Lo scorso marzo, oltre 5000 clienti Tre hanno rischiato di veder compromesso il proprio account personale legato all’Area Clienti dell’operatore a causa di un errore commesso da Tre stessa, e tutti questi utenti devono essere avvisati per iscritto dell’accaduto: è questa la decisione presa dall’Autorità Garante per la Protezione dei Dati Personali con un provvedimento emanato lo scorso 11 maggio 2017.
La vicenda ha radici che risalgono a settembre del 2016, quando un intervento sui sistemi informatici dell’operatore ha lasciato esposte le credenziali di accesso di 5118 utenti Tre; il 20 marzo di quest’anno, individui esterni all’azienda sono riusciti ad avere accesso a tali informazioni, mettendo a rischio i dati personali di tutti questi utenti.
L’azienda ha ovviamente chiuso la falla non appena scoperta, bloccando ed eliminando le utenze coinvolte, obbligando i proprietari degli account al cambio di password; nonostante questo, però, sono state 402 le utenze che hanno registrato un accesso nel periodo successivo al fattaccio, e che hanno quindi visto messi a rischio i propri dati personali.
Se per queste 402 utenze Tre ha provveduto ad informare della possibilità di esposizione dei dati personali, sembra essersi scordata di farlo con tutti gli altri.
Questo non sarebbe stato un comportamento corretto secondo il Garante, sebbene le altre utenze non abbiano registrato accessi dopo il furto di informazioni e sebbene Tre abbia imposto il cambio di password. Ecco quindi il provvedimento che obbliga Wind Tre S.p.A. a comunicare per iscritto l’accaduto a tutti i 5118 utenti coinvolti.
La sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate, in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell’utente.