Privacy: Gruppo Maggioli oggetto di un attacco informatico

05/10/2021

A seguito dell’attacco informatico subito dal Gruppo Maggioli  a fine settembre 2021, i DPO / RPD degli Enti Locali coinvolti dovranno adoperarsi per allertare i comuni che assistono e valutare la gravità del data breach rilevato e notificato al Garante della privacy.

E’ opportuno, inoltre, riscontrare e verificare le nomine a Responsabile esterno del trattamento dei dati personali,  ex art. 28  del GDPR n. 2016/679,  conferite a Maggioli e società del suo gruppo in relazione ai servizi resi all’Ente dal gruppo stesso. 

Il Gruppo Maggioli, nell’ultimo comunicato stampa  del 01 ottobre 2021, ha reso noto che nei giorni precedenti è stato oggetto di un attacco informatico per mezzo di un ransomware di ultima generazione, realizzato appositamente dai cyber criminali per l’infrastruttura della Società, rendendo temporaneamente indisponibili alcuni server aziendali.

Le note in arrivo ai comuni italiani variano a seconda di quali dei servizi colpiti dall’attacco l’ente abbia in essere con la software house. Il cryptolocker denominato “CONTI”, sembra abbia avuto come obiettivo diretto specificatamente la business unit “Maggioli Tributi”.

I servizi compromessi di cui, secondo fonti giornalistiche, si ha certezza sono il servizio “Concilia Service”, che è un sistema per la gestione degli atti sanzionatori amministrativi relativi a violazione alle norme del Codice della Strada e altre norme di carattere amministrativo, e MT Tributi, spesso adottato dagli uffici Ragioneria, ma potrebbero esservene altri.

La prima nota del 30 settembre segnalava prevalentemente l’indisponibilità temporanea dei dati. Spiegava inoltre che “le informazioni ivi contenute, potevano comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro”.

Maggioli in entrambe le comunicazioni, la prima e parziale del 30 settembre, e la seconda con maggiori informazioni del 01 ottobre, così come nella nota stampa pubblicata sui propri siti, ha  tranquillizzato i clienti spiegando che una task force di esperti era stata organizzata per gestire e rispondere all’incidente, attivando le procedure di ripristino dei dati.

C’è da considerare, però, che un ransomware può anche esfiltrare i dati e talvolta camuffare le proprie tracce. La Guidelines 01/2021 negli esempi che riguardano il Data Breach di EDPB (European Data Protection Board) descrive le circostanze, le misure precauzionali e gli obblighi derivanti dal GDPR in 4 diverse dinamiche di attacco ransomware, e spiega che l’unico modo per avere la certezza che non vi sia stato un problema di riservatezza è quello di aver adottato preventivamente un ottimo sistema di crittografia e che la chiave di crittografia non sia stata violata durante l’attacco.

Maggioli nella nota afferma di aver attivato un team di cybersecurity, di indagine dei log presenti sui sistemi SIEM e firewall per risalire alla sorgente del problema ed individuare evidenze in ordine alla possibile esfiltrazione dei dati.

Tra le misure di protezione dei dati non appare, però, la crittografia, avendo la quale la notifica al Garante e la comunicazione ai clienti con la conseguente mediaticità del caso, non sarebbero state necessarie.

Dott. Igino Addari 

DPO ACTAINFO

 

 

 

 

 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

  

 

TAG

Leggi anche

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Word

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677