Il III° Comunicato InfoCert S.p.A, relativo al Data breach conseguente ad un attacco informatico subito dalla Società, è stato pubblicato 07/01/2025 sul sito di InfoCert (https://www.infocert.it/), alla pagina “Leggi i comunicati”, raggiungibile dal link:

https://www.infocert.it/comunicazioni/comunicazione-agli-utenti.html?infocert_id=2258&infocert_campaign=POPUP-COMUNICAZIONE-_-IT

Nella medesima data è stato pubblicato anche il Comunicato del Garante privacy in merito alle informazioni richieste alla Società.

Si legge nel Comunicato del Garante che “il Garante ha inviato, il 3 gennaio, a InfoCert spa una richiesta di informazioni a seguito della notifica di data breach effettuata dalla società alla fine di dicembre.

La violazione, che ha riguardato i sistemi informatici di un fornitore esterno, potrebbe aver comportato la perdita di riservatezza dei dati personali di un numero molto elevato di interessati. Entro 10 giorni, InfoCert dovrà fornire all’Autorità copia degli atti che regolano i rapporti con il fornitore esterno e informazioni in merito ai trattamenti di dati personali coinvolti nella violazione”.

Ciò premesso, la vicenda può essere ricostruita come risultante dalle sotto riportate Comunicazioni, che InfoCert S.p.A ha effettuato ai Clienti, nella veste di interessati al trattamento dei dati personali, ai sensi dell’articolo 34 del GDPR.

28/12/2024 - I° COMUNICAZIONE INFOCERT S.P.A

In data 27 dicembre 2024, in occasione delle continue attività di monitoraggio dei sistemi informatici, la Società ha rilevato la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.
La Società ha comunicato:

- che tale pubblicazione è il frutto di un'attività illecita in danno di tale fornitore, che non ha però compromesso l'integrità dei sistemi di InfoCert;
- che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti;

- che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco;

- che sarà cura della Società medesima fornire ulteriori approfondimenti non appena possibile.

30/12/2024 - II° COMUNICAZIONE INFOCERT S.P.A

La Società ha comunicato che:

- SPID, Firma Digitale e PEC InfoCert non sono compromessi e conferma che l’integrità e la sicurezza dei servizi InfoCert, in particolare SPID, PEC e Firma Digitale, restano pienamente garantite.

Ha ribadito:

- che l’illecita sottrazione di dati ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal Customer Care di InfoCert S.p.A.;

- che i dati coinvolti sono, ad oggi, limitati alle informazioni connesse alla gestione delle richieste di assistenza clienti avanzate tramite il sistema di ticketing;

- che le azioni intraprese, in collaborazione con il fornitore, sono:

• adozione di tutte le misure tecniche per verificare e contenere l’evento;
• predisposizione di una serie di analisi tecniche approfondite per esaminare l’accaduto;
• avvio della notifica al Garante Privacy, nel pieno rispetto delle normative e delle procedure aziendali;
• tutela degli interessi della Clientela e di InfoCert nelle sedi più opportune.

- che l’impegno della Società si sostanzia nel monitoraggio costante e nel porre la massima attenzione alla situazione e nella tutela dei Clienti con assoluta tempestività.

- che eventuali aggiornamenti saranno prontamente comunicati.

07/01/2025 - III° COMUNICAZIONE INFOCERT S.P.A

La Società ha comunicato, ai sensi dell’articolo 34 del GDPR, che:

- “come riportato anche da alcune notizie stampa, siamo stati vittime di un attacco informatico, in cui gli attaccanti hanno colpito i sistemi del nostro fornitore che gestiva il sistema di ticketing, accedendo ad alcuni dati personali raccolti nello svolgimento dell’attività di Customer Care. In un’ottica di massima trasparenza e conoscibilità di tale comunicazione, di seguito pubblichiamo le informazioni e le raccomandazioni per proteggersi da possibili conseguenze”.

Quanto alla sicurezza dei servizi, la Comunicazione in esame dà atto delle indagini che la Società sta svolgendo.

Tali indagini hanno escluso, allo stato, la compromissione dei servizi relativi a SPID, PEC e firma digitale e hanno consentito di affermare che tali servizi restano integralmente sicuri e operativi.

L'esito delle indagini e delle analisi ha rivelato, per contro, che sono i dati identificativi, i dati di contatto, i dati fiscali e i codici cliente le tipologie di dati personali oggetto dell’esfiltrazione in quanto queste sono le tipologie abitualmente comunicate in sede di richiesta di supporto.

Quanto alle possibili conseguenze della violazione, la comunicazione dà atto che potrebbero consistere in:

• tentativi di furti d’identità;
• phishing (vale a dire invio di email con link o allegati da aprire o con richiesta di comunicare dati personali);
• comunicazioni o telefonate indesiderate;
• tentativi di truffe.

Quanto alle misure di protezione da mettere in campo per prevenire il rischio di dette potenziali conseguenze, la Società ha invitato i Clienti a seguire le raccomandazioni sotto trascritte:

1. non rispondere a messaggi sospetti e, in particolar modo, a quelli che chiedono dettagli di pagamento o credenziali di accesso (come quelle bancarie o di accesso ai nostri servizi);
2. non cliccare su link e allegati, a meno che non si sia assolutamente certi della loro provenienza e prestare attenzione ai mittenti delle comunicazioni ricevute;
3. non fornire, neanche telefonicamente, codici di sicurezza (come, ad esempio, quelli richiesti per l’accesso alle proprie pagine personali).

La Società ha, inoltre, colto l’occasione per ricordare che “le migliori pratiche in tema di sicurezza raccomandano di modificare comunque le proprie password, a titolo di cautela, ed ovviamente non comunicare mai a terzi via email, chat o telefono – neanche nel caso si dichiarino personale incaricato da InfoCert - la password o i codici temporanei di autenticazione generati o ricevuti sul proprio cellulare”.

Quanto alle misure adottate da InfoCert, si tratta di tutte le misure possibili per scongiurare le conseguenze negative dell’attacco verso i Clienti, anche mediante l’interessamento delle Autorità competenti, fermo restando che InfoCert si è immediatamente attivata, non appena rilevata la violazione, per effettuare l’analisi dell’incidente di sicurezza.

Infine la Società si è impegnata ad aggiornare il sito internet, nella pagina dedicata, al fine di fornire costanti aggiornamenti sull’evento occorso.