Venerdì, 14 Giugno, 2024 - 09:00
Si fa seguito alla comunicazione agli interessati pubblicata in data 22 maggio u.s. (Comunicazione agli interessati - Sample Communication to Interested Parties), relativa alla violazione dei dati (data breach) causata dall’attacco informatico da parte dell’organizzazione cybercriminale “Lockbit 3.0” ai danni dell’Università degli Studi di Siena, per dare aggiornamenti agli interessati in base alle evidenze nel frattempo emerse dall’analisi degli uffici tecnici.
Con riguardo alla violazione l’Ateneo è ora in grado di dare ulteriori informazioni circa le categorie degli interessati coinvolti e dei dati violati.
L’attacco informatico in oggetto e le sue modalità sono state tali da essere suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, i tecnici hanno verificato che le conseguenze che ne sono derivate sono:
a) Violazione della riservatezza – in quanto vi è stato accesso non autorizzato a dati personali. Vi sono evidenze anche di una esfiltrazione di dati pari a circa 500 GB;
b) Violazione di disponibilità – vi è stata cifratura di dati non autorizzata e cancellazione di alcuni backup. La maggior parte dei dati in questione erano repliche di servizio di dati conservati e gestiti da altri sistemi che non sono stati interessati dall'attacco e quindi sono ora nella piena disponibilità dell'Ateneo.
Per quanto concerne le categorie delle persone interessate, la violazione ha riguardato:
- Dipendenti/consulenti/collaboratori esterni;
- Utenti, contraenti;
- Studenti;
- Docenti;
- Soggetti che ricoprono cariche sociali;
- Persone vulnerabili;
- Beneficiari di agevolazioni.
Per quanto concerne le categorie dei dati violati, la violazione ha riguardato:
- Dati anagrafici (es. nome, cognome, codice fiscale);
- Dati di contatto (es. numeri telefonici, indirizzi mail);
- Dati di accesso e di identificazione (es. password);
- Dati di pagamento (es. IBAN, conti correnti);
- Dati di traffico e relativi alla navigazione Internet;
- Dati reddituali (es. dichiarazioni dei redditi);
- Dati stipendiali (es. cessioni del quinto dello stipendio, cedolini);
- Dati relativi a documenti di riconoscimento (es. carte identità, passaporti);
- Dati che rivelano l’origine razziale o etnica (es. paesi di provenienza degli interessati);
- Dati relativi alla salute (es. informazioni ex legge 104/92, condizioni di disabilità);
- Dati che consistono in scansioni di firme autografe;
- Dati relativi alla carriera studentesca o professionale (es. curricula vitae, numeri matricola);
- Dati relativi ai tirocini formativi.
Si ribadisce che i rischi potenziali e le probabili conseguenze della violazione dei dati personali per gli interessati conseguenti a tale attacco, sono, tra gli altri:
- furto o usurpazione di identità;
- tentativi di frode e perdite economiche;
- discriminazione;
- trattamento dei dati esfiltrati in modo e per scopi contrari al diritto e illeciti;
- perdita di controllo dei dati personali;
- limitazioni dei diritti degli interessati;
- conoscenza dei dati da parte di terzi non autorizzati.
L’Università, rispetto alle misure per contenere gli effetti negativi della violazione e per porvi rimedio, oltre a ribadire quelle già segnalate nella comunicazione pubblica del 22 maggio, comunica di aver:
- effettuato, ove tempestivamente possibile, comunicazioni personali dirette agli interessati in merito all’esfiltrazione dei dati personali contenuti nell’immagine della carta d’identità e di star predisponendo, comunicazione personale da inviare agli interessati nella violazione di dati concernenti condizioni di disabilità;
- predisposto un apposito punto di raccolta, concordato con la competente Autorità di Polizia, presso la Divisione Legale e Avvocatura dell’Università per facilitare le denunce-querele relative all’esfiltrazione dei dati personali contenuti nell’immagine delle carte d’identità.
L’Università raccomanda agli interessati, al fine di contenere e attenuare i possibili effetti negativi dell’illecito trattamento, di porre attenzione ad eventuali comunicazioni con le quali venga richiesto di effettuare transazioni finanziarie e/o fornire informazioni personali, monitorare i social network, in quanto potrebbero esservi tentativi di utilizzo di dati per finalità non autorizzate o illecite (per esempio tentativi di frode informatica, phishing, sostituzione di persona); in tale ottica si raccomanda di accertare sempre l’effettiva autenticità e provenienza delle richieste ricevute e di non sottovalutare eventuali anomalie.
Inoltre, a maggior tutela di ogni interessato, si suggerisce la modifica della password unisiPass attraverso la piattaforma MY dell’Ateneo – https://my.unisi.it – per la quale sono state inviate puntuali notifiche per le credenziali non aggiornate da oltre un anno.
In ogni caso ulteriori accorgimenti volti a proteggersi da attacchi di phishing sono reperibili sul sito internet del Garante Privacy, alla seguente pagina informativa:
La presente comunicazione è resa in forma pubblica, poiché una comunicazione personale a ciascun interessato richiederebbe sforzi sproporzionati a causa dell’elevato numero dei potenziali interessati, della loro disparata provenienza, della difficoltà di reperirne i contatti, del volume dei dati oggetto di violazione e degli ingenti oneri anche organizzativi a carico dell’amministrazione.
In ogni caso, su specifiche richieste, l’Incident Response Team e la Responsabile per la Protezione dei Dati sono a disposizione per verifiche mirate attraverso gli uffici tecnici.
L’Incident Response Team e la Responsabile per la Protezione dei Dati possono essere contattati all’indirizzo dedicato ai data breach:
La Responsabile per la Protezione dei Dati è la Dott.ssa Chiara Silvia Armida Angiolini, ed è contattabile anche agli indirizzi:
o