In seguito a una serie di indagini iniziate nel 2019, la DPC (Data Protection Commission, l’autorità irlandese responsabile della tutela della privacy che agisce per conto dell’Unione Europea) ha multato Meta per 91 milioni di euro per aver archiviato senza protezione le password degli utenti. Si tratta di una violazione del GDPR, il Regolamento generale dell’Unione Europea sulla protezione dei dati che l’azienda di Mark Zuckerberg aveva già violato lo scorso anno, occasione in cui la medesima autorità garante irlandese comminò a Meta una sanzione molto più salata, pari a circa 1,2 miliardi di euro.

La multa annunciata oggi, la sesta da parte della DPC, arriva a distanza di circa cinque anni e mezzo dall’inizio delle indagini sulle modalità con cui Meta conservò internamente le password dei suoi utenti di Facebook e Instagram, password memorizzate senza crittografia o altri sistemi di protezione crittografica con cui rendere i dati illeggibili alle persone non autorizzate ad accedervi. Tuttavia, si legge nella nota dell’autorità che le password non sono state rese disponibili a terzi da parte di Meta, che aveva avvisato essa stessa la DPC di aver conservato inavvertitamente quei dati senza una protezione adeguata. Sebbene Meta non abbia dichiarato il numero di password interessate, secondo Krebs on Security, che per primo riportò la notizia il 21 marzo 2019, si tratterebbe di una mole di dati compresa fra i 200 e i 600 milioni, password a cui avrebbero potuto accedere oltre 20mila dipendenti dell’azienda.

Di qui la decisione presa dalla DPC nella giornata di ieri, 26 settembre, autorità che, oltre a comminare la multa di 91 milioni di euro, ha notificato a Meta varie infrazioni, fra cui la mancata disposizione di misure organizzative e tecniche appropriate per garantire un’adeguata sicurezza delle password degli utenti contro l’accesso non autorizzato.

“È noto che le password degli utenti non debbano essere memorizzate in chiaro, considerando i rischi di abusi che derivano dall’accesso a tali dati. Bisogna tenere presente che quelle in oggetto di esame in questo caso sono particolarmente sensibili, in quanto consentirebbero l’accesso agli account dei social media degli utenti” ha commentato il vicecommissario della DPC Graham Doyle.