Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Postel: la comunicazione di data breach è arrivata mentre manca un giorno alla pubblicazione dei dati

Stefano Gazzella : 23 Agosto 2023 09:48

Stando a quanto segnala Christian Bernieri su X – e confermato da altre fonti – la comunicazione di data breach di Postel è arrivata.

E dunque si può dedurre che quella resa come comunicato stampa non era stata probabilmente intesa essere tale, anche perchè almeno in questa si possono riscontrare alcuni contenuti formali prescritti dall’art. 34 GDPR. C’è il punto di contatto, quello sì, insieme al contatto del DPO.

Ma la tipologia di violazione è descritta nel modo che segue:

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

il gruppo criminale responsabile dell’attacco è presumibilmente riuscito a trafugare documenti informatici contenenti dati personali di dipendenti e collaboratori della Società.

Presumibilmente cosa significa?

La funzione della comunicazione è quella di consentire agli interessati di svolgere una autovalutazione del rischio. Altrimenti la conseguenza è che questi ne dovranno subire le piene conseguenze.

Nulla ancora si dice circa la minaccia di imminente pubblicazione. A onor del vero però, la portata e il perimetro dell’esfiltrazione sono tutt’ora da comprendere.

E dunque saranno i successivi aggiornamenti a fornire le dovute precisazioni agli interessati. Si spera prima del veder pubblicati e resi irrimediabilmente disponibili i propri dati.

non si può escludere che tale evento sia privo di impatti sugli interessati a cui tali dati afferiscono

Dopo tale formula, che tradotta, può essere resa come “la violazione dei dati personali è suscettibile di presentare un rischio elevato“, sono elencate le probabili conseguenze della violazione dei dati personali per gli interessati coinvolti:

  • perdita del controllo di dati personali;
  • furto o usurpazione di identità;
  • esposizione a tentativi di frode.

Un novero ben più ristretto delle ipotesi contemplate dal considerando n. 85 GDPR.

Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata“.

e in relazione delle quali si indicano alcuni comportamenti prudenti da adottare per tutelarsi da tentativi di utilizzo malevolo dei dati personali sottratti.

Sono indicate buone pratiche di igiene digitale, quali il non comunicare credenziali di accesso a sconosciuti, diffidare dalle richieste di dati personali, non cliccare su link o aprire allegati, etc. Insomma: le pratiche sono corrette ma manca – quantomeno a livello comunicativo – una contestualizzazione rispetto a quanto è accaduto.

Indubbiamente è importante informare circa il phishing e le frodi online, e ogni accorgimento per proteggersi, ma non c’è chiarezza sul perchè l’interessato coinvolto da questo data breach dovrebbe avere urgenza di farlo.

Soprattutto se si “raccomanda di procedere in via cautelativa” al reset di tutte le credenziali private. Anche perché non si è mai parlato di questo tipo di rischio di compromissione. Non in modo chiaro, quanto meno.

La trasparenza è quella che prescrive l’art. 12 GDPR:

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

ma che forse ancora non è stata raggiunta.

Da ultime, le misure adottate e di cui ci si propone l’adozione sono indicate andando per lo più a ribadire quanto già anticipato all’interno del comunicato stampa:

  • analisi evento (in corso);
  • estromissione dell’attore malevolo dai sistemi;
  • isolamento incidente;
  • ripristino operativo della funzionalità dei sistemi;
  • segnalazione alle autorità (e notifica al Garante).

Viene da chiedersi se gli interessati siano stati posti nella migliore condizione per proteggersi da eventuali conseguenze negative della violazione occorsa. Perché questo è l’unica valutazione che si deve fare, al di là del rispetto dei contenuti formali, e la trasparenza gioca un ruolo cruciale in tal senso.

Certamente, adesso gli interessati e i propri rappresentanti sindacali potranno chiedere proprio ai punti di contatto di adempiere in tal senso. E si spera che così facendo quel gap possa finalmente venire colmato.

Anche perchè, intanto, il tempo scorre.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...