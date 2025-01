Il Garante per la protezione dei dati personali ha inviato il 3 gennaio a InfoCert una richiesta di informazioni a seguito della notifica di data breach, effettuata dalla società alla fine di dicembre.

“La violazione, che ha riguardato i sistemi informatici di un fornitore esterno, potrebbe aver comportato la perdita di riservatezza dei dati personali di un numero molto elevato di interessati – spiega il Garante Privacy – Entro 10 giorni, InfoCert dovrà fornire all’Autorità copia degli atti che regolano i rapporti con il fornitore esterno e informazioni in merito ai trattamenti di dati personali coinvolti nella violazione”.

Data breach InfoCert, cosa è successo

Il caso è enorme e si è verificato alla fine di dicembre. Sarebbero esposti 5 milioni e mezzo di dati fra numeri di telefono ed email messi in vendita sul dark web.

Come racconta Dday.it, il 27 dicembre 2024 un utente “ha pubblicato su un forum del dark web un annuncio di vendita di 5,5 milioni di record di dati appartenenti a InfoCert, proponendo un prezzo di 1.500 dollari per ciascuna transazione”.

InfoCert ha diramato una nota nella quale nella quale avvisava che “in data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert”. Secondo InfoCert “nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco”.

Successivamente, il 30 dicembre, InfoCert spiegava che Spid, Firma digitale e Pec non risultavano compromessi. “Confermando che l’integrità e la sicurezza dei servizi InfoCert, in particolare SPID, PEC e Firma Digitale, restano pienamente garantite, ribadiamo che l’illecita sottrazione di dati ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care. I dati coinvolti sono, ad oggi, limitati alle informazioni connesse alla gestione delle richieste di assistenza clienti avanzate tramite il sistema di ticketing”.

Un aggiornamento nella comunicazione pubblica c’è infine al 7 gennaio, come “comunicazione ai sensi dell’articolo 34 del GDPR”, In questa InfoCert spiega che “siamo stati vittime di un attacco informatico, in cui gli attaccanti hanno colpito i sistemi del nostro fornitore che gestiva il sistema di ticketing, accedendo ad alcuni dati personali raccolti nello svolgimento dell’attività di Customer Care”.

“Le indagini che stiamo svolgendo, allo stato, non hanno rilevato alcuna compromissione dei servizi relativi a SPID, PEC e firma digitale, che restano pienamente sicuri e operativi. Sulla base delle analisi svolte fino ad ora le tipologie di dati personali oggetto dell’esfiltrazione potrebbero consistere nei dati abitualmente comunicati in sede di richiesta di supporto quali, ad esempio, dati identificativi, dati di contatto, dati fiscali e codici cliente”.

Le possibili conseguenze della violazione potrebbero essere, ricorda però InfoCert, “tentativi di furti d’identità o di phishing (ossia email che invitano ad aprire link o allegati o fornire dati personali), comunicazioni o telefonate indesiderate o tentativi di truffe”.

