Come difendersi dall’attacco informatico ai dati del condominio

Arriva da una email di una persona nota, per un motivo plausibile, da un fornitore o da un condòmino. Può essere contenuto in un allegato, apparentemente un pdf o un doc “mascherato”, che è in realtà un software eseguibile. Oppure si attiva da un link, magari a un documento importante, evidenziato nell'email. Basta un click ed il sistema è infetto.

La storia di Teresa
Accadde a Teresa, caso reale ma nome di fantasia, circa due anni fa. Teresa gestisce a Genova circa 70 edifici e ha ben quattro collaboratori, con altrettanti desktop e notebook, che operano tutti con lo stesso software gestionale. Un brutto giorno i sistemi rallentano. Chi abbia aperto l'email non si sa. Tutti i dati gestiti, in qualsiasi formato, sono criptati: basta cliccare su un contratto in doc, un foglio elettronico in xls (MSoffice), un verbale in pdf, e cosi per gli odt o gli ods (open o libreoffice) e appare sempre lo stesso messaggio in inglese: “i dati sono stati criptati, per riaverli in chiaro occorre pagare un riscatto in bitcoin” da inviare ad un certo indirizzo. “Se il pagamento non avviene entro 72 ore la chiave di decriptazione è cancellata ed i dati sono irrecuperabili”. Anche le copie dei dati, dislocate sul NAT di rete sono state criptate e così anche i file online su One Drive.

Teresa non sapeva allora cosa fossero i Bitcoin. Denuncia i fatti alla Polizia Postale; si rivolge a specialisti. Tutti le dicono che non conviene pagare perché non c'è nessuna garanzia di ottenere la password che sblocca i dati criptati. Il lavoro di anni perduto, l'impossibilità di rispondere ai condòmini, ai fornitori e la perdita dei dati fiscali spaventano di più. Teresa decide di rischiare e, a poche ore dalla scadenza, si fa comprare i Bitcoin e invia il pagamento. L'email con la password di sbocco arriva poco dopo.

Ramsoware, come proteggersi
Le cautele sono note, ma fare click per l'utente sovrappensiero è un attimo. Se l'antivirus è aggiornato e la posta elettronica è filtrata il RAMSOWARE può essere individuato e messo in quarantena. Ma le varianti possono essere molte e l'antivirus non aggiornato a quelle più recenti, comunque non individuabili. La pianificazione del trattamento dei dati è la cautela migliore.

Prima nella loro collocazione, poi nel backup su unità, disconnesse logicamente o fisicamente dopo la copia, di ottima qualità. La procedura di copia deve essere poi organizzata su più supporti o anche on line in modo da essere certi che, se per qualsiasi causa uno dei supporti è distrutto, corrotto o infettato, gli altri sono integri. Nel caso che ci si accorga che l'infezione è in atto occorre spegnere immediatamente tutte le macchine per cercare di bloccare il processo di criptazione e propagazione. Obbligatorio poi, se non si hanno competenze informatiche avanzate, rivolgersi a strutture specializzate.

Polizia Postale e Garante Privacy
Tutti i dati gestiti che individuano la persona sono dati personali. Il «titolare del trattamento» è chi “determina le finalità e i mezzi del trattamento di dati personali”. Il «responsabile del trattamento» è chi tratta dati personali per conto del titolare del trattamento.

I problemi dellamministratore
L'amministratore di condominio può essere «contitolare» coi condòmini o anche nominato dall'assemblea responsabile del trattamento, con un apposito accordo contrattuale che definisce nel dettaglio come i dati sono trattati nel rispetto del GDPR. Questo obbliga l'amministratore ad organizzare la gestione in modo da assicurare l'integrità dei dati e, nel caso di violazione dei dati, alla notifica al Garante entro 72 ore da quando è avvenuta (art.33) e agli interessati (art.34) “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. L'amministratore di condominio che abbia subito un attacco RAMSOWARE con violazione dei dati personali (data breach) deve quindi darne comunicazione al Garante entro il termine ma non agli interessati se la natura dei dati trattati permette di evitarlo. E' altresì opportuno che i fatti siano denunciati alla Polizia Postale.

Il portale di gestione on line
Dare all'esterno quello che è troppo oneroso realizzare all'interno può essere una buona soluzione. Sono molti i software di gestione condominiale in cui l'accesso avviene con un browser (IE, Crome, Firefox etc) e nessun dato permane sul computer di accesso. E' quindi il gestore della piattaforma a dover curare il trattamento dei dati con adeguate regole di utilizzo conformi al GDPR.

In questo modo l'amministratore di condominio trasferisce gli obblighi all'esterno e concentra la propria attività nella gestione del condominio. Occorre preventivamente valutare però se il soggetto a cui ci si rivolge abbia attuato tutte le misure che il GDPR prevede. L'adeguamento previene costi futuri, riduce il rischio di sanzioni e aumenta la fiducia tra il condominio e il professionista.