Comunicazione di violazione dei dati personali agli interessati conseguente ad incidente di sicurezza relativo ai sistemi informativi del responsabile esterno Miles 33 s.r.l.

Art. 34 del Regolamento (UE) 2016/679

---

La società vi informa che, a seguito dell’incidente di sicurezza che ha riguardato i sistemi infotelematici di Miles 33 s.r.l., è stata rilevata una violazione dei dati personali che potrebbe riguardarvi.

La società, infatti, nella propria qualità di Titolare del trattamento dei dati personali oggetto di violazione si avvale di Miles 33 s.r.l. quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, per la fornitura del servizio Virtual News Paper (VNP) che consente agli utenti e agli abbonati di fruire dei contenuti digitali compresi nei servizi e prodotti acquistati.

Precisiamo che la società ha provveduto alla relativa notificazione ex art. 33 del Regolamento (UE) 2016/679 al Garante per la protezione dei dati personali, ed è attualmente impegnata con l’Autorità di Controllo medesima nell’acquisizione di tutte le informazioni utili per la conclusione dell’istruttoria avente ad oggetto l’analisi dell’incidente di sicurezza in oggetto.

Inoltre, la società ha provveduto ad inviare via email, già in data 3 agosto 2024, ovvero nell’immediatezza di quanto occorso, a tutti gli abbonati ed utenti dei servizi coinvolti, una comunicazione di sicurezza avente ad oggetto una descrizione dell’evento malevolo con le informazioni in quel momento disponibili e alcune indicazioni di buone pratiche da adottare a tutela dei propri dati personali.

La presente comunicazione costituisce un aggiornamento della predetta comunicazione e, al contempo, una formale comunicazione ex art. 34 del Regolamento (UE) 2016/679 .

(I) Descrizione della violazione

Come riportato nella comunicazione del 3 agosto u.s., la società fornitrice Miles 33 s.r.l., in data 31 Luglio 2024, ha riscontrato un accesso non autorizzato ai propri sistemi infotelematici che ha comportato la compromissione della riservatezza di dati personali ivi oggetto di trattamento.

In particolare, secondo quanto riportato dalla società fornitrice, i sistemi informativi di quest’ultima sono stati vittime di un attacco malevolo di tipo “Ransomware” che ha portato alla cifratura di alcuni server nella propria infrastruttura in OVH.

 Si precisa che la società deposita i giornali in formato .pdf su un server di tipo FTP del fornitore, che successivamente li elabora con i propri sistemi per renderli disponibili agli utenti e sfogliabili tramite app e web dagli stessi.

 I dati personali di cui la scrivente società è titolare del trattamento e che sono trattati per suo conto dal responsabile del trattamento Miles 33 s.r.l., sono relativi ai soli dati personali anagrafici, di residenza/domicilio e di contatto degli utenti, username e password; l’eventuale perdita di riservatezza non ha riguardato né dati particolari ex art. 9 del GDPR, né carte e/o documenti di identità, né dati di pagamento degli utenti (ad es. dati di carte di credito, dati bancari ecc.), posto che nessuna delle predette tipologie di dati era presente nei server gestiti dal fornitore.

(II) Rischi per gli interessati

La scrivente società non ha, ad oggi, la possibilità di confermare che un’esfiltrazione dei dati personali non ci sia stata, e, pertanto, non è possibile escludere con certezza che la violazione dei dati personali avvenuta potrebbe comportare rischi per la vostra privacy e sicurezza con riferimento ad una eventuale conoscenza degli stessi da parte di terzi non autorizzati.

(III) Misure di sicurezza adottate

Al momento della violazione della sicurezza dei sistemi erano presenti in capo al fornitore misure di sicurezza sia di carattere tecnico che organizzativo, così come previsto dall’atto di nomina ex art. 28 del Regolamento (UE) 2016/679.

A seguito della notizia dell’incidente, Miles 33 s.r.l. ha provveduto a portare offline gli ambienti interessati per valutare quale impatto avrebbe avuto l’attacco e per prevenire ulteriori danni. Il fornitore ha comunicato di disporre di backup dei dati al di fuori dell'ambiente di produzione come precauzione per questa tipologia di eventi; successivamente, ha proceduto a mettere in sicurezza il sistema, analizzando lo stato dell'infrastruttura informatico-digitale ed isolando e neutralizzando il “Ransonware”.

Infine, il fornitore ha rimesso in funzione in modo graduale gli asset non interessati dall'attacco o rispetto ai quali il malware è stato debellato, ripristinando i sistemi e procedendo contestualmente a rinforzare ulteriormente le proprie misure tecnico-informatiche.

(IV) Consigli di sicurezza per gli utenti

Come già anticipato con la comunicazione inviata via email in data 3 agosto u.s., si consiglia di applicare quelle che sono buone prassi di sicurezza, ovvero di seguire le seguenti raccomandazioni per diminuire le probabilità dei rischi derivanti dalla violazione (es. furto d’identità e tentativi di frode):

• Modificare le credenziali (username e password) nella propria area personale del sito
• Non utilizzare la password compromessa né una simile per l’accesso ad altri sistemi informatici e/o altri servizi web qualora coincidente o simile a quella oggetto di violazione, sostituendo le password dei propri account e, se il sistema lo permette, attivare l’autenticazione a più fattori;
• Prestare la massima attenzione a qualsiasi mail inusuale (per es. comunicazioni non richieste che richiedono informazioni personali), ed in particolar modo:
  1. valutare attentamente ogni e-mail, SMS, messaggio o telefonata in cui venissero richiesti codici di accesso od ulteriori dati personali, e l’attendibilità del richiedente;
  2. valutare attentamente e-mail, SMS e altre fonti di messaggistica contenenti collegamenti ipertestuali o allegati sospetti/inusuali che potrebbero essere usati per indirizzare l'utente verso siti web dannosi o fargli scaricare software malevoli;
  3. informare i propri familiari e conoscenti di essere stati vittima di questa violazione, suggerendo loro di porre attenzione al rischio di ricevere false richieste che paiono pervenire da voi.

La società raccomanda, infine, a tutti i potenziali interessati di porre maggiore attenzione a qualunque interazione sospetta (online, ma anche offline) ed invita, in ogni caso e comunque, a prendere visione dei “Vademecum” informativi pubblicati dal Garante per la Protezione dei dati personali ai seguenti link:

• https://www.garanteprivacy.it/temi/cybersecurity/smishing
• https://www.garanteprivacy.it/temi/cybersecurity/vishing
• https://www.garanteprivacy.it/temi/cybersecurity/phishing
• https://www.garanteprivacy.it/home/ricerca/-/search/key/sim%20swapping

Il Garante per la protezione dei dati personali ricorda che eventuali tentativi di frode possono essere di vario tipo, ma l’obiettivo è solitamente quello di utilizzare i dati personali per estorcere denaro e/o esfiltrare ulteriori dati personali attraverso l’invio di messaggi e/o telefonate contenenti false richieste provenienti da parte di servizi (banche, assicurazioni, fornitori di energia/servizi ecc.), oppure amici o familiari oppure tentando di accedere agli account riconducibili alla vittima.

(V) Contatti

Per qualsiasi ulteriore richiesta di informazioni, è possibile contattare il Titolare del trattamento ed il Responsabile della Protezione dei Dati (RPD/DPO) ai seguenti recapiti:

Titolare: 

Class Editori S.p.A.

DPO: 

Per ulteriori richieste di chiarimenti è possibile contattare il nostro DPO all’indirizzo dpo@class.it

Scusandoci per ogni possibile disagio prodotto dall’evento occorso, vi ringraziamo per la vostra comprensione e collaborazione.