ASSISTENZA
CONTATTACI
COMPANY PROFILE

Il caso Postel: una lezione di mancata prevenzione

Data Breach Postel: una sanzione per mancata prevenzione di cybersecurity

Nell’agosto 2023, Postel S.p.A., è stata vittima di un attacco ransomware che ha compromesso i server e alcune postazioni di lavoro. Come è stato accertato dal Garante della Privacy, questo attacco ha portato alla violazione di dati personali di circa 25.000 individui, inclusi dati sensibili.

Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.

Il Garante della Privacy ha accertato che la violazione è stata resa possibile da una vulnerabilità nei sistemi informatici di Postel, già segnalata nel 2022 dal produttore del software e dall’Agenzia per la Cybersicurezza Nazionale (ACN). Postel SpA, però, per quasi un anno non è intervenuta a tutela dei dati personali dei propri utenti, venendo meno agli obblighi previsti dalla normativa, ossia non provvedendo all’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato. Oltre alla sanzione di 900.000 euro, l’Autorità ha imposto quindi un’azione straordinaria di analisi delle vulnerabilità e la predisposizione un piano ad hoc.

Le mancanze di Postel e il provvedimento dell’Autorità

La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio. Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.

Nel provvedimento adottato, come detto, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

La sanzione evidenzia l’importanza di un approccio proattivo alla gestione delle vulnerabilità informatiche, basato su aggiornamenti tempestivi e test di sicurezza periodici.

La valutazione effettuata dall’Autorità, quindi, non si è limitata a prendere in considerazione il verificarsi, in quanto tale, della violazione di dati (che, come sottolineato dalle Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR, adottate il 24 maggio 2023, “non implica necessariamente una violazione del GDPR”, v. punto 5.6, nota 37), ma, muovendo dalla violazione di dati oggetto dell’indagine, si è proceduto a verificare se la Società avesse adottato tutte quelle misure tecniche e organizzative che avrebbero potuto evitare la violazione di dati personali.

Lezioni apprese e strategie di prevenzione

Questo caso sottolinea dunque l’importanza per tutte le organizzazioni di adottare strategie di sicurezza informatica proattiva, non solo per adempiere a quanto previsto dal GDPR ma anche dalle recenti disposizioni della direttiva NIS2, che prevede la gestione almeno i seguenti aspetti:

  • Policy di analisi dei rischi e di sicurezza dei sistemi informatici.
  • Gestione degli incidenti.
  • Definizione di un piano di continuità operativa che includa gestione del backup, disaster recovery e gestione delle crisi.
  • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità.
  • Policy e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica.
  • Prassi di educazione informatica di base e formazione in materia di sicurezza informatica.
  • Policy e procedure relative all’uso della crittografia e, se del caso, della codifica.
  • Sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse.
  • Uso di soluzioni di autenticazione a più fattori (MFA)

Conclusione

Gli attacchi a Postel e le sanzioni comminate dal Garante della Privacy evidenziano quanto sia cruciale rafforzare la cybersecurity aziendale attraverso tutte quelle misure tecniche e organizzative che permettano di evitare la violazione di dati. In un panorama di minacce in continua evoluzione, investire in soluzioni tecnologiche e processi di prevenzione è una necessità imprescindibile e non più una semplice opzione.

Grazie a soluzioni e tecnologie all’avanguardia, che rispondono ai più stringenti requisiti di sicurezza informatica, siamo in grado di accompagnare le organizzazioni nell’adozione di tutte le misure idonee per garantire la protezione dei dati da possibili violazioni.

    Autorizzo il trattamento dei miei dati personali, ai sensi delle vigenti normative privacy (Regolamento Europeo n.679/16), secondo le finalità e le modalità indicate nella Vostra informativa. Leggi l'informativa

    Vorrei iscrivermi alla newsletter per restare aggiornato su novità, promozioni e iniziative.

    La Direttiva NIS2 e l’estensione dei Controlli alla Supply Chain

    25 Novembre 2024

    Assessment: il primo passo verso la compliance con la NIS2

    5 Febbraio 2025