Il titolo di questo articolo può sembrare uno scherzo, ma si tratta di una assai poco divertente realtà. Le conseguenze di un Data Breach possono essere estremamente deleterie per le aziende che lo subiscono e questo è solo uno dei casi più recenti.

I fatti risalgono alla fine del 2018, quando una compagnia (AMCA) che opera come esattore per molte grandi case farmaceutiche americane, subisce un catastrofico Data Breach. Il termine disastroso è opportuno, se si pensa che i cybercriminali, dopo aver violato i sistemi informatici della ditta, hanno collezionato i dati personali e sanitari di circa 20 milioni di cittadini americani, in un periodo di circa 9 mesi. Durante questo intervallo di tempo, l’intrusione è passata inosservata. In effetti non è purtroppo inusuale che le infiltrazioni cyber non vengano rilevate per così tanto tempo, se mancano opportune contromisure.

Solo quando i dati sanitari delle vittime sono cominciati a circolare nel Dark Web,  sono partite le indagini e si è profilata l’entità del danno. In particolare, anche se negli USA non c’è (ancora) una legge federale simile al GDPR, è vigente una efficace normativa che consente la class action, prontamente avanzata da molte delle vittime (e dei Clienti). 

Se a ciò si aggiunge che l’attività forense per accertare l’estensione del danno è costata oltre 400'000 $, l’azione di informazione a tappeto dei cittadini possessori dei dati rubati oltre 3,8 milioni di dollari, si comprende coma la casa madre abbia preferito ricorrere al “Chapter 11”, all'incirca equivalente alla norma sull'amministrazione controllata italiana, per far fronte alle prevedibili spese che dovrà affrontare.  

Questi eventi possono accadere a qualsiasi azienda che non abbia un robusto sistema di prevenzione e gestione degli incidenti informatici e in particolare strutture che possano assicurare il monitoraggio continuo dei propri dati e sistemi.