Uno dei principali provider di identità digitale Spid nel nostro Paese, ha subito un grave attacco informatico che potrebbe aver compromesso i dati personali di molti dei suoi clienti. Ad annunciarlo è stata la stessa azienda, che ha reso pubblica la notizia sul proprio sito ufficiale, dove la società ha confermato che alcuni dati sono stati sottratti dai suoi database e, in parte, pubblicati online.

Secondo dichiarazioni anonime apparse su diverse piattaforme web, gli attaccanti avrebbero trafugato circa 5,5 milioni di registrazioni, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email. Alcuni di questi dati sono stati condivisi come prova dagli hacker per attirare potenziali acquirenti.

Nonostante la gravità dell’attacco, Infocert ha rassicurato i clienti dichiarando che “nessuna credenziale di accesso ai servizi Infocert e password è stata compromessa”.

L’azienda ha aggiunto che sono in corso "tutti gli opportuni accertamenti“ e che ulteriori dettagli verranno forniti nei prossimi giorni.

L’incidente si è verificato il 27 dicembre ed è stato rivendicato online il giorno successivo.

Infocert è una delle maggiori realtà italiane ed europee nel settore della certificazione digitale, con una presenza in Europa e America Latina attraverso 19 sedi operative. La società è nota per i suoi servizi di firma digitale, posta elettronica certificata e identità digitale, tra cui il Sistema pubblico di identità digitale (Spid).

Parte del gruppo italiano Tinexta, specializzato in digitalizzazione e sicurezza informatica, Infocert conta circa 10 milioni di clienti e ha registrato un fatturato di 137 milioni di euro nel 2022. Attualmente gestisce 1,8 milioni di Spid attivi e 64 milioni di accessi annuali tramite i propri servizi di identità digitale. La società collabora anche allo sviluppo del portafoglio digitale europeo.

L’accaduto sottolinea ancora una volta quanto sia cruciale rafforzare le misure di sicurezza informatica per proteggere i dati personali degli utenti, soprattutto in un contesto in cui l’identità digitale è sempre più centrale.

Nel frattempo, poichè  "la violazione potrebbe aver comportato la perdita di riservatezza dei dati personali di un numero molto elevato di interessati" , il 3 gennaio il Garante per la privacy ha inviato a InfoCert spa una richiesta di informazioni a seguito della notifica di data breach effettuata dalla società alla fine di dicembre, concedendo 10 giorni di tempo per fornire all’Autorità copia degli atti che regolano i rapporti con il fornitore esterno e informazioni

Fonte: Il Sole 24 ore

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Figli, “La sua privacy vale più di un like”: il nuovo spot del Garante privacy

La campagna di comunicazione è rivolta ai genitori che pubblicano online le foto dei propri figli

Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr

Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali

Artificial Intelligence Act: dal 2 febbraio scatta lo stop per i sistemi vietati

Dal 2 febbraio 2025 saranno espressamente vietati i sistemi di AI che comportano rischi per la salute, la siurezza e i diritti fondamentali delle persone