Una vasta quantità di dati personali, pari a oltre cinque milioni, è stata trafugata e messa in commercio sul dark web. Tra le informazioni sottratte figurano, presumibilmente, numeri di telefono e indirizzi email. L’azienda InfoCert, nota per essere uno dei principali provider di servizi di identità digitale in Europa, ha denunciato ufficialmente la vicenda. La compromissione dei dati non è dovuta a un’intrusione diretta nei sistemi dell’azienda, bensì a un attacco subito da un fornitore terzo con cui InfoCert collabora.
L’alert di sicurezza è stato lanciato da InfoCert il 27 dicembre, nello stesso giorno in cui su BreachForums, una piattaforma del dark web dove i criminali informatici condividono dati rubati, è comparsa l’offerta di vendita delle informazioni a un prezzo di circa 1400 euro. Nella pubblicazione, l’autore ha condiviso un campione di contatti per garantire la veridicità dell’operazione illecita, affermando che il bottino totale include 5,5 milioni di dati, di cui 1,1 milioni di numeri telefonici e 2,5 milioni di email.
InfoCert, sottolineando di non aver subito un’intrusione diretta nei suoi sistemi, rassicura che le credenziali e le password dei suoi servizi non risultano compromesse. Tuttavia, l’azienda riconosce che i dati sono stati estratti da un soggetto terzo al loro sistema.
InfoCert è ampiamente conosciuta soprattutto per il suo ruolo come gestore di Spid, il Sistema Pubblico di Identità Digitale italiano. Parte del gruppo Tinexta, nel 2015 ha ottenuto l’accreditamento come gestore d’identità digitale dall’Agenzia per l’Italia Digitale. L’azienda gode di una reputazione solida anche in Europa grazie ai suoi servizi di firma digitale e posta elettronica certificata (Pec) e mantiene la qualifica di Qualified Trust Service Provider secondo il regolamento europeo eIDAS.
Nonostante il prestigio di InfoCert, il regolamento eIDAS non prevede requisiti stringenti di sicurezza per i fornitori terzi, demandando alle aziende stesse, come InfoCert, di adottare politiche adeguate per gestire rischi operativi, incluso il rischio derivante da collaborazioni esterne. Questa lacuna normativa può aprire la strada a vulnerabilità nei sistemi indiretti, come si è potuto constatare in questo recente attacco.
La vicenda mette in evidenza, secondo il sito DDay, che sebbene le aziende possano operare in linea con le normative vigenti, l’assenza di standard specifici per i fornitori esterni rappresenta una sfida significativa per la sicurezza complessiva dei dati digitali.
