InfoCert data breach: pubblicazione non autorizzata di dati personali

InfoCert data breach: il comunicato sul furto di dati

L’InfoCert data breach al quale ci stiamo riferendo è stato scoperto dalla società stessa lo scorso 27 dicembre 2024. In tale data, l’azienda si è accorta che numerosi dati erano stati rubati ed erano in vendita su un forum del dark web abbastanza noto. È stato dunque confermato un attacco hacker, che ha portato al furto di ben 5,5 milioni di record. I dati sensibili rubati appartenevano a vari soggetti censiti.

Per comprendere meglio la gravità della situazione, ricordiamo che InfoCert SpA rientra tra i gestori del Sistema Pubblico di Identità Digitale. Il sistema che tutti noi conosciamo con il suo acronimo SPID.

InfoCert SpA, infatti, è leader nella fornitura di certificati digitali e servizi di autenticazione per identità digitali SPID. Sebbene l’attacco hacker si sia palesato il 27 dicembre, comunque, non è noto quando i dati siano stati sottratti. Di conseguenza, non sappiamo da quanto tempo i dati sensibili sono in vendita sul dark web.

InfoCert, attacco hacker a un fornitore terzo

Nel comunicato del 27 dicembre, InfoCert ha anche sottolineato che il data breach ha riguardato la società solamente di riflesso. Questo perché il furto di dati è avvenuto ai danni di un fornitore terzo che aveva censito i clienti.
L’attacco hacker ha quindi coinvolti l’azienda non direttamente, e il danno riguarda strettamente il fornitore.
In questo modo, InfoCert SpA ha rassicurato gli utenti: l’InfoCert data breach non ha compromesso la sicurezza dei suoi clienti.

Le credenziali che riguardano i servizi gestiti dalla società, quindi, non sono a rischio. Il che, in sostanza, dovrebbe rassicurare coloro che, ogni giorno, utilizzano sistemi quali SPID, PEC, firme digitali e altri servizi InfoCert.

L’annuncio dell’attacco hacker su un forum di cybercrimes

Un altro dettaglio noto sull’InfoCert data breach è che sono stati gli stessi hacker a dare annuncio dell’avvenuto furto di dati.

L’annuncio della violazione è comparso su BreachForums, noto punto di scambio nel deep web per informazioni ottenute tramite cybercrimes.

Il cybercriminale ha offerto un campione di dati come prova della propria autenticità, specificando che il lotto completo include:

• 1,1 milioni di numeri di telefono
• 2,5 milioni di indirizzi email
• altri dati personali dettagliati.

L’annuncio contiene anche indicazioni sul prezzo di partenza per l’acquisto dei dati sensibili, pari a 1.500 dollari, ma con la possibilità di negoziazione.

I rischi dell’InfoCert data breach

Come abbiamo già anticipato, nel comunicato ufficiale relativo all’InfoCert data breach, è stata confermata la pubblicazione di dati sensibili.
InfoCert SpA ha però precisato che nessuna password o credenziale è stata compromessa e che l’integrità dei sistemi aziendali è rimasta intatta.

Questo, però, non significa che gli utenti interessati non corrano rischi. Il primo e più immediato pericolo per gli utenti riguarda la possibilità di essere vittime di phishing mirato.
I dati sensibili possono essere sfruttati per attacchi personalizzati, il che aumenta le probabilità di successo dei truffatori. Inoltre, le conseguenze dell’attacco hacker potrebbero anche riguardare eventuali furti di identità. Avendo a disposizione informazioni come codici fiscali e numeri di telefono, i criminali possono usarle per impersonare le vittime.

I dubbi sulla comunicazione di InfoCert SpA ai clienti

Nonostante le rassicurazioni, la comunicazione dell’InfoCert data breach desta comunque diverse preoccupazioni e interrogativi.
In effetti, uno degli aspetti più discussi di questo data breach riguarda la gestione della comunicazione ai clienti.

A inizio gennaio, molti utenti hanno lamentato la mancanza di avvisi diretti da parte di InfoCert SpA in merito alla violazione.
Eppure, secondo quanto previsto dall’Art. 34 del GDPR, la comunicazione diretta agli utenti è obbligatoria solo se il data breach comporta un rischio elevato per i diritti e le libertà delle persone fisiche. E, in casi di furto di dati come numeri di telefono e indirizzi email, le conseguenze possono includere furti di identità, phishing e frodi online.

InfoCert ha scelto di procedere con una comunicazione pubblica anziché diretta, e non è ancora chiaro il perché.

Spetterà al Garante per la Protezione dei Dati Personali stabilire se questa scelta sia stata conforme alle normative.

Le responsabilità nella gestione dei fornitori terzi

Un elemento da non sottovalutare in merito all’InfoCert data breach riguarda i rapporti tra la società e i suoi fornitori terzi.
In qualità di Qualified Trust Service Provider (QTSP), InfoCert SpA è soggetta al regolamento europeo eIDAS, che disciplina i servizi fiduciari qualificati.

Da ricordare, però, che il regolamento eIDAS non impone requisiti di sicurezza specifici per i fornitori terzi. Restano comunque valide le disposizioni generali del GDPR. Nel 2024, ad ogni modo, il regolamento eIDAS è stato aggiornato. L’aggiornamento prevede che i prestatori di servizi fiduciari debbano adottare politiche adeguate per la gestione dei rischi operativi. Anche eventuali rischi derivanti da terze parti sono inclusi.

Bisognerà quindi verificare se InfoCert SpA abbia rispettato o meno queste disposizioni. Andrà inoltre accertato se le informazioni sottratte fossero effettivamente isolate dai dati sensibili dei servizi certificati.

L’intervento del Garante per la Privacy

Nella questione relativa all’InfoCert data breach è coinvolto anche il Garante per la Privacy italiano.

Il Garante per la Protezione dei Dati Personali ha infatti dato avvio a una indagine preliminare. È stato richiesto a InfoCert SpA di chiarire i dettagli sui rapporti con il fornitore terzo coinvolto e sulle misure adottate per proteggere i dati personali.
L’istruttoria verificherà anche se la scelta di non comunicare direttamente agli utenti sia stata conforme o meno alle normative vigenti in materia.