Comunicazione agli utenti

10/11/2024 16:39

Accesso abusivo a sistemi informatici CNPR: aggiornamento del 10 novembre 2024

Facciamo seguito ai comunicati dei 29 ottobre us [https://www.cassaragionieri.it/-/1430182-64] e 31 ottobre us [https://www.cassaragionieri.it/-/1430182-66] e 05/11/2024 [https://www.cassaragionieri.it/-/1430182-67] pubblicati sul sito web istituzionale della CNPR per fornire un costante e puntuale aggiornamento sullo stato delle analisi ed investigazioni, tuttora in corso, in relazione all’incidente informatico occorso alla CNPR in data 22/10/2024, alle ore 13 circa, che si è concretizzato in un accesso abusivo ai sistemi informatici della Cassa di Previdenza, eseguito da ignoti criminali attraverso un attacco informatico all'account utente.

In data 08 novembre, si è ulteriormente provveduto ad integrare la notifica al Garante Privacy, condividendo ai fini istruttori ulteriori elementi tecnici funzionali all’attività di analisi ed investigazione condotte dal Team di Incident Response della Società di sicurezza informatica TINEXTA Cyber S.p.A.

Si conferma la violazione della riservatezza delle categorie di dati personali impattati dall’incidente, così come evidenziato nei comunicati dei 31/10/2024 e 05/11/2024 e relative notifiche individuali a tutti gli interessati coinvolti.

Per questa ragione, reiteriamo la raccomandazione di porre la massima attenzione ad eventuali azioni criminali che importino tentativi di comunicazione da parte di terzi con intento fraudolento (i.e. phishing, smishing etc).

A tal riguardo, si precisa che, come già rappresentato alle Autorità competenti, i dati possono essere utilizzati per finalità diverse da quelle previste e/o in modo non lecito (e.g. furti e/o usurpazione di identità, frodi e, comunque, conoscenza da parte di terzi non autorizzati).

 

 

Inoltre, ci teniamo a precisare che, in alcun caso  la Cassa di Previdenza contatterà mai telefonicamente e/o per posta elettronica ordinaria i propri Iscritti e Pensionati, Dipendenti, Fornitori e Conduttori di Immobili per chiedere di condividere password personali, dati bancari e codici delle carte di credito. Le comunicazioni, eventuali, di diffida per mancati versamenti sono trasmesse dalla CNPR esclusivamente tramite PEC.

 

Raccomandiamo pertanto:

- di diffidare di qualsivoglia comunicazione telefonica proveniente da numeri di telefonia fissa e/o mobile, da parte di sedicenti incaricati della CNPR e verificarne ogni richiesta, richiamando il numero verde di assistenza a Vostra disposizione;

- di porre sempre attenzione, in caso di e-mail proveniente da un dominio similare a “cassaragionieri”:

o verificare sempre l’header (intestazione) del mittente che potrebbe essere simile a quello di “cassaragionieri”, con intento intenzionalmente fraudolento;

o in caso di dubbio, non aprire né eseguire il download sui Vostri PC di eventuali allegati che potrebbero essere malevoli;

o non scansionare eventuali QR Code contenuti nel messaggio di testo di mail che potrebbero essere fraudolenti;

o non aprire link contenuti nel messaggio di testo della posta elettronica;

o non fornire credenziali ed altre proprie informazioni confidenziali;

 

o in generale, in caso di dubbio, segnalare direttamente attraverso il numero verde della CNPR ovvero attraverso una comunicazione PEC al DPO eventuali comunicazioni sospette che si avrà cura di condividere con l’Autorità giudiziaria per le indagini del caso.

Si precisa che le comunicazioni istituzionali della Cassa di Previdenza avverranno attraverso il sito web alla sezione “Comunicazioni” della CNPR.

 

 

Ove ancora non eseguito, suggeriamo e raccomandiamo:  

- di controllare i vostri account di posta elettronica sul dominio “cassaragionieri.it” e modificare le credenziali di accesso/login, resettando la password in uso e re-impostando una nuova password forte.

- verificare l’aggiornamento dei vostri sistemi antivirus.

Per la maggiore tutela degli interessati, ove ancora non eseguito, raccomandiamo inoltre:

- di controllare anche gli altri account in Vostro possesso, resettando le credenziali di accesso/login in uso e re-impostando una nuova password forte.

Tale ulteriore misura di mitigazione si rivela particolarmente importante per tutti gli utenti che abbiano usato le medesime credenziali violate nell’incidente in narrativa, anche per accedere ad altri servizi/portali online.

Si mantiene infine ALTA la valutazione circa la gravità del potenziale impatto per i diritti e le libertà fondamentali degli interessati coinvolti nell’incidente di violazione, specie per le Categorie Iscritti e Pensionati della Cassa di Previdenza e dei Dipendenti della Cassa di Previdenza.

Torniamo ad ammonire e diffidare chiunque fosse venuto, anche casualmente, a conoscenza di dati personali oggetto dell’incidente di violazione, a non utilizzarli, non comunicarli a terzi e non diffonderli in alcun modo, ad esempio sui canali social, stante che tali condotte possono configurare fattispecie penalmente rilevanti che saranno punite ai sensi di Legge dall’Autorità di Polizia Giudiziaria.  

Stiamo continuando a lavorare incessantemente per risolvere quanto prima questo spiacevole occorso.

Alla luce di quanto sopra, nell’esprimervi ancora una volta il vivo rammarico per la spiacevole vicenda che vede CNPR come parte offesa del censurato atto criminale, i nostri uffici continuano a rimanere a disposizione per ogni richiesta di chiarimento e/o supporto consulenziale che potrà essere indirizzato attraverso il numero verde di assistenza 800 814 601 (dal lunedì al venerdì dalle 9.30 alle 13.00), oppure scrivendo direttamente al seguente contatto pec del DPO rpd.privacy@pec.cassaragionieri.it

Seguiranno ulteriori aggiornamenti in linea con gli sviluppi delle attività di analisi in corso.