Il Garante per la protezione dei dati personali chiesto a Infocert, fornitore di servizi di certificazione, di spiegare cosa sia successo lo scorso 27 dicembre quando un data breach ha causato la sottrazione dei dati di oltre cinque milioni di utenti: più di un milione di numeri di telefono, ad esempio, due milioni e mezzo di indirizzi e-mail e altre informazioni sensibili.
“La violazione – si legge sul sito del Garante della privacy -, che ha riguardato i sistemi informatici di un fornitore esterno, potrebbe aver comportato la perdita di riservatezza dei dati personali di un numero molto elevato di interessati”.
COSA FA INFOCERT DEL GRUPPO TINEXTA
Infocert è una società di certificazione digitale del gruppo Tinexta e, tra le altre cose, uno dei maggiori gestori di SPID, il Sistema Pubblico di Identità Digitale. InfoCert ha diciannove sedi, è attiva soprattutto in Europa e in America latina e conta oltre cinquemila clienti aziendali. Nel 2023 ha riportato ricavi per 159 milioni di euro. Inoltre, l’azienda possiede quote rilevanti di molte delle principali aziende europee di certificazione e crittografia: detiene il 100 per cento di CertEurope (francese), il 51 per cento di Camerfirma (spagnola), il 16,7 per cento di Authada (tedesca) e il 65 per cento di Ascertia (britannica).
L’amministratore delegato è Danilo Cattaneo mentre a presidere il gruppo Tinexta, che possiede Infocert, c’è Enrico Salza, già presidente di Intesa Sanpaolo, l’amministratore delegato è Pier Andrea Chevallard che dal 2009 al 2021 ha guidato Tecno Holding e dal 2023 presiede Confcommercio Roma.
IL GARANTE PER LA PRIVACY HA DATO A INFOCERT 10 GIORNI DI TEMPO PER FORNIRE INFORMAZIONI
Il Garante ha inoltrato la sua richiesta lo scorso 3 gennaio e Infocert ha 10 giorni di tempo per “fornire all’Autorità copia degli atti che regolano i rapporti con il fornitore esterno e informazioni in merito ai trattamenti di dati personali coinvolti nella violazione”.
Lo scorso 27 dicembre l’azienda ha informato gli utenti (con una landing page, il Comunicato stampa non è attualmente presente in archivio) del furto di 5,5 milioni di dati venduti, poi, sul dark web. L’autore del furto è un utente anonimo che ha proposto la sua “refurtiva” su BreachForums, un forum frequentato da hacker di tutto il mondo, al prezzo di 1.400 euro, offrendo anche un piccolo campione come prova. Nell’illecito bottino ci sono finiti 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail.
LA COMPROMISSIONE DI UNA SOCIETÀ TERZA
Ma di chi è la responsabilità di questo data breach? Di una società terza, gli hacker “hanno colpito i sistemi del nostro fornitore che gestiva il sistema di ticketing, accedendo ad alcuni dati personali raccolti nello svolgimento dell’attività di Customer Care”, si legge un in una comunicazione agli utenti. Infocert assicura che le indagini interne che stanno svolgendo “non hanno rilevato alcuna compromissione dei servizi relativi a SPID, PEC e firma digitale, che restano pienamente sicuri e operativi”. I dati oggetto del furto sarebbero, infatti, quelli “abitualmente comunicati in sede di richiesta di supporto quali, ad esempio, dati identificativi, dati di contatto, dati fiscali e codici cliente”.
A QUALI RISCHI VANNO INCONTRO GLI UTENTI
All’indomani della notizia Repubblica scriveva che i dati rubati a InfoCert potrebbero essere utilizzati per degli attacchi mirati di phishing, ossia truffe nelle quali la vittima viene indotta con l’inganno a fornire informazioni sensibili come password e dati finanziari da soggetti malevoli che fingono di essere degli enti affidabili come una banca, un operatore telefonico o un corriere per il trasporto pacchi. Attacchi particolarmente pericolosi perché “basati su informazioni reali delle vittime”: gli utenti potrebbero ricevere dei messaggi o delle e-mail dove si fa riferimento all’uso dello Spid, per esempio. A questi pericoli Infocert aggiunge “tentativi di furti d’identità”, “comunicazioni o telefonate indesiderate o tentativi di truffe”.
I CONSIGLI DI INFOCERT PER TUTELARSI DALLE TRUFFE
Infocert dispensa, poi, alcuni consigli per “prevenire le potenziali conseguenze”. Prima di tutto “non rispondere a messaggi sospetti e, in particolar modo, a quelli che chiedono dettagli di pagamento o credenziali di accesso (come quelle bancarie o di accesso ai nostri servizi)”, poi “non cliccare su link e allegati, a meno che non si sia assolutamente certi della loro provenienza e prestare attenzione ai mittenti delle comunicazioni ricevute” e, infine, “Non fornire, neanche telefonicamente, codici di sicurezza (come, ad esempio, quelli richiesti per l’accesso alle proprie pagine personali)”. A questi consigli aggiunge il suggerimento di una buona pratica come “modificare comunque le proprie password, a titolo di cautela, ed ovviamente non comunicare mai a terzi via email, chat o telefono – neanche nel caso si dichiarino personale incaricato da InfoCert – la password o i codici temporanei di autenticazione generati o ricevuti sul proprio cellulare”.
