L’azienda russa ha contratti con migliaia di enti pubblici italiani, per questo motivo il Garante ritiene necessario valutare i rischi relativi al trattamento dei dati personali degli utenti
Il Garante della privacy ha aperto un’istruttoria sull’antivirus russo Kaspersky, per valutare l’esistenza di rischi concreti relativi al trattamento dei dati personali dei clienti italiani.
L’azienda è da giorni nel mirino di alcune autorità europee per la cybersecurity, tra cui quelle di Italia, Germania e Francia perché, secondo alcuni esperti di sicurezza informatica, potrebbe esserci il rischio che il Cremlino possa usare programmi e prodotti tecnologici russi come veicoli per attacchi cibernetici contro enti pubblici o aziende occidentali.
L’iniziativa “si è resa necessaria in relazione agli eventi bellici in Ucraina – si legge nella comunicazione diffusa dal Garante – allo scopo di approfondire gli allarmi lanciati da numerosi enti europei e italiani specializzati in sicurezza informatica”.
L’Agenzia per la cybersicurezza nazionale (Acn) ha pubblicato una raccomandazione interna, riportata da Wired Italia, nella quale avverte di “considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione russa”.
La tedesca BSI ha rilasciato un comunicato pubblico nel quale consiglia di sostituire le applicazioni di Kaspersky con prodotti alternativi, mentre l’omologa agenzia francese ha sottolineato come l’uso di alcuni strumenti digitali e “in particolare gli strumenti della società Kaspersky” possono essere messi in discussione a causa del loro legame con la Russia.
In Italia l’antivirus di Kaspersky è largamente utilizzato dalla pubblica amministrazione italiana, dai ministeri ai piccoli comuni e ricorre nei contratti pubblici di circa 2.384 enti., come emerge dalla banca dati di Contrattipubblici.org.
Il Garante ha quindi chiesto a Kaspersky di fornire il numero e la tipologia dei clienti italiani, così come informazioni dettagliate sul trattamento dei dati personali degli utenti. La società dovrà anche chiarire se i dati raccolti siano stati poi trasferiti al di fuori dell’Unione europea, o resi accessibili a Paesi terzi. Infine, dovrà indicare quante richieste di acquisizione o comunicazione di queste informazioni ha ricevuto da governi stranieri, a partire dal primo gennaio 2022, distinguendole per Paese e specificando a quali autorità abbia concesso i dati.
di: Francesca LASI
FOTO: SHUTTERSTOCK
Ti potrebbe interessare anche: