Comunicazione di violazione

Gentile Cliente,
con la presente, il Club Family Hotel Milano Marittima (Family Mima SRL Unipersonale), in qualità di Titolare del trattamento, La informa di un incidente di sicurezza che ha comportato una violazione di dati personali.

Descrizione
Violazione dei sistemi del provider utilizzato per la gestione delle prenotazioni della struttura.
Secondo le informazioni formalmente ricevute, tale violazione ha comportato la sottrazione di alcuni dati riferiti alle prenotazioni. 
Alcuni malintenzionati si stanno spacciando per operatori Club Family Hotel. Questi soggetti contattano i clienti telefonicamente o via WhatsApp/e-mail, cercando di far disdire la prenotazione con la promessa di rimborsi o richiedendo dati sensibili. Sono attualmente in corso le opportune verifiche tecniche e analisi informatiche volte a ricostruire con precisione la dinamica dell’accaduto, nonché a determinare l’effettiva portata della violazione.
Il Titolare del trattamento si impegna a fornire tempestivi aggiornamenti qualora emergano ulteriori elementi rilevanti, al fine di garantire la massima trasparenza nei confronti degli interessati.

Misure cautelative per la tutela degli interessati
In via cautelativa, si segnala che, in conseguenza della violazione subita, non può escludersi la possibilità che vengano inoltrate comunicazioni non autorizzate (es. comunicazione di phishing via Whatsapp, E-mail, SMS…) apparentemente provenienti da un indirizzo dell’Hotel.
Si invita pertanto, a prestare la massima attenzione a eventuali comunicazioni ricevute e a diffidare da messaggi contenenti richieste anomale di pagamenti e/o di dati personali, link sospetti o allegati inattesi, anche qualora sembrino provenire dall’Organizzazione.
Al fine di mitigare possibili rischi, il Titolare ha predisposto, e messo a disposizione nell’allegato “A” alla presente comunicazione, delle specifiche raccomandazioni operative volte a supportare gli interessati nel riconoscere e gestire eventuali tentativi di phishing.
Resta fermo che il Titolare provvederà a fornire eventuali aggiornamenti qualora emergano ulteriori elementi rilevanti all’esito delle verifiche in corso.

Contatti del Titolare del trattamento
Titolare del trattamento: Club Family Hotel Milano Marittima (Family Mima SRL Unipersonale)
Riferimenti del Titolare: E-mail: familymimasrl@pec.it - Tel. +39 0547 051012

ALLEGATO A
Misure cautelative per la tutela degli interessati

Natura delle violazioni
Potenziali scenari di violazioni di dati personali possono avvenire sia presso i sistemi informativi afferenti le Organizzazioni private e pubbliche, che direttamente presso gli strumenti informatici e applicazioni personali.

Dove possono avvenire le violazioni
A titolo precauzionale, si invitano tutti i clienti a mantenere alta l’attenzione e a mettere in atto ogni misura di sicurezza su qualunque interazione sospetta (online, ma anche effettuata con strumenti tradizionali).
Una misura di prevenzione importante è quella di cambiare frequentemente le password e scegliere delle password complesse di almeno 10 o più caratteri, formate da maiuscole, minuscole, numeri e caratteri speciali. Le password non devono essere banali e non devono essere riconducibili a informazioni personali (es. nome e data di nascita). Soprattutto è importante utilizzare password distinte per ciascun servizio o applicazione che richieda l’autenticazione. Ad esempio, la password di un social deve essere differente da quella della banca o dello SPID. 
Dove possibile, si consiglia di scegliere sempre l’autenticazione a due fattori. Si tratta della modalità in cui, per l'accesso a un servizio, è necessario utilizzare un ulteriore metodo di riconoscimento oltre a username e password (es. un SMS, il riconoscimento facciale, l’impronta digitale o un'applicazione di autenticazione come Google o Microsoft Authenticator).

Tipi di violazione:
Le modalità con cui possono avvenire le violazioni sono molteplici: si può andare dalla vulnerabilità dei sistemi all’iniezione di malware (virus ed altro), spesso attivati con tecniche del Phishing, Vishing, SMishing, SIM Swapping.
In relazione alle tipologie di attacchi più utilizzate, si suggerisce di prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:

Phishing
Il phishing è una truffa eseguita su Internet. Il malintenzionato, fingendosi un ente affidabile in una comunicazione digitale, cerca di ingannare la vittima per convincerla a fornire informazioni personali, dati finanziari o codici di accesso.

Vishing
Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.

SMishing
Lo smishing (o phishing tramite SMS) è una variante della truffa che utilizza i messaggi di testo sul cellulare per indurre la vittima a cliccare su link dannosi o a condividere dati riservati e codici di sicurezza.

Sim Swapping
Il SIM swapping – o swap – è un attacco che permette ai criminali informatici di impossessarsi del numero di telefono di un utente. In questo modo possono accedere ai servizi online che usano il numero come sistema di autenticazione, rendendo possibile anche il furto di identità sui canali social. Se si subisce un attacco di SIM swapping, il telefono cellulare presenta anomalie di rete (come l'assenza totale di segnale).

E' importante agire rapidamente per impedire ai criminali informatici di continuare a utilizzare la tua linea di telefonia mobile per compiere frodi:

• Bloccare la SIM: contattare il proprio operatore telefonico per chiedere conferma dell'effettiva emissione di un duplicato. Se confermato, bloccare la SIM fraudolenta e richiedere l'emissione di una nuova scheda per recuperare la propria linea il prima possibile (necessaria per verificare i propri conti bancari, canali social, ecc.).
• Sporgere denuncia: procedere con le autorità competenti in caso di perdita economica o qualora la SIM duplicata sia stata usata per il sequestro degli account social o la stipula fraudolenta di servizi. Le aziende potrebbero richiedere copia della denuncia per poter agire.
• Contattare la banca: chiedere al proprio istituto di credito di controllare l'attività recente sui conti e di bloccare le carte di pagamento.
• Monitorare gli account: verificare i profili digitali più comuni per accertarsi di avere ancora regolare accesso.

Cosa succede se si subisce una violazione

• Perdita di riservatezza: quando i dati personali oggetto di violazione vengono divulgati a soggetti non autorizzati, o pubblicati anche solo parzialmente per ottenere un riscatto;
• Perdita di integrità: quando i dati oggetto di violazione vengono modificati, eliminati o sono difficilmente ricostruibili;
• Perdita di disponibilità: quando i dati non sono accessibili, anche per un periodo di tempo limitato. Anche l’indisponibilità di servizi rivolti agli utenti potrebbe comportare un potenziale violazione dei diritti.

Quali dati possono essere violati

• Anagrafici (nome, cognome, codice fiscale, indirizzo di casa)
• Dati di contatto (email, numero di telefono, di cellulare, etc.)
• Password (con le tecniche sopra indicate possono essere violate, estorte, o forzate)
• Dati relativi allo stato di salute (referti, o documenti necessari a dimostrare uno stato di disabilità, o qualsiasi condizione di disagio socio-economico)
• Dati giudiziari (relativi a condanne o reati derivati da dichiarazioni, casellario giudiziale o carichi pendenti).

Come possono essere utilizzati i dati violati
I dati personali (a seconda di quali e quanti di essi sono oggetto di violazione) potrebbero essere usati, a titolo di esempio, per:

• Furti di identità.
• Contatti diretti (tramite telefono, e-mail o posta cartacea) per perpetrare truffe a danno dell'interessato.
• Tentativi di frode di vario genere.
• Altri contatti indesiderati o fraudolenti.
• Utilizzo e profilazione dei dati acquisiti  per finalità di marketing aggressivo o non richiesto.