La raccolta e la gestione dei dati personali sono diventati una parte essenziale della nostra vita online, tanto da influenzare ogni aspetto della nostra esistenza, dalle relazioni interpersonali alla sfera lavorativa, passando per la fruizione di beni e servizi.
Le informazioni personali come il nome, l’indirizzo, il numero di telefono e l’indirizzo email sono chiamate Personally Identifiable Information (PII) e possono essere raccolte da organizzazioni pubbliche e private per una vasta gamma di scopi. Tuttavia, la gestione inappropriata dei PII può portare a gravi conseguenze per l’azienda e per gli individui interessati.
L’accesso a PII da parte di malintenzionati può portare a furti di identità o frodi. Pensiamo all’accesso a un semplice numero di cellulare, magari associato a un nome e indirizzo: si potrebbe inviare un SMS circostanziato al proprietario che lo spinga a cliccare su un link pericoloso, usando un canale che di solito è meno presidiato e potrebbe non innescare sospetti nel destinatario.
Ma sono PII anche i dati di carte di credito e codici CVV2: forse questo è l’esempio più semplice per inquadrarne l’importanza, visto che carpirli può generare un danno immediato e quantificabile.
Non voglio parlare qui di attacchi come quello a CapitalOne del 2019 che spesso portano ad azioni risolutive da parte di Forze dell’Ordine o delle stesse aziende attaccate, ma dell’accesso non desiderato alla tua carta di credito perché qualcuno per comodità ha lasciato i dati in un file di testo sul desktop, visto che deve fare tanti pagamenti e prendere tutte le volte la carta è noioso, o in un database non crittografato.
Perché è importante?
Perché anche il meno ferale virus moderno (ma anche quasi tutti i ransomware) fa un’operazione che si chiama “esfiltrazione”, ossia esportazione dei file verso destinazioni ignote (spesso sul dark web) in modo da usare i dati raccolti per eseguire operazioni dannose.
Anche il GDPR tratta diffusamente di PII, imponendo alle aziende di adottare misure adeguate per proteggere i dati personali. Ciò include l’adozione di politiche di gestione dei dati che prevedono limitazioni sulla conservazione dei PII e la minimizzazione della quantità di dati raccolti e conservati.
L’adozione di queste politiche non solo aiuta a proteggere i dati personali dei clienti, ma può anche ridurre il rischio di sanzioni legali e di danni alla reputazione dell’azienda.
L’uso di tecnologie di sicurezza avanzate come la crittografia dei dati aiuta a proteggere i PII. La crittografia implica la codifica dei dati in modo che solo chi ha la chiave di decodifica possa accedere alle informazioni. Ciò significa che anche se i dati vengono compromessi, sono inutili per chi non ha la chiave corretta.
Ma tutto questo porta alla conclusione che dobbiamo sapere sempre quali e quanti PII ci sono sui nostri computer e dove si trovano. Per questo è possibile utilizzare specifici scanner che scansionano i dispositivi per trovare se ci sono PII. In questo modo, è possibile individuare i dati personali e adottare le misure necessarie per proteggerli o eliminarli se li stiamo gestendo in modo non sicuro.
