Data breach InfoCert: il Garante della Privacy indaga

lentepubblica.it

A distanza di alcune settimane non si è ancora del tutto placata la vicenda del Data breach subito da InfoCert: adesso è il Garante della Privacy che vuole vederci chiaro.

Lo scorso 27 dicembre, un post pubblicato su BreachForums, un noto forum del deep web dedicato allo scambio illecito di informazioni sensibili, ha acceso i riflettori su una presunta violazione dei dati personali legata a InfoCert. L’hacker autore del messaggio ha dichiarato di aver sottratto oltre 5,5 milioni di dati appartenenti ai clienti della società, tra cui 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email.

Secondo quanto riportato nel post, i dati rubati includerebbero informazioni potenzialmente sfruttabili per attività fraudolente come il phishing, attraverso email ingannevoli, e il smishing, basato sull’invio di messaggi SMS truffaldini. La combinazione di questi dati con altre informazioni disponibili in rete potrebbe incrementare i rischi per la sicurezza digitale degli utenti, rendendoli vulnerabili a truffe sempre più sofisticate.

L’hacker ha inoltre sottolineato l’importanza strategica di InfoCert nel contesto digitale italiano, definendola un obiettivo significativo. L’incidente, a suo dire, evidenzierebbe le debolezze nei sistemi di sicurezza dei fornitori terzi con cui l’azienda collabora.

La replica di InfoCert: nessuna compromissione diretta dei propri sistemi

InfoCert, leader nei servizi fiduciari digitali, ha confermato l’accaduto tramite una comunicazione ufficiale pubblicata sul proprio sito web. Nel messaggio, l’azienda ha specificato che la violazione non ha interessato direttamente i suoi sistemi informatici, bensì quelli di un fornitore esterno.

Di seguito, uno stralcio della nota ufficiale:

“La pubblicazione non autorizzata dei dati personali è avvenuta a seguito di un’attività illecita che ha coinvolto un fornitore terzo. Desideriamo rassicurare che l’integrità dei sistemi di InfoCert non è stata compromessa. Inoltre, nessuna credenziale di accesso ai servizi o password è stata coinvolta nell’attacco. Stiamo collaborando con le autorità competenti per effettuare tutte le verifiche necessarie e fornire ulteriori dettagli appena possibile.”

Infocert ha inoltre fatto pervenire alla nostra redazione una nota di chiarimento che sostiene in maniera univoca e chiara che i dati degli utenti non sono stati compromessi.

Qui il testo completo della nota ricevuta su una delle nostre caselle redazionali.

Data breach InfoCert: il Garante della Privacy indaga

In risposta alla notifica di violazione trasmessa da InfoCert a fine dicembre, il Garante per la Protezione dei Dati Personali ha avviato un’indagine volta a fare piena luce sull’episodio. Con una comunicazione ufficiale inviata il 3 gennaio, l’Autorità ha chiesto alla società di fornire, entro un termine massimo di dieci giorni, una serie di informazioni dettagliate e documenti relativi alla gestione dei dati personali compromessi.

Tra le richieste principali, il Garante ha domandato:

• Gli accordi contrattuali con il fornitore esterno coinvolto: questi documenti saranno esaminati per verificare le clausole relative alla protezione dei dati personali e le responsabilità assegnate alle parti in materia di sicurezza informatica. Il Garante intende accertare se il contratto prevedeva obblighi sufficienti per prevenire violazioni di questa portata.
• Informazioni sui trattamenti di dati personali: InfoCert dovrà chiarire quali tipologie di informazioni personali sono state interessate dall’incidente e in che modo tali dati erano trattati o archiviati dal fornitore. Questo passaggio è cruciale per valutare se i processi aziendali siano stati adeguati alle normative vigenti, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR).

Focus sulle misure di sicurezza

Un aspetto centrale dell’indagine sarà la valutazione delle misure di sicurezza adottate, sia da InfoCert che dal suo fornitore. Il Garante esaminerà se le procedure messe in atto rispettavano gli standard di protezione richiesti dalla normativa europea, che impone alle aziende di adottare sistemi idonei a prevenire accessi non autorizzati, furti o diffusione illecita di dati personali.

In particolare, saranno analizzati i seguenti elementi:

• La gestione del rischio: InfoCert e il fornitore avevano predisposto un’adeguata analisi dei rischi per identificare eventuali vulnerabilità nei sistemi?
• La crittografia e l’anonimizzazione: erano state implementate tecniche per rendere i dati inutilizzabili in caso di accesso non autorizzato?
• Il monitoraggio continuo: il livello di sorveglianza sui sistemi informatici era sufficiente per rilevare tempestivamente eventuali intrusioni?

Implicazioni per il settore

L’esito dell’indagine potrebbe avere importanti conseguenze per l’intero comparto dei servizi digitali fiduciari. In caso di violazioni delle disposizioni del GDPR il Garante applica sanzioni amministrative che, per gravità e proporzione, possono arrivare fino al 4% del fatturato globale annuale.

L’analisi del rapporto tra soggetti e fornitori esterni potrebbe inoltre portare a una riflessione più ampia sull’importanza di una gestione rigorosa dei contratti con i partner tecnologici. In un contesto in cui i dati personali rappresentano una risorsa di valore, ma anche una potenziale vulnerabilità, il controllo sulle terze parti è diventato un elemento cruciale per garantire la sicurezza e il rispetto della normativa.

Infine, il caso potrebbe rappresentare un banco di prova per il rafforzamento delle politiche di prevenzione, spingendo le aziende a investire ulteriormente in sicurezza informatica e a sviluppare protocolli più severi nella scelta dei propri partner tecnologici.

The post Data breach InfoCert: il Garante della Privacy indaga appeared first on lentepubblica.it.