Il 27 dicembre 2024, InfoCert S.p.A., parte del gruppo Tinexta e noto provider italiano di servizi di identità digitale SPID, ha subito un grave data breach. Un attore malevolo ha pubblicato su un forum del deep web un annuncio per la vendita di informazioni relative a 5,5 milioni di utenti InfoCert. I dati esposti includono 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail, insieme a informazioni personali potenzialmente sensibili come nomi e cognomi. Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” si propone di rispondere proprio a queste sfide.
Indice
1. Dettagli dell’attacco
Secondo le informazioni disponibili, la violazione non ha compromesso i sistemi interni di InfoCert, ma ha coinvolto un fornitore terzo, responsabile di un sistema di gestione delle richieste di assistenza clienti. Il sistema vulnerabile era utilizzato per elaborare ticket di supporto, dove venivano registrate informazioni personali degli utenti. Un campione di dati esposto dall’attore malevolo sul forum conferma che il database conteneva:
- Nome e cognome degli utenti.
- Indirizzi e-mail.
- Numeri di telefono.
L’attacco ha sfruttato una vulnerabilità del sistema di ticketing, permettendo l’accesso non autorizzato e l’esfiltrazione di dati. Non sono emerse prove che includano password o credenziali SPID tra i dati compromessi, ma l’entità del campione esposto suggerisce una raccolta sistematica e organizzata.
L’attore che ha rivendicato l’attacco ha reso i dati disponibili per la vendita a un prezzo non dichiarato, presentandoli come “esclusivi” e pronti per un utilizzo fraudolento. La comunicazione ufficiale di InfoCert ha confermato la violazione e avviato le necessarie denunce presso le autorità competenti, incluse notifiche al Garante della Privacy. Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” si propone di rispondere proprio a queste sfide.
Ai Act
Quale impatto avrà l’intelligenza artificiale sulla nostra società e soprattutto sul diritto? Il testo esplora questa complessa intersezione, offrendo una guida dettagliata e completa.L’opera approfondisce l’evoluzione dell’AI, dalle sue umili origini nei primi sistemi esperti alle avanzate reti neurali e all’AI generativa di oggi.Analizza in modo critico il panorama normativo europeo, come il recente Regolamento n. 1689/2024, delineando il percorso legislativo e le regolamentazioni che cercano di gestire e governare questa tecnologia in rapida evoluzione.Gli autori affrontano temi fondamentali come l’etica dell’AI, la responsabilità legale, la sicurezza dei dati e la protezione della privacy.Il libro non si limita alla teoria: esplora anche le applicazioni pratiche dell’AI in vari settori, tra cui la giustizia, il settore finanziario, la pubblica amministrazione e la medicina.Attraverso casi di studio e analisi dettagliate, il libro mostra come l’AI stia trasformando questi ambiti e quali questioni giuridiche stiano emergendo.Inoltre, viene esaminato l’impatto dell’AI sul mondo del lavoro, evidenziando come l’automazione e le nuove tecnologie stiano cambiando le dinamiche lavorative e quali siano le implicazioni legali di queste trasformazioni.L’opera vuole essere una lettura essenziale per avvocati, giuristi, professionisti IT e tutti coloro che desiderano comprendere le complesse relazioni tra tecnologia e diritto, offrendo una visione completa e aggiornata, ricca di analisi critiche e riflessioni pratiche, per navigare nel futuro della tecnologia e del diritto con consapevolezza e competenza.Michele IaselliAvvocato, docente di Diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Feder-privacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del Comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).
Michele Iaselli | Maggioli Editore 2024
43.70 €
2. I rischi concreti per gli utenti
La compromissione di questi dati personali espone milioni di utenti a diverse tipologie di minacce informatiche:
- Phishing mirato: gli indirizzi e-mail e i numeri di telefono sono risorse preziose per orchestrare campagne di phishing altamente personalizzate, con messaggi che potrebbero simulare comunicazioni ufficiali di InfoCert.
- Furto d’identità: le informazioni esposte possono essere utilizzate per impersonare gli utenti, accedendo fraudolentemente a servizi online o finanziari.
- Ingegneria sociale: i criminali possono sfruttare questi dati per manipolare le vittime, raccogliendo ulteriori informazioni sensibili o ingannandole.
3. La responsabilità di InfoCert e dei fornitori terzi
Sebbene InfoCert abbia dichiarato che i propri sistemi non sono stati compromessi, il coinvolgimento di un fornitore terzo solleva questioni importanti relative alla responsabilità. Ai sensi del GDPR, il titolare del trattamento (InfoCert) è responsabile della selezione e del controllo dei responsabili del trattamento (fornitori terzi), garantendo che questi adottino misure tecniche e organizzative adeguate.
L’art. 28 del GDPR sottolinea l’obbligo di formalizzare accordi contrattuali che includano audit e verifiche periodiche. Questo caso evidenzia come una vulnerabilità in un sistema esterno possa tradursi in un danno reputazionale e potenzialmente economico per il titolare del trattamento, indipendentemente dalla sicurezza interna.
4. Azioni correttive e prevenzione
InfoCert ha notificato l’incidente al Garante per la Protezione dei Dati Personali e avviato indagini interne per determinare l’esatta portata del danno. Tuttavia, la tempestiva informazione agli utenti è cruciale per aiutarli a mitigare i rischi. È auspicabile che InfoCert fornisca:
- Linee guida su come riconoscere e prevenire tentativi di phishing.
- Strumenti per monitorare l’eventuale utilizzo improprio dei dati personali.
Potrebbero interessarti anche:
5. Riflessioni sul caso InfoCert
Il caso InfoCert evidenzia come la sicurezza dei dati personali non sia solo una questione tecnologica, ma un problema sistemico che richiede un approccio integrato e multilivello. La lezione principale che emerge è che la sicurezza di una catena è tanto forte quanto il suo anello più debole. Anche in presenza di sistemi interni robusti, una vulnerabilità in un fornitore terzo può aprire una breccia significativa, compromettendo la fiducia di milioni di utenti.
1. La sicurezza nella supply chain digitale
Sempre più spesso le aziende esternalizzano servizi critici, come la gestione delle richieste di supporto clienti, per motivi di efficienza operativa e contenimento dei costi. Tuttavia, questa scelta richiede una due diligence approfondita nella selezione dei fornitori. È essenziale che i titolari del trattamento impongano ai propri responsabili standard di sicurezza paragonabili ai propri, stipulando contratti che includano:
- Audit periodici: Verifiche regolari delle misure di sicurezza adottate dai fornitori.
- Clausole di responsabilità: Meccanismi che garantiscano un’adeguata copertura dei danni in caso di violazioni.
- Procedure di aggiornamento continuo: Adeguamenti costanti alle nuove minacce, che evolvono rapidamente nel panorama digitale.
2. La fiducia come risorsa intangibile
Le aziende che trattano dati personali operano su un terreno estremamente delicato: la fiducia degli utenti. La perdita o la compromissione di dati sensibili non solo rappresenta un danno economico diretto (possibili sanzioni del Garante ai sensi dell’art. 83 GDPR), ma provoca anche un danno reputazionale che può essere difficile, se non impossibile, da recuperare. La trasparenza nella gestione delle crisi è quindi fondamentale. In questo senso, InfoCert sarà valutata non solo per la velocità con cui ha risposto alla violazione, ma anche per la chiarezza e l’efficacia delle comunicazioni con gli utenti coinvolti.
3. L’importanza di un approccio proattivo alla sicurezza
Il caso InfoCert dimostra l’importanza di passare da un approccio reattivo a uno proattivo nella gestione della cybersecurity. Non basta intervenire dopo un attacco: occorre prevenire. Questo significa:
- Investire in tecnologie di monitoraggio avanzate per rilevare accessi anomali in tempo reale.
- Simulare scenari di violazione attraverso penetration test regolari.
- Formare costantemente i dipendenti e i fornitori su come riconoscere e gestire potenziali minacce.
4. Gli utenti come ultimo baluardo
Infine, il ruolo degli utenti non può essere sottovalutato. Eventi come questo richiamano l’attenzione sull’importanza di un’educazione digitale diffusa. Gli utenti devono essere consapevoli dei rischi legati al trattamento dei propri dati personali e adottare comportamenti prudenziali, come:
- Verificare sempre l’autenticità delle comunicazioni ricevute.
- Segnalare alle autorità competenti tentativi di phishing o frodi.
- Utilizzare strumenti come l’autenticazione a due fattori per proteggere i propri account.
In conclusione, il data breach di InfoCert è un esempio emblematico di quanto sia complessa la protezione dei dati personali nell’ecosistema digitale moderno. Nonostante le tecnologie avanzate e i quadri normativi rigorosi, il fattore umano, le partnership esterne e la mancanza di consapevolezza tra gli utenti continuano a rappresentare sfide critiche. Il futuro della sicurezza informatica non potrà prescindere da una visione olistica, che consideri la protezione dei dati come una responsabilità condivisa tra aziende, fornitori e cittadini.
Scrivi un commento
Accedi per poter inserire un commento