Negli Stati Uniti un Chief Security Officer (CSO) è stato ritenuto colpevole di un paio di reati per aver sottaciuto alla Federal Trade Commission che l’azienda di appartenenza aveva subito un data breach da parte di hackers.
Agli hackers, in seguito, era stato pagato un riscatto affinché non divulgassero un ingente quantitativo di dati personali di pertinenza aziendale che avevano illecitamente acquisito e per ottenere la loro riservatezza sull’accaduto.
La vicenda di certo è caratterizzata da circostanze particolari dovute sia all’ordinamento giuridico statunitense sia alle modalità in cui si sono svolti i fatti; tuttavia, essa getta nuova luce sulla delicata situazione in cui potrebbe venire a trovarsi il vertice aziendale nella gestione di un data breach e nell’adozione delle conseguenti decisioni. Questo fatto, probabilmente, rappresenta il primo caso di procedimento penale nei confronti di un dirigente di un’azienda per una violazione dei dati.
Fatti
La vicenda riguarda un data breach subito da Uber Technologies Inc. nel 2016 ma che fa seguito ad uno precedente del 2014; il legame tra i due incidenti ha giocato un ruolo importante nello sviluppo dei fatti, come si vedrà in seguito, e questa è la prima particolarità del caso, cui si aggiungono le seguenti circostanze:
1. L’imputato e la sovrapposizione di due incidenti
- Il CSO, ritenuto colpevole dei reati ascrittigli, ha gestito in autonomia l’incidente del 2016; per questo, non è stato coinvolto nelle accuse nessun altro dirigente di Uber
- Il CSO era stato delegato a rappresentare l’azienda di fronte alla FTC, nell’istruttoria aperta da questa agenzia federale per la disamina del precedente incidente occorso nel 2014 (di portata ben inferiore rispetto a quello del 2016), quando egli non era ancora nell’organico dell’azienda; in quella circostanza, il CSO aveva risposto sotto giuramento a taluni quesiti posti dall’agenzia
- Il CSO viene a conoscenza dell’incidente del 2016 dieci giorni dopo la sua testimonianza alla FTC, non facendone menzione né al vertice aziendale, ancorché con un paio di eccezioni (il CEO di allora e un legale del suo team), né alla FTC con la quale, poi, viene raggiunto un accordo preliminare riguardo all’incidente del 2014
- Il CSO apprende dell’incidente del 2016 tramite una e-mail ricevuta da due hacker che gli comunicano di aver copiato un data base aziendale dalla piattaforma cloud, contenente dati personali di circa 57 milioni di utenti di Uber e conducenti di auto, insieme a 600.000 dati di patenti di guida di questi ultimi; accertata la fondatezza della denuncia, il CSO dà corso ai negoziati con gli hacker finalizzati a impedire la divulgazione delle informazioniillecitamente acquisite.
2. Negoziato con gli hacker e pagamento del riscatto
- Ricevuta l’autorizzazione dell’allora CEO – ancorché non provata documentalmente agli atti, da cui la sua mancata incriminazione – il CSO ottiene dagli hacker – di cui inizialmente non conosce la vera identità – la sottoscrizione di un accordo di confidenzialità, a fronte del pagamento di 100.000 dollari in bitcoins e dell’impegno da parte loro di mantenere segreto l’incidente insieme alla falsa rappresentazione che gli hacker non avessero preso o archiviato alcun dato mediante l’attacco
3. Licenziamento del CSO e divulgazione dell’incidente
- Il nuovo CEO, in sostituzione del precedente, avvia un’indagine aziendale interna in cui il CSO relaziona sugli eventi omettendo che l’attacco aveva coinvolto un elevato quantitativo di dati personali degli utenti di Uber e mentendo sul fatto che gli hacker erano stati pagati solo dopo essere stati identificati; una volta accertata la verità, il CSO viene licenziato insieme al legale del suo team che era a conoscenza dei fatti (il quale poi otterrà l’immunità dai pubblici ministeri e testimonierà contro il CSO)
- Il nuovo management di Uber decide di rivelare pubblicamente la violazione dei dati del 2016, dandone formale notizia anche alla FTC.
4. Reati ascritti e condanna
- Al CSO vengono ascritti i reati di ostruzione alla giustizia (avendo intralciato l’attività investigativa della FTC, a causa della reticenza riguardo all’incidente del 2016 ed a seguito delle azioni realizzate di ostacolo alla cattura degli hacker) e di aver nascosto la conoscenza che era stato commesso un crimine federale
- I dodici componenti della giuria federale del Distretto nord della California hanno riconosciuto all’unanimità entrambi i reati ipotizzati a carico del CSO che è attualmente in libertà provvisoria su cauzione in attesa della sentenza di condanna.
Continua…