La sicurezza dei dati è un'emergenza costante, come dimostrano le recenti falle che hanno esposto milioni di documenti sensibili. Dal settore alberghiero, con il sistema Tabiq, al comparto fintech, con l'applicazione Duc, emergono gravi lacune nella protezione delle informazioni personali, evidenziando una problematica ricorrente e sistemica.
La falla nel sistema Tabiq
Il sistema di check-in Tabiq, gestito dalla startup giapponese Reqrea, usa riconoscimento facciale e scansione documenti per l'accoglienza ospiti in hotel giapponesi. Il ricercatore Anurag Sen ha scoperto un bucket Amazon S3 pubblicamente accessibile, identificato come 'tabiq', contenente passaporti e patenti.
I dati sono stati messi offline dopo la segnalazione, ma l'episodio sottolinea come l'esposizione derivi spesso da errori umani e configurazioni errate, non da attacchi sofisticati.
Il caso Duc App nel settore fintech
Un problema analogo ha interessato l'app canadese Duc App, per trasferimenti di denaro, che ha esposto documenti d'identità e transazioni su un server non protetto. Anche questa falla è stata individuata da Anurag Sen. L'incidente rivela una vulnerabilità diffusa tra gli operatori fintech, molti dei quali trascurano protezioni basilari, come la crittografia. L'esposizione di tali informazioni non è un mero inconveniente tecnico, ma un elevato rischio di furto d'identità per gli utenti coinvolti.
Lacune normative e proposte di miglioramento
Le lacune normative attuali non garantiscono adeguata sicurezza dei dati. Il quadro canadese PIPEDA è meno stringente del GDPR europeo, che impone minimizzazione dei dati e sanzioni significative (fino al 4% del fatturato globale), promuovendo un approccio più robusto. Per contrastare queste problematiche, sono necessarie soluzioni concrete: crittografia obbligatoria per i documenti d'identità, logging degli accessi con periodi di conservazione definiti, audit di sicurezza indipendenti e sanzioni finanziarie significative per la non conformità. Solo equiparando il peso della conformità per la protezione dei dati a quello per la loro raccolta si potranno prevenire efficacemente incidenti come Tabiq e Duc.
