Il Garante Privacy ha comminato una sanzione di 900mila euro a Postel Spa del gruppo Poste Italiane (offre servizi di gestione documentale e di comunicazione a supporto di aziende pubbliche e private), colpevole – si legge nella comunicazione dell’autorità presieduta da Pasquale Stanzione – di non essere intervenuta “per quasi un anno su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali“.
I FATTI E LE ACCUSE A POSTEL
Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità, sottolineano dagli uffici del Garante della Privacy – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
L’INDIFFERENZA DI POSTEL ALLE SEGNALAZIONI
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.
Postel – accusa il Garante – “è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio”.
LE SCARSE COMUNICAZIONI E LA MANCATA COLLABORAZIONE
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, “l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità”.
L’INGIUNZIONE DEL GARANTE
Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, “di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio”.
