il vero proprietario del numero.
A questo punto succedono due cose: il proprietario legittimo rimane senza il numero di telefono, che diventa però utilizzabile dai criminali.
Tipicamente lo fanno per accedere ai codici di verifica di home banking o sistemi di pagamento, ma così facendo possono anche accedere alle chat e contatti WhatsApp, Messenger o Telegram.
Tutto il tuo mondo rischia di finire in mano ai criminali informatici.
Poi ci sono le conseguenze che si possono manifestare nel medio-lungo termine.
In generale, essere coinvolti in una violazione di questo tipo significa che le proprie informazioni personali finiscono in mani ignote, spesso con intenti criminali.
Non è possibile sapere adesso COSA potrebbe succedere. Non si sa neanche QUANDO potrà succedere qualcosa. Questo è il vero problema. Milioni di persone rischiano di finire in mano a criminali in grado di impossessarsi della loro identità e dei conti bancari, alla loro insaputa.
Alcune conseguenze, derivano anche dal mercato. Ad esempio, Wind ha deciso di mettere Ho. Mobile in “black list”, cancellando tutte le offerte rivolte ai clienti Ho. Mobile. Una mossa che avrà ripercussioni su milioni di persone
Cosa possono fare in concreto gli utenti e a cosa dovrebbero fare maggiore attenzione?
I rischi sono concreti, ma nella grande maggioranza dei casi non si tratta di emergenze imminenti.
La cosa migliore che si può fare è non farsi prendere dal panico e cominciare a realizzare una serie di piccole azioni per rendere la vita difficile ai criminali che sono venuti in possesso di quei dati:
- Chiedere la sostituzione della SIM (offerta gratuitamente da Ho. Mobile)
- Impostare il PIN di verifica su WhatsApp e Telegram
- Assicurarsi che il numero di telefono non sia l’unico fattore di doppia autenticazione negli account sensibili (email, homebanking, ecc.), ed impostare metodi di autenticazione multi-fattore alternativi, ad esempio con applicazioni ad hoc, oppure modificare il numero di autenticazione inserendo quello di una persona prossima affidabile
- Assicurarsi che il proprio homebanking, o i sistemi di pagamento come Paypal o Revolut, utilizzino un autenticazione “Strong”, e che non solamente il numero di telefono per la verifica dell’account, ma che siano presenti ulteriori PIN code o metodi a 2 fattori alternativi
- Prestare particolare attenzione alle piattaforme di trading ed ai wallet di cryptovalute. C’è da assicurarsi che la verifica multifattore sia su OTP o altro mezzo diverso dal numero di telefono.
- Essere in allerta e prestare attenzione in caso di cadute repentine e prolungate della linea, disservizi, o messaggi di portabilità verso altri operatori del tutto inattesi. Potrebbero essere segnali di un tentativo di utilizzo dei vostri dati SIM.
Ringraziando Luca, concludiamo questa breve guida con un’ultima domanda:
Ci sono gli estremi per richiedere risarcimento danni?
Bisogna distinguere la possibile sanzione del Garante Privacy da quella che potrebbe essere un’azione per il risarcimento danni intentata da uno o più utenti.
Aver subito il furto dei dati può portare ad una sanzione solo se ho.Mobile non dimostra di aver fatto quanto possibile per mettere in sicurezza i dati.
Se ho.Mobile non avrà fatto quanto in suo potere per tutelare la sicurezza delle informazioni degli utenti verrà sanzionata, anche aspramente, dal Garante Privacy.
Altro discorso sono le richieste di risarcimento danni dei singoli utenti.
La Suprema Corte di Cassazione, con sentenza n. 29982/2020, ha ribadito che il danno da circolazione dei dati indesiderata deve essere provato.
Il danno deve quindi essere effettivo e non ipotetico/astratto, e bisogna essere in grado di provarlo in giudizio, quantificandolo economicamente.
Ad oggi, salvo che alcuni tentativi di SIM swapping siano già andati a buon fine, è difficile che si verifichi una simile condizione. Per questo è sconsigliabile, in questo momento, intentare una causa contro ho.Mobile.