Multe record per la violazione Equifax: la lezione da imparare

La violazione dei dati subita nel 2017 costerà milioni di dollari a Equifax tra multe, risarcimenti e miglioramenti della sicurezza obbligatori e volontari

Equifax violazione multe

Questa settimana Equifax ha annunciato l’accordo record con le autorità statunitensi relativo alla sua massiccia violazione dei dati subita nel 2017, che rese pubblici dati personali e finanziari di oltre 148 milioni di utenti. L’azienda, una delle tre maggiori società di controllo del credito negli USA, dovrà investire almeno 1,38 miliardi di dollari per rispondere ai reclami dei consumatori nei suoi confronti e creare un fondo di 380,5 milioni di dollari per pagare benefit alla classe di consumatori danneggiati dalla violazione. Il fondo sarà utilizzato, tra le altre cose, per risarcimenti in contanti, monitoraggio del credito e supporto nel ripristino dell’identità degli utenti.

L’accordo prevede inoltre che Equifax spenda altri 125 milioni di dollari per compensazioni in contanti e potenzialmente molto di più, in base al numero di clienti che scelgono di avvalersi del monitoraggio del credito. La società è inoltre tenuta an risarcimento di 100 milioni di dollari a favore del Consumer Financial Protection Bureau e della Federal Trade Commission (FTC) e di altri 175 milioni di dollari per gli avvocati dello Stato.

Equifax deve anche investire 1 miliardo di dollari nei prossimi cinque anni per migliorare la sicurezza dei dati. Che si aggiungono alla cifra di oltre 1,25 miliardi di dollari che Equifax ha dichiarato di aver già speso da quando si è verificata la violazione.

La portata dei danni causati dalla violazione di Equifax

Queste pesanti sanzioni seguono una serie di sviluppi nella strategia aziendale di Equifax messi in atto per gestire le ricadute del danno. Subito dopo la violazione il CEO Richard Smith lasciò l’azienda, a breve distanza dai repentini pensionamenti del CIO David Webb e del CSO Susan Mauldin.

Alla fine di giugno Jun Ying, ex vicepresidente di Equifax e CIO internazionale, è stato condannato a quattro mesi di carcere e al pagamento di 117.000 dollari in restituzione e 55.000 dollari in multe per il trading delle azioni della società intrapreso durante il periodo tra la scoperta della violazione dei dati e il suo annuncio pubblico. Per le stesse ragioni lo scorso ottobre è stato condannato anche Sudhakar Reddy Bonthu, ingegnere ed ex dipendente di Equifax, anche se la pena per Bonthu è di otto mesi agli arresti domiciliari.

Alla fine di maggio il gigante del rating Moody ha ridimensionato le previsioni su Equifax da “stabili” a “negative” nel primo declassamento attribuibile a un attacco informatico. Moody ha affermato di non vedere un futuro luminoso per Equifax a causa delle spese legate alla violazione che, all’epoca del declassamento, Moody ha stimato pari a circa 400 milioni di dollari per il 2019 e il 2020.

Le autorità statunitensi non sono le sole a sanzionare Equifax per ciò che l’House Oversight and Government Reform Committee ha definito una violazione “del tutto prevenibile. Lo scorso settembre l’Information Commissioner’s Office (ICO), l’autorità di regolamentazione dei dati del Regno Unito, ha multato Equifax per 500.000 sterline per non aver protetto i dati personali di circa 15 milioni di cittadini britannici colpiti dalla violazione.

Un fortuito tempismo ha salvato Equifax dalle potenziali sanzioni della UE, perché la violazione è avvenuta troppo presto per rientrare nel regime molto più punitivo, almeno dal punto di vista finanziario, del GDPR, entrato in vigore a maggio 2018. Secondo le norme del GDPR la violazione sarebbe potuta costare a Equifax il 4% delle sue entrate globali o circa 136 milioni di dollari, un importo più o meno pari alle due recenti multe imposte dall’ICO contro altre società per violazioni dei dati.

All’inizio di luglio l’ICO ha annunciato l’intenzione di multare British Airways per oltre 183 milioni di sterline (circa 230 milioni di dollari) dopo che gli hacker hanno rubato i dati personali di mezzo milione di clienti della compagnia aerea, inclusi i dati delle loro carte di credito, in un attacco risalente a giugno 2018. Nel mirino dell’ICO c’è anche il gruppo alberghiero americano Marriott International, che potrebbe ricevere una multa da 99,2 milioni di sterline (circa 123 milioni di dollari) per una violazione dei dati scoperta nel 2018, ma probabilmente risalente al 2014. Quella violazione, che ha colpito la catena di hotel Starwood di proprietà del gruppo Marriott, ha esposto i dati personali ​​di circa 339 milioni di ospiti.

Le multe non migliorano la sicurezza

Eppure, tra queste e altre recenti violazioni dei dati, molti responsabili della sicurezza non ritengono importante fare questo tipo di calcoli finanziari. Forse la maggiore visibilità e le ripercussioni pubbliche della mancanza di sicurezza spingeranno le aziende a perseguire misure di sicurezza più rigorose e investire in migliori garanzie digitali.

Secondo Mary T. Franz, fondatrice della società Enterprise Knowledge Partners, che ha partecipato nel ruolo di testimone esperto nel contenzioso tra Equifax e i clienti, l’impatto di violazioni così importanti e dannose spinge le aziende a investire di più in sicurezza informatica, ma solo sul breve periodo.

E’ un modello che si ripete in molti settori: a seguito di una violazione dei dati, le aziende forniscono ampi finanziamenti ai dipartimenti di sicurezza delle informazioni. Dopo un anno o due, tuttavia, le aziende ridimensionano drasticamente i finanziamenti, spesso prima che siano stati completati tutti i miglioramenti previsti”, ha scritto nella sua dichiarazione allegata all’accordo Equifax.

Sottolineando che “i controlli di sicurezza informatica di Equifax, precedenti la violazione, non erano conformi agli standard del settore”, Franz offre una serie di suggerimenti per correggere le carenze dell’azienda, nella quali dovrà investire un miliardo di dollari nei prossimi cinque anni.

La lezione da imparare dal caso Equifax

Norm Siegel, uno degli avvocati dei consumatori nella causa Equifax, ritiene che i professionisti della sicurezza e i dirigenti abbiamo molto da imparare da questo caso.

Siamo stati in grado di garantire significativi miglioramenti della sicurezza dei dati, tra cui un importante impegno di capitale sostenuto da un ordine del tribunale, un aspetto importante di questo accordo, che forse sarà un deterrente per la negligenza nella sicurezza informatica”, ha dichiarato Siegel.

Come ha sottolineato Amy Keller, un altro avvocato coinvolto nel caso, l’accordo raggiunto tra le autorità ed Equifax dimostra che i consumatori rifiutano di accettare le violazioni dei dati come la ‘“nuova normalità”. E soprattutto al di là del risarcimento finanziario, “garantisce che i consumatori abbiano strumenti necessari per proteggersi in futuro”.

Il messaggio è chiaro, secondo Keller: “se le aziende traggono profitto dai vostri dati, allora sono tenute a proteggerli”.