A seguito dell'attacco informatico subito dal Gruppo Maggioli  a fine settembre 2021, i DPO / RPD degli Enti Locali coinvolti dovranno adoperarsi per allertare i comuni che assistono e valutare la gravità del data breach rilevato e notificato al Garante della privacy.

E' opportuno, inoltre, riscontrare e verificare le nomine a Responsabile esterno del trattamento dei dati personali,  ex art. 28  del GDPR n. 2016/679,  conferite a Maggioli e società del suo gruppo in relazione ai servizi resi all'Ente dal gruppo stesso. 

Il Gruppo Maggioli, nell'ultimo comunicato stampa  del 01 ottobre 2021, ha reso noto che nei giorni precedenti è stato oggetto di un attacco informatico per mezzo di un ransomware di ultima generazione, realizzato appositamente dai cyber criminali per l’infrastruttura della Società, rendendo temporaneamente indisponibili alcuni server aziendali.

Le note in arrivo ai comuni italiani variano a seconda di quali dei servizi colpiti dall’attacco l'ente abbia in essere con la software house. Il cryptolocker denominato “CONTI”, sembra abbia avuto come obiettivo diretto specificatamente la business unit “Maggioli Tributi”.

I servizi compromessi di cui, secondo fonti giornalistiche, si ha certezza sono il servizio “Concilia Service”, che è un sistema per la gestione degli atti sanzionatori amministrativi relativi a violazione alle norme del Codice della Strada e altre norme di carattere amministrativo, e MT Tributi, spesso adottato dagli uffici Ragioneria, ma potrebbero esservene altri.

La prima nota del 30 settembre segnalava prevalentemente l’indisponibilità temporanea dei dati. Spiegava inoltre che “le informazioni ivi contenute, potevano comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro”.

Maggioli in entrambe le comunicazioni, la prima e parziale del 30 settembre, e la seconda con maggiori informazioni del 01 ottobre, così come nella nota stampa pubblicata sui propri siti, ha  tranquillizzato i clienti spiegando che una task force di esperti era stata organizzata per gestire e rispondere all’incidente, attivando le procedure di ripristino dei dati.

C'è da considerare, però, che un ransomware può anche esfiltrare i dati e talvolta camuffare le proprie tracce. La Guidelines 01/2021 negli esempi che riguardano il Data Breach di EDPB (European Data Protection Board) descrive le circostanze, le misure precauzionali e gli obblighi derivanti dal GDPR in 4 diverse dinamiche di attacco ransomware, e spiega che l’unico modo per avere la certezza che non vi sia stato un problema di riservatezza è quello di aver adottato preventivamente un ottimo sistema di crittografia e che la chiave di crittografia non sia stata violata durante l’attacco.

Maggioli nella nota afferma di aver attivato un team di cybersecurity, di indagine dei log presenti sui sistemi SIEM e firewall per risalire alla sorgente del problema ed individuare evidenze in ordine alla possibile esfiltrazione dei dati.

Tra le misure di protezione dei dati non appare, però, la crittografia, avendo la quale la notifica al Garante e la comunicazione ai clienti con la conseguente mediaticità del caso, non sarebbero state necessarie.

Dott. Igino Addari 

DPO ACTAINFO