Sommario
Il recente attacco informatico che ha colpito InfoCert, uno dei principali fornitori italiani di identità digitale SPID, ha esposto circa 5,5 milioni di registrazioni di dati personali su un noto forum online dove vengono pubblicate offerte di leaks. Tra queste informazioni figurano nomi, numeri di telefono e indirizzi email. L’incidente, rivendicato da un utente anonimo noto come “PieWithNothing”, solleva interrogativi importanti sulla sicurezza dei sistemi di identità digitale e sulla protezione dei dati sensibili.
L’attacco e i dati sottratti
L’attacco, rilevato il 27 dicembre, ha sfruttato una vulnerabilità nei sistemi di un fornitore terzo che collabora con InfoCert. I dati rubati sono stati messi in vendita su un forum, noto per la compravendita di informazioni sottratte ad aziende e governi, al prezzo di circa 1.500 dollari. Tra le informazioni sottratte:
- 1,1 milioni di numeri di telefono
- 2,5 milioni di indirizzi email
- Registrazioni personali di milioni di utenti.
InfoCert ha dichiarato che, nonostante la gravità dell’attacco, le credenziali di accesso ai servizi SPID, PEC e firma digitale non sono state compromesse. Tuttavia, è stato confermato che parte dei dati sono stati già pubblicati come prova dell’avvenuto furto.
I rischi per gli utenti
Il furto di dati personali può avere conseguenze gravi, soprattutto se combinato con altre informazioni disponibili online. Tra i rischi principali:
- Phishing mirato: Utilizzando dati personali, gli hacker possono creare email e messaggi falsi per ingannare gli utenti, convincendoli a fornire ulteriori informazioni sensibili.
- Accesso non autorizzato: Anche se non sono state rubate credenziali di accesso, le informazioni sottratte possono essere utilizzate per tentativi di compromissione di altri account.
InfoCert ha ribadito che i sistemi chiave non sono stati compromessi e ha promesso ulteriori approfondimenti e notifiche alle autorità competenti.
Misure di mitigazione e risposte istituzionali
InfoCert sta collaborando con le autorità per gestire l’incidente e consiglia agli utenti di prestare particolare attenzione a comunicazioni sospette. È fondamentale adottare misure preventive, come:
- Monitoraggio delle comunicazioni: Evitare di cliccare su link o fornire informazioni personali in risposta a email o messaggi non richiesti.
- Aggiornamento delle password: Cambiare regolarmente le credenziali e utilizzare password uniche per ogni servizio.
- Verifica delle notifiche SPID: Gli utenti dovrebbero monitorare attentamente ogni attività legata al proprio account SPID.
Sicurezza digitale in Italia: un problema crescente
La questione di InfoCert è spiegabile alla luce delle dinamiche ricorrenti nel mondo della cybersecurity. I dati trafugati non appartengono direttamente alla società, ma a un fornitore terzo, nello specifico un gestore di call center. Sebbene ciò non esoneri Tinexta dalle sue responsabilità, facilita una gestione comunicativa meno critica per l’azienda.
Il problema è ciclico: affidare la gestione dei dati a terzi senza un controllo adeguato sui sistemi di sicurezza. È possibile che i dati sottratti siano stati successivamente rivenduti sul forum che erroneamente viene descritto come presente nel dark web pur essendo presente nel clear web, il valore di 1.500 euro esprime un altrettanto contesto dozzinale più di quantità che di qualità. Tra le informazioni rubate figurano username, password, email e codici fiscali, dati che, in larga parte, risultano già compromessi in precedenti data breach. Si stima che oltre il 90% degli internauti italiani sia già stato coinvolto in fughe di dati.
Il vero problema non è tanto la perdita di dati già compromessi, quanto la continua circolazione incontrollata degli stessi. Come sottolineato dal professor Andrea Lisi, è fondamentale ripensare il valore dei dati personali. La consapevolezza della loro diffusione deve portare a una maggiore responsabilizzazione delle aziende e a strategie innovative di tutela.
Un possibile approccio sarebbe quello di obbligare le aziende a compensare economicamente i cittadini coinvolti nelle violazioni. Questo sistema, con multe che potrebbero oscillare tra 10 e 50 euro per individuo (fino a 250 milioni di euro complessivi nel caso di InfoCert), spingerebbe le aziende a investire maggiormente nella sicurezza e a selezionare con più attenzione i fornitori.
Il caso InfoCert aumenta vertiginosamente inoltre il rischio di attacchi mirati, come phishing o richieste fraudolente di rimborso, basati sui dati sottratti ai clienti della piattaforma. Infine, il principio secondo cui i dati appartengono ai cittadini e non alle aziende è cruciale. Questo tema è emerso anche con la controversia legata alla piattaforma Immuni, che sollevò questioni relative alla violazione della privacy tramite la localizzazione delle persone vaccinate gestita da privati. Alcuni di questi, ieri favorevoli a Immuni, oggi fanno finta di stracciarsi le vesti per il furto dei dati Infocert.
