È stata la notizia “cyber” più rilevante in Italia negli ultimi giorni del 2024, ma interpretazioni superficiali e letture veloci hanno contribuito a far passare un’altra news. Ma data la sua importanza, visto l’elevato numero di clienti di InfoCert coinvolti, sono circa 5,5 milioni di persone, perché sul Dark Web sono in vendita altrettanti record a loro riconducibili – non password e non è stata violata l’integrità e la sicurezza dei servizi digitali dell’azienda, abbiamo chiesto informazioni a Claudio Sono, esperto di sicurezza informatica e cofondatore di Ransomfeed, il primo a rivelare il data breach e la vendita dei dati su un noto forum.
Cybersecurity Italia. Quali sono i dati esfiltrati? E come hanno fatto, tecnicamente, a bucare il fornitore?
La tipologia dei dati è quella che ho elencato nel mio tweet (sempre basandoci sul sample pubblicato): si tratta di dati personali come indirizzi email, numeri di telefono, in alcuni casi, nomi e cognomi e codici fiscali). Sempre dal sample pubblicato, si evince che i dati esfiltrati sono abbastanza recenti: ci sono date che fanno riferimento ad interventi di assistenza nel mese febbraio 2024.
L’origine del Data Breach, a guardare il contenuto del sample pubblicato sul Dark Web, sembra essere lo sfruttamento una vulnerabilità di un sistema di assistenza di ticketing online gestito da un fornitore terzo, come comunicato da InfoCert.
Cybersecurity Italia. Cosa rischiano gli utenti interessati?
Tutti i dati ormai hanno un valore; le conseguenze di queste tipologie di Data Breach sono note ed illegali, ovviamente: dall’utilizzo dei dati ai fini di attività di phishing fino alle truffe online e/o telefoniche.
Le cose da fare
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
InfoCert deve comunicare il Data Breach ai clienti?
Secondo la normativa, vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
English (US)