In un’era in cui la protezione dei dati è una questione di primaria importanza, anche grandi realtà come Postel, parte del Gruppo Poste Italiane, non sono esenti da errori. Recentemente, il Garante per la protezione dei dati personali ha imposto a Postel S.p.A. una sanzione di 900.000 euro per una grave violazione dei dati personali, conseguente a un attacco ransomwarerivendicato dal gruppo di cybercriminali Medusa.

Questo attacco ha causato l’esfiltrazione di file contenenti i dati di circa 25.000 utenti, successivamente pubblicati nel Dark Web, mettendo seriamente a rischio la privacy e la sicurezza di migliaia di persone.

Di seguito un estratto dal sito del Garante
In data 17 agosto 2023, Postel S.p.A. (di seguito, la Società) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, più volte integrata dalla stessa fino all’invio della versione definitiva il 4 ottobre 2023.

Con la predetta segnalazione, la Società ha comunicato di avere subito “un attacco informatico di tipo ransomware oggetto di successiva rivendicazione da parte della cybergang denominata Medusa. Tale attacco ha comportato il blocco di alcuni server e di alcune postazioni di lavoro [della Società], con conseguente attivazione delle procedure di recovery/restore”.

In particolare, l’attacco ha comportato l’esfiltrazione (e la successiva pubblicazione nel dark web) di file contenenti dati personali afferenti ai lavoratori dell’azienda (inclusi lavoratori cessati), ai congiunti dei lavoratori, ai titolari di cariche societarie (membri del consiglio di amministrazione, del collegio sindacale e dell’organismo di vigilanza), a candidati a posizioni lavorative, nonché a esponenti delle imprese intrattenenti rapporti commerciali con la Società.

Per alcuni file presenti nelle cartelle di rete, la Società non è stata in grado di provvedere al ripristino e, di conseguenza, limitatamente a tali dati si è verificata anche la perdita di disponibilità.

Sulla base di quanto dichiarato dalla Società nella notifica al Garante, la violazione ha riguardato, nel complesso, circa 25.000 interessati e le categorie di dati personali oggetto di violazione sono state molteplici: dati anagrafici; dati di contatto; dati di accesso e di identificazione; dati di pagamento; dati relativi a condanne penali e ai reati; dati relativi a documenti di identificazione/riconoscimento; dati che rivelano l’appartenenza sindacale; dati relativi alla salute.

In data 13 ottobre 2023, considerata l’assenza, all’interno della notifica definitiva inviata dalla Società, di elementi ritenuti necessari per l’esercizio, da parte dell’Autorità, dei compiti e dei poteri previsti dal Regolamento, sono state richieste informazioni alla Società in merito, in particolare, alle vulnerabilità utilizzate per portare a compimento l’attacco subito e alle informazioni fornite, in qualità di responsabile del trattamento, ad altri titolari i cui dati erano stati coinvolti nella violazione.
La multa di 900.000 euro non è solo una punizione, ma un chiaro segnale a tutte le aziende: la sicurezza dei dati personali è un obbligo. Il Garante ha voluto sottolineare che la conformità al GDPR non è un dettaglio trascurabile, ma un requisito fondamentale. Chi non prende sul serio la protezione dei dati rischia non solo sanzioni economiche, ma anche danni reputazionali difficili da recuperare.

Una lezione per tutte le aziende

Questo episodio deve servire da monito per tutte le imprese: la sicurezza non può essere sottovalutata. In un contesto in cui gli attacchi informatici e le violazioni dei dati sono sempre più frequenti, è indispensabile adottare misure di protezione avanzate. Le aziende devono essere proattive nella protezione dei dati personali, non solo per rispettare le normative, ma per salvaguardare la fiducia dei propri clienti.

Il caso Postel dimostra quanto possano essere gravi le conseguenze di una gestione inadeguata della sicurezza informatica. Le sanzioni economiche sono solo una parte del problema: il vero rischio è la perdita di fiducia da parte dei clienti e del mercato.

In un’epoca dove la sicurezza è al centro del dibattito, le aziende devono trattare la protezione dei dati personali come una priorità assoluta. Non si tratta solo di evitare multe, ma di garantire che il rapporto con i clienti rimanga solido e trasparente.

Fonte: Garante per la protezione dei dati personali, comunicato ufficiale sulla sanzione a Postel S.p.A., disponibile sul sito ufficiale del Garante

L'articolo Postel multata dal Garante: 900.000 euro per gravi violazioni sui dati personali proviene da il blog della sicurezza informatica.