Meta è stata multata per 91 milioni di euro dall'autorità irlandese per la protezione dei dati dopo la scoperta che fino a 600 milioni di password di utenti Facebook e Instagram erano state archiviate in chiaro sui server dell'azienda. La violazione, emersa nel 2019, risalirebbe al 2012 e ha reso le password accessibili a oltre 20.000 dipendenti di Meta.
La gravità della violazione risiede non solo nella mancata protezione delle password, ma anche nel ritardo con cui Meta ha segnalato l'incidente alle autorità competenti. L'Irish Data Protection Commission (DPC) ha rilevato diverse violazioni del GDPR, il regolamento europeo sulla protezione dei dati personali.
Nello specifico, Meta non ha adottato misure tecniche adeguate per garantire la sicurezza delle password degli utenti contro trattamenti non autorizzati. Inoltre, l'azienda non ha notificato tempestivamente la violazione al DPC e non ha documentato correttamente l'incidente come richiesto dalla normativa.
L'accesso non autorizzato a milioni di account Facebook e Instagram avrebbe potuto consentire il furto di informazioni personali e la violazione della privacy di numerosi utenti. In particolare per Facebook, sarebbero stati a rischio anche post e contenuti condivisi con un pubblico ristretto di amici fidati.
Reazioni e conseguenze
La multa di 91 milioni di euro, pari a circa 101 milioni di dollari, è stata giudicata da alcuni osservatori come relativamente contenuta rispetto alla gravità e alla durata della violazione. Il GDPR consente infatti sanzioni fino al 4% del fatturato globale di un'azienda.
Secondo alcuni analisti, solo multe in grado di "far perdere il sonno ai dirigenti senior" potranno spingere le grandi aziende tecnologiche a prendere sul serio la protezione della privacy degli utenti. L'auspicio è che questo caso possa servire da monito per l'intero settore, stimolando l'adozione di misure di sicurezza più rigorose nella gestione dei dati sensibili degli utenti.