Sicurezza informatica: arriva la maxi multa del Garante in seguito ad un data breach

Il Garante per la protezione dei dati personali ha inflitto alla società Postel S.p.A. una pesante sanzione di 900.000 euro per la mancata risoluzione di una vulnerabilità già da tempo segnalata nei propri sistemi informatici, che ha infine portato ad una violazione dei dati personali.

Nell'estate del 2023, si è, infatti, verificato un attacco ransomware che ha causato il blocco dei server e delle postazioni di lavoro della società appartenente al Gruppo Poste Italiane, con conseguente esfiltrazione e in alcuni casi perdita di dati personali.

I dati sensibili di circa 25.000 persone (tra dipendenti, ex dipendenti, congiunti, rappresentanti e candidati), riguardanti informazioni di accesso e identificazione, condanne penali e reati, nonché appartenenza sindacale e salute sono così finiti nel dark web.

Nonostante la segnalazione della vulnerabilità da parte del produttore del software e poi anche dell'Agenzia per la Cybersicurezza Nazionale, Postel non ha aggiornato i propri sistemi come indicato. Questo comportamento ha violato le regole sulla protezione dei dati personali, che richiedono l'adozione di adeguate misure tecniche e organizzative per garantire la sicurezza delle informazioni conservate.

Peraltro, nella notifica di data breach al Garante e nelle successive integrazioni Postel non avrebbe mai fornito informazioni complete sull'incidente, né sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, causando un allungamento dei tempi per i controlli da parte del Garante privacy.

Quest'ultimo ha, dunque, previsto - oltre alla citata multa - un obbligo per la società di effettuare un'analisi approfondita delle vulnerabilità dei propri sistemi, predisporre un piano per gestirle e definire tempi adeguati per la risposta ai rischi.

Fonte: (Diritto e Giustizia)