La Commissione irlandese per la protezione dei dati (DPC) ha multato venerdì Meta per 91 milioni di euro per aver inavvertitamente memorizzato le password di alcuni utenti senza protezione o crittografia. TASR riporta la notizia sulla base di quanto riportato da Reuters e RTÉ.
L’indagine è iniziata cinque anni fa, nell’aprile 2019, dopo che Meta ha notificato al DPC irlandese di aver inavvertitamente memorizzato le password di alcuni utenti dei social media sui suoi sistemi interni come “testo normale”, senza protezione crittografica o crittografia.
L’indagine ha rilevato quattro violazioni del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea (UE).
Controllo di sicurezza di routine
Meta ha riconosciuto pubblicamente l’incidente e ha dichiarato in un comunicato che, nell’ambito di un controllo di sicurezza di routine effettuato nel 2019, ha scoperto che un sottoinsieme di password degli utenti di Facebook era temporaneamente registrato in un formato leggibile all’interno dei suoi sistemi di dati interni.
Dopo aver individuato la falla, l’azienda ha adottato misure immediate per correggerla. Secondo le sue conclusioni, non ci sono prove che le password siano state utilizzate in modo improprio. Inoltre, il DPC ha rilevato che le password non sono state divulgate a parti esterne.
A giugno il DPC ha presentato una bozza di decisione sulla multa alle autorità europee di controllo della protezione dei dati e ad altre autorità, che non hanno sollevato obiezioni.
La decisione dei Data Protection Commissioners irlandesi è stata comunicata a Meta.
Il principale regolatore dell’UE
“È generalmente accettato che le password degli utenti non debbano essere memorizzate in chiaro a causa dei rischi di abuso”, ha dichiarato Graham Doyle, rappresentante del DPC in Irlanda.
Meta ha collaborato in modo costruttivo con il DPC nel corso dell’indagine, ha aggiunto il portavoce venerdì.
Il DPC è il principale regolatore dell’UE per la maggior parte delle principali aziende statunitensi del settore Internet, dato che hanno scelto l’Irlanda come sede europea.
Meta ha ricevuto finora multe per un totale di 2,5 miliardi di euro nell’UE per violazioni del Regolamento generale sulla protezione dei dati introdotto nel 2018, tra cui una multa record di 1,2 miliardi di euro nel 2023, per la quale Meta ha presentato ricorso.