Il caso Lusha, che ha visto la disponibilità online di numeri privati appartenenti anche a figure istituzionali italiane, rappresenta molto più di una semplice violazione della privacy. Infatti, è il segnale di un ecosistema digitale sempre più fragile, dove strumenti come le estensioni browser diventano veicoli inconsapevoli di raccolta dati.
Vuoi acquistare in asta
Consulenza gratuita
Vediamo come funzionano i meccanismi tecnici dietro il data scraping, quali sono le possibili violazioni del GDPR, i precedenti internazionali (Cambridge Analytica, Clearview AI, Equifax) e le implicazioni per la sovranità digitale, oggi riconosciuta come la quarta dimensione della sicurezza nazionale.
Protezione dati: una sfida geopolitica e strategica
L’accesso non autorizzato a dati sensibili di vertici istituzionali italiani, reso possibile da una piattaforma digitale commerciale, ha fatto emergere in tutta la sua gravità una questione cruciale. La protezione dei dati personali è oggi una sfida geopolitica e strategica, oltre che normativa.
Stiamo parlando del recente “caso Lusha”, che ha portato alla luce la disponibilità
online di contatti privati anche di figure istituzionali di primissimo piano come il
Presidente della Repubblica, e che rappresenta il sintomo di un ecosistema digitale
permeabile e vulnereabile, dove anche strumenti apparentemente innocui come le
estensioni browser possono diventare mezzi potenti e opachi di raccolta dati su
larga scala.
Caso Lusha: come funziona il business del data scraping
Fondata in Israele nel 2016, Lusha Systems offre una piattaforma B2B per la generazione di contatti commerciali. Il cuore del servizio è una estensione browser, che, una volta installata, consente di visualizzare numeri di telefono, email e dettagli lavorativi di profili LinkedIn o siti aziendali.
Ecco cosa fa e quali sono le violazioni del Gdpr e le difficoltà di enforcement.
Conto e carta
difficile da pignorare
Cosa fa un’estensione browser
Le estensioni browser sono programmi semplici che si integrano nei browser (Chrome, Firefox, Edge), ottenendo spesso permessi di lettura e modifica delle pagine visitate. L’estensione Lusha, in particolare:
- estrae informazioni dal profilo LinkedIn visualizzato;
- invia questi dati a un server remoto;
- riceve in cambio ulteriori dati non pubblicamente visibili.
Il risultato è una profilazione silenziosa e incontrollata, in cui l’utente che installa
l’estensione contribuisce inconsapevolmente a un sistema di raccolta dati globale.
Le violazioni del GDPR e le difficoltà di enforcement
Il meccanismo utilizzato da Lusha potrebbe violare diverse norme del GDPR, tra cui i seguenti articoli:
- 5 (principi di liceità, trasparenza, minimizzazione);
- Art. 6 (assenza di base giuridica per il trattamento);
- Art. 7 (mancanza di consenso);
- Art. 13–14 (informativa agli interessati).
Inoltre, l’uso di questi strumenti in ambito aziendale potrebbe esporre anche chi li utilizza a responsabilità in qualità di contitolari del trattamento.
Ma si aggiunga che Lusha, essendo extra-UE, sfugge in parte al potere sanzionatorio diretto delle autorità europee, evidenziando così le debolezze dell’enforcement transfrontaliero del GDPR.
I precedenti: quando i dati diventano arma
Il caso Lusha non è nuovo. Ha precedenti eclatanti in altri scandali globali:
- Cambridge Analytica (2018): con la raccolta di dati Facebook per profilazioni finalizzate a generare consenso politico;
- Clearview AI: il caso del riconoscimento facciale da foto prese online, senza consenso degli interessati.
- Equifax: un clamoroso data breach che ha compromesso i dati di 147 milioni di americani.
- Hacking Team: il software di sorveglianza venduto a governi autoritari, poi trafugato.
Tutti casi accomunati dalla opacità nei meccanismi di raccolta, dalla debolezza dei sistemi di protezione, e dalle gravi ricadute reputazionali e legali.
Cyber sovranità: la quarta dimensione
Sono molte le voci autorevoli della geopolitica digitale che ormai indicano nel cyber spazio la quarta dimensione della sovranità, accanto a terra, aria e mare. Uno spazio quello digitale, dove i dati sono diventati risorsa, merce e bersaglio, anche di governi ostili, in quella che oramai è una guerra asimmetrica globale.
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
Rischi legati a una gestione opaca o inconsapevole dei dati esposti a phishing mirato a figure istituzionali, attacchi di social engineering, sorveglianza e spionaggio, manipolazione dell’informazione tramite AI.
Sicuramente in questo scenario il nostro Paese e l’UE devono dotarsi di strategie di resilienza digitale, rafforzando la cooperazione tra i Garante Privacy, ACN, CERT-PA e gli operatori strategici nazionali.
Cosa devono fare aziende e PA
Le aziende e le pubbliche amministrazioni sono chiamate al rafforzamento delle misure tecniche (disabilitare estensioni browser non approvate, monitoraggio dei dati in uscita con strumenti DLP, esecuzione audit periodici su software e plugin installati), ma anche misure organizzative, quali la sottostimata formazione continua su privacy, phishing e sull’utilizzo di strumenti digitali o ancora l’aggiornamento del registro dei trattamenti ed Data Protection Impact Assessment (DPIA) su tool di terze parti.
Non è tutto. Sempre più è necessaria una integrazione dei diversi modelli, come l’integrazione della mappatura dei rischi cyber nei Modelli 231, con il coordinamento tra le diverse figure responsabili (CISO, DPO, compliance e OdV).
La governance dei dati deve essere oramai concepita come asset strategico in qualunque organizzazione.
Il caso Lusha è un campanello d’allarme
Il caso Lusha non è un’eccezione, ma il campanello d’allarme di un sistema vulnerabile.
Proteggere i dati significa oggi proteggere istituzioni, democrazia, sovranità. Non basta adeguarsi alla norma, con un approccio burocratico al rischio, ma occorre avere e adottare una visione integrata e preventiva, perché nella quarta dimensione della sovranità – quella cyber – la minaccia è invisibile, ma i danni sono molto concreti.
Investi nel futuro
scopri le aste immobiliari
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
