La Commissione irlandese per la protezione dei dati (DPC) ha recentemente inflitto a Meta, la società madre di Facebook, una sanzione di 251 milioni di euro a causa di una grave violazione della sicurezza. Questo incidente ha compromesso circa 29 milioni di account a livello globale, di cui 3 milioni in Europa. La decisione è il risultato di un’indagine avviata in seguito a un evento di sicurezza che ha rivelato vulnerabilità significative nella gestione dei dati degli utenti.
L’incidente risale a luglio 2017, quando Facebook introdusse una funzione che consentiva agli utenti di visualizzare il proprio profilo come appariva ad altri. Un difetto progettuale ha permesso a malintenzionati di sfruttare questa funzionalità, combinandola con un’altra opzione per generare token di accesso non autorizzati. Ciò ha consentito accessi non autorizzati ai profili degli utenti e alle loro informazioni personali, inclusi nome, indirizzo email, numero di telefono e data di nascita.
Nonostante Meta abbia implementato misure correttive dopo aver identificato la violazione, la DPC ha evidenziato i rischi associati a pratiche inadeguate nella protezione dei dati durante la progettazione delle piattaforme digitali. L’autorità ha riscontrato diverse infrazioni del Regolamento generale sulla protezione dei dati (GDPR) da parte di Meta, evidenziando carenze nella notifica della violazione e nella documentazione delle misure correttive adottate dall’azienda. La DPC ha sottolineato l’importanza di integrare requisiti rigorosi di protezione dei dati fin dalle fasi iniziali dello sviluppo per salvaguardare i diritti degli utenti.
Le vulnerabilità che hanno portato alla violazione rappresentano un rischio significativo per l’uso improprio delle informazioni personali, rendendo cruciale l’adozione di misure preventive adeguate.
La sanzione attuale si aggiunge ai 2,8 miliardi di euro totali già imposti a Meta per violazioni simili, anche se solo 17 milioni di euro sono stati effettivamente riscossi a causa delle controversie legali in corso.
Meta ha annunciato la sua intenzione di fare appello contro la decisione del DPC, ribadendo il suo impegno nella protezione dei dati degli utenti e le misure adottate per garantire la sicurezza sulle sue piattaforme.
