Dopo l'epidemia di "WannaCry", che lo scorso maggio ha imperversato per mezzo pianeta colpendo oltre 230mila computer in 150 paesi, ormai dovrebbero saperlo tutti, specialmente i professionisti, che esistono i cosiddetti “ransomware”, pericolosi virus informatici che sono in grado di criptare i dati contenuti in un computer o in un server, e renderli inaccessibili a chi ne sarebbe legittimo titolare, e che in questi casi la vittima può sperare di rientrarne in possesso solo dietro pagamento di un riscatto in bitcoin, la valuta elettronica che permette agli hacker di intascare i soldi e dileguarsi poi mantenendo l'anonimato.

Presi alla sprovvista

Nonostante la larga diffusione del fenomeno, sono stati evidentemente presi però alla sprovvista dei commercialisti di Battipaglia, che sono caduti in pieno nel tranello del famigerato “cryptolocker”, e proprio nel periodo delle dichiarazioni dei redditi si sono visti prendere in ostaggio tutti i dati dei tre computer dello studio.

Anche se in genere il riscatto per riavere i dati ammonta a 500/600 euro, i commercialisti campani non hanno reso noto quanto è stato effettivamente richiesto loro dai cybercriminali, fatto sta che questi impavidi professionisti hanno chiuso la porta in faccia agli estorsori, decidendo di non pagare e rimboccarsi piuttosto le maniche per reinserire daccapo tutti i dati dei 157 clienti, sottoponendosi così ad un vero e proprio tour de force che li ha costretti a fare turni straordinari, lavorando anche di notte per completare le dichiarazioni entro la scadenza stabilita dal fisco.

A permettere il contagio, pare sia stata la benintenzionata (ma forse non adeguatamente formata) segretaria dello studio, che avrebbe ricevuto ed aperto una mail con allegato un file pdf con la dicitura “spese mediche”, apparentemente quindi riferita proprio alle attività fiscali, ma che in realtà celava il virus rivelatosi poi fatale, sfruttando probabilmente anche delle vulnerabilità presenti nel sistema informatico dello studio.

Potrebbe intervenire il Garante per la Privacy

Anche se sono già scattate le indagini della Polizia Postale, e dato il numero rilevante di interessati coinvolti non è escluso che alla luce di quanto accaduto il Garante per la privacy possa intervenire per fare degli accertamenti, peggio ancora sarebbe stato se tutto ciò fosse avvenuto con il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, che sarà applicabile dal 25 maggio 2018: il nuovo testo richiederà infatti che in ogni caso in cui si verifichi un “data breach”, come nel caso dello studio commerciale di Battipaglia, il titolare del trattamento debba farne notifica entro 72 ore all’Authority, e nei casi più gravi darne comunicazione anche a ciascun diretto interessato.

Non solo una situazione del genere potrebbe portare a pesantissime multe, ma al danno potrebbe aggiungersi la beffa con un grave impatto sulla reputazione dell'azienda coinvolta, che rischierebbe di perdere in un sol colpo la fiducia dei clienti, i quali potrebbero decidere di rivolgersi altrove per trovare un fornitore più affidabile.