A dicembre 2021 l’IFPDT è venuto a conoscenza attraverso i media internazionali di un presunto trattamento illecito dei dati da parte di un dipendente della Mitto AG, una società con sede a Zugo. Dagli accertamenti condotti non sono emersi indizi di una violazione delle disposizioni sulla protezione dei dati. L’IFPDT chiude così la sua inchiesta preliminare senza formulare raccomandazioni.
Nel dicembre 2021 l’Incaricato federale della protezione dei dati e della trasparenza ha appreso dai media che in una pubblicazione del «Bureau of Investigative Journalism», un’organizzazione no-profit con sede a Londra, e Bloomberg News un dipendente della Mitto AG, società con sede a Zugo, veniva accusato di trattamento illecito dei dati. Sempre secondo tale pubblicazione il dipendente avrebbe abusato dell’accesso concesso dagli operatori di telefonia mobile alle loro reti per l’invio di SMS, allo scopo di ottenere informazioni per altri fini. Secondo il rapporto l’impiegato avrebbe usato l’accesso al sistema di segnalazione (SS7) per consentire a terzi, dietro remunerazione, di effettuare una sorveglianza non autorizzata di individui.
L’IFPDT ha quindi chiesto alla Mitto AG, in una procedura a tappe, una serie di informazioni circostanziate sulle misure di protezione tecniche e organizzative implementate dall’azienda. La Mitto AG ha dato seguito a tutte le richieste dell’IFPDT e ha commissionato le proprie inchieste esterne, mettendo poi i risultati a disposizione dell’IFPDT.
La Mitto AG ha documentato il quadro organizzativo del funzionamento del sistema e ha spiegato con quali misure è possibile prevenire o scoprire modifiche non autorizzate del software. Secondo la Mitto AG l’analisi dei dati di login non ha rivelato alcun indizio di abuso dei sistemi nel modo asserito dai media.
Secondo quanto affermato dalla Mitto AG – e confermato dagli operatori di telefonica mobile attivi in Svizzera invitati a esprimersi in merito – senza una modifica dei sistemi o del software i suoi dipendenti non possono accedere ai dati di localizzazione dei destinatari degli SMS.
L’IFPDT ha predisposto le verifiche necessarie e possibili con i mezzi a sua disposizione e non ravvisa indizi a conferma del sospetto di una violazione delle disposizioni sulla protezione dei dati.
Alla luce di quanto sopra, l’IFPDT chiude l’indagine preliminare su Mitto AG e rinuncia a qualsiasi raccomandazione.
https://www.edoeb.admin.ch/edoeb/it/home/kurzmeldungen/nsb_mm.msg-id-93802.html