L'anno nero di Facebook prosegue spedito. E al data breach che ha coinvolto 50 milioni di utenti, reso noto lo scorso weekend, potrebbe presto seguire una multa salatissima nei confronti della società di Menlo Park. Una multa che potrebbe arrivare fino a 1,63 miliardi di dollari, se le autorità europee proveranno che la società di Zuckerberg ha violato alcuni principi base del nuovo regolamento europeo sul trattamento dei dati personali.

La Commissione irlandese per la protezione dei dati, che è il principale regolatore della privacy di Facebook in Europa, ha già dichiarato di aver chiesto alla società californiana maggiori informazioni sulla natura e sull'entità della violazione, compreso quanti residenti europei sarebbero stati coinvolti nel cyberattacco.

Una portavoce di Facebook ha dichiarato che l'azienda risponderà a tutte le domande della commissione, mentre il regolatore si è detto molto preoccupato per il fatto che Facebook non sia ancora in grado di chiarire la natura della violazione e il rischio per gli utenti in questo momento.



Un nuovo colpo alla reputazione di Facebook

È abbastanza palese che questa storia, per Facebook, è un duro colpo, e indebolisce tantissimo ogni sforzo fatto dalla società per riconquistare la fiducia degli utenti dopo lo scandalo Cambridge Analytica. Del resto, 50 milioni di utenti colpiti da un attacco hacker, e altri 40 milioni disconnessi preventivamente dalla piattaforma, sono di fatto i numeri del più grande data breach della storia di Facebook. Un attacco violento che arriva a pochi mesi dall'entrata in vigore del GDPR, che impone regole più stringenti in fatto di tutela della privacy degli utenti. Per questo Facebook, oggi, potrebbe pagare a caro prezzo questa vicenda. Di fatto, questo, è un test molto significativo anche per le autorità europee. Il primo caso di violazione a milioni di utenti da quando è diventata operativa la nuova normativa.

Il GDPR, nella sua sezione dedicata alle sanzioni, è abbastanza chiaro. E prevede due opzioni, in base alla gravità e alla durata della violazione. La prima: multa pari al 2% del fatturato complessivo oppure a 10 milioni di euro (scegliendo quella che sia maggiore). La seconda: multa pari al 4% del fatturato complessivo oppure a 20 milioni di euro (anche qui scegliendo quella che sia maggiore). E in questa seconda ipotesi, che sembra quella più affine all'attacco a Facebook per gravità e durata, la multa ai danni del social di Zuckerberg potrebbe arrivare a 1,63 miliardi di dollari.



I dubbi sugli investimenti in sicurezza di Facebook

Nelle scorse settimane, in fatto di violazioni al GDPR, è emerso il caso di British Airways, con gli hacker che hanno intercettato per più di due settimane i dettagli finanziari dei clienti che hanno effettuato prenotazioni. Ciononostante, i numeri dell'attacco a Facebook sono diversi. E anche le tempistiche, dato che il social network ha ammesso che le vulnerabilità sono state tali da luglio 2017 a settembre 2018. La domanda principale che i regolatori europei si troveranno ad affrontare è se Facebook ha investito abbastanza nella sicurezza per evitare una violazione del genere. La risposta non sembra rassicurante, per quelli di Menlo Park, considerate le risorse finanziarie in mano alla società di Zuckerberg.



C'è un fattore, però, che potrebbe essere determinante per un eventuale sconto sulla sanzione. Ed è quello delle famigerate 72 ore. Il Gdpr infatti, prevede che una società debba notificare le violazioni alle autorità di regolamentazione entro 72 ore. Così facendo, la sanzione potrebbe adeguarsi alla prima opzione (quella del 2% del fatturato). Facebook ha notificato la violazione giovedì sera, e sembra aver rispettato il limite temporale previsto dalla legge. Il regolatore, tuttavia, ha lamentato una carenza di dettagli abbastanza palese nella notifica. E anche questa vicenda sarà argomento di discussione legale nei prossimi mesi.

