Sanzioni: la maximulta del Garante per un caso di data breach

Il Garante Privacy ha sanzionato la Postel SpA con una multa dal valore di 900.000 euro per non aver affrontato una vulnerabilità segnalata dei propri sistemi, che ha poi portato a una violazione dei dati personali durante un attacco ransomware nell'agosto 2023.

Le informazioni, in seguito pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, informazioni riguardanti condanne penali e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e lo stato di salute.

L'attacco ha portato alla divulgazione di dati sensibili di circa 25.000 individui e nonostante le segnalazioni pregresse sulla vulnerabilità, l'azienda non ha aggiornato i propri sistemi come raccomandato.

Inoltre, si evidenzia come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia mai fornito tutte le informazioni necessarie e utili sulla violazione e sulle misure di mitigazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per i controlli dell’Autorità.

Oltre alla multa, il Garante ha ordinato alla società in questione di condurre un'analisi approfondita delle vulnerabilità, pianificare la gestione delle stesse e stabilire tempi di rilevamento e risposta tempestivi.