Un data breach sui dati carta non e solo un incidente tecnico: attiva obblighi di notifica sotto il GDPR, procedure di indagine forense sotto il PCI DSS e processi di gestione dei chargeback con l'acquirer. Il gdpr data breach notification deve avvenire entro 72 ore, mentre i pci dss data breach fines possono raggiungere cifre significative prima ancora che l'indagine sia conclusa. Questo articolo descrive la sequenza di eventi concreta dopo una violazione.
Cosa succede nelle prime 72 ore dopo un breach sui pagamenti
Le prime 72 ore dopo la scoperta di un breach sono le piu critiche. Sotto il GDPR, il titolare del trattamento deve notificare l'autorita di controllo (in Italia, il Garante per la Protezione dei Dati Personali) entro questo termine, salvo che il breach sia improbabile che comporti un rischio per i diritti e le liberta delle persone fisiche. Per i dati carta, questa condizione e raramente soddisfatta: il rischio di frode e concreto e immediato.
In parallelo, l'acquirer deve essere notificato seguendo le procedure PCI DSS. Il Requirement 12.10.1 dello standard richiede che ogni organizzazione abbia un piano di risposta agli incidenti documentato e testato. Se il piano non esiste o non e stato testato, la gestione del breach diventa caotica, i tempi di notifica si allungano e il rischio di sanzioni aggiuntive aumenta. In questa fase, molte organizzazioni coinvolgono anche i brand dei circuiti (Visa, Mastercard) che hanno propri obblighi di notifica da contratto.
Le notifiche obbligatorie: GDPR, PCI DSS e acquirer
Il sistema delle notifiche post-breach e stratificato su piu livelli. Il GDPR richiede la notifica al Garante entro 72 ore e, se il rischio per gli interessati e elevato, anche la comunicazione diretta agli individui coinvolti. Il PCI DSS richiede la notifica all'acquirer e ai brand dei circuiti, che avviano le proprie indagini forensi. L'acquirer, a sua volta, puo bloccare temporaneamente i pagamenti del merchant fino alla conclusione dell'indagine.
I circuiti come Visa e Mastercard hanno programmi specifici di gestione dei breach (VISA Account Information Security, MC Site Data Protection) che prevedono sanzioni autonome rispetto a quelle PCI. Le sanzioni dei circuiti sono spesso le piu immediate: possono partire da 5.000 euro al mese fino a centinaia di migliaia, e si sommano alle eventuali sanzioni del Garante (fino al 4% del fatturato globale annuo per le violazioni piu gravi sotto il GDPR).
I costi reali di un breach: forensic, chargeback e sanzioni
Il cost of pci data breach va ben oltre le sanzioni formali. L'indagine forense obbligatoria, condotta da un QSA o da un PFI (PCI Forensic Investigator) certificato, costa tipicamente tra 30.000 e 100.000 euro per un merchant di medie dimensioni, e il merchant e tenuto a pagarla anche quando l'indagine dimostra che il breach era limitato. A questi si aggiungono i costi di sostituzione delle carte compromesse (a carico del merchant nei casi piu gravi), i chargeback sulle transazioni fraudolente e i costi legali.
Sul fronte operativo, l'acquirer puo imporre un aumento del tasso di reserve (una percentuale delle transazioni trattenuta come garanzia) o, nei casi piu gravi, la revoca della possibilita di accettare carte. Il danno reputazionale e difficile da quantificare ma puo essere il costo piu elevato per le aziende B2C. Secondo le stime del Ponemon Institute, il costo medio di un breach che coinvolge dati di pagamento supera i 150 euro per record compromesso, inclusi i costi di risposta, notifica e perdita di clienti.
Domande frequenti
Entro quando devo notificare il Garante in caso di breach?
Il GDPR impone la notifica entro 72 ore dalla scoperta del breach, non dal momento in cui il breach e avvenuto. Se la scoperta avviene di venerdi sera, il termine scade il lunedi mattina. La notifica deve includere la natura del breach, le categorie di dati coinvolti, il numero approssimativo di interessati, le misure adottate e quelle previste per mitigare i danni.
Chi paga i costi forensi dopo un breach PCI?
I costi dell'indagine forense PCI sono a carico del merchant nel contratto standard con l'acquirer. Anche se il breach fosse causato da una vulnerabilita di un fornitore terzo, il merchant rimane responsabile primario verso l'acquirer. Esistono polizze assicurative cyber che coprono questi costi, ma richiedono che il merchant possa dimostrare un livello minimo di conformita PCI al momento del breach.
La tokenizzazione riduce l'impatto di un breach?
In modo significativo. Se i sistemi del merchant non conservano PAN ma solo token, un breach non espone dati carta utilizzabili per frodi. Il token non ha valore commerciale al di fuori del sistema che lo ha emesso. In questi casi, l'indagine forense puo concludere che non ci sono state compromissioni di dati carta, con un impatto drasticamente ridotto su sanzioni, chargeback e obblighi di sostituzione delle carte.
Con zero PAN nel tuo sistema, un breach non diventa un breach PCI. Scopri come la tokenizzazione riduce l'impatto a zero. Scopri PCI Proxy EU.