INPS Servizi colpita da un Ransomware riporta QuAS. Ma il silenzio è assordante!

“Il mesto mietitore ha, talvolta, non una falce tra le mani, ma una tastiera sotto le dita.” Agostino Pellegrino.

Un aforisma che, nella sua crudezza, coglie l’essenza di una realtà sempre più pressante: la sicurezza informatica, specialmente quando riguarda enti pubblici di primaria importanza, non può essere sottovalutata.

Nella giornata di ieri, sul sito della QuAS (Cassa Assistenza Sanitaria Quadri), è apparso un messaggio all’ingresso del loro sito web che riporta quanto segue:

Avviso: Attacco Informatico al fornitore Inps Servizi – Attività a Tutela degli Iscritti

Il 19/11/24 Inps Servizi, che fornisce a QuAS i dati cumulativi dei contributi versati dalle Aziende con modello F24, ha comunicato di aver subito un attacco informatico di tipo ransomware in data 18 novembre 2024.

Precisiamo che i dati che Inps Servizi gestisce per QuAS sono unicamente relativi al totale dei contributi versati da ciascuna Azienda, senza nessun dettaglio relativo ai singoli iscritti.

L’evento non è in alcun modo riconducibile a QuAS, ma riguarda esclusivamente i sistemi di Inps Servizi e non ha avuto nessun effetto sui sistemi informatici di QuAS.

QuAS si è prontamente attivata per informare il Garante per la protezione dei dati personali e rispettare tutti gli obblighi di legge a tutela degli iscritti.

Grazie per la comprensione e la fiducia. 

Sembrerebbe quindi che INPS Servizi in data 18 novembre 2024 abbia subito un attacco ransomware e abbia comunicato a QuAD che utilizza i suoi servizi l’incidente informatico. QuAD precisa che “L’evento non è in alcun modo riconducibile a QuAS, ma riguarda esclusivamente i sistemi di Inps Servizi e non ha avuto nessun effetto sui sistemi informatici di QuAS.”

Chi INPS Servizi

INPS Servizi S.p.a. (così si legge sul loro sito internet raggiungibile attraverso il capture della wayback machine) è una società per azioni in house providing interamente partecipata da INPS, sorta in data 11 giugno 2021 a seguito della modifica di denominazione, oggetto sociale e Statuto di Italia Previdenza SISPI S.p.a..

Tali modifiche sono state disposte sulla base delle previsioni contenute nell’art. 5bis del decreto legge 101/2019, convertito con modificazioni dalla legge 128/2019, con il quale è stato previsto l’affidamento ad INPS Servizi S.p.a. delle attività di Contact center multicanale (CCM) verso l’utenza dell’Istituto previdenziale e la prosecuzione delle attività che già costituivano l’oggetto sociale di Italia Previdenza SISPI S.p.a., che era stata costituita nel 2001, con il compito di fornire prodotti\servizi amministrativo-contabili, in particolare per la riscossione dei contributi e di erogazione delle prestazioni dei Fondi di previdenza complementare e integrativa e servizi di ricerca e consulenza per il mercato dell’area della previdenza e assistenza in genere.

Il sito web di INPS Servizi è Offline

Al momento in qui scriviamo (mercoledì 21/11/2024 alle 07:12) il sito di INPS Servizi risulta offline, come mostrano le print screen successive.

Sempre all’interno della sezione “chi siamo” di INPS Servizi viene riportato che l’azienda si occupa di:

• attività finalizzate alla liquidazione, in favore dei dipendenti di Poste Spa, delle buonuscite maturate fino al 28 febbraio 1998, data di trasformazione dell’Ente Poste in società per azioni, che sono materialmente erogate dalla Gestione Commissariale Fondo Buonuscita per i lavoratori di Poste Italiane S.p.a.;
• fornitura dei dati contenuti nei flussi F24 ed Uniemens, insieme con altri servizi amministrativi, necessari agli enti bilaterali per l’acquisizione dei contributi e per le altre finalità istituzionali previste dalla contrattazione collettiva in favore di lavoratori dipendenti dalle aziende che applicano i CCNL di categoria;

Con un ruolo così cruciale, INPS Servizi rappresenta un pilastro nella gestione dei dati sensibili di milioni di cittadini italiani, rendendola un obiettivo di alto valore per i cyberattacchi. L’evento non ha trovato spazio né sulla stampa nazionale né in comunicazioni ufficiali.

La lezione mancata

La sicurezza informatica degli enti pubblici italiani deve affrontare una transizione culturale.

Non si tratta solo di installare sistemi di difesa, ma di creare un ecosistema in cui la trasparenza e il coinvolgimento dei cittadini diventino principi fondanti.

INPS Servizi ha il dovere di comunicare con chiarezza, non solo per rispettare la legge, ma anche per trasparenza verso i cittadini. In un mondo in cui il “mietitore digitale” colpisce silenziosamente, è responsabilità delle istituzioni assicurarsi che nessuna tastiera, per quanto pericolosa, rimanga nell’ombra.

La fiducia dei cittadini verso le istituzioni passa non solo dall’efficienza dei servizi, ma anche dalla capacità di proteggere i dati e di affrontare con trasparenza le crisi. Gli incidenti di sicurezza informatica, specialmente quando coinvolgono realtà come INPS Servizi, non possono essere trattati come episodi marginali.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks