Comunicazione preliminare sulla violazione dei dati agli interessati

Negli scorsi giorni l’Università degli Studi di Siena ha subito un attacco informatico, già reso noto attraverso la stampa locale, da parte di un’organizzazione internazionale di cyber criminali, che sono riusciti ad accedere illecitamente a parti dell’infrastruttura informatica di Ateneo.

L’Università, con il supporto della nostra Responsabile della protezione dei dati personali e degli uffici competenti, sta predisponendo la notifica dell’accaduto all’Autorità Garante per la Protezione dei Dati personali e sporgerà denuncia contro ignoti presso la Polizia Postale di Siena. Nel contempo, l’Ateneo ha provveduto a notificare l’accaduto anche all’ Agenzia per la Cybersicurezza Nazionale (ACN), che ha inviato suoi tecnici presso l’Ateneo per collaborare all’analisi della violazione.

In questo momento sono in corso approfondimenti e analisi tecniche per capire la concreta portata dell’attacco esterno, le cui possibili conseguenze non sono ancora accertate in via definitiva. L’Ateneo ha messo in atto procedure volte a identificare con precisione le categorie di dati e dei soggetti interessati coinvolti.

L’Università, per limitare e contenere i possibili effetti della violazione, ha subito isolato i sistemi e le macchine oggetto delle attività malevole, avviando la bonifica dell’intero sistema informatico ed innalzando i livelli di sicurezza in collaborazione con una azienda specializzata nel settore. È stata inoltre immediatamente istituita dal Rettore una unità tecnica denominata “Incident Response Team”, formata dal Rettore medesimo, dalla Direttrice Generale, dal Delegato alla Innovazione e Digitalizzazione, dalla Responsabile della Protezione dei Dati di Ateneo, dall’Area Organizzazione e Sistemi Informativi, dalla Divisione Legale e Avvocatura e dal Responsabile della Comunicazione.

In attesa degli ulteriori approfondimenti, che saranno comunque oggetto di successiva comunicazione, si informa fin d’ora che le possibili conseguenze dell’attacco in relazione ai dati personali potrebbero, tra le altre, essere: furto o usurpazione di identità, perdita di controllo dei dati personali, limitazioni dei relativi diritti da parte degli interessati e conoscenza dei dati da parte di terzi non autorizzati.

L’Università intende assicurare che ha effettuato ed effettuerà ogni azione utile e necessaria al fine di porre rimedio agli effetti dell’attacco subito e alle possibili conseguenze per gli interessati, nonché per prevenire simili attacchi nel futuro.

È possibile fare riferimento al punto di contatto “Incident Response Team” all’indirizzo di posta elettronica: [email protected]