Il Garante della privacy (Gpdp) ha applicato una sanzione di 900.000 euro a Postel Spa, che per quasi un anno non è intervenuta su una nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali.
Lo ha reso noto il Garante, con la newsletter del 22 ottobre, che riporta il Provvedimento del 4 luglio 2024 [10063782].
Secondo il Gpdp, la società “è venuta meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio”.
Il Garante per la protezione dei dati personali ricostruisce la vicenda culminata nell’agosto del 2023, quando la società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare, l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25.000 persone, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Il Garante per la protezione dei dati personali aggiunge che Postel non aveva aggiornato, come raccomandato, i propri sistemi, nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software nel settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022, e poi dall’Agenzia per la cybersicurezza nazionale, a novembre 2022.
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.
Nel provvedimento adottato, il Gpdp ha ingiunto a Postel, oltre al pagamento della sanzione di 900.000 euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.
