Ogni azienda dovrebbe avere un programma ITAD (Information Technology Asset Disposal) come parte dei suoi processi e procedure di sicurezza delle informazioni. Infatti, ogni volta che viene acquistato un asset informatico, la sua eventuale dismissione dovrebbe essere già definita all’interno di un ITAD. Se l’azienda non ha un programma efficace i dati possono essere esposti e compromessi, mettendo l’azienda a rischio di sanzioni. E’ quanto è successo a Morgan Stanley Smith Barney (MSSB): il fallimento del suo programma ITAD ha costretto l’azienda a pagare 155 milioni di dollari in multe e sanzioni.

Il 20 settembre 2022 la Securities and Exchange Commission (SEC) ha raggiunto un accordo  in cui MSSB ha pagato una sanzione di 35 milioni di dollari per lo smaltimento improprio di dispositivi contenenti informazioni di identificazione personale (PII, Personally Identifiable Information) dei clienti.

Nell’ottobre 2020, l’Office of the Comptroller of Currency ha emesso una sentenza in cui MSSB accettava consensualmente di pagare una penale di 60 milioni di dollari. A ciò è seguita una class action e, nel gennaio 2022, MSSB ha accettato di pagare un importo uguale alle vittime del fallimento del suo programma ITAD e della conseguente esposizione dei dati.

Le conseguenze di un programma ITAD carente

All’interno del documento di transazione SEC/MSSB viene specificato che MSSB aveva un programma ITAD in atto, ma era carente in quanto “non era stato ben progettato” e “non aveva garantito la scelta di un fornitore qualificato per la disattivazione dei dati”. Uno dei casi documentati coinvolge la società di traslochi Triple Crown, che MSSB aveva identificato nella propria valutazione del rischio datata 2013 come “trasporto locale, deposito, traslochi su lunga distanza”.

Nell’istanza depositata in tribunale nel 2021, MSSB ha descritto una catena di appaltatori e subappaltatori che hanno causato l’esposizione dei dati, incolpando Triple Crown per la sua incapacità di rimuovere, cancellare e riciclare i dispositivi in ​​modo sicuro. Nonostante un accordo secondo cui Triple Crown avrebbe dovuto ottenere il consenso di MSSB prima di assumere un subappaltatore, la banca ha affermato che Triple Crown ha venduto i dispositivi alla società AnythingIT, dichiarando invece a MSSB che i dispositivi erano stati distrutti. Nemmeno AnythingIT ha distrutto i dispositivi e li ha a sua volta rivenduti a KruseCom.

Quando la dismissione di un bene diventa un inganno

Discutendo del fallimento del programma di smaltimento degli asset tecnologici di MSSB, Kyle Marks, esperto di procedure ITAD e CEO di Retire-IT, ha osservato che “il modo in cui Morgan Stanley ha gestito il suo ITAD non è insolito. La gestione di un programma ITAD ha un problema con gli incentivi. Tutti hanno un incentivo a nascondere i problemi nella disposizione delle risorse IT. Lo smaltimento è l’ultimo passo nel lunghissimo viaggio del ciclo di vita delle risorse IT“.

Marks ha sottolineato l’importanza di un solido programma ITAD come parte dell’approvvigionamento e del ciclo di vita di un dispositivo: “le discrepanze di inventario iniziano il giorno in cui viene distribuito il nuovo hardware e aumentano durante ogni fase di vita del dispositivo“.

Anziché monitorare le risorse e segnalare le perdite quando si verificano, le organizzazioni aspettano che le risorse vengano dismesse. Troppo spesso la gestione delle risorse IT utilizza l’ITAD per nascondere i problemi sotto il tappeto. Le società di riciclo di apparecchi elettronici sono complici consapevoli: i fornitori sono felici di acquistare il vecchio hardware. Non hanno incentivi a renderlo noto“.

Gurbir S. Grewal, direttore della divisione Enforcement della SEC, ha commentato in una dichiarazione pubblica: “Gli errori di MSSB in questo caso sono sorprendenti. I clienti affidano le loro informazioni personali a professionisti finanziari con la convinzione e l’aspettativa che saranno protette, e MSSB non è riuscita a farlo. Se non adeguatamente salvaguardate, le informazioni sensibili possono finire nelle mani sbagliate, con conseguenze disastrose per gli investitori. L’azione di oggi invia un chiaro messaggio alle istituzioni finanziarie, che devono prendere sul serio il loro obbligo di salvaguardare tali dati“.

La lezione per i CIO e i manager IT

È fondamentale che i responsabili della sicurezza IT definiscano un programma ITAD efficace. È obbligatorio, non facoltativo. E, una volta definito, deve anche essere seguito. È qui che MSSB ha fallito, mancando i controlli e gli equilibri adeguati per verificare che lo smaltimento delle apparecchiature IT venisse eseguito come previsto. Come con la maggior parte delle debacle, risolvere il problema a posteriori costa più che istituire con competenza il programma. Nel caso di MSSB non solo ha dovuto sostenere anni di spese legali, ma ha anche pagato 155 milioni di dollari di multe.

Avrebbe potuto trarre grandi benefici dal proverbio russo: “fidati, ma verifica“.

Christopher Burgess