Comunicazione agli utenti

31/10/2024 20:15

Accesso abusivo a sistemi informatici CNPR

Facciamo seguito al comunicato del 28 ottobre us [https://www.cassaragionieri.it/-/1430182-64], per fornire un aggiornamento  sullo stato delle analisi ed investigazioni, tuttora in corso, in relazione all’incidente informatico occorso alla CNPR in data 22/10/2024, alle ore 13 circa, che si è concretizzato in un accesso abusivo ai sistemi informatici della Cassa di Previdenza, eseguito da ignoti criminali attraverso un attacco informatico all'account utente.

Allo stato delle attività di investigazione, prontamente avviate, si conferma il rilevamento di una violazione dei dati dei nostri utenti (Iscritti e Pensionati) oltre a quelli dei nostri dipendenti e referenti presso Aziende fornitrici della CNPR.

I dati che risultano compromessi, allo stato delle attività di investigazione, fanno riferimento:

  • Per la Categoria di Interessati: “Iscritti e Pensionati della Cassa di Previdenza
    • Dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale);
    • Dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile) c) Dati di pagamento (numero di conto corrente/Iban)
    • Dati relativi a documenti di identificazione/riconoscimento (carta di identità, patente)
    • Dati relativi alla situazione reddituale
    • Dati che rivelino l’origine razziale o etnica
    • Dati che rivelino l’appartenenza sindacale
    • Dati relativi alla salute
    • Dati relativi alla situazione/nucleo familiare
  • Per la Categoria di Interessati: “Dipendenti della Cassa di Previdenza”:
    • Dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale);
    • Dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile)
    • Dati di pagamento (numero di conto corrente/Iban)
    • Dati relativi a documenti di identificazione/riconoscimento (carta di identità, patente);
    • Dati relativi alla situazione reddituale;
    • Dati che rivelino l’origine razziale o etnica
    • Dati che rivelino l’appartenenza sindacale
    • Dati relativi alla salute
    • Dati relativi alla situazione/nucleo familiare.

 

  • Per la Categoria di Interessati “Fornitori (persone fisiche) della Cassa di Previdenza”:
    • Dati anagrafici (nome, cognome, sesso)
    • Dati di contatto (indirizzo postale o di posta elettronica, pec, numero di telefono fisso o mobile)
    • Dati di pagamento (numero di conto corrente/Iban)
    • Ruolo nell'Organizzazione del Fornitore

Sono tuttavia in corso le analisi per accertare l'eventuale compromissione di ulteriori categorie di dati personali e, al momento, invitiamo a porre la massima attenzione ad eventuali azioni criminali che importino tentativi di comunicazione da parte di terzi con intento fraudolento (i.e. phishing, smishing etc).

A tal riguardo si precisa che, come già rappresentato alle Autorità competenti, i dati possono essere utilizzati per finalità diverse da quelle previste e/o in modo non lecito. 

In particolare, appare verosimile che la perdita di riservatezza dei dati personali oggetto dell’incidente di violazione, potrebbe comportare furti e/o usurpazione di identità, frodi e, comunque, la loro conoscenza da parte di terzi non autorizzati. 

Ciò comporta un potenziale impatto per gli interessati in relazione ai possibili rischi che abbiamo  individuato e valutato in:

a) Perdita del controllo dei dati personali

b) Furto o usurpazione d’identità

c) Frodi

d) Pregiudizio alla reputazione

e) Conoscenza da parte di terzi non autorizzati

Per queste ragioni, in coerenza con le Linee guida del Garante, all’esito di una prima valutazione del rischio di tutti i fattori attualmente noti e, tenuto conto:

  • dell'attualità del dato correlata all'identità certa ed inequivoca dell'interessato;
  • delle ulteriori categorie di dati personali violati e delle categorie di interessati  impattate, con particolare riferimento ai dati personali relativi all'appartenenza sindacale, alla situazione familiare e reddituale, nonché in relazione al coinvolgimento di dati particolari legati alla sfera della salute degli iscritti e pensionati della Cassa di previdenza;
  • delle relative metriche quantitative, qualitative e di attualità nello specifico contesto nel quale si è verificato l’evento di violazione;

si ritiene ALTA la gravità del potenziale impatto per gli interessati coinvolti, con particolare riferimento alle Categorie Iscritti e Pensionati della Cassa di Previdenza e dei Dipendenti della Cassa di Previdenza.

 Si precisa ulteriormente che:

  • è in corso di deposito la denunzia-querela contro ignoti innanzi alla Procura della Repubblica presso il Tribunale di Roma;
  • in data 25 ottobre 2024 è stata eseguita la notifica preliminare della violazione dei dati personali al Garante Privacy, successivamente integrata in data 31 ottobre 2024;
  • in data 28 ottobre 2024, si è provveduto anche all’invio di notifica individuale via pec ed e-mail a tutti gli iscritti, pensionati e dipendenti della Cassa di Previdenza ed è anche in corso la notifica individuale a tutti i referenti (persone fisiche) presso le aziende fornitrici della CNPR.

Alla luce di quanto sopra, nell’esprimervi ancora una volta il vivo rammarico per la spiacevole vicenda che vede CNPR come parte offesa del censurato atto criminale, i nostri uffici continuano a rimanere a disposizione per ogni richiesta di chiarimento e/o supporto che potrà essere indirizzato attraverso il numero verde dedicato 800 814 601 (dal lunedì al venerdì dalle 9.30 alle 13.00), oppure scrivendo direttamente al seguente contatto pec del DPO rpd.privacy@pec.cassaragionieri.it

Seguiranno ulteriori aggiornamenti in linea con gli sviluppi delle attività di analisi in corso.