Accesso abusivo ai sistemi informatici CNPR: comunicazione agli utenti

Facciamo seguito ai comunicati dei 28 ottobre us [https://www.cassaragionieri.it/-/1430182-64] e 31 ottobre us [https://www.cassaragionieri.it/-/1430182-66] e pubblicati sul sito web istituzionale della CNPR per fornire un costante e puntuale aggiornamento sullo stato delle analisi ed investigazioni, tuttora in corso, in relazione all’incidente informatico occorso alla CNPR in data 22/10/2024, alle ore 13 circa, che si è concretizzato in un accesso abusivo ai sistemi informatici della Cassa di Previdenza, eseguito da ignoti criminali attraverso un attacco informatico all'account utente.

Allo stato delle attività di investigazione, prontamente avviate ed affidate agli esperti del Team di Incident Response della Società di sicurezza informatica TINEXTA Cyber S.p.A. si conferma il rilevamento di una violazione della riservatezza dei dati personali dei nostri utenti (Iscritti e Pensionati) oltre a quelli dei nostri dipendenti e referenti presso Aziende fornitrici della CNPR, secondo le tipologie e categorie declinate nei citati comunicati.

Ammoniamo e diffidiamo a tal proposito chiunque fosse venuto, anche casualmente, a conoscenza di dati personali oggetto dell’incidente di violazione, a non utilizzarli, non comunicarli a terzi e non diffonderli in alcun modo, ad esempio sui canali social, stante che tali condotte possono configurare fattispecie penalmente rilevanti che saranno punite ai sensi di Legge dall’Autorità di Polizia Giudiziaria.

Nelle more, confermando che le analisi per accertare l'eventuale compromissione di ulteriori categorie di dati personali sono al momento ancora in corso, raccomandiamo ancora una volta di porre la massima attenzione ad eventuali azioni criminali che importino tentativi di comunicazione da parte di terzi con intento fraudolento (i.e. phishing, smishing etc).

A tal riguardo si precisa che, come già rappresentato alle Autorità competenti, i dati possono essere utilizzati per finalità diverse da quelle previste e/o in modo non lecito. 

In particolare, appare verosimile che la perdita di riservatezza dei dati personali oggetto dell’incidente di violazione, potrebbe comportare furti e/o usurpazione di identità, frodi e, comunque, la loro conoscenza da parte di terzi non autorizzati.

Per queste ragioni, sebbene, per quanto noto ad oggi, l’incidente di violazione riguardi l’account utente di un sistema terzo di posta elettronica, con conseguente violazione delle credenziali, suggeriamo e raccomandiamo:

- di controllare i vostri account di posta elettronica sul dominio “cassaragionieri.it” e modificare le credenziali di accesso/login, resettando la password in uso e re-impostando una nuova password forte.

- di non aprire link contenuti nelle e-mail inviate dal dominio cassaragionieri.it, ancorché risulti noto l’indirizzo mittente e, in ogni caso, assicurarsi sempre che l’URL della pagina

web a cui si è eventualmente rinviati cominci, quanto meno, con la dicitura https, per avere almeno la garanzia di un protocollo di crittografia nelle comunicazioni sito-utente;

- di verificare sempre ed attentamente il contenuto delle comunicazioni di posta elettronica in entrata;

- verificare l’aggiornamento dei vostri sistemi antivirus.

Per la maggiore tutela degli interessati, nel caso in cui le medesime credenziali violate fossero utilizzate anche per accedere ad altri servizi/portali online, suggeriamo inoltre:

- di controllare anche gli altri account in vostro possesso, resettando le credenziali di accesso/login in uso e re-impostando una nuova password forte.

Per queste ragioni, in coerenza con le Linee guida del Garante, all’esito di una prima valutazione del rischio di tutti i fattori attualmente noti e, tenuto conto:

- dell'attualità del dato correlata all'identità certa ed inequivoca dell'interessato;

- delle ulteriori categorie di dati personali violati e delle categorie di interessati impattate, con particolare riferimento ai dati personali relativi all'appartenenza sindacale, alla situazione familiare e reddituale, nonché in relazione al coinvolgimento di dati particolari legati alla sfera della salute degli iscritti e pensionati della Cassa di previdenza;

- delle relative metriche quantitative, qualitative e di attualità nello specifico contesto nel quale si è verificato l’evento di violazione;

si conferma che è stata ritenuta ALTA la gravità del potenziale impatto per i diritti e le libertà fondamentali degli interessati coinvolti, con particolare riferimento alle Categorie Iscritti e Pensionati della Cassa di Previdenza e dei Dipendenti della Cassa di Previdenza.

Informiamo altresì che il nostro Team di risposta all’incidente di violazione, come da procedura, sta procedendo agli interventi conseguenti e necessari al fine di porvi rimedio.

Si precisa ulteriormente che il presente comunicato sarà notificato anche individualmente via pec a tutti gli Iscritti e Pensionati, nonché via mail ai dipendenti ed ai referenti presso le aziende fornitrici della CNPR.

Stiamo lavorando ininterrottamente per risolvere quanto prima questo spiacevole occorso.

Alla luce di quanto sopra, nell’esprimervi ancora una volta il vivo rammarico per la spiacevole vicenda che vede CNPR come parte offesa del censurato atto criminale, i nostri uffici continuano a rimanere a disposizione per ogni richiesta di chiarimento e/o supporto consulenziale che potrà essere indirizzato attraverso il numero verde dedicato 800 814 601 (dal lunedì al venerdì dalle 9.30 alle 13.00), oppure scrivendo direttamente al seguente contatto pec del DPO rpd.privacy@pec.cassaragionieri.it

Seguiranno ulteriori aggiornamenti in linea con gli sviluppi delle attività di analisi in corso.