Quel chiodo, anche su Almaviva...
Spritz è tornato, ed è incavolato come una bestia... del resto, gli viene naturale.
La notizia del gigantesco data breach deve far tremare i polsi a tutti, animali compresi, perché a bordo di questo treno ci siamo tutti.
Vi lascio alle sue parole che, nonostante l'animo bestiale, sono particolarmente erudite, competenti e lucide.
Dunque, bentornato Spritz, anche se in circostanze decisamente funeste.
Per quanto mi riguarda, non ho nulla da aggiungere oltre ad un pensiero da DPO: troppo spesso i data breach disastrosi sono stati derubricati ad eventi di poco conto, hanno dato luogo a sanzioni ridicole o addirittura a blandi ammonimenti. Casi recenti sono arrivati al paradosso di meritare complimenti dall'Autorità Garante per una eccezionale collaborazione "oltre il dovuto". Verrebbe da pensare che un data breach possa essere persino occasione di plauso. Incredibile e inaccettabile.
Ritengo necessario mandare un segnale alle istituzioni in modo che siano percepiti e misurati il sentimento comune, la preoccupazione, l'impatto sociale di questo evento. Chiunque sia coinvolto, chi teme di esserlo, tutti colo che provano indignazione per gli effetti di una simile sciagura dovrebbero far sentire la propria voce inviando all'Autorità Garante una segnalazione. È forse l'unico modo rimasto per cercare di limitare l'arbitrio e ricondurre le istituzioni ai doveri, troppo spesso scambiate per poteri.
Come fare? semplice, basta inviare una email all'indirizzo protocollo@gpdp.it con un testo simile a quello che riporto in calce all'articolo.
Buona lettura
Christian
Il fatto
Il leak di Almaviva e delle Ferrovie dello Stato è molto pericoloso. Per tutti. Non solo per le aziende coinvolte, per il personale che vi lavora e per chiunque sia in qualche modo citato nel database. Ma anche, e soprattutto, per i semplici cittadini. Abbiamo avuto la possibilità di visualizzare alcuni sample dei 2,3 TB di file rubati e c’è davvero un mondo: dalle buste paga ai contratti, passando per i numeri dei conti correnti societari e per le configurazioni web. Chiunque entrasse in possesso di quelle informazioni potrebbe davvero causare molti danni, a ogni livello, senza che le vittime – in particolar modo i cittadini - siano in grado di contrastarli facilmente. Cerchiamo di capire il perché:
Quali sono i rischi: le buste paga
Prendiamo il caso delle buste paga o “statini”. Il documento riporta i dati personali sensibili del dipendente come nome e cognome, data di nascita, incarico, qualifica e stipendio. Di conseguenza, un malintenzionato ha a disposizione tutta una serie di informazioni per effettuare truffe a nome della vittima, senza che questa ne sia a conoscenza o possa in qualche modo impedirle.
Un esempio pratico e tristemente reale
Pensiamo, per esempio, a una richiesta di finanziamento. Ormai in molti casi sono effettuate e gestite online, in particolare per importi contenuti. Avendo il leak a disposizione, basta sostituirsi alla persona a cui è intestato il documento, inviando all’emittente del prestito un documento di identità contraffatto, le ultime 3 buste paga e i dati del conto corrente su cui accreditare l’importo. I controlli non daranno problemi: i dati anagrafici ed identificativi corrispondono e le buste paga risultano regolari. Di conseguenza, è abbastanza probabile che il finanziamento sia approvato. Il tutto senza che la vittima scopra nulla fino a quando non arriverà la comunicazione delle rate insolute. A quel punto sarebbe troppo tardi per recuperare il denaro erogato e i cittadini-vittime dovrebbero iniziare un lungo e costoso percorso per dimostrare di essere innocenti e non coinvolti nella truffa.
I rischi “fisici”
A causa dei leak aumentano anche i rischi “fisici” per le persone presenti nei database. Chiunque avesse accesso alle informazioni contenute, potrebbe improvvisare azioni criminali per trarre profitto dalle vittime (ricatti, estorsioni, minacce, ecc…).
I rischi per le società…e i cittadini
Veniamo alla parte societaria. A parte il cosiddetto danno reputazionale, per le aziende-vittime si configurano rischi molto elevati anche sui fronti del funzionamento e della sicurezza. Sfruttando le informazioni acquisite e con attività di social engineering, infatti, un criminale potrebbe cercare di infiltrarsi al loro interno per:
- rubare soldi e/o informazioni;
- sabotarle
In entrambi i casi sarebbero i cittadini, quelli che utilizzano i servizi offerti dalle aziende coinvolte nel leak o che vi lavorano, le vittime finali e più impotenti.
I treni e il chiodo della discordia
Non dimentichiamo che un assaggio di quanto potrebbe accadere, almeno sul fronte delle Ferrovie dello Stato, lo abbiamo già sperimentato il 2 ottobre 2024 quando un semplice chiodo piantato per errore in un cavo elettrico paralizzò gran parte della circolazione ferroviaria in Italia. Cosa succederebbe, quindi, se fossero sabotate direttamente le infrastrutture?
Almaviva e il Sistema Paese
Almaviva, inoltre, come riporta il suo stesso sito internet, opera al fianco delle principali industrie e istituzioni italiane, dalla Pubblica Amministrazione alla Difesa. Di conseguenza, chi ha a disposizione le informazioni del leak, virtualmente potrebbe ricattare o causare danni a mezzo Paese. Anche qui, le vittime finali sarebbero sempre i cittadini impotenti, che subirebbero disagi più o meno grandi a seconda delle realtà colpite e la cui sicurezza sarebbe fortemente a rischio.
Il data leak è una minaccia concreta per l’Italia
In conclusione, il furto dei 2,3TB di dati ad Almaviva e a Ferrovie dello Stato rappresenta una grave minaccia sia per il Paese come Istituzioni sia per i cittadini. Ed è un pericolo che non va sottovalutato perché potrebbe concretizzarsi in qualunque momento e all’improvviso. Non è un caso che dall’Agenzia per la Cybersicurezza Nazionale (ACN) alle le aziende coinvolte, passando per le forze dell’ordine e le Istituzioni, si siano attivati tutti per mettere in sicurezza i sistemi critici a rischio e garantirne la loro resilienza.
Il comunicato dell’azienda
"20-11-2025 - Almaviva informa che nelle settimane scorse i servizi aziendali dedicati al monitoraggio della sicurezza hanno individuato e successivamente isolato un attacco informatico che ha coinvolto i nostri sistemi corporate comportando la sottrazione di alcuni dati.
Almaviva ha immediatamente attivato le procedure di sicurezza e di contrasto attraverso il proprio team specializzato per questa tipologia di incidenti garantendo la salvaguardia e la piena operatività dei servizi critici.
Contestualmente, sono state informate le Autorità preposte – Procura della Repubblica, Polizia Postale, Agenzia Nazionale per la Cybersecurity e Garante della Privacy – e con le stesse, i partner e gli altri soggetti competenti è in corso una stretta collaborazione, al fine di garantire il massimo coordinamento nelle attività di monitoraggio, investigazione e risposta.
Le funzionalità e i servizi dei sistemi coinvolti sono rimasti regolarmente attivi, grazie alle misure e alle procedure di continuità operativa specificamente predisposte per questo tipo di scenario.
La sicurezza e la tutela dei dati dei nostri clienti, partner e collaboratori rappresentano per noi una priorità assoluta e costituiscono un impegno costante nella gestione dei nostri servizi e delle nostre infrastrutture. Proseguiremo nelle attività di verifica tecnica e di cooperazione con le Autorità competenti, e sarà nostra cura informare su ogni sviluppo rilevante, nel pieno rispetto della riservatezza e delle esigenze istruttorie delle indagini in corso."
Ai cittadini chi ci pensa?
I cittadini in tutti questi scenari sono le vittime finali e quelle più esposte, anche se c’è una bassa percezione generale sulla portata reale di questa minaccia. Di certo tutte le misure messe in campo finora e quelle previste contribuiranno ad attutire possibili colpi. Ma ciò non vuol dire che siamo tutti al sicuro. Perciò, conviene agire prima che sia troppo tardi. Come? Con piccoli e semplici passi. Innanzitutto, anche se sembra banale, migliorando la propria sicurezza online: cambiando le password, aggiornando tutti i propri dispositivi, attivando misure di controllo aggiuntive per l’autenticazione su tutti i servizi/piattaforme che la richiedono. Inoltre, e probabilmente è la cosa più importante, aumentando la vigilanza quando si naviga e si frequenta i social network. Nuove richieste di amicizia e di contatti vanno verificate bene prima che di accettare. Anche i contatti con gli amici vanno tenuti sott’occhio, perché qualcuno potrebbe impersonarli.
Una telefonata allunga la vita
In caso di dubbio, se possibile, è meglio fare una chiamata al proprio contatto per verificare. Questo vale per tutto e tutti. Dalle banche agli enti che chiedono pagamenti via sms/WhatsApp, smartphone o web ai contatti in chat. Uno “squillo” non costa nulla e potrebbe davvero fare risparmiare tanto tempo, soldi e arrabbiature. Oggi più che mai, infatti, come recitava un vecchio spot in tv con Massimo Lopez, “una telefonata allunga la vita”.
Disclaimer
Questo articolo è stato volutamente scritto in maniera generalista e non esaustivo. Il suo obiettivo non è fornire informazioni tecniche sull’accaduto. Questo compito, infatti, spetta esclusivamente alle istituzioni e alle entità coinvolte nelle indagini/remediation. Lo scopo è, invece, cercare di far capire a tutti e soprattutto a chi ha meno domestichezza con il cyberspazio, i pericoli che si nascondono in azioni di questo tipo. Ricordo anche che recuperare e detenere le informazioni presenti nel data leak è un reato, per cui scoraggio chiunque fosse intenzionato – o anche solo curioso – di intraprendere la caccia al repository. È molto più utile – e legale – invece, impegnarsi per migliorare la propria postura e sicurezza online.
SPRITZ 🐾
BOZZA DI SEGNALAZIONE AL GARANTE PRIVACY
Oggetto: segnalazione di Grave Violazione dei Dati Personali (Data Leak) – Riguardante Almaviva e Ferrovie dello Stato (FS)
Alla cortese attenzione del: Garante per la protezione dei dati personali
Il sottoscritto, XXXXXX, nato a XXXXXXX, il XXXXXX, raggiungibile all'indirizzo email da quale questa segnalazione viene trasmessa, venuto a conoscenza della notizia di una grave violazione dei dati (c.d. "Data breach") che ha coinvolto i sistemi informatici delle società Almaviva e Ferrovie dello Stato (FS), presenta la seguente segnalazione:
Entità e Contenuto: l'attacco informatico ha comportato la sottrazione di circa 2,3 TB di file. Tra i dati rubati, si fa riferimento a informazioni altamente sensibili e riservate, tra cui:
Buste paga ("statini")
Contratti
IBAN e Numeri dei conti correnti
Dati personali sensibili dei dipendenti (nome, cognome, data di nascita, incarico, qualifica, e stipendio).
Danno Potenziale ai Cittadini: rappresento l'estrema pericolosità del leak per le persone coinvolte, le quali sono le effettive vittime.
Rischi Specifici per le Vittime
La diffusione di questi dati espone le persone a gravi rischi di abusi e frodi, tra cui:
Furto d'Identità e Frodi Finanziarie
Rischi "Fisici" quali ricatti, estorsioni e minacce.
Sabotaggio di Infrastrutture
Alla luce della gravità della violazione e della vastità dei dati personali coinvolti, il sottoscritto chiede che l'Autorità Garante per la protezione dei dati personali voglia:
Verificare l'adeguatezza delle misure di sicurezza adottate da Almaviva e Ferrovie dello Stato prima dell'incidente.
Accertare le responsabilità in relazione alla violazione dei dati personali di dipendenti e cittadini.
Assicurare che tutte le misure necessarie siano intraprese per mitigare i rischi e per informare compiutamente e tempestivamente le vittime sulla portata del danno e sulle azioni correttive da intraprendere.
- Intervenire in modo estremamente rapido e cautelativo al fine di informare ogni possibile interessato e illustrare i rischi e le misure da intraprendere per limitare i rischi.
Luogo e Data
IL SEGNALANTE NOME COGNOME
