Perché le aziende inviano avvisi confusi sulle violazioni dei dati

Le notifiche che le aziende inviano ai consumatori in merito a violazioni dei dati mancano di chiarezza e potrebbero aggiungere confusione tra i clienti sul fatto che i loro dati siano a rischio, secondo una nuova ricerca.

Basandosi sulla loro precedente ricerca che ha mostrato che i consumatori spesso prendono poca iniziativa quando si trovano ad affrontare violazioni della sicurezza, i ricercatori hanno analizzato le notifiche di violazione dei dati inviate ai consumatori per vedere se le comunicazioni potrebbero essere responsabili di parte dell'inattività.

Hanno scoperto che la percentuale 97 delle notifiche campionate 161 era difficile o abbastanza difficile da leggere in base alle metriche di leggibilità e che il linguaggio utilizzato in esse potrebbe aver contribuito a confondere se il destinatario della comunicazione fosse a rischio e dovesse intervenire.

"Per la maggior parte delle aziende, tali notifiche sono viste come un requisito per il rispetto delle leggi sulla notifica di violazione dei dati ..."

"La nostra analisi dimostra che richiedere alle aziende di legge di inviare notifiche di violazione dei dati da solo non è sufficiente", afferma Yixin Zou, uno studente di dottorato presso l'Università del Michigan.


innerself iscriviti alla grafica


"È importante garantire che informazioni importanti come quello che è successo e che cosa dovrebbero fare i consumatori per proteggersi siano comunicate in tali notifiche in modo comprensibile e perseguibile dai consumatori".

Citando le statistiche di Privacy Rights Clearinghouse, gli autori osservano che in 2017 ci sono stati dati 853 violati che hanno compromesso i record 2.05 miliardi, che includevano nomi di consumatori, numeri di conto di contatto, dettagli della carta di credito, numeri di previdenza sociale, acquisti e record di acquisto, social media post e messaggi e record sanitari.

In risposta, la maggior parte dei paesi, inclusi gli Stati Uniti, ha adottato leggi sulla notifica di violazione dei dati. Negli Stati Uniti, ogni stato ha una propria legge sulla violazione dei dati, il che significa che la soglia per quando le aziende devono notificare i consumatori, quanto tempo dopo una violazione devono inviare notifiche e che cosa deve apparire in base agli Stati.

"C'è un piccolo incentivo per le aziende a investire nel rendere più utilizzabili le notifiche di violazione dei dati".

Ciò consente molta libertà alle aziende di utilizzare termini di copertura che minimizzano le frasi di rischio utilizzando "potresti essere interessato" e "potresti essere interessato" nella percentuale di 70 delle notifiche e dicendo "al momento non abbiamo prove dell'esposizione dati utilizzati in modo errato "40 per cento delle volte.

Permette anche una mancanza di coerenza nell'affrontare la causa della violazione, la data di accadimento e la quantità di tempo di esposizione, dicono i ricercatori.

"Non c'è un piccolo incentivo per le aziende a investire nel rendere le notifiche di violazione dei dati più utilizzabili", afferma Florian Schaub, un assistente professore alla School of Information.

"Per la maggior parte delle aziende, tali notifiche sono viste come un requisito per il rispetto delle leggi sulla notifica di violazione dei dati piuttosto che un modo per educare e proteggere i propri clienti. Dobbiamo ripensare e rielaborare leggi di tutela dei consumatori come queste per garantire che le notifiche delle aziende siano effettivamente utili per i consumatori ", afferma Schaub.

La maggior parte delle leggi statali obbliga le aziende a notificare i consumatori interessati in lettere scritte o per telefono. Le e-mail, gli annunci sul sito web, le comunicazioni ai media statali o altri metodi elettronici sono in genere sostituti. Lo studio mostra un modello coerente con 95 percentuale delle notifiche analizzate consegnate per posta. I ricercatori dicono che la bassa velocità di una lettera inviata potrebbe aumentare il tempo in cui i consumatori non sono stati informati della violazione.

I ricercatori hanno condiviso il loro lavoro alla conferenza CHI su Human Factors in Computing a Glasgow, in Scozia.

Fonte: University of Michigan

libri correlati

at InnerSelf Market e Amazon