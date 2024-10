Secondo quanto rilevato dal Garante Privacy, Postel Spa per quasi un anno non è intervenuta su una nota e segnalata vulnerabilità dei propri sistemi, che ha portato a una violazione dei dati personali

Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che – si legge nella nota del Garante – “per quasi un anno non è intervenuta su una nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali (data breach)”.

Data breach, la vicenda di Postel Spa

Secondo quanto spiegato dal Garante, nell’agosto del 2023 la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro. In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.

Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.

“Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi – spiega il Garante -. La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali, che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio”.

Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, “l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità”.

Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

