Un’elegante signora diversamente giovane si presenta ad uno sportello delle Poste Italiane: ha bisogno di aprire un libretto postale per depositare, di tanto in tanto, qualche risparmio.
È un pomeriggio d’agosto, fa molto caldo ma lo sportello di Poste Italiane è un luogo dove è piacevole sostare, considerata la frescura artificiale generata dall’efficiente sistema di aria condizionata. Peraltro, cose rarissime, lo sportello è semideserto e l’operatrice è una ragazza giovane, sorridente ed efficiente.
L’operatrice chiede alla signora il documento di riconoscimento ed il codice fiscale: ne fa una copia che tiene agli atti. Poi, le chiede i dati di residenza ed il numero di telefono. La signora fornisce il suo indirizzo ed il numero del suo cellulare, senza avere alcuna informativa sul trattamento che ne verrà fatto (informazioni obbligatorie da fornire preventivamente, ai sensi dell’art. 13 del GDPR).
Il libretto postale viene emesso in un battibaleno e l’operatrice, con somma sorpresa della signora, le consegna anche una comoda carta plastificata che consentirà di effettuare prelievi dal libretto senza fare la fila ed utilizzando lo sportello automatico.
La mattina dopo la signora, che non aveva mai ricevuto sul suo cellulare alcun messaggio nenache da amici o parenti, riceve un messaggio dal seguente testo “Abbiamo bloccato il suo conto postale per motivi di sicurezza web. Per sbloccarlo potrà accedere al seguente link https://poste.ltd”.
Per fortuna la signora non cede alla tentazione di cliccare sul link proposto dal messaggio ma, presa dal panico, chiama suo genero che è un esperto di sistemi informativi. Il genero piomba a casa della signora (solo 200 metri) e si accorge del tentativo di phishing di cui è stata vittima: rimuove il messaggio e cerca di spiegare cosa è successo.
Il genero della signora, che è anche un esperto di protezione dei dati personali, tuttavia, si fa qualche domanda: è un caso che il messaggio sia arrivato simulando la provenienza da Poste Italiane? È un caso che sia arrivato appena dopo che la signora ha aperto un libretto postale? La catena dei processi di trattamento dei dati personali della signora (e di migliaia di altri clienti di Poste Italiane) presenta qualche buco?
Il genero della signora, quindi, sottopone, via email, le stesse domande al Computer Emergency Response Team (CERT) di Poste Italiane (a proposito, andando nella loro pagina della privacy potrete scoprire quanto, anche chi si dovrebbe occupare di sicurezza informatica, sia lontano dal GDPR e citi ancora normative oggi abrogate) che, tuttavia, non ha ancora fornito alcun riscontro.
Sarà tutta una questione legata al caso?