Data breach, Garante Privacy sanziona POSTEL per 900mila euro

Da NEWSLETTER Garante Privacy N. 528 del 22 ottobre 2024

Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco.

Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.

Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.
La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.
Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.