Un grande attacco hacker ha colpito InfoCert, uno dei principali gestori autorizzati dal governo italiano per la gestione dello Spid, l’identità digitale che ormai ci accompagna da un po’. L’azienda ha confermato la violazione degli account, definendola un accesso “illecito” ai dati sensibili di circa 5,5 milioni di utenti. Nel momento in cui scriviamo, QuiFinanza ha verificato il funzionamento dell’app Infocert e risulta ancora fuori uso. Gli italiani che quindi utilizzano lo Spid tramite questo fornitore sono impossibilitati a farlo e potrebbero essere tra i tantissimi i cui dati sensibili sono stati violati. L’azienda ha rassicurato comunque che nessuna credenziale di accesso o password ai servizi InfoCert è stata compromessa. Vediamo cosa sappiamo nel dettaglio.

Violati i dati di 5,5 milioni di clienti Infocert

Dopo l’attacco hacker del 28 dicembre agli aeroporti di Milano Linate e Malpensa, ora un altro caso clamoroso in Italia. In un comunicato ufficiale, la stessa InfoCert, che si definisce la più grande Certification Authority in Europa, parte del gruppo Tinexta, con sede in Italia e operazioni in 12 Paesi, tra Europa e America Latina, ha spiegato cos’è accaduto:

In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.

Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert.

Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco. Sarà nostra cura fornire ulteriori approfondimenti non appena possibile.

Gli hacker potrebbero aver sfruttato una vulnerabilità nel sistema di gestione dei ticket di assistenza agli utenti.

Come ormai sappiamo, lo Spid serve per accedere ad esempio agli oltre 5mila servizi della Pubblica amministrazione, come Inps e Agenzia delle entrate, per utilizzare l’app Io, per richiedere bonus, per partecipare a concorsi, ma anche a siti di realtà private, per gestire pagamenti, informazioni personali utili e molto altro.

InfoCert ha sempre sottolineato di rispettare alti standard di sicurezza per permettere di navigare e accedere online con la propria identità digitale in tutta tranquillità. Mette a disposizione l’autenticazione a due fattori (password e OTP) che dovrebbero proteggerci dalle truffe online.

Cosa fare per proteggersi

In attesa di ulteriori chiarimenti da parte di InfoCert, i clienti sono invitati a:

controllare le proprie credenziali e segnalare eventuali attività sospette

evitare di rispondere a email o messaggi provenienti da fonti sconosciute, che potrebbero essere tentativi di phishing

sempre, cambiare password periodicamente e utilizzare autenticazione a due fattori sempre dove possibile.

Per chi non lo sapesse, è comunque possibile ottenere lo Spid senza necessariamente registrarsi presso un Identity provider. Tutte le info utili per farlo le trovate qui.