Il Garante della Privacy, con il provvedimento n. 572 del 4 luglio 2024 (doc. web. 10063782), ha sanzionato la società Postel per non essere intervenuta, per quasi un anno, su una già nota e segnalata vulnerabilità dei propri sistemi, attraverso la quale ha poi subito una violazione dei dati personali (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063782).

Dall’esame del provvedimento emergono importanti direttive da applicare anche nell’aggiornamento dei propri sistemi informatici di gestione dei dati.

In particolare l’attacco ha comportato, nel caso di specie, l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.

Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.

Nel caso di specie, il Garante ha evidenziato gravi carenze del processo di patching management della società, avendo omesso, la stessa, di effettuare l’aggiornamento di sicurezza della piattaforma Microsoft Exchange, nonostante le vulnerabilità fossero note e segnalate sia da Microsoft che dall’ACN.

Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva infatti aggiornato, come raccomandato, i propri sistemi.

La società è venuta così meno agli obblighi previsti dalla normativa in materia di protezione dei dati personali, che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.

Nel provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di:

• effettuare una verifica delle vulnerabilità nei propri sistemi, procedendo a risolverle rapidamente, tenuto conto del livello di rischio che deriva dalla inadeguata protezione dei dati personali trattati;
• predisporre una procedura formalizzata per la gestione delle vulnerabilità, che preveda, in particolare, la pianificazione del controllo di tutti gli asset IT dell’organizzazione al fine di rilevare l'eventuale presenza di vulnerabilità note o potenziali nonché l’individuazione delle relative procedure di correzione e mitigazione;
• individuare, per i diversi asset IT attraverso cui la società tratta dati personali, dei valori relativi al tempo medio di rilevamento delle vulnerabilità (MTTD) e al tempo medio di risposta (MTTR), che siano adeguati tenuto conto del rischio per i diritti e le libertà delle persone fisiche.

Tale elevata sanzione solleva interrogativi fondamentali sull’importanza di un approccio sistematico e automatizzato nella gestione delle patch di sicurezza e mette in luce non solo le conseguenze economiche di una negligenza, ma anche il rischio di compromettere la sicurezza dei dati e la fiducia dei cittadini.

Sotto tale profilo, le vulnerabilità note, invece, rappresentano un obiettivo primario per gli attaccanti; pertanto, ogni ritardo nell’implementazione degli aggiornamenti può determinare un alto rischio.

In tali casi è essenziale che gli enti, con il supporto dell’Ufficio CED o IT, anche esterno, non solo riconoscano l’urgenza di un aggiornamento, ma pongano anche in atto procedure che permettano un’applicazione rapida ed efficiente delle patch.

Questo non solo aumenta la sicurezza generale dei sistemi, ma migliora anche la conformità alle normative, riducendo il rischio di sanzioni, e consente ai titolari del trattamento dei dati di dimostrare proattivamente il loro impegno nella sicurezza e protezione dei dati.