Questo articolo è stato pubblicato da questo sito
Grossi guai per Postel, l’azienda del Gruppo Poste Italiane che si occupa di servizi di stampa, gestione documentale e marketing data-driven per le imprese e la pubblica amministrazione. In queste ultime ore, infatti, il Garante Privacy ha applicato una sanzione di 900mila euro alla società, accusata di non essere intervenuta per circa un anno su una vulnerabilità nota dei propri sistemi, sfruttata dai cybercriminali per mettere le mani sui dati sensibili custoditi nei server aziendali. Ad agosto 2023, infatti, Postel ha notificato al Garante di essere rimasta vittima di “un attacco informatico di tipo ransomware oggetto di successiva rivendicazione da parte della cybergang denominata Medusa. Tale attacco ha comportato il blocco di alcuni server e di alcune postazioni di lavoro [della Società], con conseguente attivazione delle procedure di recovery/restore“.
In quell’occasione i criminali sono riusciti a esfiltrare file contenenti i dati personali dei dipendenti della compagnia e dei loro congiunti, dei membri del consiglio di amministrazione, dei candidati a nuove posizioni lavorative e dei rappresentanti di società terze che intrattengono rapporti commerciali con Postel. Una quantità imponente di informazioni sensibili – appartenenti a circa 25.000 persone diverse—, pubblicate nel dark web appena qualche mese dopo l’attacco: tra queste “dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute”.
La responsabilità di questa gigantesca violazione dei dati, secondo quanto riferito dal Garante, sarebbe della stessa Postel. La società, infatti, non è intervenuta per risolvere una vulnerabilità nei sistemi che le era stata segnalata prima dal produttore del software e poi dall’Agenzia per la cybersicurezza nazionale. Così facendo, ha violato la normativa di protezione dei dati personali, che impone alle società di adottare misure di sicurezza in grado di evitare il rischio di violazioni e cyberattacchi. Ma non è finita qui. Dal provvedimento pubblicato dal Garante Privacy emerge anche che Postel non ha fornito “informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità”. Insomma, la società del Gruppo Poste Italiane non sembrerebbe aver agito nel rispetto delle norme di sicurezza, e per questo ha ricevuto non solo una multa da 900mila euro, ma anche l’ingiunzione di effettuare un’analisi dettagliata delle vulnerabilità dei propri sistemi e di predisporre azioni utili per risolvere e gestire eventuali debolezze rilevate, così da mettere in sicurezza i dati sensibili custoditi nei sistemi aziendali.
