Con un avviso apparso negli ultimi giorni su tutti i siti web delle società controllate, del servizio idrico, luce, gas e ambiente, il gruppo Acea ha dato conferma di quanto avevamo anticipato lo scorso 17 marzo (leggi qui) a seguito dell’attacco hacker la società ha subito lo scorso febbraio, sono stati sottratti dati sensibili di clienti, fornitori e amministratori del gruppo societario.
Il contenuto dell’avviso diffuso da Acea
Per quanto riguarda la Ciociaria, l’attacco informatico ha interessato anche la banca dati di Acea Ato5, gestore del servizio idrico integrato. Sul portale aceato5.it, infatti, si legge: un “Avviso ai Clienti, Fornitori, Dipendenti e Organi Sociali del Gruppo Acea”. L’avviso è reso ai sensi dell’art. 34 del Regolamento Europeo 2016/679 (ovvero il Gdpr, il Regolamento generale per la protezione dei dati personali)”. Acea Ato 5 spiega che “Il 2 febbraio 2023 il Gruppo Acea è stato oggetto di un attacco informatico ai propri sistemi informativi a cura di ignoti.
Preso atto della natura dolosa dell’incidente occorso, che non ha impattato i servizi essenziali erogati, il Gruppo ha provveduto tempestivamente alla messa in sicurezza dei sistemi informativi impattati dall’attacco, informando, tra l’altro, le Autorità competenti.
Le verifiche condotte hanno consentito di appurare come l’attacco abbia comportato l’esfiltrazione di alcuni file che potrebbero contenere dati personali tra i quali nome, cognome, indirizzo, dati di contatto, presenti nei sistemi informatici del Gruppo Acea. E’ possibile, quindi, che anche i Vostri dati personali siano stati impattati da questo attacco.
Il Gruppo Acea ha adottato tutte le azioni utili a minimizzare ulteriormente i rischi di ripetizione di eventi analoghi, innalzando ancora di più gli standard di sicurezza a protezione dei dati personali.
Il Gruppo Acea è da sempre impegnato a tutelare i propri Clienti, Dipendenti e Fornitori e Organi Sociali e pone la massima attenzione alla gestione e alla sicurezza dei Vostri dati personali.
Rimaniamo a disposizione per ulteriori informazioni o chiarimenti, al numero verde gratuito 800 001 952”.
Acea, l’attacco condotto dal gruppo BlackBasta e la richiesta di riscatto
Come avevamo già riferito, a rivendicare l’attacco informatico ai siti web della multiutility era stato il gruppo hacker BlackBasta, che era riuscito a penetrare nel sistema informatico del gruppo grazie ad un allegato, inserito in una mail, incautamente aperto da qualche dipendente. Il contenuto dei server di Acea era stato quindi criptato e i pirati informatici avevano chiesto un riscatto per ‘sbloccare’ i dati. La cybersicurezza di Acea aveva risolto la questione nel giro di 48 ore, senza versare il riscatto, per rappresaglia, allora, il gruppo BlackBasta ha reso pubblici sui propri portali tutte le informazioni che nel frattempo era riuscito a sottrarre ad Acea: circa 800 gigabyte di dati, la metà dei quali contenuti in un file denominato “bollette” e potenzialmente contenente tutte le informazioni di fatturazioni e consumi dei clienti del gruppo.
L’obbligo di segnalare l’accaduto agli utenti e al Garante della Privacy
In base alla normativa europea ed italiana in materia di protezione della privacy, la società di gestione dei servizi ha dovuto procedere a comunicare “senza ingiustificato ritardo” – e lo ha fatto con l’avviso sui siti web delle varie società – la violazione subita, come previsto nei casi in cui “la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Stessa comunicazione, con una dettagliata relazione su quanto avvenuto, è stata inviata in precedenza – sempre come previsto dalla normativa sulla privacy – all’Autorità garante dei dati personali, a cui spetta valutare se sussistano responsabilità nella perdita di informazioni riservate.
