În cazul unui incident de furt de identitate, notificarea rapidă a părților implicate este nu doar o acțiune responsabilă, ci și o obligație legală în anumite contexte. Omiterea acestei notificări sau întârzierea ei poate agrava efectele negative ale incidentului, poate conduce la sancțiuni și poate afecta încrederea în persoana sau organizația vizată.
Notificarea începe cu identificarea exactă a părților care au fost sau pot fi afectate. În cazul unei persoane fizice, pot fi afectate conturile de e-mail, rețele sociale, platforme bancare, magazine online sau platforme de servicii. Pentru organizații, efectul se extinde asupra clienților, angajaților, partenerilor și furnizorilor.
Dacă incidentul implică date cu caracter personal, Legea nr. 190/2018 privind protecția datelor și Regulamentul General privind Protecția Datelor (GDPR) prevăd obligația notificării Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în maximum 72 de ore de la momentul în care operatorul a luat la cunoștință despre incident. Această notificare trebuie să includă:
🔹 natura breșei de securitate,
🔹 categoriile și volumele de date afectate,
🔹 posibilele consecințe ale incidentului,
🔹 măsurile luate sau propuse pentru atenuarea impactului,
🔹 datele de contact ale responsabilului cu protecția datelor.
În paralel, dacă riscul pentru persoanele vizate este considerat ridicat, trebuie făcute notificări directe către acești indivizi. Acestea trebuie redactate într-un limbaj clar și accesibil, fără a include detalii tehnice inutile, dar explicând care sunt riscurile, ce acțiuni recomandate există și cum pot primi suport. De exemplu: „Adresa dvs. de e-mail a fost compromisă într-un atac cibernetic. Vă recomandăm să schimbați imediat parola și să activați autentificarea în doi pași.”
🪙 Pentru conturile bancare sau financiare, notificarea instituției emitente este o prioritate. Băncile au proceduri clare de blocare, investigare și despăgubire, însă colaborarea este esențială. Este indicat ca orice cerere să fie formulată în scris și însoțită de documente (capturi de ecran, loguri, extrase). În unele cazuri, dacă se constată neglijență din partea utilizatorului (de exemplu, partajarea voluntară a codurilor de autentificare), instituțiile pot refuza restituirea fondurilor.
📱 Pentru conturile de social media sau platforme digitale, majoritatea oferă formulare de raportare pentru acces neautorizat, conturi false sau utilizare abuzivă a identității. Răspunsul poate dura între 24 de ore și câteva zile, iar în funcție de gravitatea situației, platforma poate suspenda contul, îl poate restaura sau poate solicita acte de identificare.
🏢 Un alt aspect important este notificarea internă în cazul organizațiilor. Dacă un angajat a fost victima unui atac de phishing care a dus la compromiterea contului de e-mail profesional, este esențial să fie informat departamentul IT și, unde este cazul, responsabilul cu securitatea informației. Se analizează dacă datele clienților sau ale partenerilor au fost expuse și dacă este nevoie de notificări externe.
🏛️ În unele domenii – financiar, sănătate, educație – legislația specifică impune măsuri suplimentare de notificare. De exemplu, dacă datele medicale ale unui pacient au fost accesate neautorizat, clinica trebuie să informeze pacientul și să raporteze incidentul la autoritățile competente. Neîndeplinirea acestor obligații atrage sancțiuni care pot ajunge la zeci sau sute de mii de lei.
În mediul profesional, comunicarea legată de un incident trebuie să fie transparentă, dar echilibrată. Nu se recomandă ascunderea informațiilor, dar nici formulări panicarde sau speculative. Tonul trebuie să fie informativ, asumat și orientat către soluții.
De asemenea, notificarea trebuie făcută inclusiv atunci când nu există certitudinea 100% a unei breșe, dar există indicii serioase și riscuri reale. O notificare preventivă poate evita daune ulterioare și demonstrează bună-credință.
Pentru victimele individuale care nu sunt în relație directă cu un operator de date, comunicarea cu autoritățile este la fel de importantă. O sesizare la poliție poate pune în mișcare o investigație mai amplă, mai ales dacă atacul a vizat și alte persoane. Plângerea trebuie să includă:
🔹 o descriere clară a ceea ce s-a întâmplat,
🔹 data și ora presupusului incident,
🔹 conturile afectate,
🔹 orice dovezi disponibile (print screen, e-mailuri, SMS-uri, notificări),
🔹 numele altor persoane implicate (dacă se cunosc).
Pentru documentare, se recomandă păstrarea unei arhive a tuturor comunicărilor realizate: notificări trimise, răspunsuri primite, referințe de caz, nume de agenți de suport sau referințe interne ale solicitărilor. Acestea pot fi utile într-o investigație ulterioară, într-un litigiu sau într-un audit intern.
Începerea procedurilor legale și administrative trebuie făcută cât mai devreme, iar toate notificările trebuie să respecte principiile transparenței, proporționalității și protejării informațiilor sensibile ale altor persoane.