Prodotti e Servizi PRODOTTI & SERVIZI

Sospetto estorsione in psicoterapia: emesso un mandato di cattura

Immagina di aver parlato con uno psicoterapeuta in quella che pensavi fosse totale sicurezza, mentre il contenuto delle tue sessioni era stato salvato per i posteri, insieme a precisi dettagli di identificazione personale come il tuo numero di carta d’identità e magari includendo informazioni aggiuntive come appunti sul tuo rapporto con la tua famiglia…

…e poi, come se non bastasse, immagina che le parole che non ti saresti mai aspettato fossero state digitate e salvate, addirittura a tempo indeterminato, fossero state rese accessibili su Internet, presumibilmente “protette” da poco più di una password predefinita che consente a chiunque di accedere al tutto.

Ora immagina, qualche tempo dopo (secondo alcuni rapporti, la società che gestisce la clinica ha subito violazioni dei dati nel 2018 e nel 2019, ma il palese atto criminale che circonda i dati rubati non è iniziato fino al 2020), che i tuoi segreti più profondi e quelli di decine di migliaia di altri pazienti fidati, siano stati utilizzati in un tentativo di ricatto contro l’azienda.

E poi, visto che l’azienda stessa non ha pagato (e comunque a che cosa sarebbe servito, dato che i dati erano già in circolazione?), immagina di aver ricevuto tu stesso una richiesta di riscatto, che ti chiedeva di pagare 200 euro per “cancellare” la pubblicazione di quei discorsi ormai non più così privati, nei quali ti eri sfogato con un terapeuta che presumevi avrebbe tenuto segreto il tutto.

Ricorda che i dati rubati includevano cose che avevi detto sulla tua famiglia e su altre persone a te vicine…

…e poi immagina, come ha scritto la rivista Wired nel 2021 sul caso di un giovane che nel frattempo era diventato adulto, se l’estorsore avesse contattato anche altre persone le cui informazioni personali apparivano nella tua cartella, minacciando anche loro con la richiesta di denaro.

È così che la saga sulla violazione dei dati si è apparentemente svolta nel caso di un famoso fornitore di assistenza sanitaria finlandese, ora in bancarotta, chiamato Psychotherapy Center Vastaamo.

Migliaia di denunce presentate

Fortunatamente, se questa è la parola giusta, migliaia di vittime hanno presentato denunce alla polizia, dando alle autorità finlandesi un chiaro mandato per perseguire non solo i criminali coinvolti nell’estorsione, ma anche i dirigenti dell’azienda che hanno reso possibile una così grave violazione dei dati.

All’inizio di ottobre 2022, l’Helsinki Times ha riferito che l’ex CEO del Psychotherapy Center Vastaamo, Ville Tapio, sarà accusato di quello che ha descritto come un “reato di protezione dei dati [relativo a] vulnerabilità della sicurezza delle informazioni che ha provocato una fuga di informazioni sensibili su migliaia di pazienti”.

In un interessante parallelo con il recente procedimento penale statunitense contro Joe Sullivan, ex CSO di Uber, Ville Tapio sembra essere nei guai non solo per aver lasciato la porta aperta ai criminali, ma anche per non aver denunciato la violazione se non molto tempo dopo, quando non poteva più essere nascosto.

Sullivan è stato recentemente condannato in un tribunale federale degli Stati Uniti per ciò che è ancora noto nella giurisprudenza americana con la parola anglo-normanna misprision, o insabbiamento di un crimine.

Secondo il tribunale, Sullivan ha pagato gli autori di una violazione che ha coinvolto più di 50.000.000 di record di clienti e conducenti scrivendo la richiesta di ricatto da parte dei criminali come se fosse una segnalazione ufficiale di bug bounty e facendo sembrare la ricompensa ineccepibile per una ” divulgazione responsabile”.

Ville Tapio, come Sullivan, sembra aver deciso che avrebbe potuto farla franca nascondendo la violazione alle autorità fino a quando non poteva più essere negata finché le richieste di estorsione non l’hanno tradita.

Secondo l’Helisinki Times, Tapio rischia fino a un anno di prigione se condannato.

Sospetto ricattatore in lista per l’arresto

Ma c’è di più, lo stesso presunto ricattatore è ora sotto i riflettori delle forze dell’ordine europee a seguito di un mandato d’arresto emesso in Finlandia.

Venerdì scorso l’Ufficio nazionale di indagine finlandese ha annunciato:

[Abbiamo] incarcerato una persona in contumacia per probabile causa di effrazione aggravata di computer, tentata estorsione aggravata e diffusione aggravata di informazioni che violano la privacy personale [in connessione con l’incidente del Psychotherapy Center Vastaamo].

La polizia ha accertato che l’indagato risiede attualmente all’estero. Per questo motivo è stato rinviato in contumacia. Contro il sospettato è stato emesso un mandato d’arresto europeo, per il quale può essere arrestato all’estero. Dopo di che la polizia chiederà la sua estradizione in Finlandia. Un avviso dell’Interpol sarà emesso anche nei confronti dell’indagato, che è un cittadino finlandese di circa 25 anni di età.

Non ci è stato detto il suo nome, o dove si pensa che attualmente si nasconda, ma terremo d’occhio questo caso, così come il caso dell’amministratore delegato che si presume non abbia fatto abbastanza per fermare il violazione iniziale e abbia nascosto il tutto fino a quando non è stato rivelato dalle decine di migliaia di vittime che sono state ricattate.

Cosa fare?

  • Prova a vedere cosa faresti se subissi tu stesso una violazione. Scopri quali sono i tuoi obblighi di segnalazione e metti in pratica ciò che diresti alle persone interessate dalla violazione. Come suggerisce questo caso, una tempestiva divulgazione avrebbe almeno impedito a decine di migliaia di persone vulnerabili di venire a conoscenza della violazione da richieste di estorsione rivolte direttamente a loro e alle loro famiglie.
  • Considera l’idea di presentare una denuncia personale se sei coinvolto in una violazione. Questo aiuta le autorità di regolamentazione e le forze dell’ordine a raccogliere prove; aiuta a determinare un livello di risposta adeguato (se nessuno dice nulla, è difficile convincere un tribunale che si è subito un danno reale); e aiuta le autorità a richiedere in futuro standard di sicurezza informatica più elevati.

A proposito, le autorità finlandesi sperano ancora di convincere circa 10.000 persone colpite che non hanno ancora presentato denuncia nel caso Vastaamo a farlo…

…quindi, se sei stato coinvolto in questo crimine e sei disposto a farti avanti, puoi saperne di più su cosa fare collegandoti al sito della Polizia finlandese. (Suomi [finlandese] – Svenska [svedese] – inglese)