Colpisci uno prendi tre o forse di più

Alle offerte “prendi tre paghi due” siamo abituati, ma nel mondo cyber si riesce a fare molto meglio per cui basta colpirne uno e potresti prenderne anche qualche decina. Giusto in questo week end ne abbiamo avuto un esempio proprio a casa nostra.

In 48 ore diverse società di trasporto pubblico tra cui Busitalia, ATM Milano, TUAbruzzo e la veneta MOM (Mobilità di Marca) hanno comunicato ai propri utenti che, a seguito di una violazione dei sistemi informatici di un fornitore, i loro dati personali risultavano compromessi. Busitalia, società del Gruppo Ferrovie dello Stato che gestisce i servizi nelle province di Padova e Rovigo, ha comunicato che i criminali hanno avuto accesso a informazioni come nome, cognome, data di nascita, indirizzo email, numero di telefono e codice fiscale di numerosi passeggeri e raccomandato di cambiare le password. ATM Milano e TUAbruzzo hanno riferito che i dati coinvolti includono informazioni anagrafiche e, in alcuni casi, dettagli relativi agli account utilizzati per i pagamenti elettronici, pur senza evidenze immediate di furti di denaro. Anche in questo caso, il suggerimento agli utenti è stato quello di aggiornare le proprie credenziali di accesso e monitorare eventuali movimenti sospetti sui propri account. MOM, l’azienda che gestisce il trasporto pubblico nella provincia di Treviso, invece, ha segnalato la sottrazione dei dati di oltre 30.000 utenti. Le informazioni rubate comprendono nome, cognome, data di nascita, codice fiscale, indirizzo e numero di telefono. L’azienda ha confermato che i dati bancari e delle carte di credito non sono stati toccati, rassicurando i clienti sul fronte dei pagamenti. Tuttavia, ha avvertito che la fuga di dati potrebbe alimentare campagne di spam, phishing e marketing aggressivo. L’azienda ha invitato gli utenti a prestare particolare attenzione a email e chiamate sospette e a non rispondere a comunicazioni da fonti dubbie. Le denunce di cui sopra sono soltanto alcune, ma sono sufficienti a indicare come, determinare la violazione multipla, sia stato un attacco a un singolo fornitore di tutti gli operatori.

Alla storia non manca l’ironia, visto che proprio in questi giorni migliaia di aziende italiane stanno ricevendo dalla nostra agenzia nazionale per la sicurezza cibernetica, la comunicazione ufficiale relativa all’inserimento nell’ambito di applicabilità della Direttiva NIS 2, norma europea che impone vincoli stringenti in materia di sicurezza cyber a organizzazioni che operano in settori critici (come i trasporti). Tra questi vi sono, non proprio casualmente, l’obbligo di controllare la sicurezza dei propri fornitori. Chissà se quei controlli che, data la situazione, dovrebbero essere adottati per il piacere di stare tranquilli, lo saranno per il dovere di evitare una sanzione. Il tempo ci darà la risposta.