In data 18 marzo 2022, l’Autorità per la protezione dei dati personali ha comunicato, con una nota stampa, di aver aperto un procedimento istruttorio a carico della società russa Kaspersky, per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla suddetta società, che fornisce l’omonimo software antivirus.

L’iniziativa, secondo il Garante, è stata intrapresa d’ufficio dall’Autorità e “si è resa necessaria in relazione agli eventi bellici in Ucraina, allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani”.

L’istruttoria interviene, infatti, anche a seguito dell’azione dell’Agenzia per la Cybersicurezza Nazionale – CSIRT (Computer Security Incident Response Team – Italia), che con apposita Raccomandazione, sentito il c.d. Nucleo per la Cybersicurezza, ha recentemente precisato come sia “opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”, e che  “non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione”.

In particolare, Il Garante ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici. La società dovrà inoltre chiarire se, nel corso del trattamento, i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi.

Kaspersky Lab dovrà infine indicare il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di Paesi terzi, a partire dal 1° gennaio 2021, distinguendole per Paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo.