La cyber security ha impatto sull’economia reale, sul sentiment del mercato e sulla reputazione delle organizzazioni vittime di attacchi. Il caso Poltronesofà si presta, per la sua attualità e per le azioni intraprese dall’azienda, a un’analisi che non si limita agli aspetti tecnici ma si allarga a quelli che riguardano il brand e la sua percezione.

Un approfondimento che vuole essere testimonianza (e monito) degli aspetti comunicativi che seguono un attacco informatico e che rientrano negli obblighi legali.

Ridurli a una mera questione di leggi, tuttavia, rischia di coincidere con il non avere afferrato la loro importanza in materia di sentiment e tutela del brand.

Prima di entrare nel vivo è utile ricostruire in breve l’accaduto e poi, con il supporto del Cybersecurity Research Lead di Cefriel Enrico Frumento, misurare l’effetto delle comunicazioni rilasciate da Poltronesofà.

L’attacco a Poltronesofà

Il 20 novembre scorso Poltronesofà ha reso noto di essere stata vittima di un attacco ransomware che ha interessato server fisici e virtuali il 27 ottobre, quindi circa tre settimane prima.

L’azienda ha fatto sapere che c’è stata anche una potenziale esfiltrazione dei dati personali dei clienti.

Al momento in cui scriviamo, sul sito web dell’azienda di arredamento non appaiono riferimenti all’accaduto ed è bene sottolineare che non c’è alcun obbligo legale in tale senso. Le organizzazioni vittime di attacco hanno doveri di notifica nei confronti delle autorità competenti e degli stakeholder i cui dati sono stati eventualmente violati.

Come scritto sopra, però, un conto sono gli obblighi di legge, altro paio di maniche la chiarezza e la trasparenza in favore di tutti e non soltanto dei clienti.

La reazione di Poltronesofà

Come evidenziato dal Corriere della Sera, dopo avere isolato i sistemi interessati dall’attacco e dopo aver attivato le procedure di incident response, Poltronesofà ha avviato collaborazioni con specialisti per le indagini di rito e il contenimento.

A margine, l’azienda ha inviato comunicazioni ai clienti, adeguandosi così a quanto imposto dall’articolo 34 del GPDR.

Fino a qui abbiamo due elementi sui quali occorre aprire una riflessione: le comunicazioni ai clienti seguono di tre settimane la data effettiva dell’incidente e il Corriere della Sera ne ha scritto non nelle pagine di tecnologia ma nella sezione Economia perché, al di là delle scelte redazionali e degli aspetti tecnologici, un attacco che colpisce un’organizzazione è una questione socio-economica.

Ricapitolando, ci sono cose che Poltronesofà ha fatto bene, ovvero:

• Comunicazione agli interessati: Poltronesofà ha inviato mail ai clienti, informandoli del rischio e del tipo di dati potenzialmente esposti è ciò assolve gli obblighi di notifica ai sensi del GDPR (articolo 34) quando sussiste rischio elevato.
• Contenimento: l’azienda afferma di avere isolato i sistemi, di avere fatto ricorso a degli specialisti per le indagini e le soluzioni che il caso impone, oltre ad avere comunicato l’accaduto alle autorità competenti.

Gli apparenti peccati di Poltronesofà

Prima di fare un elenco di ciò che Poltronesofà ha fatto in maniera perfettibile è doveroso sottolineare che abbiamo rivolto domande specifiche alle quali l’azienda non ha voluto rispondere appellandosi a specifiche politiche aziendali secondo le quali non vengono rilasciate interviste.

Procediamo quindi per gradi, unendo le informazioni di cui siamo in possesso.

• Trasparenza tecnica: le comunicazioni di Poltronesofà mancano di dettagli tecnici quali, per esempio, l’entità dei dati sottratti e la loro eventuale cifratura. Se è vero che verificare i danni cagionati dall’attacco può richiedere tempo, comunicare ai clienti che i rischi sono attenuati da politiche di encryption ha più a che fare con la customer care che con l’attacco informatico in sé.
• Repliche puntuali: alcune associazioni dei consumatori, tra le quali Il Salvagente, hanno criticato il fatto che Poltronesofà conserva dati per lunghi periodi di tempo, quindi al di là di una durata compatibile con interessi giustificabili.

Lo stile comunicativo (e i silenzi) scelti da Poltronesofà sono tema di analisi.

La cyber security come forma di customer care

Con il supporto di Enrico Frumento uniamo i puntini per capire come un’organizzazione vittima di un’incursione del cyber crimine può fare leva sulla comunicazione per attuare politiche di assistenza ai clienti: “Il caso Poltronesofà solleva una questione che va oltre questo specifico incidente: come si comunica un data breach senza perdere di vista le persone coinvolte. Me lo sono chiesto. Quello di Poltronesofà è un esempio di comunicazione tecnicamente corretta, ma umanamente insufficiente.

La nota inviata ai clienti rispetta tutti gli obblighi previsti dal GDPR: descrive l’incidente, elenca i dati compromessi, fornisce le informazioni prescritte dall’articolo 34 del Regolamento. Dal punto di vista della compliance, è ineccepibile.

Ma la comunicazione di una crisi cyber non può fermarsi alla compliance. Perché dietro quei “soggetti interessati” ci sono persone reali che ora dovranno convivere con l’ansia di ogni email sospetta, di ogni telefonata inattesa, di ogni tentativo di truffa costruito proprio sui loro dati personali. Uno dei modi per monetizzare i dati rubati dei clienti e proprio quello delle estorsioni di secondo livello ai proprietari dei dati contenuti nel data breach originale.

Il problema di questa comunicazione è tutto nel tono: burocratico, distante, notificatorio. Sembra scritta per proteggere l’azienda da contenziosi futuri, non per prendersi cura dei clienti nel presente“.

Conclusioni

“Per una ditta che ha costruito la propria immagine sulla vicinanza alle persone, sull’attenzione al cliente, mi sembra uno scivolone: di fronte a una crisi che tocca direttamente la vita dei suoi clienti, sceglie un linguaggio che suona come un obbligo adempiuto, non come un’assunzione di responsabilità o una condivisione di dispiacere”, sottolinea Enrico Frumento.

Un esempio di comunicazione efficace

Nessuno vuole impartire lezioni a Poltronesofà che, di certo, ha scelto questo stile comunicativo asettico con cognizione di causa.

A tale proposito, l’esperto ribadisce: “Non sto qui a dire cosa Poltronesofà abbia o non abbia fatto internamente. Non conosco le loro procedure, i loro piani di risposta, le misure concrete che stanno adottando. Quello che posso commentare è solo ciò che emerge da questa comunicazione.

Penso che la capacità di bilanciare gli obblighi normativi con l’empatia necessaria a gestire l’impatto umano dell’incidente sia in generale un elemento importantissimo”.

Enrico Frumento fornisce anche un caso in cui la comunicazione si è rilevata essere utile e vincente, proprio perché percepita trasparente dagli stakeholder.

Esiste un esempio che dimostra come si può gestire una crisi cyber senza sacrificare l’umanità della comunicazione: Norsk Hydro nel 2019.

Quando l’azienda norvegese subì un attacco ransomware devastante che paralizzò 22.000 computer in 40 paesi, e portò al fermo delle fonderie, la risposta fu l’opposto di quella burocratica: comunicazione trasparente in tempo reale, aggiornamenti costanti sui social media, conferenze stampa quotidiane, ammissione aperta delle difficoltà.

Il Ceo parlò di ‘crisi’ senza nascondersi dietro eufemismi tecnici. Il risultato fu che Norsk Hydro uscì dall’incidente con la reputazione rafforzata, citata come caso di studio positivo in tutto il mondo.