Comunicazione di violazione

Gentile Cliente,
con la presente, l’Hotel Tosi Beach (Family Cesenatico S.r.l.,), in qualità di Titolare del trattamento, La informa di un incidente di sicurezza che ha comportato una violazione di dati personali.

Descrizione
Violazione dei sistemi del provider utilizzato per la gestione delle prenotazioni della struttura.
Secondo le informazioni formalmente ricevute, tale violazione ha comportato la sottrazione di alcuni dati riferiti alle prenotazioni. 
Alcuni malintenzionati si stanno spacciando per operatori Club Family Hotel, contattando telefonicamente o via WhatsApp/email e cercando di far disdire la prenotazione promettendo rimborsi o richiedendo dati sensibili. Sono attualmente in corso le opportune verifiche tecniche e analisi informatiche volte a ricostruire con precisione la dinamica dell’accaduto, nonché a determinare l’effettiva portata della violazione.
Il Titolare del trattamento si impegna a fornire tempestivi aggiornamenti qualora emergano ulteriori elementi rilevanti, al fine di garantire la massima trasparenza nei confronti degli interessati.

Misure cautelative per la tutela degli interessati
In via cautelativa, si segnala che, in conseguenza della violazione subita, non può escludersi la possibilità che vengano inoltrate comunicazioni non autorizzate (es. comunicazione di phishing via Whatsapp, E-mail, SMS…) apparentemente provenienti da un indirizzo dell’Hotel.
Si invita pertanto, a prestare la massima attenzione a eventuali comunicazioni ricevute e a diffidare da messaggi contenenti richieste anomale di pagamenti e/o di dati personali, link sospetti o allegati inattesi, anche qualora sembrino provenire dall’Organizzazione.
Al fine di mitigare possibili rischi, il Titolare ha predisposto e messo a disposizione nell’allegato “A” alla presente comunicazione delle specifiche raccomandazioni operative volte a supportare gli interessati nel riconoscere e gestire eventuali tentativi di phishing.
Resta fermo che il Titolare provvederà a fornire eventuali aggiornamenti qualora emergano ulteriori elementi rilevanti all’esito delle verifiche in corso.

Contatti del Titolare del trattamento
Titolare del trattamento: Hotel Tosi Beach (Family Cesenatico S.r.l.)
Riferimenti del Titolare: E-mail:  familycesenatico@pec.it - Tel. +39 0547 051006 

 
ALLEGATO A
Misure cautelative per la tutela degli interessati

Natura delle violazioni
Potenziali scenari di violazioni di dati personali possono avvenire sia presso i sistemi informativi afferenti le Organizzazioni private e pubbliche, che direttamente presso gli strumenti informatici e applicazioni personali.

Dove possono avvenire le violazioni
A titolo precauzionale, si invitano tutti i clienti a mantenere alta l’attenzione e a mettere in atto ogni misura di sicurezza su qualunque interazione sospetta (online, ma anche effettuata con strumenti tradizionali).
Una misura di prevenzione importante è quella di cambiare frequentemente le password e scegliere delle password complesse di almeno 10 o più caratteri, formate da maiuscole, minuscole, numeri e caratteri speciali. Le password non devono essere banali e non devono essere riconducibili a Vostre informazioni personali (es. nome e data di nascita). Soprattutto è importante utilizzare password distinte per ciascuna credenziale di un servizio o applicazione che permette l’autenticazione. Ad esempio, la password di un social deve essere differente dalla password della banca, piuttosto che la password dello SPID. Dove possibile scegliere sempre la “autenticazione a doppio fattore”, ovvero la circostanza in cui per l’autenticazione ad un servizio o ad una applicazione è necessario oltre la password e il nome utente utilizzare anche un altro metodo di riconoscimento (es. un SMS, il riconoscimento facciale, l’impronta digitale, un applicazione di autenticazione come Google o Microsoft Autenticator).

Tipi di violazione:
Le modalità con cui possono avvenire le violazioni sono molteplici: si può andare dalla vulnerabilità dei sistemi all’iniezione di malware (virus ed altro), spesso attivati con tecniche del Phishing, Vishing, SMishing, SIMSwapping.
In relazione alle tipologie di virus più utilizzate, le suggeriamo di prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:

Phishing
Il phishing è una truffa che viene effettuata su internet, il malintenzionato fingendosi un ente affidabile in una comunicazione digitale cerca di ingannare la vittima convincendola a fornire:

• informazioni personali
• dati finanziari
• codici di accesso

Vishing
Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi didati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.

SMishing
Il vishing (o phishing vocale) è una forma di truffa, sempre più diffusa, che utilizza il telefono come strumento per appropriarsi di dati personali - specie di natura bancaria o legati alle carte di credito - e sottrarre poi somme di denaro più o meno ingenti.

Sim Swapping
Il SIM swapping o swap è un attacco ache permette ai criminali  informatici di impossessarsi del numero di telefono di un utente e di accedere a servizi online che usano il numero di telefono come sistema di autenticazione, è possibiel anche il furto di identità sui canali social.
Se si subisce un attacco SIM swapping il cellulare presenta anomalie.

E' importante agire rapidamente per impedire ai criminali informatici di continuare a utilizzare la tua linea di telefonia mobile per compiere frodi:

• Bloccare la nuova scheda SIM contattando il proprio operatore telefonico e chiedere  conferma dell'effettiva emissione di un duplicato;se confermato bloccarela  SIM fraudolenta e richiedere  l'emissione di una nuova SIM per recuperare la tua linea telefonica il prima possibile: ne avrai bisogno per verificare i tuoi conti bancari, canali social, ecc.
• Sporgere denuncia: in caso di perdita economica. la SIM duplicata potrebbe essere stata usata per il sequestro degli account sui canali social o la stipula fraudolenta di servizi, ecc.) e le aziende potrebbero richiedere una copia della denuncia per poter agire.
• Chiedere alla propria banca di controllare l'attività recente sui tuoi conti e di bloccare le tue carte.
• Verificare gli account più comuni, verificare di ad avere accesso ai propri account,

Cosa succede se si subisce una violazione

• Perdita di riservatezza
  quando ad esempio i propri dati personali oggetto di violazione vengono divulgati ad uno o più soggetti non autorizzati, o pubblicati anche solo parzialmente per ottenere un riscatto;
• Perdita di integrità
  quando i dati oggetto di violazione vengono modificati, o sono difficilmente ricostruibili, od eliminati;
• Perdita di disponibilità
  quando i dati non sono accessibili, anche per un periodo di tempo limitato. Anche l’indisponibilità di servizi rivolti ai cittadini od utenti potrebbe comportare un potenziale violazione dei diritti.

Quali dati possono essere violati

• Anagrafici (nome, cognome, codice fiscale, indirizzo di casa)
• Dati di contatto (email, numero di telefono, di cellulare, etc.)
• Password (con le tecniche sopra indicate possono essere violate, estorte, o forzate)
• Dati relativi allo stato di salute (referti, o documenti necessari a dimostrare uno stato di disabilità, o qualsiasi condizione di disagio socio – economico)
• Dati relativi a condanne, reati, di tipo giudiziario (anch’essi derivati da dichiarazioni, o casellario giudiziale, carichi pendenti).

Come possono essere utilizzati i dati violati
I dati personali (a seconda di quali e quanti di essi sono oggetto di violazione) potrebbero essere usati, a titolo di esempio, per:

• Furti di identità;
• Rivolgersi a lei, per telefono e/o email, e/o posta cartacea, per perpetrare truffe;
• Tentativi di frode di vario genere;
• Altri contatti indesiderati o fraudolenti;
• Utilizzo e profilazione dei dati acquisiti per marketing selvaggio.