Il Garante per la protezione dei dati personali ha avviato un’istruttoria formale nei confronti di InfoCert S.p.A., una delle principali Autorità di Certificazione in Italia, fornitore di servizi come SPID, firma digitale e Posta Elettronica Certificata (PEC). La decisione è seguita a una notifica di violazione dei dati (data breach) presentata dalla stessa società, legata a un incidente di sicurezza che ha coinvolto un fornitore esterno.
L’origine della violazione e l’intervento del Garante
La vicenda ha preso avvio alla fine di dicembre 2022, quando InfoCert ha comunicato al Garante Privacy di aver subito una violazione dei dati. L’incidente non ha interessato direttamente i sistemi informatici di InfoCert, ma quelli di un suo fornitore di servizi esterno. Questo dettaglio è cruciale, poiché evidenzia come la sicurezza della catena di approvvigionamento digitale sia un anello fondamentale per la protezione dei dati.
In risposta alla notifica, l’Autorità ha richiesto a InfoCert di fornire, entro un termine di dieci giorni, informazioni dettagliate per chiarire la portata e la natura dell’accaduto. L’obiettivo del Garante è accertare le responsabilità, verificare le misure di sicurezza adottate e comprendere l’impatto effettivo sui dati personali degli utenti coinvolti. L’indagine si concentra in particolare sugli accordi contrattuali tra InfoCert e il fornitore, per stabilire se le garanzie di protezione dei dati fossero adeguate.
Quali dati personali sono a rischio
La violazione potrebbe aver compromesso la riservatezza di un numero molto elevato di utenti, data l’ampia base di clienti di InfoCert, che include cittadini, professionisti e imprese che utilizzano quotidianamente i suoi servizi fiduciari. Sebbene i dettagli specifici siano oggetto dell’indagine del Garante, le tipologie di dati personali tipicamente gestite per questi servizi possono includere informazioni sensibili.
I dati potenzialmente esposti in violazioni di questo tipo sono spesso:
- Dati anagrafici: nome, cognome, data e luogo di nascita.
- Codice fiscale: un identificativo univoco e critico.
- Indirizzi email: sia personali che professionali (PEC).
- Numeri di telefono: utilizzati per l’autenticazione a due fattori.
- Copie di documenti di identità: come carta d’identità o passaporto, necessari per l’attivazione di servizi come SPID o la firma digitale.
La perdita di controllo su queste informazioni espone i cittadini a rischi concreti, che vanno dal phishing mirato al furto di identità digitale.
Cosa possono fare i consumatori: rischi e tutele
Un data breach di questa natura non deve essere sottovalutato. I dati sottratti possono essere utilizzati da malintenzionati per compiere attività illecite. È fondamentale che i consumatori adottino un comportamento prudente e consapevole per mitigare i rischi.
Ecco alcune azioni pratiche consigliate:
- Diffidare delle comunicazioni sospette: Prestare massima attenzione a email, SMS o messaggi che sembrano provenire da InfoCert, banche o altre istituzioni e che richiedono di cliccare su link, scaricare allegati o fornire credenziali di accesso. Potrebbe trattarsi di tentativi di phishing.
- Monitorare i propri account: Controllare regolarmente l’attività sui propri account online, inclusi quelli bancari e di posta elettronica, per individuare eventuali accessi o operazioni non autorizzate.
- Rafforzare le password: Utilizzare password complesse e uniche per ogni servizio e abilitare l’autenticazione a due fattori (2FA) ovunque sia possibile. Questo aggiunge un livello di sicurezza fondamentale.
- Non condividere dati personali: Non fornire mai informazioni personali, finanziarie o copie di documenti in risposta a richieste non sollecitate, anche se la comunicazione sembra legittima.
L’intervento del Garante Privacy è un passo importante per fare luce sull’accaduto e per garantire che vengano adottate tutte le misure necessarie a tutela dei diritti dei cittadini. Gli utenti hanno il diritto di essere informati in modo chiaro e tempestivo sulla natura della violazione e sui rischi che corrono.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
