I 9,7 milioni di vittime del gigantesco furto di dati personali di Desjardins nel 2019 dovranno restare in guardia fino alla fine dei loro giorni perché queste informazioni potrebbero essere rivendute “in qualsiasi momento”, avvertono gli esperti.
“Quando i dati vengono compromessi una volta, rimangono compromessi per sempre”, afferma in un’intervista lo specialista di sicurezza informatica Steve Waterhouse.
“I truffatori hanno soldi da guadagnare e non gliene frega niente dei tuoi desideri nella vita”, continua. Quindi rivenderanno le informazioni il più rapidamente possibile per monetizzare [les renseignements]ma se non funziona, ci riproveranno tra tre anni, tra cinque anni, in qualsiasi momento.
- Ascolta l’intervista a Denis Therriault, giornalista dello show JE al microfono di Alexandre Dubé via QUB :
Rischi permanenti
Ciò significa che tutti devono restare sempre in guardia, aggiunge un altro specialista, Paul Laurier, presidente della società specializzata in indagini informatiche Vigiteck.
“Tutte queste persone sono sempre esposte a tentativi di phishing e frodi”, sottolinea. “Purtroppo ciò significa spesso scontri senza fine con gli istituti finanziari e con la polizia, che non sempre accetta le denunce”.
Il signor Laurier ritiene inoltre che sia “certo” che i truffatori riusciranno a contrastare le protezioni messe in atto da Desjardins. “Il doppio ID per accedere è ottimo, ma finché i criminali possono controllare due ingressi, possono avere accesso a tutto. In teoria è difficile, ma in pratica si può fare”, afferma.
“Con 9 milioni di conti a disposizione qualcuno troverà una scappatoia, questo è certo”, conclude.
Segnato a vita
Senza contare che le vittime di furti d’identità spesso restano segnate per tutta la vita, come dimostra la storia di un pensionato di Terrebonne che vive ancora in uno stato di ipervigilanza anche cinque anni dopo il disastro (vedi altro testo).
Oltre alle conseguenze psicologiche, questo tipo di reato ha spesso ripercussioni molto concrete sulla vita quotidiana, rileva il condirettore generale dell’Unione dei consumatori, Maxime Dorais, ricordando che il furto d’identità può rovinare un rating creditizio distruggere le possibilità di una persona di ottenere finanziamenti e anche peggio.
“Il problema è che il punteggio di credito non viene utilizzato solo per scopi finanziari. Ci sono proprietari e datori di lavoro che chiedono di effettuare controlli sulla solvibilità prima di scegliere un inquilino o un dipendente, e i candidati che rifiutano sono spesso disapprovati”, lamenta.
“E correggere una pratica di credito non è affatto semplice, è davvero un percorso a ostacoli. Possono volerci diversi mesi e devi lavorare sodo. Causa danni economici e stress che nulla può compensare”, aggiunge Dorais.
Il 20 giugno segnerà il quinto anniversario dell’annuncio del massiccio furto di dati presso Desjardins da parte dell’attuale CEO, Guy Cormier. Questa fuga di informazioni personali, la più grande nella storia del Quebec, ha causato 9,7 milioni di vittime, oltre a scatenare una vasta operazione di polizia e a far vacillare la fiducia nell’istituto finanziario.
Una banconota da 318 milioni di dollari e teste che rotolano
La fuga di dati sarà costata a Desjardins oltre 300 milioni di dollari: almeno 108 milioni di dollari in costi interni oltre che per l’attuazione di misure di protezione destinate a membri e clienti, a cui va aggiunta la somma massima di 201 milioni di dollari per il risarcimento pagato alle vittime e 8,5 milioni di dollari pagati agli avvocati di class action. Desjardins ha dovuto inoltre rivedere attentamente le proprie misure di sicurezza, vietando in particolare l’uso delle chiavi USB sulle quali gli indagati avevano archiviato i dati rubati. Infine, due dirigenti senior, Denis Berthiaume e Chadi Habib, hanno lasciato la cooperativa alla fine del 2019 e sono ora impiegati presso iA Financial Group e WSP Global.
Sanzioni molto più salate
Se la fuga di dati si ripetesse oggi, Desjardins dovrebbe probabilmente pagare una pesante multa. La legge 25, adottata nel 2021 dall’Assemblea nazionale, ha stabilito a 25 milioni di dollari la multa massima pagabile a seguito di un incidente di riservatezza. La legge ha inoltre imposto alle imprese nuovi requisiti in materia di protezione dei dati personali. Infine, il disegno di legge 53, adottato nel 2020, consente agli abitanti del Quebec di chiedere ad agenzie di credito come Equifax e TransUnion di “congelare” la loro pratica per impedire che i conti delle carte di credito vengano aperti a loro insaputa.
Rischi permanenti, “protezione permanente”
Nelle settimane successive all’annuncio del disastro, Desjardins ha annunciato che i clienti colpiti avrebbero potuto beneficiare dei servizi di monitoraggio del credito della società Equifax per un periodo di cinque anni, prima di decidere pochi giorni dopo di offrire una “protezione permanente” a tutti i membri e clienti del Movimento. Pertanto, i beni che detengono e le transazioni finanziarie che effettuano sono protetti in caso di transazione non autorizzata. In caso di furto di identità, i membri hanno diritto a un rimborso massimo di 50.000 dollari per costi o spese nell’ambito di un processo per risolvere la situazione.
Compenso modesto
Dopo quasi cinque anni, le vittime della gigantesca fuga di informazioni personali hanno iniziato a essere risarcite da Desjardins negli ultimi mesi, a seguito di un accordo amichevole di 200 milioni di dollari concluso nel 2021 con due avvocati contabili che avevano intentato azioni collettive il giorno dopo l’annuncio del furto di dati. In base a questo accordo, le vittime del furto di identità riceveranno un pagamento di 935 dollari, mentre coloro che hanno perso tempo ad adottare misure a causa della fuga di notizie potranno ricevere un importo di 90 dollari. A differenza delle richieste di risarcimento del tempo perso, le richieste di furto di identità possono ancora essere presentate all’amministratore dell’azione collettiva Ricepoint fino al 20 ottobre 2025.
Lacune nei sistemi di difesa, secondo l’AMF
Lo schiaffo in faccia è stato duro, nel 2020, in un rapporto firmato AMF. Desjardins è stato accusato di aver ignorato “le molteplici constatazioni e raccomandazioni formulate dall’AMF e dai revisori dei conti”. Prima furto di dati. La cooperativa era “venuta meno ai suoi obblighi legali”. Giovedì l’AMF ha assicurato al Journal che le misure richieste dal gendarme nel dicembre 2020 sono state messe in atto. L’Autorità ha inoltre ricordato che non è suo compito gestire per loro conto gli istituti finanziari. Una società di esperti indipendenti approvata dall’AMF è responsabile del monitoraggio di Desjardins nell’attuazione delle migliori pratiche nel settore, giura l’AMF agli abitanti del Quebec.
Con la collaborazione di Sylvain Larocque e Julien McEvoy
Hai qualche informazione da condividere con noi su questa storia?
Scrivici a o chiamaci direttamente al 1 800-63SCOOP.
