Il 22 gennaio 2026 la CNIL ha deciso di colpire FRANCE TRAVAIL, l’ex Pôle Emploi, con una multa da 5 milioni di euro. Una cifra tonda, che pesa. La ragione è una violazione dei dati personali dei richiedenti lavoro, emersa dopo un attacco avvenuto nel primo trimestre del 2024. Non un incidente improvviso, ma qualcosa che ha scavato lentamente, approfittando di falle già lì.
La decisione arriva dopo mesi di indagini. E non racconta una storia di tecnologie esotiche o attacchi fantascientifici. Piuttosto il contrario. Tecniche note, quasi banali, basate sull’ingegneria sociale. Fiducia mal riposta, credenziali sottratte, account di consulenti CAP EMPLOI dirottati. Quelle porte erano chiuse male. Qualcuno se n’è accorto troppo tardi.
Gli hacker sono riusciti ad accedere ai sistemi informatici di FRANCE TRAVAIL passando dai consulenti di CAP EMPLOI, organismi incaricati di accompagnare le persone con disabilità nel mondo del lavoro. Non è un dettaglio secondario, anche se rischia di sembrare tale. Da lì, il perimetro si è allargato.
L’accesso ha riguardato i dati di tutte le persone registrate, o che lo erano state, negli ultimi vent’anni. Anche chi aveva semplicemente creato un account candidato su francetravail.fr. Numeri di previdenza sociale, email, indirizzi postali, numeri di telefono. Un insieme vasto, disordinato, sensibile. Non i dossier completi dei candidati, quelli che possono includere dati sanitari, ma comunque abbastanza da fare danni seri.
Quando la CNIL ha guardato dentro, ha trovato misure di sicurezza tecniche e organizzative giudicate inadeguate. Non assenti, attenzione. Inadeguate. È una differenza sottile, ma cambia tutto. Il problema non era l’ignoranza totale, bensì l’esecuzione.
Il comitato ristretto, l’organo che decide le sanzioni, ha parlato di ignoranza dei principi essenziali di sicurezza. Parole pesanti. A pesare sono stati anche il numero delle persone coinvolte, il volume dei dati e la loro natura. Il risultato è stato una multa da 5 milioni di euro e un ordine chiaro: dimostrare, con tempi precisi, le misure correttive adottate.
Se FRANCE TRAVAIL non rispetterà quel calendario, scatterà una penale: 5.000 euro per ogni giorno di ritardo. Una cifra quotidiana, insistente, che non lascia molto spazio all’attesa. Qui non c’è margine per rinvii eleganti o giustificazioni vaghe.
Vale la pena ricordare che FRANCE TRAVAIL è un’istituzione pubblica amministrativa nazionale. Il suo bilancio non dipende da un fatturato commerciale, ma da contributi previdenziali fissati per legge. Per questo la sanzione non segue la logica percentuale tipica del settore privato, ma rientra nel tetto massimo di 10 milioni previsto per le violazioni dell’articolo 32 del GDPR.
Entrando nel dettaglio, la CNIL ha rilevato che le procedure di autenticazione per i consulenti CAP EMPLOI non erano abbastanza robuste. Un punto critico, perché da lì è passato l’attacco. Non un bug sofisticato, ma una protezione insufficiente rispetto al rischio.
Non solo. I sistemi di registrazione degli accessi e delle attività non erano adeguati a rilevare comportamenti anomali. In pratica, segnali deboli che avrebbero potuto emergere prima sono rimasti sepolti nel rumore. E le autorizzazioni erano troppo ampie: i consulenti potevano accedere ai dati di persone che non seguivano direttamente. Più accessi, più superficie d’attacco. Una vecchia storia.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Cybercrime
Cybercrime
Diritti