Con due comunicati, uno del 29 e uno del 30 dicembre 2024, l’azienda InfoCert, fornitrice del servizio di identità digitale SPID, ha confermato di essere stata vittima di un attacco hacker con cui sono stati violati i dati personali di 5,5 milioni di persone. In particolare, è stato violato un database utilizzato per gestire le richieste di assistenza dei clienti verso l’azienda. I dati rubati includono nomi, cognomi, indirizzi e-mail, codici fiscali e numeri di telefono. L’illecito è stato commesso il 27 dicembre scorso e rivendicato nel deep web sulla piattaforma BreachForums il giorno seguente con l’annuncio di vendita dei dati rubati alla cifra iniziale trattabile di 1.500 dollari.
InfoCert si occupa della creazione delle identità digitali degli italiani, e attualmente gestisce circa 1,8 milioni di SPID attivi, con 2 milioni di persone che si autenticano tramite l’App InfoCert e 64 milioni di accessi fatti a portali web con i servizi di identità digitale.
Per provare l’autenticità del possesso di tali dati, il gestore della piattaforma ha incluso nel post un campione del suo bottino, focalizzandosi sulla spiegazione dell’azienda InfoCert SpA, il contesto in cui opera e la grandezza del target colpito. Sottolinea infatti la dimensione finale dell’esfiltrazione, inquadrandola in 5,5 milioni di dati esposti. Tra questi, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail. I dati esposti nel campione sono in formato CSV e contengono 24 righe dei dati in suo possesso. I dati rilasciati sembrano associabili ad un Ticketing System, ovvero al backend di quei sistemi che si utilizzano per gestire le richieste di assistenza dei clienti verso un’azienda. Tra i molti campi che l’esportazione del database comprende, ci sono nomi, cognomi, indirizzi e-mail, codici fiscali, numeri di telefono, ma anche il motivo della richiesta di assistenza, la sua risoluzione e eventuali dettagli intercorsi tra l’operatore InfoCert e il cliente.

Cos’è BreachForums?

BreachForums è una piattaforma molto conosciuta nel deep web, utilizzata dai cybercriminali per la compravendita di dati rubati, strumenti di hacking e altre attività illecite. Questa community è organizzata in modo che gli utenti possano pubblicare annunci relativi ai loro bottini informatici, spesso accompagnati da campioni dei dati per dimostrarne l’autenticità. È uno dei mercati neri più attivi per lo scambio di informazioni compromesse, accessibile solo tramite browser specifici come Tor.

I comunicati ufficiali di InfoCert

In risposta all’accaduto, InfoCert ha pubblicato un comunicato ufficiale nel quale ha dichiarato che: “In data 27 dicembre … è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo e che tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert”. La nota prosegue rassicurando che “nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco”.

Nel secondo comunicato, l’azienda ha confermato “che l’integrità e la sicurezza dei servizi InfoCert, in particolare SPID, PEC e Firma Digitale, restano pienamente garantite, ribadiamo che l’illecita sottrazione di dati ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care. I dati coinvolti sono, ad oggi, limitati alle informazioni connesse alla gestione delle richieste di assistenza clienti avanzate tramite il sistema di ticketing.”

Di concerto con il detto fornitore, l’azienda ha poi comunicato di aver intrapreso le necessarie misure per verificare e contenere l’evento, predisposto una serie di analisi tecniche approfondite per esaminare l’accaduto, oltre ad aver abbiamo avviato la notifica al Garante Privacy come previsto dal Regolamento Europeo sulla Protezione dei Dati Personali GDPR.

Scaricare la colpa non basta: il caso InfoCert e le sue domande aperte

Se da un lato è vero che il comunicato sembra mirato a contenere i danni di reputazione, dall’altro è difficile accettare a cuor leggero tali dichiarazioni da parte di un’azienda il cui core business è la sicurezza digitale. Il semplice fatto che si sia verificata una violazione così grave è un campanello d’allarme: chi si occupa di sicurezza non può permettersi falle di questo tipo, soprattutto considerando l’importanza e la sensibilità dei dati trattati, né può risolvere con una scrollata di spalle scaricando la colpa sul proprio fornitore, essendo questi compreso nel perimetro di sicurezza su cui l’azienda stessa avrebbe dovuto vigilare.
L’affermazione secondo cui l’integrità dei sistemi InfoCert non sarebbe stata compromessa può sembrare rassicurante, ma solleva più domande che risposte. Se i dati rubati sono stati esfiltrati da un fornitore terzo, quali misure di sicurezza erano in atto per proteggere l’intero ecosistema? Quali garanzie possiamo avere che simili attacchi non si ripetano, magari con conseguenze ancor più gravi?

Ancora più importante, in nessuno dei due comunicati InfoCert viene menzionato il rischio di phishing a cui sono esposti gli utenti coinvolti nel breach. Si tratta di una mancanza significativa, considerando che i dati sottratti (email, numeri di telefono) sono informazioni comunemente sfruttate per campagne di phishing mirato, in cui gli attaccanti avrebbero gioco facile proprio a impersonare operatori dell’azienda che si mettono in contatto con i clienti dopo il data breach.

Un problema di fiducia

La fiducia è il pilastro fondamentale su cui si basano i servizi offerti da aziende come InfoCert. La gestione delle identità digitali richiede standard di sicurezza eccezionalmente elevati, che non possono essere compromessi. Questo episodio, invece, mina profondamente la credibilità dell’intera filiera.
Mentre il caso InfoCert si sviluppa, resta un’amara consapevolezza: il panorama della sicurezza digitale in Italia è ancora troppo vulnerabile. Gli attacchi informatici diventano sempre più sofisticati, e molte aziende non sono adeguatamente preparate a fronteggiarli. Non si tratta solo di proteggere dati sensibili, ma di salvaguardare la fiducia dei cittadini nei servizi digitali su cui sempre più si fondano le nostre vite quotidiane, SPID in primis.