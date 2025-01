Il 27 dicembre 2024, InfoCert S.p.A., parte del gruppo Tinexta e noto provider italiano di servizi di identità digitale SPID, ha subito un grave data breach. Un attore malevolo ha pubblicato su un forum del deep web un annuncio per la vendita di informazioni relative a 5,5 milioni di utenti InfoCert. I dati esposti includono 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail, insieme a informazioni personali potenzialmente sensibili come nomi e cognomi. Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” si propone di rispondere proprio a queste sfide.

L'attacco ha sfruttato una vulnerabilità del sistema di ticketing, permettendo l'accesso non autorizzato e l'esfiltrazione di dati. Non sono emerse prove che includano password o credenziali SPID tra i dati compromessi, ma l'entità del campione esposto suggerisce una raccolta sistematica e organizzata. L'attore che ha rivendicato l'attacco ha reso i dati disponibili per la vendita a un prezzo non dichiarato, presentandoli come "esclusivi" e pronti per un utilizzo fraudolento. La comunicazione ufficiale di InfoCert ha confermato la violazione e avviato le necessarie denunce presso le autorità competenti, incluse notifiche al Garante della Privacy.

Secondo le informazioni disponibili, la violazione non ha compromesso i sistemi interni di InfoCert, ma ha coinvolto un fornitore terzo, responsabile di un sistema di gestione delle richieste di assistenza clienti. Il sistema vulnerabile era utilizzato per elaborare ticket di supporto, dove venivano registrate informazioni personali degli utenti. Un campione di dati esposto dall’attore malevolo sul forum conferma che il database conteneva:

Sebbene InfoCert abbia dichiarato che i propri sistemi non sono stati compromessi, il coinvolgimento di un fornitore terzo solleva questioni importanti relative alla responsabilità. Ai sensi del GDPR, il titolare del trattamento (InfoCert) è responsabile della selezione e del controllo dei responsabili del trattamento (fornitori terzi), garantendo che questi adottino misure tecniche e organizzative adeguate. L’art. 28 del GDPR sottolinea l’obbligo di formalizzare accordi contrattuali che includano audit e verifiche periodiche. Questo caso evidenzia come una vulnerabilità in un sistema esterno possa tradursi in un danno reputazionale e potenzialmente economico per il titolare del trattamento, indipendentemente dalla sicurezza interna.

InfoCert ha notificato l’incidente al Garante per la Protezione dei Dati Personali e avviato indagini interne per determinare l’esatta portata del danno. Tuttavia, la tempestiva informazione agli utenti è cruciale per aiutarli a mitigare i rischi. È auspicabile che InfoCert fornisca:

5. Riflessioni sul caso InfoCert



Il caso InfoCert evidenzia come la sicurezza dei dati personali non sia solo una questione tecnologica, ma un problema sistemico che richiede un approccio integrato e multilivello. La lezione principale che emerge è che la sicurezza di una catena è tanto forte quanto il suo anello più debole. Anche in presenza di sistemi interni robusti, una vulnerabilità in un fornitore terzo può aprire una breccia significativa, compromettendo la fiducia di milioni di utenti.



1. La sicurezza nella supply chain digitale

Sempre più spesso le aziende esternalizzano servizi critici, come la gestione delle richieste di supporto clienti, per motivi di efficienza operativa e contenimento dei costi. Tuttavia, questa scelta richiede una due diligence approfondita nella selezione dei fornitori. È essenziale che i titolari del trattamento impongano ai propri responsabili standard di sicurezza paragonabili ai propri, stipulando contratti che includano:

Audit periodici: Verifiche regolari delle misure di sicurezza adottate dai fornitori.

Verifiche regolari delle misure di sicurezza adottate dai fornitori. Clausole di responsabilità: Meccanismi che garantiscano un’adeguata copertura dei danni in caso di violazioni.

Meccanismi che garantiscano un’adeguata copertura dei danni in caso di violazioni. Procedure di aggiornamento continuo: Adeguamenti costanti alle nuove minacce, che evolvono rapidamente nel panorama digitale.

2. La fiducia come risorsa intangibile

Le aziende che trattano dati personali operano su un terreno estremamente delicato: la fiducia degli utenti. La perdita o la compromissione di dati sensibili non solo rappresenta un danno economico diretto (possibili sanzioni del Garante ai sensi dell’art. 83 GDPR), ma provoca anche un danno reputazionale che può essere difficile, se non impossibile, da recuperare. La trasparenza nella gestione delle crisi è quindi fondamentale. In questo senso, InfoCert sarà valutata non solo per la velocità con cui ha risposto alla violazione, ma anche per la chiarezza e l’efficacia delle comunicazioni con gli utenti coinvolti.



3. L’importanza di un approccio proattivo alla sicurezza

Il caso InfoCert dimostra l’importanza di passare da un approccio reattivo a uno proattivo nella gestione della cybersecurity. Non basta intervenire dopo un attacco: occorre prevenire. Questo significa:

Investire in tecnologie di monitoraggio avanzate per rilevare accessi anomali in tempo reale.

Simulare scenari di violazione attraverso penetration test regolari.

Formare costantemente i dipendenti e i fornitori su come riconoscere e gestire potenziali minacce.

4. Gli utenti come ultimo baluardo

Infine, il ruolo degli utenti non può essere sottovalutato. Eventi come questo richiamano l’attenzione sull’importanza di un’educazione digitale diffusa. Gli utenti devono essere consapevoli dei rischi legati al trattamento dei propri dati personali e adottare comportamenti prudenziali, come:

Verificare sempre l’autenticità delle comunicazioni ricevute.

Segnalare alle autorità competenti tentativi di phishing o frodi.

Utilizzare strumenti come l’autenticazione a due fattori per proteggere i propri account.

In conclusione, il data breach di InfoCert è un esempio emblematico di quanto sia complessa la protezione dei dati personali nell’ecosistema digitale moderno. Nonostante le tecnologie avanzate e i quadri normativi rigorosi, il fattore umano, le partnership esterne e la mancanza di consapevolezza tra gli utenti continuano a rappresentare sfide critiche. Il futuro della sicurezza informatica non potrà prescindere da una visione olistica, che consideri la protezione dei dati come una responsabilità condivisa tra aziende, fornitori e cittadini.