InfoCert, uno dei principali gestori dello SPID (Sistema Pubblico di Identità Digitale), ha confermato di essere a conoscenza della pubblicazione non autorizzata di alcuni dati dei suoi utenti sul dark web. I dati in questione erano detenuti da un fornitore terzo (per ora non identificato).

L’azienda, parte del gruppo Tinexta, ha pubblicato una nota ufficiale sul suo sito per fornire le prime informazioni sulla questione. Sulla base di quanto si legge nel comunicato, le credenziali degli utenti, per l’accesso a servizi come SPID e PEC, sono al sicuro in quanto il furto riguarderebbe altri dati.

Partiamo subito dalle parole di InfoCert che, al momento, rappresentano l’unica certezza relativa alla situazione. Con un comunicato sul suo sito ufficiale, InfoCert ha confermato che in data 27 dicembre “è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo“.

L’attività illecita, si legge nel comunicato, che ha portato alla pubblicazione di tali dati “non ha però compromesso l’integrità dei sistemi di InfoCert“. L’azienda ha chiarito che sono in corso “opportuni accertamenti sul tema” e che “nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco“.

Nel corso dei prossimi giorni, una volta completati tutti i necessari controlli, InfoCert ha fatto sapere che fornirà ulteriori approfondimenti sulla questione. Come previsto dalla normativa, inoltre, InfoCert ha 72 ore di tempo (dal momento in cui l’azienda è venuta a conoscenza del caso) per riferire al Garante della Privacy.

Evidenziamo, in ogni caso, che il furto dei dati non dovrebbe essere avvenuto il 27 dicembre, data in cui sono stati pubblicati i dati sul dark web, ma precedentemente.

La notizia della pubblicazione sul dark web dei dati degli utenti è allarmante ma le dichiarazioni di InfoCert sono, almeno in parte, rassicuranti. Le credenziali d’accesso degli utenti sarebbero al sicuro e, quindi, la violazione non dovrebbe riguardare servizi come SPID, PEC e firma digitale proposti dall’azienda.

In ogni caso, sarà necessario un controllo approfondito della situazione, valutando sotto tutti gli aspetti il caso. La violazione, sempre stando a quanto riferito da InfoCert, riguarda i sistemi di un fornitore. La normativa vigente (legata al regolamento eIDAS – Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno) prevede una separazione dei dati di accesso da altri dati concessi ai fornitori terzi.

Questo meccanismo, pensato per proteggere anche i sistemi di identità digitale, potrebbe essere stato determinate in questo caso, impedendo il furto delle credenziali degli utenti. Il caso, però, non è chiuso e sarà necessario attendere le prossime settimane per ottenere maggiori informazioni sulla questione.