22 Ottobre 2024
Ultimo:

Sardegnagol

La testata dei giovani e delle politiche giovanili in Sardegna

Garante Privacy, foto Carlo Dani
Sardegna 

Data breach, Garante Privacy sanziona Postel per 900mila euro.

Redazione ,

Il Garante Privacy ha applicato una sanzione di 900mila euro a Postel Spa che per quasi un anno non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.

Nell’agosto del 2023, la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.

In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.

LEGGI ANCHE:  Autovelox, le immagini e i video vanno inviati solo su richiesta.

Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.

Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.

La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.

LEGGI ANCHE:  Alluvione, Gianni Lampis: "Il sistema regionale ha schierato tutte le forze a disposizione".

Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.

Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

foto Carlo Dani

Potrebbe anche interessarti

Chatgpt, foto Pete Linforth da Pixabay

IA e pensiero critico: il Garante blocca ChatGPT.

Francesca Serra
Garante Privacy, foto Carlo Dani

Il Garante cerca “ambasciatori per la privacy”.

Martina Cossu
Garante Privacy, foto Carlo Dani

Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile.

Redazione