Sei s.r.l., in qualità di titolare del trattamento, intende informare i clienti della distribuzione gas, ai sensi dell’art. 34, 3° comma, lett. c) del GDPR (“General Data Protection Regulation”), in merito alla violazione di dati personali subìta il 16 aprile scorso.
Richiamando integralmente le precedenti comunicazioni dell’11 e del 21 maggio, a seguito delle analisi effettuate dal team di specialisti supportati dal perito forense, informiamo che purtroppo l’attacco informatico subìto ha comportato una perdita di riservatezza dei dati personali trattati. L’attacco è stato prontamente individuato ed è stato possibile intervenire tempestivamente evitando conseguenze peggiori, come ad esempio il blocco dell’erogazione dei servizi e la perdita definitiva dei dati. Nonostante ciò, gli autori dell’attacco, accedendo ai sistemi, sono riusciti ad effettuare la copia di una significativa mole di documenti di diverso genere, tra cui file contenenti dati personali.
Ad oggi, i documenti esfiltrati sono stati resi disponibili unicamente attraverso collegamenti presenti sul dark web (vale a dire la parte di Internet non indicizzata e raggiungibile solo mediante specifici software e reti), rendendo impossibile risalire a tali documenti attraverso i comuni motori di ricerca. Tuttavia, l’accesso non autorizzato e la diffusione illegittima, tramite il dark web, di dati personali, hanno comportato la perdita del controllo di tali informazioni. Nonostante le operazioni necessarie a effettuare il download dei documenti siano estremamente complesse, non è possibile escludere che le informazioni carpite possano essere utilizzate in maniera illegittima da parte di terzi soggetti non autorizzati, anche con intenti malevoli, ad esempio a fini di furto di identità, frodi e comunicazioni indesiderate.
Al fine di mitigare l’impatto derivante dalla violazione, la Società, attraverso il proprio Responsabile del trattamento, ha tempestivamente messo in atto ogni misura necessaria a bloccare l’attacco, isolando i sistemi infettati, anche attraverso la chiusura della connessione da e per Internet, e procedendo gradualmente alla riattivazione dei sistemi, previa bonifica degli stessi. Da allora, Sei sta intraprendendo ogni azione migliorativa e di irrobustimento della security per cautelarsi ancora di più da simili azioni malevoli.
Per attenuare maggiormente i possibili risvolti negativi derivanti dalla violazione di dati personali, si invitano i clienti della distribuzione gas serviti da Sei srl, ossia gli intestatari del punto di fornitura (PDR) gas naturale, ad adottare alcune precauzioni. In particolare, esortiamo a prestare la massima attenzione a richieste di contatto telefonico, e-mail, SMS anche se apparentemente provenienti da mittenti affidabili; raccomandiamo inoltre di:
- valutare attentamente eventuali e-mail contenenti collegamenti ipertestuali (link), in quanto tali link potrebbero essere usati per indirizzare l’utente verso siti web dannosi;
- valutare attentamente le e-mail contenenti allegati sospetti o inusuali;
- diffidare di qualunque e-mail sospetta, anche se all’apparenza pare provenire da persone che conoscete (ad esempio e-mail scritte con linguaggio non preciso o non corretto);
- non fornire dati personali a soggetti terzi non identificati e verificati;
- aggiornare le password degli account (e-mail, social ecc.) componendo sequenze lunghe almeno 12 caratteri e non facilmente identificabili, mettendo sempre caratteri minuscoli, maiuscoli, speciali e numeri.
Rammaricata per quanto accaduto, Sei garantisce un rinnovato e ancora più determinato impegno a tutelare tutti i portatori di interesse e rimangono a disposizione per qualsiasi informazione e richiesta, anche ai seguenti punti di contatto:
- Numero verde 800 473165;
- Responsabile Protezione dati gruppo Tea, avv. Laura Greco, rpd@teaspa.it;
- Ufficio Privacy, segnalazioniprivacy@teaspa.it
Per saperne di più, qui di seguito sono riportate alcune informazioni sull’accaduto e sui comportamenti da tenere.
Cosa è successo e come ha reagito Sei?
Lo scorso 16 aprile 2024 un’organizzazione di criminali informatici, ha “attaccato” alcuni sistemi informatici aziendali. L’evento è stato tempestivamente gestito dal team di specialisti, interni ed esterni, preposto che ha messo in campo tutte le misure di sicurezza previste a tutela di dipendenti, clienti e fornitori ai quali è stata comunque sempre garantita la normale fruibilità dei servizi. La Società ha avviato, nei tempi previsti, le interlocuzioni di legge con le autorità competenti, tra cui il Garante privacy, e gli Enti interessati per segnalare l’evento e ha provveduto a divulgare, tramite la stampa locale, i termini principali dell’evento.
Cosa si intende per attacco informatico?
Un attacco informatico è qualsiasi azione intenzionale che ha lo scopo di rubare, esporre, alterare, disabilitare o distruggere dati, applicazioni tramite l’accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale.
I sistemi sono ancora “infetti”?
No, tutti i sistemi sono oggi in sicurezza e i servizi sono sempre stati garantiti.
Che impatto è stato registrato sui dati?
L’attacco ha comportato una temporanea perdita di disponibilità dei dati (dalle ore 7:00 del 16 aprile alle ore 14:00 del 24 aprile) che, insieme ai sistemi e ai servizi, sono stati integralmente ripristinati e recuperati grazie ai backup a disposizione. Tuttavia, il gruppo criminale è riuscito anche ad accedere e a fare copia di alcuni documenti, tra cui file contenenti dati personali, provocando una perdita di riservatezza dei dati personali che sono dunque oggi oggetto diffusione non autorizzata.
Sono stati rubati dati personali?
Il gruppo criminale ha rivendicato l’evento dichiarando di avere esfiltrato alcune informazioni, tra cui dati personali, che ha reso disponibili per il download sul dark web (territorio digitale usato dai cyber criminali, non liberamente accessibile dai comuni motori di ricerca). L’evento, pertanto, ha causato anche una perdita di riservatezza relativamente ad alcuni dati personali trattati da Sei.
Quali conseguenze potrei subire a causa dell’attacco?
Sebbene le informazioni esfiltrate, compresi i documenti contenenti dati personali, non siano state resi disponibili attraverso la rete Internet, bensì unicamente sul dark web (vale a dire l’ambiente digitale, normalmente impiegato da cybercriminali, accessibile solo mediante appositi strumenti), l’accesso non autorizzato e la diffusione illegittima, tramite il dark web, di dati personali, hanno comportato la perdita del controllo dei dati personali. Nonostante le operazioni necessarie a effettuare il download dei documenti siano estremamente complesse, non è possibile escludere che le informazioni carpite possano essere utilizzate in maniera illegittima da parte di terzi soggetti non autorizzati, anche con intenti malevoli, ad esempio a fini di furto di identità, frodi e comunicazioni indesiderate.
Posso scaricare anch’io i dati esfiltrati?
Ricordiamo sin da ora che l’accesso al dark web rappresenta un’operazione pericolosa per via della possibilità di essere infettati da virus e malware. Inoltre, è bene precisare che chiunque, senza averne diritto, visualizzi, entri in possesso o scarichi i dati personali altrui o li utilizzi per propri scopi o li diffonda on line, sui social network o in altro modo, integra condotte illecite anche penalmente perseguibili.
Riceverò una comunicazione individuale sulla violazione dei dati personali?
Nel rispetto della normativa vigente, Sei provvederà a comunicare pubblicamente il dettaglio dell’attacco informatico e della conseguente violazione di dati personali attraverso la diffusione di comunicati stampa, nonché tramite i propri canali di comunicazione digitali. A causa della eterogeneità dei documenti esfiltrati non è stato infatti possibile, in tempi ristretti, individuare puntualmente ciascun soggetto i cui dati sono stati coinvolti nella violazione. Alla luce di ciò, i canali di comunicazione stampa e digitali sono stati ritenuti i più adeguati a garantire la maggior copertura nel minor tempo possibile per veicolare in maniera estesa le informazioni relative alla violazione di dati personali.
Quali precauzioni posso adottare?
Al fine di attenuare possibili risvolti negativi, è opportuno aumentare il livello di attenzione e in particolare:
- valutate attentamente ogni e-mail, SMS, messaggio o telefonata in cui vengono richiesti dati personali;
- valutate attentamente eventuali e-mail contenenti collegamenti ipertestuali (link), in quanto tali link potrebbero essere usati per indirizzare l’utente verso siti web dannosi;
- valutate attentamente le e-mail contenenti allegati sospetti o inusuali;
- diffidate di qualunque e-mail sospetta, anche se all’apparenza pare provenire da persone che conoscete (ad esempio e-mail scritte con linguaggio non preciso o non corretto);
- non fornite i vostri dati a soggetti terzi non identificati e verificati;
- aggiornate le password degli account (e-mail, social ecc.) componendo sequenze lunghe almeno 12 caratteri e non facilmente identificabili, mettendo sempre caratteri minuscoli, maiuscoli, speciali e numeri.
Dove posso avere ulteriori informazioni?
Suggeriamo di consultare il sito del Garante della privacy https://www.garanteprivacy.it/temi/cybersecurity, oppure il sito web specializzato https://www.cybersecurity360.it/nuove-minacce/
Suggeriamo di consultare il sito del Garante della privacy https://www.garanteprivacy.it/temi/cybersecurity, e le seguenti pagine informative sulle più frequenti tecniche illecite perpetrate tramite la rete Internet e gli strumenti digitali:
PHISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
VISHING
https://www.garanteprivacy.it/temi/cybersecurity/vishing
SMISHING
https://www.garanteprivacy.it/temi/cybersecurity/smishing
SIM SWAPPING
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9572143