Un’associazione denuncia il Parlamento europeo dopo un attacco informatico che ha preso di mira la sua piattaforma di reclutamento.
L’ONG austriaca Noyb, fondata dal whistleblower Max Schrems, ha presentato due denunce contro il Parlamento europeo. Secondo l’organizzazione, l’istituzione deve adottare misure per proteggere maggiormente i propri dipendenti dalle cyberattacchi. Questa azione legale arriva diversi mesi dopo una “massiccia” fuga di dati personali che ha colpito circa 8.000 dipendenti o ex dipendenti dell’istituzione.
In caso di cyberattacco, si lavora per rafforzare i sistemi informativi e avvisare le persone colpite dalla fuga di dati. Tuttavia, la responsabilità dell’azienda o dell’amministrazione – a sua volta vittima di un attacco – spesso non viene messa in discussione, in particolare per non aver fatto “abbastanza” per proteggere i dati personali. Giovedì 22 agosto, l’associazione Noyb (“None of your business”), fondata dal whistleblower austriaco Max Schrems, ha deciso di fare questo passo. L’ONG ha presentato due denunce contro il Parlamento europeo a causa di una “massiccia” fuga di dati dei dipendenti del colegislatore dell’Unione Europea (UE).
A maggio scorso, riferisce l’ONG austriaca in un comunicato pubblicato giovedì 22 agosto, il Parlamento europeo ha inviato ai propri dipendenti un messaggio informandoli di una massiccia fuga di dati nella piattaforma di reclutamento dell’istituzione (chiamata “PEOPLE”). Quando si fa domanda per un posto temporaneo offerto dal Parlamento europeo, è necessario fornire molti dati personali, come documenti d’identità, prove di residenza, estratti del casellario giudiziale e certificati di matrimonio.
Sono questi documenti presenti sulla piattaforma di reclutamento che sarebbero stati recuperati da hacker informatici. Circa 8.000 dipendenti o ex dipendenti sarebbero coinvolti, secondo il Parlamento europeo, che ha informato lo scorso aprile il Garante europeo della protezione dei dati (EDPS). Questa autorità indipendente dell’UE è responsabile di controllare come le istituzioni europee proteggono questi dati.
Il Parlamento europeo “consapevole delle vulnerabilità del suo sistema di cybersicurezza”, secondo l’ONG
Un mese dopo, il 31 maggio scorso, il Parlamento ha consigliato alle 8.000 persone coinvolte di rifare i loro documenti d’identità, per precauzione. Ma a parte queste informazioni, il colegislatore dell’UE ancora non sa quando e come si sia verificata la falla, spiega Noyb. Contattato da 01net.com, l’istituzione non aveva risposto alle nostre richieste al momento della pubblicazione di questo articolo.
Più preoccupante: il Parlamento europeo avrebbe scoperto la fuga solo mesi dopo, sempre secondo l’ONG, il che preoccupa quest’ultima, che nota come “il Parlamento sia consapevole da tempo delle vulnerabilità del suo sistema di cybersicurezza”. Questo organo dell’UE deve “adottare misure di sicurezza appropriate per proteggere questi dati dall’accesso di terzi”, sostiene l’associazione.
Soprattutto perché questa fuga di dati è lontana dall’essere la prima. Alla fine del 2023, il team IT del Parlamento europeo aveva stimato, dopo un esame, che la cybersicurezza dell’istituzione “non soddisfaceva ancora gli standard del settore”; le misure esistenti non erano “totalmente adeguate al livello di minaccia”. L’istituzione ha subito anche, a febbraio 2024, un attacco informatico, in particolare nella sua sottocommissione per la sicurezza e la difesa. Nei telefoni di diversi eurodeputati sono stati rilevati software spia.
Deputati non sufficientemente protetti?
E il fatto che il Parlamento europeo sia nel mirino dovrebbe preoccupare, spiega Max Schrems, cofondatore di Noyb e spina nel fianco dei giganti del digitale: “Informazioni di questo tipo che circolano non sono solo spaventose per le persone coinvolte, ma possono anche essere utilizzate per influenzare le decisioni democratiche”, lamenta. Un altro problema sollevato dall’ONG: l’istituzione non rispetterebbe il GDPR, il regolamento europeo sui dati personali. Il Parlamento europeo avrebbe infatti dovuto cancellare alcuni dati in base all’articolo 4(1)(c) del GDPR, che raccomanda che le istituzioni dell’UE trattino solo dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati”. Tuttavia, questi dati sono conservati per 10 anni, un periodo troppo lungo secondo l’associazione.
Risultato, NOYB ha presentato due denunce all’EDPS, a nome di quattro dipendenti del Parlamento. La prima riguarda un dipendente la cui orientamento sessuale è stato rivelato dopo la fuga del suo certificato di matrimonio che era stato depositato sulla piattaforma di candidatura PEOPLE. Nella seconda denuncia, Noyb lamenta che il Parlamento europeo abbia rifiutato di cancellare i dati personali di un querelante coinvolto nella fuga, anche se quest’ultimo non lavora più nell’istituzione dal 2018.
Non è la prima volta che vengono lanciati allarmi sulla mancanza di protezione informatica dei legislatori in Europa. Uno studio pubblicato alcuni mesi fa da Proton ha mostrato che i dati personali di numerosi politici europei, inclusi responsabili politici francesi, erano stati esposti più volte nel dark web.
In Francia, sette parlamentari francesi hanno lamentato, in una dichiarazione comune pubblicata lo scorso maggio, la mancanza di risorse dei senatori e deputati, privi di strumenti contro le cyberattacchi. Bisogna “rafforzare rapidamente l’assistenza ai parlamentari in materia di cybersicurezza”, scrivevano nella dichiarazione.
Fonte: www.techcentral.ie