Acea: rubati e pubblicati sul web i dati sensibili di dipendenti, fornitori e clienti (anche quelli ciociari)

Cesidio Vano
4 MIn Lettura
Le prime indiscrezioni erano giunte a metà marzo, con il sito Red Hot Cyber – specializzato in cybersicurezza – che aveva pubblicato la notizia secondo cui, a seguito dell’attacco hacker subito da tutte le società del Gruppo Acea, i pirati informatici erano riusciti a sottrarre un notevole quantitativo di informazioni, poi pubblicate sui portali della banda informatica.

Si tratterebbe, secondo il sito RHC, di oltre 800 gigabyte di dati, tra cui un corposo file denominato “bollette” (di oltre 450 GB), contenente molto probabilmente le fatture di migliaia e migliaia di utenze (acqua, luce e gas). Per capire cosa sia stato rubato dalle banche dati della multiutility ci vorrà ancora del tempo, vista la notevole quantità di informazioni resta pubblica. Ieri, c’è stata la conferma da parte di Acea: tutte le società del gruppo hanno pubblicato sui loro portali web l’avviso previsto dall’art. 34 del Gdpr (Regolamento europeo sulla protezione dei dati) che obbliga “a notificare tempestivamente agli interessati qualsiasi violazione dei dati personali che abbia delle conseguenze gravi per i suoi diritti e libertà”. Relativamente al pubblico di consumatori ed alla provincia di Frosinone, l’avviso compare sul sito della società Acea Ato 5, che gestisce in Ciociaria il servizi idrico, ma anche il portale di Acea energia (per i servizi di elettricità e gas) ha dato la medesima comunicazione, già dallo scorso 24 marzo. Nell’avviso la società romana scrive: “Il 2 febbraio 2023 il Gruppo Acea è stato oggetto di un attacco informatico ai propri sistemi informativi a cura di ignoti. Preso atto della natura dolosa dell’incidente occorso, che non ha impattato i servizi essenziali erogati, il Gruppo ha provveduto tempestivamente alla messa in sicurezza dei sistemi informativi impattati dall’attacco, informando, tra l’altro, le Autorità competenti. Le verifiche condotte hanno consentito di appurare come l’attacco abbia comportato l’esfiltrazione di alcuni file che potrebbero contenere dati personali tra i quali nome, cognome, indirizzo, dati di contatto, presenti nei sistemi informatici del Gruppo Acea. E’ possibile, quindi, che anche i Vostri dati personali siano stati impattati da questo attacco. Il Gruppo Acea ha adottato tutte le azioni utili a minimizzare ulteriormente i rischi di ripetizione di eventi analoghi, innalzando ancora di più gli standard di sicurezza a protezione dei dati personali. Il Gruppo Acea è da sempre impegnato a tutelare i propri Clienti, Dipendenti e Fornitori e Organi Sociali e pone la massima attenzione alla gestione e alla sicurezza dei Vostri dati personali. Rimaniamo a disposizione per ulteriori informazioni o chiarimenti, al numero verde gratuito 800 001 952”. Quanto accaduto è ora al vaglio dell’autorità italiana di protezione dei dati personali, il cosiddetto Garante della privacy. Il Regolamento europeo sulla protezione dei dati impone, infatti, a chi tratta dati sensibili di comunicare al Garante, entro 72 ore da quanto è venuto a conoscenza del fatto, ogni violazione di dati sensibili (cosiddetto “Data Breach”) e di fornire anche un resoconto dettagliato dell’evento (come la descrizione della natura del Data Breach, ove possibile, delle categorie e del numero approssimativo di interessati e di registrazioni dei dati personali coinvolte, la descrizione delle probabili conseguenze e la descrizione delle misure adottate o proposte per porre rimedio e per attenuarne gli eventuali effetti negativi). Spetterà all’ufficio del Garante valutare quanto avvenuto e, se riterrà sussistere responsabilità del titolare del trattamento dei dati, potrà anche emettere delle sanzioni amministrative a suo carico.
Condividi questo articolo
Nessun commento